Mobilität: Ist Ihr Unternehmen geschützt? Kommunikation in Echtzeit findet jederzeit und überall statt: unterwegs und von fast jedem Gerät aus. Dabei geht es nicht nur um Gespräche. Wir chatten über Instant Messenger, verschicken Dokumente per E-Mail und greifen über die Cloud auf Unternehmensdaten zu. Doch wie sicher ist Ihre Kommunikation in unserer zunehmend mobilen Welt?
2 Dabei gilt es nicht nur die virtuellen Bedrohungen zu beachten, wie ungesicherte WiFi-Hotspots und Virenangriffe auf unzureichend geschützte Mobilgeräte. Es gibt auch ganz handfeste Probleme.
Neue Sicherheitsanforderungen durch Mobilität Wir können heutzutage von jedem Ort aus arbeiten und tun es auch. Statt fester Schreibtische gibt es Wechselarbeitsplätze und Home Offices. Desktop-PCs werden durch Notebooks, Tablets und Smartphones ersetzt. Einige dieser Geräte werden vom Unternehmen zur Verfügung gestellt und unterstützt. Viele nicht. Während die sogenannten Anywhere Worker heutzutage besser verbunden, mobiler und produktiver sind als je zuvor, steigen gleichzeitig die Risiken. Auch für Ihr Unternehmen. Dabei gilt es nicht nur die virtuellen Bedrohungen zu beachten, wie ungesicherte WiFi- Hotspots und Virenangriffe auf unzureichend geschützte Mobilgeräte. Es gibt auch ganz handfeste Probleme. Ein im Zug oder Konferenzraum vergessenes Notebook oder Smartphone zieht Diebe an. Vielleicht sind sie nur am Gerät interessiert. Vielleicht aber auch an den vertraulichen Daten, die darauf gespeichert sind. Welche Auswirkungen eine solche Sicherheitslücke auf die Marke und das Unternehmen haben kann, hat wohl jeder schon einmal gehört oder gelesen. Unzureichende mobile Sicherheitsmaßnahmen für Kommunikationskanäle, Netzwerke oder Geräte sind ein ernstzunehmendes Problem für Unternehmen. Dabei stellen sich folgende Fragen: Sollten Mitarbeiter auf ihren Mobilgeräten vertrauliche Dokumente speichern? Was passiert, wenn das Gerät verloren geht? Sollten Privatgeräte der Mitarbeiter in der Unternehmensumgebung genutzt werden dürfen (Bring Your Own Device)? Welche Sicherheitsmaßnahmen sind erforderlich, um Mobilgeräte beispielsweise vor Schadsoftware zu schützen? Welche Unternehmensanwendungen können auf welchen Geräten genutzt werden? 3
Willkommen in der Welt der Apps Früher wurden Programm- und Benutzerdaten auf demselben Gerät gespeichert, oft auf einem Desktop-PC. Das hat sich geändert. Wir befinden uns nun im Zeitalter der mobilen Apps. Altbekannte Programme wurden für die Verwendung auf Mobilgeräten optimiert. Die Benutzerdaten werden dabei meist zentral in der Cloud gespeichert. Alle Inhalte werden ständig synchronisiert und sind von jedem Ort und Gerät aus abrufbar. Und sie sind sicher. Zumindest sollte das so sein. Die Verwendung derselben App über alle Geräte hinweg ist vor allem in einer Kommunikationsumgebung sinnvoll, insbesondere zu folgenden Zwecken: Webkonferenzen: Im virtuellen Raum zusammenarbeiten Bildschirme und Dokumente teilen Soziale Netzwerke: Nachrichten und Blogs für Kollegen und Kunden veröffentlichen E-Mail: schnelle Übertragung und Zugriff auf alle E-Mails von verschiedenen Geräten aus Telefonie und Telefonkonferenzen: Echtzeitkommunikation zwischen zwei oder mehr Personen Videokonferenzen: über Tausende Kilometer Entfernung hinweg von Angesicht zu Angesicht sprechen Doch ohne die entsprechenden Maßnahmen zu Abhörsicherheit und Datenschutz stellt Ihre Geschäftskommunikation ein Risiko dar. Selbst sehr sicherheitsorientierte Unternehmen können Opfer von Datenmissbrauch werden. Am 17. Januar 2012 belauschte die Hackergruppe Anonymus eine Konferenzschaltung zwischen FBI und Scotland Yard und veröffentlichte die Gespräche anschließend auf YouTube. Sicherheit in der Cloud Die