IT RESEARCH NOTE SharePoint als Sicherheitsrisiko: Wie können sich Unternehmen schützen? Bekannt, genutzt, bedroht Microso6 SharePoint zählt zu den erfolg- reichsten Produkten für die virtuelle Zusammenarbeit in Unternehmen. Doch Vorsicht ist geboten: Ein lascher Umgang in puncto Sicherheit ver- wandelt den SharePoint schnell in eine Virenschleuder. Diese Research Note beschreibt die Schwachstellen und wie man sich davor schützt. Analyst: Ulrich Parthier Datum: 10. Oktober 2013 www.it- research.net
Diese IT Research Note untersucht die Schwach- stellen von Microso6 SharePoint und betrachtet folgende Aspekte: Die Sicherheitsprobleme des SharePoint- Servers Anforderungen an Malware- Schutz für SharePoint Gesicherter Zugang über eine Zwei- Faktor- AuthenCfizierung Übersicht über FunkConsmerkmale von AnC- malware- SoFware für den SharePoint Server Checkliste für mehr Sicherheit am SharePoint- Server Der Umsatz mit SoFware und Services bei Virenscan- nern, Firewalls, Zugriffsverwaltung und Co. steigt dieses Jahr in Deutschland voraussichtlich um fünf Prozent auf gut 3,3 Milliarden Euro. Dabei machen Dienstleistungen wie Beratung, ImplemenCerung und Wartung über drei Viertel (78 Prozent) des Umsatzes aus. Das berichtet der Hightech- Verband BITKOM auf Basis aktueller Daten von IDC. Die SharePoint- Server sind eine latente Gefahr. Den wenigsten Anwendern ist das bewusst. Eine InvesCCon in den Malware- Schutz von SharePoint wäre gut ange- legtes Geld. Experten warnen schon länger, dass Unter- nehmen dieses Thema scefmü]erlich behandeln und unterschätzen. Dabei liegen die Gefahren auf der Hand: Malware: Cyber- Kriminelle greifen immer öfer und trickreicher mithilfe von Malware an. Mitar- beiter helfen ihnen sogar tatkräfig dabei, indem sie infizierte Dateien hochladen. Das Gesamtsys- tem mucert so schnell in eine Virenschleuder. Zugriffssicherheit: In der Praxis haben ofmals viele externe Personen Zugriff auf den Share- Point, beispielsweise Kunden, Partner und Liefe- ranten. Inwieweit sie für IT- Sicherheit sensibili- siert sind und sich entsprechend verhalten, ist fraglich. Access: Die Zugangskontrolle wird ofmals nur über stacsche Benutzernamen und Passwörter gesteuert. Eine Zwei- Faktor- AuthenCfizierung findet nur selten bis gar nicht sta]. Datensicherheit: Viele InformaConen verlassen den SharePoint und somit auch den Kontrollbe- reich des Unternehmens. Was Externe mit den Daten anfangen und ob sie den vorgeschriebe- nen Sicherheitsrichtlinien des SharePoint- Betrei- bers folgen, ist ungewiss. Osterman Research liefert in der Untersuchung The Need for SharePoint Security Zahlen für diese Risiken. So erlauben 48 Prozent der Unternehmen, die einen SharePoint Server nutzen, Dienstleistern und Beratern Zugriff. 38 Prozent der Firmen richten auch ihren Ge- schäfspartnern einen Zugang ein. Wie es jeweils um die IT- Sicherheit bei den Partnern und Dienstleistern be- stellt ist, wussten die Unternehmen jedoch meist nicht. Das Problem der SharePoint- Sicherheit Eine klassische AnCvirensoFware, wie man sie auf Cli- ents oder File- Servern einsetzt, hilf auf dem SharePoint nicht weiter. Das Zusammenspiel von Virenscanner und Datenbankstruktur funkconiert hier kaum. Die Inhalte, die im SharePoint abgelegt sind, werden in einer großen Datenbank gespeichert. Jeder Zugriff eines Nutzers än- dert diese. Installiert man auf dem SharePoint- Server eine herkömmliche AnCviren- Lösung, wird die Daten- bank bei jeder Änderung komple] geprüf. Der Viren- scanner behandelt diese wie eine große Datei, die bei einer ModifikaCon erneut geprüf werden muss. Das würde zu riesigen Performanceeinbußen führen und das System prakcsch lahmlegen. Aus diesem Grund werden in der Praxis auf dem Server ofmals keine AnCvirus- Lösungen installiert oder Teile der Datenbank von der Prüfung ausgeschlossen. Diese Vorgehensweise wird damit begründet, dass alle Clients Copyright www.it-research.net! SharePoint als Sicherheitsrisiko 2 / 5
