Vielfältiges Securitydesign nimmt starke Gestalt an

Transkript

1 toms spotlight MÄRZ/APRIL Klartext Balanceakt komfortable Sicherheit 5 Lösungen Gewandt und gewappnet 7 Referenz Sicherheit im mobilen Vertrieb der LBS 4 Fakten Die Fülle der Mittel 6 Wirkung Zugriffsschutz ist der Schlüssel 8 Partner Vielfältiges Securitydesign nimmt starke Gestalt an Jetzt mal ganz ungeschminkt: Cyberkriminelle sind uns leider oft eine Nasenlänge voraus. Dabei gibt es eine ganze Palette effektiver Securitywerkzeuge, mit denen man seine Clients wirksam gegen schädliche Software und heimlichen Datendiebstahl schützen kann. Nur: die individuell richtige Mischung aus kontrollierenden und abwehrenden Maßnahmen ist nicht einfach herzustellen. Die unberechenbar s- ten Komponenten in dieser Melange: der Anwender und die Technologieentwicklung.

2 VPN, NAC, IRM, DLP ja geht s noch? Eigentlich sollte das neue Vertriebssystem doch nur den Kundenservice verbessern. Aber Sicherheitsanforderungen sind nun mal die heiligen Kühe der IT-Verantwortlichen. Mit Recht, wie sich schnell zeigt, wenn man nicht den besten Securitystoff geladen hat. Impressum Herausgeber Computacenter AG & Co. ohg Europaring Kerpen Tel. +49 (0) 2273/597-0 Fax +49 (0) 2273/ Handelsregistereintrag: Amtsgericht Köln HRA Sitz der Gesellschaft: Kerpen Umsatzsteuer-Identifi kationsnummer: DE Redaktion Matthias Vogel Tel. +49 (0) 2102/ Matthias.Vogel@computacenter.com Gestaltung design blaues Wunder, Köln Druck johnen-druck GmbH & Co. KG, Bernkastel-Kues

3 Klartext Carsten Dibbern Leader Competence Center Client Security, Computacenter Das Problem sitzt in der Regel vor dem Computer. Oder sagen wir es so: Dass überhaupt jemand vor dem Computer sitzt, ist ein Problem. Andernfalls könnten IT-Leiter an ihren Clients nämlich den Netz werkstecker ziehen, die optischen Laufwerke ausbauen und alle USB-Ports sperren. Jede andere Konfi guration ist bis zu einem gewissen Grad unsicher. Aber genau da liegt ja das Problem: Sicherheit ist kein Selbstzweck. Vielmehr geht es darum, eine gegebene Aufgabe möglichst gut geschützt erfüllen zu können. Mehr Sicherheit bedeutet jedoch stets auch weniger Handlungsfreiheit und mitunter weniger Komfort. Es kommt also darauf an, die individuelle Balance zwischen einschränkenden Securitymaßnahmen und arbeitsdienlichem Funktionsumfang des Clients zu fi nden. Und: menschliche Schwächen in das Sicherheitskonzept einzubeziehen. Arglosigkeit, Vergesslichkeit und Hilfsbereitschaft gehören beispielsweise zu den gefährdenden Benutzereigenschaften. Im Netz ist der nächste Virus garantiert nur einen Klick entfernt. Und kein Datenbestand ist so schnell in falschen Händen, wie der auf dem Smartphone, das im Café auf dem Tisch liegen blieb. Auch sollte man selbstverständlich nicht jeden Datenträger, der einem in die Hand gedrückt wird, in seinen Computer stecken. Aber wer misstraut schon dem USB-Stick eines sympathischen Kollegen? Kein Wunder also, dass Administratoren die Clients am liebsten zuschweißten. Stattdessen müssen sie sich überlegen, wie sie sowohl den eigenen als auch fremden Systemen einen möglichst unkomplizierten Zugang zum Firmennetz gewähren, ohne gleich dem Datendiebstahl Tür und Tor zu öffnen. Dafür einfach beliebig viele Sicherheitsprodukte einzusetzen, kommt nicht in Betracht, ein effektives Sys temmanagement ist schließlich oberstes Gebot. Was wiederum direkt zu der Frage führt, wie gut sich die Securityerzeugnisse mit den vorhandenen Verzeichnisdiensten, Systemrichtlinien und Betriebssystemen vertragen. Und nicht zuletzt: wie zu verfahren ist, wenn sich plötzlich tausend Clients mit einem Virus infi ziert haben. Nein, auch die Kollegen auf der anderen Seite der Benutzerschnittstelle haben es mit der Sicherheit nicht leicht. Was ihnen zudem oft fehlt, ist der Blick in die Zukunft. Ohne ein sicheres Gespür für den Wandel, den Endbenutzertechnologien vollziehen, setzt das imaginäre neue Vorhängeschloss nämlich eventuell schnell Rost an. Wo es beginnen und wo enden soll, das Securitykonzept, ist dann die Gretchenfrage, bei der IT-Verantwortliche schnell den Wald vor lauter Bäumen nicht mehr sehen. Mehr Licht in den Securitydschungel bringt hoffentlich diese Ausgabe von toms spotlight. 3