Cloud birgt neben vielen Vorteilen auch einige Risiken. Die größte Herausforderung hierbei ist die Datenspeicherung, da Sie darauf selbst keinen Einfluss mehr haben. Die Datenspeicherung verdient besondere Aufmerksamkeit, da Daten oft außerhalb der Landesgrenzen gespeichert werden und lokale Datenschutzgesetze somit nicht mehr greifen. Und vergessen Sie nicht... Soziale Netzwerke Xing, LinkedIn, Facebook, Twitter, Yammer, YouTube, Wikipedia sind eine besondere Form von Cloud-Diensten. Auch hier müssen Sie über Sicherheitsmaßnahmen und -richtlinien für die Interaktion mit Kunden und Kollegen in öffentlichen Foren nachdenken. 4
Netzwerke ohne Ende Mobile Nutzer greifen heute über Virtual Private Networks (VPN) oder das Internet direkt oder indirekt auf vertrauliche Daten zu. Und zwar über die verschiedensten Netzwerke: Mobile Netzwerke Bis zum Jahr 2015 werden mehr als 60 % der Weltbevölkerung Zugang zur mobilen Breitbandtechnologie der vierten Generation (LTE) haben. Die blitzschnelle Datenübertragung wird auch den mobilen Datenverkehr exponentiell ansteigen lassen. WLAN Wireless Local Area Networks (WLANs) müssen für jeden Benutzer und alle Geräte funktionieren. Laptops unterscheiden sich hinsichtlich ihrer Funktionalität beispielsweise enorm von Smartphones. Das Netzwerk muss die einfache Integration sämtlicher Mobilgeräte ermöglichen und zudem mit den ständig steigenden Gerätezahlen in Unternehmen fertig werden. LAN Da Benutzer sich immer häufiger über WLAN oder ein mobiles Netzwerk mit dem Unternehmensnetzwerk verbinden, hat die Bedeutung des Local Area Network (LAN) in den letzten Jahren abgenommen. Dennoch müssen diese Netzwerke unbedingt geschützt werden. Bedenken Sie auch, dass Mobilgeräte, die auf Ihr LAN zugreifen, vielleicht durch andere Aktivitäten außerhalb des Firmennetzwerks schon mit Schadsoftware infiziert sein können. Was muss also geschützt werden? Die Antwort lautet: alles. Apps: Diese sind für gewöhnlich nicht auf die Sicherheitsstandards von Unternehmen ausgelegt Kommunikationskanäle: Die Grenzen zwischen Privat- und Berufsleben verschwimmen zunehmend, wodurch Vertraulichkeit und Privatsphäre einem immer größeren Risiko ausgesetzt sind Die Cloud: Mobile Daten und große Datenmengen machen eine neue Dimension des Datenschutzes erforderlich Soziale Netzwerke: Hier kann jeder mit jedem kommunizieren und sollte deswegen besonders vorsichtig sein Geräte: Mehr Optionen für jeden und mehr Angriffsmöglichkeiten für Hacker Netzwerke: Mitarbeiter müssen bei einem sicheren Netzwerk (VPN) und vielen unsicheren Netzwerken (WLAN, 3G/4G, UMTS) die richtigen Entscheidungen treffen 5
Der Mehrwert eines innovativen Ansatzes Wie lassen sich also all diese Mobilgeräte sicher in die bestehende Infrastruktur Ihres Unternehmens integrieren? Und wie lässt sich dabei der Kosten- und Verwaltungsaufwand minimieren? Die Antwort lautet: mit einem innovativen Ansatz. Beim Schutz Ihrer mobilen Umgebung geht es nicht mehr darum, ob eine bestimmte Maßnahme umgesetzt werden soll, sondern welche Sicherheitsmaßnahmen langfristig am sinnvollsten sind. Früher musste beim Datenschutz vor allem das Netzwerk vor Angreifern geschützt werden. Dafür wurden wirksame Verteidigungssysteme wie Firewalls, Anti-Spam- und Anti-Virus- Software, Content-Filter und Verifizierungsmaßnahmen eingesetzt. Authentifizierungslösungen regelten zudem den Zugriff auf die sensibelsten Unternehmensdaten und -bereiche. Durch die zunehmende Nutzung von Mobilgeräten werden Anwendungen und Identitäten inzwischen innerhalb und außerhalb der Firmenumgebung eingesetzt, und die Grenzen zwischen Privat- und Berufsleben verschwimmen. Es gibt heute so viele Möglichkeiten, miteinander in Kontakt zu treten und Daten zu nutzen und zu teilen, dass eine herkömmliche Sicherheitslösung nicht mehr den erforderlichen Schutz bieten kann. 6