sich selbst schützen. Insofern kann nicht Unsicheres in die Datenbank beziehungsweise auf den Server gelan- gen. ProblemaCsch wird dies aber, sobald Externe auf den SharePoint zugreifen. Man kann nicht automacsch davon ausgehen, dass deren IT- Sicherheitsvorkehrun- gen den gleichen Sicherheitslevel besitzen. Kein Malware- Schutz von Microso6! Malware stellt für den SharePoint also die aktuell größ- te Gefahr dar. Genau an diesem Punkt stehen IT- Admi- nistratoren vor einem Dilemma. Denn MicrosoF wird seine AnCvirus- Lösung Forefront ProtecCon for Share- Point nicht mehr weiterführen beziehungsweise nicht für SharePoint 2013 anbieten. Lediglich für die Online- Version Office365 wird es Forefront Online geben. Sta]dessen baut MicrosoF für SharePoint 2013 auf Dri]anbieter von AnCvirus- Lösungen. Dies bedeutet für Unternehmen, dass sie sich selbst um einen adäquaten Virenschutz kümmern müssen. Doch das ist leichter gesagt als getan: Zum einen gibt es kaum Anbieter für MicrosoF SharePoint 2013. Zum anderen scheuen sich Unternehmen davor, zum vorhandenen Malware- Schutz einen weiteren Hersteller nur für die SharePoint- Sicherheit zu integrieren. Sie befürchten mehr Arbeit und höhere Kosten. Eine professionelle Sicherheits- lösung muss daher das gesam- te Server- Betriebssystem und das Dateisystem in Echtzeit vor Malware bewahren. Eine professionelle Sicherheitslösung muss daher das gesamte Server- Betriebssystem und das Dateisystem in Echtzeit vor Malware bewahren. Nur so sind Firmen gegen Cyber- Bedrohungen gewappnet. Ohne Viren- schutz könnten beispielsweise Nutzer versehentlich kompromirerte Dateien auf den SharePoint Server laden und dadurch gleich die gesamte Datenbank infi- zieren. Im schlimmsten Fall würde aus dem InformaC- onsdrehkreuz sogar eine Virenschleuder werden der SharePoint macht seinem Namen dann alle Ehre. Be- drohlich sind auch aktuelle Gefahren, die sich gegen Systemeinträge, Drive- by- Downloads oder System- schwachstellen richten. Darüber hinaus erwarten IT- Administratoren, dass das eingesetzte Produkt kaum Ressourcen frisst, die Performance nicht beeinträchcgt und per Fernzugriff administrierbar ist. Hervorragende ErkennungseigenschaFen und wenige Fehlalarme (False PosiCves) werden als selbstverständlich vorausgesetzt. Hervorragende Erkennungs- eigenschalen und wenige Fehlalarme (False PosiOves) werden als selbstverständlich vorausgesetzt. Kaum Produkte auf dem Markt Der Security- SoFware- Hersteller ESET zählt neben Avast, McAfee, Trend Micro und Kaspersky zu den we- nigen Anbietern, die Malware- Schutz für MicrosoF Sha- repoint 2013 anbieten und die genannten Anforderun- gen erfüllen. Seit Mi]e Juli 2013 ist ESET Security für MicrosoF SharePoint Server erhältlich. Das Unterneh- men erweitert damit sein Angebot an Lösungen zum Schutz von Unternehmensdatenbanken und hilf Unter- nehmen jeder Größe, ihre SharePoint Server malware- frei zu betreiben und zwar vom Einzelserver bis hin zur komplexen, verteilten SharePoint- Serverfarmen. Die Sicherheitslösung beinhaltet AnCvirus und AnCspy- ware, rollenbasierte Filter, automacsche Dateiaus- schlüsse sowie die Tools ESET SysInspector und ESET SysRescue. Das neue ESET- Produkt ermöglicht Admi- nistratoren die Durchführung komplexer Sicherheits- Po- licies bei On- Access- Scans in Echtzeit. Zusätzlich lassen sich On- Demand- Tiefenanalysen und zeitgesteuerte Scans der gesamten, auf dem SharePoint gespeicherten, Daten realisieren. Über das Management- Tool ESET Remote Administrator kann die Lösung per Fernzugriff gesteuert werden. Rollenbasierte Filter, die auf ver- schiedenen Kriterien wie dem tatsächlichen Dateityp beruhen, erlauben die Überprüfung spezifischer Datei- en. Eine detaillierte KonfiguraCon nach individuellen Bedürfnissen ist möglich. Copyright www.it-research.net! SharePoint als Sicherheitsrisiko 3 / 5