4 Fakten Die Fülle der Mittel Cyberkriminelle haben sich professionalisiert. Längst ist die Verbreitung von Malware von einem herausfordernden Zeitvertreib jugendlicher Technikfreaks zu einem lukrativen Gewerbe erwachsen, das die IT-Welt bewegt. Unternehmen sind inzwischen mindestens so sehr von den Attacken betroffen wie private Nutzer nur ist ihr Schaden viel größer. Dass man dennoch verhältnismäßig selten davon hört oder liest, was Schadsoftware in Firmen anrichtet, hat einfache Gründe. Oft wissen Unternehmen gar nicht, wie groß ihre Probleme mit Viren, Würmern und Co. tatsächlich sind. Und wenn sie es wissen, haben sie in der Regel wenig Interesse daran, es publik zu machen. Denn im Vergleich zur unmittelbaren Betriebsstörung wiegt der Schaden an der Reputation und Vertrauensstellung der Unternehmen wirtschaftlich meist viel schwerer. In die Presse schaffen es ohnehin nur die ganz großen Katastrophen, und die sind dann zum Glück doch wieder recht selten. Zumindest über einen Grundschutz verfügen heute nämlich so gut wie alle professionellen Endbenutzergeräte; als Erstes fallen einem da natürlich die Virenscanner ein. Allerdings ist das herkömmliche reaktive Verfahren in Zeiten schneller Breitbandleitungen und mit annähernd 1,5 Milliarden Internetbenutzern ein alter Hut. Denn vom ersten Auftreten eines neuen Angriffs bis zur Verfügbarkeit der heilenden Signatur haben die kleinen Zerstörer oft schon großes Unheil angerichtet. Neuere Technologien arbeiten daher mit einer regelbasierten Kontrolle der erlaubten Programme und können so auch ohne Gegenmittel den Aufruf schädlicher Software unterbinden. Nur mit einem Virenscanner steht man im weltweiten Netz allerdings sprichwörtlich im Hemd da. Zu einer einigermaßen wehrhaften Grundausstattung des Clients zählen heutzutage unbedingt auch eine Firewall und ein Intrusion Prevention System. Selbstverständlich mit ohnehin gehärtetem Betriebssystem, tagesaktuellem Patchmanagement und strengen Securityrichtlinien. Aktualität ist dabei oberstes Gebot, denn in fast jeder Software fi nden sich potenzielle Schwachstellen für eine Attacke. Dabei gilt: je verbreiteter, desto beliebter. Browser und Programme, mit denen man Video- und Audioinhalte wiedergeben kann, zählen deshalb zu den bevorzugten Angriffszielen und die populären Social Networks zu den risikoreichen Orten im Web. Die Schädlinge selbst werden indes immer schlauer. Um fast die Hälfte stieg allein im letzten Jahr die Anzahl der Rootkits, die einer Erkennung durch den Virenscanner dadurch entkommen, dass sie sich auf raffi nierte Weise in den unteren Betriebssystemebenen verstecken. Nach einem Aufenthalt außerhalb des Firmennetzes gehören mobile Systeme deshalb erst mal in Quarantäne. Dort werden sie automatisch auf Herz und Nieren sprich: neuesten Virenschutz, aktivierte Firewall und aktuelles Patchlevel geprüft und dürfen erst dann wieder am produktiven Netzwerk teilnehmen. Sollten Laptops, Smartphones oder Wechseldatenträger den Rückweg zum Unternehmen aber gar nicht erst schaffen, weil sie irgendwo liegen geblieben sind, dann hilft nur noch eines: eine wirksame Verschlüsselung. Andernfalls hat es der Datendieb wirklich zu leicht gehabt. 4