Neue Ansätze Der Trend geht heutzutage eindeutig zu einem Sicherheitsmodell auf Interaktions- und Informationsbasis. Traditionelle Sicherheitslösungen wie Firewalls bleiben zwar auch weiterhin gefragt, müssen aber durch weitere Komponenten ergänzt werden. Diese Elemente der erweiterten Sicherheitsarchitektur sind besonders vielversprechend: Network Access Control (NAC) Das Konzept ist Sicherheitsfachleuten bereits vertraut: NAC erkennt Geräte und Benutzer und ermöglicht ihnen anhand zuvor festgelegter Regeln den Zugriff auf einzelne Teile und Dienste des Netzwerks. Diese Lösung ist für Unternehmen mit mobilen Geräten als Erweiterung der bestehenden Infrastruktur unbedingt erforderlich. Identity and Access Management (IAM) Ohne eine effektive Verwaltung der Zugriffsrechte für jeden einzelnen Benutzer ist das Chaos unvermeidlich. Bei der Zuordnung der Rechte müssen aber sowohl Benutzer als auch Geräte berücksichtigt werden. Dieser Aufgabe übernimmt IAM die genaue Regelung, welcher Benutzer über welches Gerät auf welche Unternehmensanwendungen zugreifen darf. Verwaltung mobiler Geräte (Mobile Device Management, MDM) MDM dient der effizienten Implementierung und Umsetzung von Sicherheitsrichtlinien für Mobilgeräte. Alle Geräte können zentral verwaltet und aktualisiert werden, nicht vertrauenswürdige Apps können gesperrt werden, und bei Verlust oder Diebstahl des Geräts lassen sich die Daten per Fernzugriff löschen. MDM ist besonders wichtig, wenn vertrauliche Unternehmensdaten auf Mobilgeräten gespeichert werden. Das Problem ist, dass viele MDM-Plattformen noch keine ausreichende Unterstützung für die vielen Betriebssysteme und Geräte bieten, die in Unternehmen heute zum Einsatz kommen. Der wichtigste Punkt ist, dass es keine Einzellösung gibt, mit der sich alle Sicherheitsanforderungen lösen lassen. Sie benötigen einen harmonisierten Ansatz, der Netzwerke, Geräte, Benutzerszenarios und Benutzer gleichermaßen berücksichtigt. Nur so erhalten Sie eine integrierte Lösung, die auf Ihre speziellen Sicherheitsanforderungen ausgerichtet ist und zudem Ihre Unternehmensziele unterstützt. Es gibt heute so viele Möglichkeiten, miteinander in Kontakt zu treten und Daten zu nutzen und zu teilen, dass eine herkömmliche Sicherheitslösung nicht mehr die erforderliche Sicherheit bieten kann. WWW Mobile MDM Firewall IAM/NAC Mail 7
8
Handlungsbedarf in allen Bereichen CIOs und IT-Manager sehen zweifelsfrei akuten Handlungsbedarf in fast allen Mobilbereichen. Oft erfolgt die Planung und Umsetzung einer Sicherheitslösung jedoch nicht nach strategischen Gesichtspunkten. Und hier liegt das Problem. Die unkoordinierte Kombination unterschiedlicher Einzellösungen macht die Systeme nicht nur anfälliger für verschiedenste Risiken, sondern verhindert auch, dass Unternehmen die Möglichkeiten voll ausschöpfen, die sich durch die Mobilität bieten. Benötigt wird eine unternehmensweite tragfähige Mobilstrategie, bei der die Sicherheit im Mittelpunkt steht. Andernfalls besteht die Gefahr, dass Sie die immer weiter zunehmende Zahl von Geräten, Plattformen und Anwendungen nicht mehr kontrollieren und verwalten können. Auch eine effiziente Integration in die vorhandene Infrastruktur wird dadurch unmöglich. Was ist die Lösung? Benutzer müssen verstehen, dass Sicherheitsmaßnahmen sinnvoll und wichtig sind. Nur dann werden sie die Maßnahmen auch umsetzen, selbst wenn sie mit leichten Einschränkungen verbunden sind. Zunächst müssen Sie festlegen, wie die Verwendung mobiler Geräte in Ihrem Unternehmen geregelt werden soll. Welche Geräte sollen unterstützt werden? Ist eine Bring Your Own Device -Strategie sinnvoll? Welche Auswirkungen hätte sie? Zudem sollten Sie sich einen guten Überblick über die benötigten Dienste und ihren Einfluss auf die Unternehmensstrategie verschaffen. Externe Faktoren wie beispielsweise die Kunden müssen ebenfalls berücksichtigt werden. Entwicklung einer Mobilstrategie Vor einer Umstrukturierung muss zunächst einmal die bisherige Strategie betrachtet werden: Können einzelne Komponenten dieser Strategie weitergenutzt werden? Lassen sich dadurch Kosten sparen? Harmoniert die momentane Strategie mit der geplanten Unternehmensentwicklung? Um diese beiden zentralen Fragen beantworten zu können, müssen die bestehenden Sicherheitsparadigmen überprüft, neue Risiken ermittelt und mögliche Lösungen aus wirtschaftlicher Sicht erörtert werden. Wenn diese Faktoren geprüft und definiert wurden, kommen weitere Aspekte ins Spiel: Mobilitätsmanagement Unternehmenssicherheit Risikomanagement Legen Sie zunächst interne Richtlinien für die Nutzung dieser Geräte fest, und überarbeiten Sie bestehende Richtlinien so, dass alle neuen Aspekte berücksichtigt werden. Klären Sie diese Veränderungen dann mit den zuständigen Abteilungen im Unternehmen ab. Zudem müssen die Verantwortlichkeiten für sämtliche mit der Implementierung und Verwaltung der Lösung erforderlichen Aufgaben klar festgelegt werden. Das Problembewusstsein der Anwender spiel ebenfalls eine zentrale Rolle. Ohne Unterstützung der Benutzer werden Sie Ihre Systeme nicht schützen können. Die Implementierung der geeigneten Technologie ist zwar wichtig, doch entscheidend ist letztlich das Bewusstsein und Verständnis der Anwender. Den Benutzern muss klar sein, dass Eigenverantwortung und überlegtes Handeln gefordert sind. 9
Anforderungen an die Technik Moderne Sicherheitsmaßnahmen stellen hohe Anforderungen sowohl an die Technik als auch an das Personal. Der Basis-Schutz für die traditionelle IT-Infrastruktur kann größtenteils allein durch technische Maßnahmen gewährleistet werden zum Beispiel durch Firewalls oder Proxy-Systeme mit den entsprechenden Richtlinien. Doch wir wissen bereits, dass das nicht ausreicht. Der Schritt von Endpunkt- zu zugriffsbasierten Sicherheitslösungen ist unbedingt erforderlich. Endpunkt-Sicherheitslösungen basieren darauf, dass jedes Gerät individuell geschützt wird. Wird ein Gerät dann kompromittiert, kann der Angreifer unmittelbar auf Unternehmensdaten zugreifen. Zugriffsbasierte Lösungen verhindern den Zugang zu Unternehmensdaten, wenn ein Gerät kompromittiert wird. Dieses Sicherheitssystem basiert auf einem mehrstufigen Ansatz. Zum einen werden die Geräte mit einer PIN oder einem ähnlichen Mechanismus vor unautorisiertem Zugriff geschützt. Zudem wird der Zugriff auf Unternehmensdaten mittels Benutzer-Authentifizierung gesteuert. Ein positiver Nebeneffekt eines solchen Portal- oder Proxy-Systems ist, dass keine direkte Datenverbindung zwischen externen Geräten und dem internen Unternehmensnetzwerk besteht. Das Proxysystem fungiert als eine Art Datenvermittler und stellt so eine zusätzliche Hürde für potenzielle Angreifer dar. Durch angemessene Autorisierungsrichtlinien wird sichergestellt, dass Benutzer nur auf die für sie erforderlichen Daten zugreifen können. Zuletzt ist für die erfolgreiche Implementierung einen Mobillösung auch ein moderner NAC (Network Access Control)- und IAM (Identity & Access Management)-Ansatz erforderlich, um den besonderen Risiken von Mobilgeräten gerecht zu werden. 10
