Instant Messaging, VoIP, P2P und Spiele am Arbeitsplatz: So gewinnen Sie die Kontrolle zurück Mitarbeiter, die unerlaubte Anwendungen installieren oder verwenden, wie beispielsweise Instant Messaging, VoIP, Spiele und Peer-to-Peer-Dateiaustauschanwendungen, bereiten vielen Unternehmen ernsthafte Sorgen. Dieses White Paper erklärt, warum es so wichtig ist, diese Anwendungen zu kontrollieren, es beschreibt die verschiedenen Methoden und zeigt auf, inwieweit die Integration dieser Funktionalität in den Malware-Schutz eine einfache und kostengünstige Lösung darstellt. Sophos White Paper Januar 2007
Instant Messaging, VoIP, P2P und Spiele am Arbeitsplatz: So gewinnen Sie die Kontrolle zurück IT-Abteilungen erkennen schon seit langem die Notwendigkeit, Netzwerke vor Viren, Spyware und anderen schädlichen Anwendungen oder Aktivitäten zu schützen, die die Sicherheit gefährden und Unternehmensabläufe stören. Mittlerweile definiert die rasche Verbreitung von Web 2.0 die Interaktion zwischen Einzelpersonen und dem Internet neu und die damit verbundenen Technologien bringen neue Gefahren mit sich. Benutzer, die sich mit dem Internet auskennen und die für ihre Computer am Arbeitsplatz lokale Administrationsrechte haben, laden Anwendungen herunter, wie beispielsweise Instant Messaging (IM), Peer-to-Peer (P2P)-Dateiaustauschanwendungen sowie VoIP-Dienste (Voice over Internet Protocol), die sie beim Kommunizieren, Austauschen von Dateien und bei der gemeinschaftlichen Online- Arbeit unterstützen sowohl für arbeitsbezogene als auch private Zwecke. Instant Messaging Peer-to-Peer VoIP Spiele Bei einer von Sophos im September 2006 durchgeführten Online-Umfrage wurden IT- Administratoren aufgefordert zu prüfen, für welche Art von Softwareanwendungen sie ihren Benutzern Zugriff und Verwendung verweigern möchten. 1 Das Ergebnis in Abbildung 1 zeigt, dass Administratoren den eindeutigen Wunsch haben, mehr Kontrolle auszuüben und Benutzer daran zu hindern, unerwünschte Anwendungen zu installieren und anzuwenden. So äußerten beispielsweise 86,1 Prozent der Befragten, dass sie gerne die Möglichkeit hätten, solche VoIP-Anwendungen zu blockieren, die Internet-Telefonie ermöglichen. Dabei gehen 62,8 Prozent sogar so weit, dass sie ein Blockieren für unerlässlich halten. Verteilte Computeranwendungen Blockieren wünschenswert Blockieren erforderlich Abbildung 1: Anwendungen kontrollieren - ein Muss für IT-Administratoren
Das Ausmaß des Problems zeigt sich in einem aktuellen Report: 50 Prozent der Benutzer am Arbeitsplatz laden kostenlose IM-Tools aus dem Internet herunter, in 26 Prozent der Fälle geschieht dies ohne Wissen des Arbeitgebers. 2 Die Herausforderung unerlaubter Software Gängiger Unternehmensschutz sichert nur unzureichend vor den neuen Arten von Bedrohungen durch ein solches Benutzerverhalten. Die Schwierigkeiten, die bei einigen legitimen Software-Anwendungen auftreten stellen ganz besondere Herausforderungen dar, die weit über den reinen Schutz vor Malware hinausgehen. Um die Sicherheit und Produktivität zu erhöhen, ist es erforderlich, dass IT-Abteilungen die Rechte auf nicht-notwendige Anwendungen einschränken und den Gebrauch der Anwendungen kontrollieren, die für Unternehmenszwecke zugelassen sind - in der Praxis stellt dies allerdings eine große Herausforderung dar. 4.1 Sie genehmigen hiermit, dass Sie die Skype Software, den Prozessor und Bandbreite Ihres Computers (oder andere anwendbare Geräte) für den begrenzten Zweck verwenden, die Kommunikation zwischen Skype-Software- Benutzern zu ermöglichen. 3 Ein Kernstück dieser Herausforderung besteht darin, dass viele Benutzer als lokale Administratoren zugelassen werden müssen. Dabei erhalten sie die Rechte, die für ihre Aufgaben notwendigen Anwendungen herunterzuladen, wie beispielsweise aktualisierte Adobe Acrobat-Software. Doch das bedeutet, dass diese Benutzer auch eine Reihe anderer Software herunterladen können, die sie installieren und verwenden wollen. Dies macht die Aufgabe von IT-Administratoren besonders kompliziert: Schädliche Software würde durch Antiviren-Software blockiert werden, Anwendungen wie IM sind jedoch nicht schädlich. Sie werden nicht automatisch und unbemerkt installiert, wie z.b. Viren, und versuchen nicht, sich zu replizieren oder vertrauliche Daten zu stehlen. Dennoch stellt die unerlaubte und unkontrollierte Installation und Verwendung derartiger Software auf Unternehmens-Computern eine reale und wachsende Bedrohung in vier Kernbereichen dar: Haftbarkeit, Einhaltung von Richtlinien und Sicherheitsverstöße Zusätzliche Belastung für IT-Support Netzwerk- und Systembelastung Produktivität der Mitarbeiter Haftbarkeit, Einhaltung von Richtlinien und Sicherheitsverstöße Bestimmungen, wie beispielsweise der britische Data Protection Act oder amerikanische Gesetze wie der Sarbanes-Oxley Act und HIPAA (Health Insurance Portability and Accountability Act) stellen an die IT- Administratoren zusätzliche Anforderungen bezüglich Aufrechterhaltung und Schutz der Datenintegrität in ihren Netzwerken. Somit kann die Installation unerlaubter Anwendungen sowohl erhebliche Rechts- wie auch Sicherheitsrisiken bedeuten. Beispielsweise stellt das unkontrollierte Verwenden von IM ein schwerwiegendes gesetzliches Risiko dar und bringt zudem auch Sicherheitsrisiken mit sich: Denn der Inhalt von IM-Chat umfasst oftmals Attachments, Witze, Klatsch, Gerüchte, verunglimpfende Bemerkungen, vertrauliche Informationen über Unternehmen, Mitarbeiter und Kunden sowie sexuelle Anzüglichkeiten. Neben dem gesetzlichen Risiko stellt IM auch ein Sicherheitsrisiko dar, denn IM-basierte Malware- Angriffe wachsen exponentiell. Gleichermaßen schnell verbreiten sich P2P-Anwendungen und sind somit notorische Vektoren für schädliche Codes wie Remote-Befehlsausführung, Ausnutzung remoter Dateisysteme sowie Dateiviren.
Zusätzliche Belastung für IT-Support Wenn die IT-Abteilung eines Unternehmens unkontrollierte Anwendungen nicht sorgfältig testet und entsprechend einsetzt, können diese Anwendungen sich schädlich auf die Stabilität und Leistung der Unternehmenscomputer auswirken. Neben dem zusätzlichen Kopfzerbrechen, das diese unnötige Störungssuche den IT- Administratoren bereitet, bedeutet dieser Umstand eine große Verschwendung der kostbarsten Ressource im IT-Bereich Zeit. Netzwerk- und Systembelastung Die Netzwerk-Bandbreite und die Computerprozessorleistung innerhalb des Unternehmens, die aufgrund unerlaubter Anwendungen verbraucht werden, können sich direkt negativ auf Netzwerk- Ressourcen und Verfügbarkeit auswirken. So machen sich beispielsweise Projekte für verteiltes Rechnen die "überschüssige" Prozessorleistung von Millionen von Computern zunutze, um Modelle oder Szenarien zu erzeugen, wie z. B. von Klimaveränderungen. VoIP nutzen ebenfalls diese überschüssige Kapazität. Innerhalb eines Unternehmens können derartige Aktivitäten das Netzwerk verlangsamen und die IT-Abteilung unnötig belasten. Produktivität der Mitarbeiter Insbesondere VoIP und IM können für Unternehmen und Produktivität von Vorteil sein. Doch bei unsachgemäßer Anwendung werden sie eher zu einem Störfaktor. In den meisten Fällen benötigen End-Benutzer diese Anwendungen nicht zur Erledigung ihrer Aufgaben. Ein noch extremeres Beispiel für verminderte Produktivität stellen Spiele, Musik oder anderen Dateien dar, die Peer-to-Peer-Software verwenden. Als ich Solitaire für Microsoft schrieb, löste ich eine riesige Welle der Unproduktivität in die Welt aus. Bekäme ich einen Cent für jede Stunde, die bislang mit Solitaire im Büro verschwendet wurde, könnte ich Bill Gates einen Job als Golf-Caddy anbieten. 4 Strategien, um Anwendungen zu kontrollieren Angesichts dieser weitreichenden Bedrohungen, die durch legitime, aber unerlaubte Anwendungen verursacht werden können, gibt es eine Reihe von Maßnahmen, die IT-Administratoren ausprobiert haben. Wie jede Strategie ihre Vorzüge hat, so hat sie natürlich auch ihre Nachteile. Computer sperren Einer der direktesten Wege das Installieren unerlaubter Anwendungen zu unterbinden, besteht darin, alle Computer pauschal zu sperren und nur begrenzte Administrator-Rechte zuzuweisen. Doch genau an diesem Punkt hat die Kontrolle von Anwendungen in der Vergangenheit versagt. Einige Abteilungen insbesondere IT und technischer Support benötigen zweifellos Administrator-Rechte. Auf den ersten Blick scheint die Lösung ganz einfach: IT und technischer Support erhalten die Erlaubnis Anwendungen zu installieren, alle anderen dürfen dies nicht. Leider sieht die Praxis anders aus. Viele Unternehmen finden es zu teuer, Computer für einige oder alle nicht-technischen End- Nutzer zu sperren. Weil diese Strategie völlig unflexibel ist, müssten zahllose Richtlinien erstellt werden. Beispielsweise sind viele einfache
Windows-Funktionen, wie Hinzufügen eines Drucker-Treibers, der nicht mit Windows geliefert wurde, Ändern der Zeitzonen sowie Anpassen der Power-Management-Einstellungen, mit einem standardmäßigen Benutzerkonto nicht erlaubt und machen deshalb die ständige Anpassung der zugewiesenen Rechte erforderlich. Die wachsenden Personalanforderungen und Reaktionszeiten, die mit der zentralen Durchführung von jeder Änderung an einem Computer verbunden sind, bringen erhebliche Kosten für das Unternehmen mit sich. Spezielle Application Control-Produkte installieren Es sind Produkte auf dem Markt, die eigens dafür konzipiert wurden zu kontrollieren, welche Anwendungen auf dem Computer laufen dürfen. Diese Produkte validieren den Gebrauch mit großen Datenbanken erlaubter und blockierter Anwendungen. Für IT-Administratoren sind sie dennoch ein weiteres Produkt, das getestet, angeschafft, installiert und verwaltet werden muss. Das Verwalten dieser Lösungen ist keine unbedeutende Aufgabe und gestaltet sich oft schwierig, je nach Größe und Komplexität der Allow und Block Lists. Hinzu kommt, dass Application Control-Produkte zwar die Ausführung von Anwendungen wirksam blockieren können, das Stoppen der Erstinstallation gestaltet sich jedoch meist schwierig. Letztendlich bieten spezielle Application Control- Produkte auch keinen umfassenden Schutz vor Malware, folglich müssen Unternehmen weiter in andere Sicherheitsprodukte investieren, um ihre Unternehmens-Netzwerke vor Viren, Spyware und anderen Bedrohungen zu schützen. Produkte zur Anwendungs-Steuerung sind zwar gut zum Blockieren der Ausführung von Anwendungen, doch die Erstinstallation zu stoppen, gestaltet sich schwierig. 5 Implementieren von Unternehmens-Firewall- Regeln und HIPS Die Aufgabe von Firewalls und HIPS (Host-based Intrusion Prevention Systems) besteht hauptsächlich darin, potentiell schädlichen Netzwerkverkehr und Versuche, eine Anwendung auszuführen, zu blockieren und weniger in der Kontrolle darüber, ob ein Benutzer Anwendungen installieren und/oder ausführen darf oder nicht. Diese Produkte können zwar dazu beitragen, den Gebrauch von unerlaubten Anwendungen mithilfe eines kontrollierten Zugriffs auf Netzwerk oder Internet-Ressourcen einzuschränken - beispielsweise mit einer Suche nach VoIP-Verkehr und dem anschließenden Blockieren dieser Anwendung aber sie sind noch weit von einer adäquaten Lösung für dieses Problem entfernt. So haben Sie mehr von Ihrer Anti-Malware-Lösung Die meisten Antiviren- und Antispyware-Lösungen bieten keine Application Control-Funktionen. Doch ein Unternehmen hat mehr von seiner Investition in den Schutz vor Malware, wenn dieses Produkt auch die gleiche Überprüfungsund Verwaltungsinfrastruktur verwendet, um den Gebrauch von legitimen Software-Anwendungen abzufangen und zu verwalten. Einsatz eines einzelnen Clients Virenschutz ist eine unabdingbare Investition IT-Administratoren bleibt keine andere Wahl, als ein Virenschutzprogramm anzuschaffen, zu installieren und zu verwalten. Wird eine zusätzliche Funktionalität in diesen obligatorischen Client integriert, können IT-Abteilungen sowohl den Ertrag ihrer Investition erhöhen als auch System- und Verwaltungsressourcen einsparen. Das Einsetzen eines einzelnen Clients, der alle Komponenten in sich vereint Schutz vor Viren, Spyware, Adware und die Kontrolle über unerlaubte Anwendungen spart Zeit, Geld, Systemressourcen und verbessert die Sicherheit.
Vereinfachte Kontroll- und Richtlinieneinstellung Sind Anti-Malware- und Application Control- Funktionen in einem einzelnen Produkt miteinander kombiniert, können Administratoren mithilfe der zentralen Verwaltungsfunktion der Anti-Malware- Komponente Unternehmensrichtlinien zur Entfernung unerlaubter Anwendungen durchsetzen. Werden Application Control-Richtlinien und Antiviren-Richtlinien parallel eingerichtet, so steigert dies die Effizienz der Verwaltung und bietet die Möglichkeit, zwischen den Anforderungen verschiedener Computergruppen zu differenzieren. So könnte zum Beispiel VoIP für Office-basierte Computer blockiert, für remote Computer jedoch erlaubt werden und/oder das Herunterladen sowie der Gebrauch von unerlaubter IM- oder Spielesoftware wäre kontrollierbar. Verringerter Verwaltungsaufwand Das Verwenden der gleichen Verwaltungs- und Aktualisierungsfunktionen sowohl für Application Control- als auch Antiviren-Software bringt entscheidende Vorteile für Infrastruktur und Systembelastung. Dennoch hängt der gesamte Erfolg dieser Kombination verschiedener Funktionen im Sinne von Effizienz davon ab, auf welche Art und Weise Anwendungen tatsächlich erkannt werden. Ein alternativer Ansatz (für den Sophos sich entschieden hat) bedeutet für den Anbieter, IDEs exakt auf die gleiche Weise zu erstellen und zu aktualisieren, wie Malware-Erkennung automatisch aktualisiert wird. Durch Vereinfachen der Administration und Updates von IDEs bietet diese zweite Methode einen deutlichen Vorteil gegenüber den Lösungen, die einen Administrator erforderlich machen, der Allow und Block Lists verwaltet oder Kennungen nach Dateien oder Dateinamen erstellt. Geringere Belastung des Supports Die Verwendung einer Signatur-basierten Erkennung verhindert nicht nur das Ausführen von Anwendungen, sondern blockiert auch deren Download und Installation. Unternehmen reduzieren so die Zeit, die der technische Support damit zubringen muss, Computer wieder instand zu setzen, welche durch die Installation unerlaubter Anwendungen destabilisiert wurden. Die Methode einiger Anbieter macht es erforderlich, dass Administratoren ihre eigene Anwendungs- Signatur mithilfe von Dateinamen erstellen, die in der Anwendung vorkommen. Dieser Ansatz ist jedoch sehr zeitintensiv und beansprucht viele IT- Ressourcen. Der Administrator wird dadurch mit der Durchführung von Updates belastet, und darüber hinaus ist diese Methode äußerst unzuverlässig, weil Benutzer den Dateinamen einfach ändern können, damit die Anwendung nicht erkannt wird.
Schlussfolgerung Die Herausforderungen, die die Installation unerlaubter Anwendungen auf Unternehmens- Computer darstellen, sind erheblich. Es gibt eine Reihe von Lösungen, die IT-Administratoren helfen, dieses Problem zu meistern. Doch viele Lösungen erfordern zusätzliche Investitionen und für viele Unternehmen können sie teuer, unpraktisch und schwer zu verwalten sein. Die bessere Lösung ist eine, die das Blockieren unerlaubter Anwendungen vollständig in die vorhandene Anti Malware- Erkennung und Verwaltungs-Infrastruktur integriert. Damit erhalten IT-Administratoren für sie ist Anti Malware-Schutz ein Muss eine einfache Lösung, die Kosten senkt und hohen Verwaltungsaufwand beseitigt. Die Sophos-Lösung Application Control ist eine optionale Funktion von Sophos Anti-Virus (ab Version 6) und ist Teil unseres Engagements für ein komplettes Sicherheits- und Kontrollsystem, das eine einzelne Management-Konsole und einen universellen Client für alle Aspekte des operativen Desktop- Managements verwendet und nicht nur für die Sicherheit. Mehr über Sophos und den Test unserer Produkte erfahren Sie unter: www.sophos.de
Quellen 1 Sophos Web-Umfrage 2 2006 Workplace E-Mail, Instant Messaging & Blog Survey der American Management Association (AMA) und The epolicy Institute. 3 Skype End-Nutzer Lizenzvereinbarung, Abschnitt 4 Verwendung Ihres Computers 4 Wes Cherry, Autor von Microsoft Windows Solitaire, spricht mit Sophos 5 Windows Application Control-Lösungen bieten eine Alternative zu Desktop Lockdown, Gartner Inc. März 2006 Über Sophos Sophos ist einer der weltweit führenden Hersteller von Integrated Threat Management-Lösungen speziell für Unternehmen, das Bildungswesen und Behörden. Durch über 20 Jahre Erfahrung und vereintes internes Antiviren-, Antispyware- und Antispam-Fachwissen schützen die SophosLabs selbst komplexe Netzwerke vor bekannten und unbekannten Bedrohungen. Unsere zuverlässigen, einfach zu bedienenden Produkte schützen über 100 Millionen Benutzer in mehr als 150 Ländern vor Viren, Spyware, Hackern, unerwünschten Anwendungen, Phishing, Spam und dem Missbrauch von E-Mail-Richtlinien. Unsere ständige Wachsamkeit ist Grundlage für unser anhaltendes, rapides, internationales Wachstum, unsere wachsende Benutzerbasis und steigenden Gewinne. Unsere sofortige Reaktion auf neue Bedrohungen wird durch unseren unternehmensorientierten, technischen 24/7-Support ergänzt, wodurch wir das höchste Niveau an Kundenzufriedenheit in der Branche erreichen. Boston, USA Mainz, Deutschland Mailand, Italien Oxford, UK Paris, Frankreich Singapur Sydney, Australien Vancouver, Kanada Yokohama, Japan Copyright 2007. Sophos Plc. Alle eingetragenen Warenzeichen und Copyrights werden von Sophos anerkannt. Kein Teil dieser Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher Form vervielfältigt, gespeichert oder übertragen werden.