5 Lösungen Gewandt und gewappnet Für jedes Ereignis ein passendes Produkt und dann hoffen, dass die Kombination der IT-Mode standhält? Computacenter weiß: umgekehrt wird ein Schuh draus. Besonders mit dem Design von Windows- 7-Clients sollte die Entwicklung der Sicherheitsmaßnahmen Hand in Hand verlaufen. Denn die sogenannte Härtung des Betriebssystems ist die Grundlage für alle weiteren Securitymaßnahmen. Und: je nach Clientkonzept erfordert sie andere Konfi gurationen. Thin Clients egal ob per RDP oder Citrix angebunden, Laptops und Smartphones stellen spezifi sche Anforderungen an das Sicherheitskonzept; deutlich wird das beispielsweise bei den Backuplösungen für mobile Geräte sowie beim Patch- und Systemmanagement. Zusätzlich gilt es hier, die Besonderheiten und Erfordernisse verschiedener Hersteller von Anwendungs- und Managementsoftware in die Gesamtlösung einzubeziehen. Für ein vollständiges, integriertes Sicherheits- und Notfallkonzept Ihrer Clients braucht es also nicht nur die notwendige Securitykompetenz, sondern ein umfassendes Know-how von Client- und Systemmanagement-Technologien, wie es Computacenter zusätzlich zu seinem vierteiligen Securityportfolio bietet. Client Protection Von Virenschutz über Anti-Spyware und Patchmanagement bis zur Desktop-Firewall reicht unser Grundschutzangebot für Ihre Clients. Dabei berücksichtigen wir die individuellen Anforderungen an die Performance und die Netzwerkverbindungen Ihrer Clients, sorgen für ein effektives Alarmierungs- und Benachrichtigungssystem und stellen sicher, dass Ihre mobilen und stationären Benutzersysteme in puncto Sicherheit stets auf dem neuesten Stand sind. Corporate Access Mit VPN-Technologien und Authenti fi - zierung via Token und Smartcards bieten wir Ihnen einen sicheren Unternehmenszu gang für Ihre mobilen PCs und Smartphones. Egal ob über einen WLAN-Hotspot, UMTS, GPRS oder eine DSL-Leitung Computacenter stellt sicher, dass Ihre Securityrichtlinien bei der Verbindung eingehalten werden. Dafür bürgen unsere tausendfach bewährten Lösungen und ein umfangreicher Erfahrungsschatz im Network Admission Control. Information Protection Nichts auf dem Client ist so wertvoll wie Ihre Daten. Deshalb genießen sie auch unseren besonderen Schutz. Mit robusten Verschlüsselungslösungen bewahren wir die Informationen vor unbefugtem Zugriff unterwegs ebenso wie in Ihrem eigenen Netz. Zusätzlich bieten wir Ihnen mit Techniken wie Information Rights Management Client Protection Information Protection Client Security Corporate Access Client Control und Data Loss Prevention neue Möglichkeiten, die Verarbeitung und den Verwendungszweck der Daten auf Ihren Clients noch genauer zu kontrollieren. Client Control Auf der Grundlage einer Verhaltensanalyse können Sie mit Computacenter sogar einen wirksamen Schutz gegen sogenannte Zero-Day-Angriffe aufbauen, die bereits am Tag des Bekanntwerdens einer Sicherheitslücke erfolgen. In diesem Fall heißen die Zauberworte Port Control und Application Control. Beispielsweise legen Sie gemeinsam mit Computacenter fest, welche Geräteschnittstellen ein User verwenden und mit welchen Benutzergruppen er Daten austauschen darf.

6 Wirkung Zugriffsschutz ist der Schlüssel Viele Securitymechanismen zielen darauf ab, unbefugte Personen und bösartige Programme bereits vor den Toren des eigenes Systems abzuwehren. Aber was, wenn diese dennoch Zugang zu den Daten erlangen? Fast ein Drittel aller Anwender speichert beispielsweise Unternehmens- wie Kundendaten gelegentlich auf Wechseldatenträgern. In solchen Fällen reicht ein unachtsamer Moment oder stressbedingte Zerstreutheit, und schon befi nden sich die Daten in den falschen Händen. Diese wiederum, und das ist sicher die bitterste Erkenntnis, müssen noch nicht einmal Unbekannten gehören. Tatsächlich gehen etwa drei Viertel aller Datendelikte auf das Konto autorisierter Benutzer und in den allermeisten Fällen geschehen die Taten während der Arbeitszeit. Dagegen gibt es im Wesentlichen zwei Strategien. Die eine besteht darin, möglichst eng zu kontrollieren, wie Anwender mit Unternehmensdaten umgehen. Weitaus effektiver ist allerdings die Verschlüsselung. Für mobile Benutzer ist eine Verschlüsselung des Datenbestandes auf ihrem Notebook oder Smartphone ohnehin obligatorisch, denn sie könnten ja im schlimmsten Fall sogar ihr ganzes System einbüßen. Die schützenden Technologien reichen von Festplattenverschlüsselungen mit Pre-Boot-Authentifi zierung, die mithilfe von Smartcard oder Passwort schon das Betriebssystem chiffrieren, bis zu solchen, die auf Datei- und Verzeichnisebene agieren. Bei einem Diebstahl oder Verlust des Datenträgers bieten diese Technologien einen wirksamen Schutz, lückenlos ist der allerdings auch nicht. Daten auf Fileservern sind beispielsweise oft nur über die Rechtevergabe auf den Netzwerkverzeichnissen geschützt und machen meist keinen Unterschied zwischen unkritischen und geheimen Informationen. Und hat ein berechtigter Benutzer die Dateien erst dort entnommen, reicht schon eine falsch geschriebene -Adresse, und nicht Herr Schmidt aus der Personalabteilung erhält die Gehaltsdaten, sondern Herr Schmitt, den sie gar nichts angehen. Vor solch einem Malheur schützt Information Rights Management (IRM), das als DRM aus der Welt digitaler Musik und Filme bekannt ist. Bei diesem Verfahren, das integraler Bestandteil der jeweiligen Anwendung ist, klebt die Verschlüsselung sozusagen am Dokument und erlaubt beispielsweise auch, den Zugang zeitlich zu befristen. So können etwa Personen mit unterschiedlichem Sicherheitsstatus in verschiedenen Phasen an der Revision desselben Dokuments arbeiten. Einen wirksamen Diebstahlschutz stellt IRM somit natürlich auch dar, gehört aber dennoch nicht in die Kategorie Data Loss Prevention. Technologien dieser Art bedienen sich in der Regel lokaler Agenten, die versuchen, die Aktionen und Kommunikationswege des Benutzers zu kontrollieren. Aufgrund ihrer Unabhängigkeit von Dateiformaten sind sie fl exibler einsetzbar, bieten dafür aber meist keine Verschlüsselung.

7 Referenz Sicherheit im mobilen Vertrieb der LBS In den eigenen vier Wänden ist es zwar am schönsten, auswärts sollte es aber zumindest genauso sicher sein. Denkt sich auch die größte Landesbausparkasse und vergisst dabei den Benutzerkomfort nicht. tom sprach mit Stephan Ricker, Leiter der Abteilung IT-Betrieb, über das Security-Konzept für den Vertriebsaußendienst der LBS West. Stephan Ricker LBS West tom: Herr Ricker, wo können Ihre Kunden einen Bausparvertrag abschließen? Ricker: Unsere Vertriebsschiene ist dual ausgerichtet. Das heißt, jede Sparkasse in Nordrhein-Westfalen verkauft letztendlich unsere Produkte, und wir haben auch noch einen starken eigenen Außendienst, der insgesamt Mitarbeiter umfasst. Die Herausforderung ist, dass diese Handelsvertreter draußen mit einem vollwertigen Vertriebssystem unterstützt werden müssen. tom: Unterscheiden sich die beiden Vertriebskanäle in puncto Security? Ricker: Ja, der Unterschied ist schon sehr deutlich, weil im Sparkassenumfeld ein sehr großer Prozentsatz stationär, sprich in vertrauten Netzwerkumgebungen geschieht. Im Außendienst sind wir eben sehr stark mobil unterwegs, das heißt im Wohnzimmer des Kunden, im Homeoffi ce oder in Kundencentern, die weder eine Gebäude-Security noch geschützte Leitungen haben. Wir nutzen da das freie Internet bzw. ein eigenes MPLS-Netz zur Ankopplung der einzelnen Bereiche und der mobilen Benutzer. Das ist natürlich eine ganz andere Security-Anforderung. tom: Worin liegt denn der Nutzen eines mobilen elektronischen Vertriebssystems gegenüber den herkömmlichen Formularen? Ricker: Das sind zwei Dinge: Zum einen, dass wir mit dem eigentlichen Fachprojekt die Datenqualität deutlich erhöhen wollen, die zur Beratung herangezogen wird. Und dadurch, dass wir die entsprechende Vertraulichkeit und Integrität mit dem Security- Mechanismus sicherstellen, können wir uns auf diese Daten auch deutlich besser verlassen, als das in der Vergangenheit der Fall war, als sie in der Regel von Papiervorlagen abgetippt wurden. Was natürlich wieder ein wirtschaftlicher Vorteil ist, weil die Nacharbeiten praktisch wegfallen. tom: Nach welchen Kriterien haben Sie die Securitylösung ausgewählt? Ricker: Ziel war es, die mobile Anbindung vollständig zu realisieren und damit ein hohes Maß an Sicherheit zu gewährleisten. Und da haben wir auf ein Gesamtpaket gesetzt, das mit einer Festplattenverschlüsselung auf dem Client, verbunden mit entsprechenden Securitymechanismen für den Datenverkehr und unter Wahrung der Nutzbarkeit für den Anwender eine optimale Lösung bietet. Und die haben wir letztendlich in einem Produktpaket gefunden, welches wir dann gemeinsam mit Computacenter evaluiert haben und jetzt implementieren. tom: Neben technischen Fragen stößt man dabei sicher auch auf formelle. Ricker: Wir haben Vorstudien gemacht und natürlich die entsprechenden Gremien in diese Untersuchungen mit eingebunden. Also der Datenschutzbeauftragte war mit eingebunden, wir haben uns unabhängige Rechtsgutachten geben lassen, wie die Log-Dateien aussehen müssen. Was dürfen wir überhaupt bei freien Handelsvertretern anbieten? Wie müssen wir uns rechtlich absichern? Inwieweit fi nden das Telekommunikationsgesetz, das Telemediengesetz und ähnliche Gesetze Anwendung? Das waren natürlich Hürden, die wir erst umfassend untersuchen mussten, um zu einem Entschluss zu kommen, wie die Lösung aussieht. tom: Ist nicht gerade in diesen Zeiten letztlich der Preis ausschlaggebend für die Wahl von Dienstleistern und Produkten? Ricker: Sicherlich spielt das Thema Wirtschaftlichkeit auch eine große Rolle. Andererseits ist es uns sehr wichtig, dass wir einen verlässlichen Partner haben. Wir werden ja nicht nur an der Wirtschaftlichkeit gemessen, sondern auch an dem Erfolg des Projektes. Und da ist es für uns sehr wichtig, dass wir einen Partner haben, der eine entsprechende Termintreue mitbringt, der das Projektrisiko für uns auch ein Stück weit minimiert und der die Kompetenz aufweist, die wir in der eigenen Mannschaft in diesem Umfeld nicht haben. Und darum haben wir uns letztendlich für Computacenter entschieden, weil genau diese Aspekte dort aus unserer Sicht erfüllt sind. 7

8 Partner Computacenter unterhält Partnerschaften mit allen führenden Technologieanbietern. Die in diesem Heft beschriebenen Lösungen realisieren wir insbesondere mit Produkten von Computacenter AG & Co. ohg Europaring Kerpen Tel. +49 (0) 2273/597-0 Fax +49 (0) 2273/