FunkUonsmerkmale Nachfolgend eine Übersicht über die wichcgsten Funk- Consumfänge, welche die Sicherheit des SharePoint Servers gewährleisten und die Sie bei den verschiede- nen Herstellern abfragen sollten (ja/nein/teilweise): Allgemeine Merkmale: AnCmalware- Schutz Content- Filter GUI applikaconsbasierend GUI webbasierend arbeitet basierend auf Sharepoint 2013 On- access Scan: Ausschluss von File- Größen Ausschluss bescmmter File- Endungen Ausschluss bescmmter File- Gruppen Sicherheitsmaßnahmen für infizierte Dateien (Säuberung/Quarantäne) On- demand Scan: Zeitlimit für Scan einzelner Dateien Scan- Zeitplan Sicherheitsmaßnahmen für infizierte Dateien (Säuberung/Quarantäne) Ausschluss bescmmter File- Endungen Reports und Meldungen Hinweis auf Ende der Lizenzlaufzeit Hinweis auf Verletzung von Security- Richtlinien Hinweis auf anwendungsbasierte Fehler Quick Reports Erstellung kundenspezifischer Reports Exportmöglichkeit in edicerbare Formate (txt/doc/xls/csv) Wählbare Update LocaCon Sicherer Zugang: Zwei- Faktor- AuthenUfizierung Die Zugangskontrolle gewinnt immer mehr an Bedeu- tung. Sicherheitsfachleute bemängeln, dass die Access- SoFware auf vielen Geräten nur mit einem stacschen Passwort versehen ist. Das Knacken dieses digitalen Schlosses stellt für Kriminelle schon lange keine unlös- bare Aufgabe mehr dar. Schützenhilfe erhalten sie zudem vom Anwender selbst, der versteckte Hinweise auf die schwer zu merkenden Zugangscodes in Dateien speichert oder diese gleich im Klartext auf dem Rechner ablegt. Zwei- Faktor- AuthenOfizierung basiert auf den Faktoren Wissen, Besitz oder bio- metrische Merkmale. Das Bundesamt für Sicherheit in der InformaConstech- nik (BSI) und Fachleute von Security- Unternehmen empfehlen daher eine Zwei- Faktor- AuthenCfizierung. Sie basiert auf den Faktoren Wissen, Besitz oder bi- ometrische Merkmale. Wenn zwei der drei Faktoren zutreffen, spricht man von einer Zwei- Faktor- AuthenCfi- zierung. In der Praxis findet man die Nutzung der Fakto- ren Wissen und Besitz am häufigsten vor. Der AuthenCsierungsschlüssel wird hierbei in einer Hardware beispielsweise einer Chipkarte gespei- chert (Faktor Besitz ), die nur durch die Eingabe einer PIN eingesetzt werden kann (Faktor Wissen ). Je nach Sicherheitsanforderungen kann der Schlüssel auch auf dem Client (zum Beispiel dem Notebook) beziehungs- weise dem VPN- Server im Netz der OrganisaCon gespei- chert sein. AlternaCv kann die Nutzung einer Public- Key- Infrastruktur (PKI) empfohlen werden, die auf digi- talen Signaturen und asymmetrischen Kryptografiever- fahren basiert. Copyright www.it-research.net! SharePoint als Sicherheitsrisiko 4 / 5
Checkliste für mehr Sicherheit am SharePoint- Server Vor dem Hintergrund der aktuellen Sicherheitsskandale sollten Unternehmen die Sicherheit ihrer SharePoint- Server hinterfragen. Wer auf Virenschutz und Zugangs- kontrolle setzt, kann mit diesem Vorgehen die Sicher- heit schnell und einfach erhöhen: 1. Risiken minimieren: Ist technisch alles für die Sicherheit getan (sauber strukturiertes Netzwerk, Einsatz von Firewalls, NAT etc.)? Sind Sicherheits- lücken gestopf, Patches eingespielt, Updates vorgenommen? 2. IT- Komponenten ab- und wegsichern: Daten- banken, Webserver, SQL- Server und Smartpho- nes sind zu sichern. Backups sollten regelmäßig erstellt werden. 3. Überflüssige FunkUonen ausschalten: Nicht al- les, was SharePoint an FunkConen bietet, muss auch eingesetzt werden. 4. Zugang begrenzen: Dies gilt für den Personen- kreis als auch für die Inhalte. Durchdachte Policies sind das A und O. 5. Inhalte definieren: Nicht benöcgte InformaCo- nen sollten sich erst gar nicht auf dem Share- Point befinden. 6. Rechtesystem für Inhalte: Nicht jeder muss alles wissen. Der Zugang zu sensiblen Daten sollte für jede Person einzeln oder in größeren Unterneh- men per Rollen vorgenommen werden. 7. Arbeitsanweisungen und Schulungen: Das Si- cherheitsbewusstsein aller Anwender gilt als ein entscheidender Faktor für den malwarefreien Betrieb. Regelmäßige Schulungen helfen allen Beteiligten, auch Administratoren und Führungs- personal, das Gefahrenpotenzial zu minimieren. 8. Reduzierung von Bring Your Own Device - Stra- tegien: Nicht jeder Trend ist gut und sinnvoll. Privat genutzte Notebooks, Tablets oder Smart- phones sind erfahrungsgemäß höheren InfekC- onsrisiken ausgesetzt, weil Sicherheits- Policies ofmals wenig bis kaum beachtet werden. Somit sind sie ein perfektes Einfallstor für Malware in SharePoint- Umgebungen. Copyright www.it-research.net! SharePoint als Sicherheitsrisiko 5 / 5