Erfolgreich durch Mobilität Mobilität bringt viele Vorteile. Mitarbeiter sind produktiver, können schneller reagieren und flexibler agieren. Dennoch stellt die Mobilität auch ein hohes Risiko für die Informationssicherheit dar. Der Weg aus diesem Dilemma führt über die Bündelung der Sicherheitsmaßnahmen für Geräte, Netzwerke und Daten. Die IT-Abteilungen müssen hier einem neuen Ansatz folgen: Die Perimetersicherheit muss auf die Welt außerhalb der Firmengebäude ausgeweitet werden. Das muss im Rahmen eines strategischen Plans erfolgen, der den Anforderungen von Technologie, Benutzern und Unternehmen Rechnung trägt. Nur so kann die gewünschte Flexibilität, Wahlfreiheit und Benutzerfreundlichkeit für Anywhere Workers gewährleistet werden. Und Sie können sich darauf verlassen, dass Ihre Informationen immer sicher sind und somit Ihr Unternehmen geschützt wird unabhängig davon, welches Gerät oder welche App verwendet wird, wo die Daten gespeichert werden und über welches Netzwerk zugegriffen wird. Dafür benötigen Sie den richtigen Partner. Für uns bei Unify sind Mobilfunktionen nichts, das man nachträglich hinzufügt. Sie sind integraler Bestandteil einer modernen Arbeitsweise. Deswegen können wir eine umfassende Unterstützung auf allen Ebenen anbieten. Damit Mobilität niemals auf Kosten der Sicherheit geht. Best Practices bei der mobilen Sicherheit Bei der Entwicklung einer umfassenden mobilen Sicherheitsstrategie sollten Sie folgende Punkte immer berücksichtigen: Eine flexible IT-Infrastruktur, die die Herausforderungen durch Mobilgeräte bewältigen kann das gilt sowohl für die bestehende als auch für die langfristig geplante Infrastruktur im Unternehmen Maßnahmen, die über den Basis-Schutz hinausgehen, zum Beispiel Benutzerauthentifizierung, Zugangskontrolle und Umsetzung von Richtlinien Eine ausgereifte, plattformübergreifende Mobile Device Management-Lösung zur Verwaltung der verschiedenen Geräte und Betriebssysteme im Unternehmen (vom Smartphone bis zum Tablet) Kenntnis der Schwachstellen und Sicherheitsrisiken, zum Beispiel unkontrollierter Download von Apps oder nicht registrierte Geräte Klar definierte Rollen und Verantwortlichkeiten für die Umsetzung der Strategie in den Bereichen Technologie, Betriebsabläufe und Benutzer Richtlinien für den Umgang mit Mobilgeräten und Unternehmensdaten stellen Sie sicher, dass diese auch von den Mitarbeitern verstanden werden Die erforderlichen Tools, um die Einhaltung dieser Richtlinien zu gewährleisten 11
Über Unify Unify ist ein weltweit führendes Unternehmen für Kommunikationssoftware und -services, das annähernd 75 Prozent der Global 500 -Unternehmen mit seinen integrierten Kommunikationslösungen beliefert. Unsere Lösungen vereinen unterschiedliche Netzwerke, Geräte und Applikationen auf einer einzigen, einfach bedienbaren Plattform, die Teams einen umfassenden und effizienten Austausch ermöglicht. Damit verändert sich die Art und Weise, wie Unternehmen kommunizieren und zusammenarbeiten, nachhaltig die Teamleistung wird verstärkt, das Geschäft belebt und die Business- Performance erheblich verbessert. Unify verfügt über eine lange Tradition aus verlässlichen Produkten, Innovationen, offenen Standards und Sicherheit. unify.com Copyright Unify GmbH & Co. KG, 2015 Hofmannstr. 63, D-81379 München, Deutschland Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen Informationen beinhalten im Wesentlichen allgemeine Beschreibungen oder Leistungseigenschaften, die in der Praxis nicht unbedingt wie beschrieben gelten oder die sich infolge von Produktentwicklungen ändern können. Eine Verpflichtung zu den genannten Eigenschaften gilt nur dann, wenn dies ausdrücklich vertraglich vereinbart wurde. Verfügbarkeit und technische Spezifikationen können ohne Vorankündigung geändert werden. OpenScape, OpenStage und HiPath sind eingetragene Warenzeichen von Unify GmbH & Co. KG. Alle weiteren Unternehmens-, Marken-, Produkt- und Servicebezeichnungen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer.