Benutzer- und App-zentrierte Sicherheit
Wer beim Thema Sicherheit an ein statisches Unternehmensnetzwerk denkt, auf das bekannte und durch die interne IT gesteuerte Geräte zugreifen, wird nicht alle Facetten heutiger mobiler Kommunikation erfasst haben. Heutzutage müssen wir hier vielmehr das Benutzerverhalten und die Dezentralisierung mobiler Apps berücksichtigen, um bei den Sicherheitsbetrachtungen nicht ins Hintertreffen zu geraten.
Die Grenzen eines Unternehmensnetzwerks verändern sich, und dafür gibt es viele Gründe. Einer davon ist der Trend, Applikationen in der Cloud bereitzustellen, und sie schnell, verfügbar und auch sicher auszuliefern.
Ein anderer Grund ist die Tatsache, dass Benutzer inzwischen mehr Kontrolle haben als je zuvor; die „Konsumerisierung“ der IT lässt dem Benutzer die Wahl. Er kann sich das Betriebssystem aussuchen, das Gerät und er kann entscheiden, von wo aus er auf Applikationen zugreift.
Darüber hinaus hat der Benutzer Zugang zu mehr Applikationen. Denken Sie doch einmal darüber nach, wie viele Applikationen jetzt auf ihren Geräten (Sie haben vermutlich mehrere) laufen, im Vergleich zu dem einen Desktop im Büro, mit dem Sie vor zehn Jahren gearbeitet haben.
Außerdem greifen wir von erheblich mehr Standorten auf diese Apps zu. Wir haben Zugang zu Apps, die von Google.Docs und Salesforce.com gehostet werden, aber auch aus dem Rechenzentrum unseres Arbeitgebers stammen.
Der Benutzer hat also mehr Macht als je zuvor. Und daher gibt es bei dem Thema Sicherheit eine ganze Reihe neuer Herausforderungen zu bedenken.
Bis jetzt war alles, was zwischen dem Benutzer und der Applikation vor sich ging, Sache der IT, was zum Teil immer noch so ist. Aber die oben beschriebenen Veränderungen bedeuten, dass der Zuständigkeitsbereich der IT inzwischen erheblich größer geworden ist. Das Netzwerk ist nicht mehr privat - also im Zugriff der IT. Apps gibt es heute nicht nur in den Rechenzentren der Unternehmen. Benutzer arbeiten von zu Hause, Cafés oder von Flugzeugen aus. Häufig arbeiten Sie an einem Tag auch einmal von allen drei Standorten aus und das vielleicht auch mit einem Gerät, das sie nicht von ihrem Arbeitgeber bekommen haben. Das birgt viele Gefahren in sich.
Ein weiteres Risiko ist die Tatsache, dass Apps ihren „walled garden“ inzwischen verlassen haben und daher erheblich schwieriger zu steuern sind. Bei einer von RightScale im Mai 2013 durchgeführten Umfrage wurde festgestellt, dass sich 77% aller großen Unternehmen mit mehr als 1.000 Mitarbeitern ‑ für hybride Multi-Cloud-Umgebungen entschieden haben.
Das bedeutet, dass sich die Arbeit der Benutzer immer schneller in die Cloud verlagert. Die meisten Applikationen sind Web 2.0 Entwicklungen, was bedeutet, dass sie HTTP- und HTTPS-Verkehr erzeugen. Letzterer ist verschlüsselt, sodass die Sitzungen, die vom Benutzer zur App fließen, für Netzwerkgeräte sehr schwierig zu analysieren sind.
Die Komplexität des oben Beschriebenen bedeutet, dass IT-Abteilungen sich um eine ganze Menge kümmern müssen. Sie werden mit einer neuen Komplexität konfrontiert, für die Sicherheitsmaßnahmen vorhanden sein müssen. Und es gibt natürlich eine ganze Menge an Bedrohungen auf die sie reagieren müssen, angefangen von Denial-of-Service-Angriffen über Identitätsdiebstahl und DNS-Poisoning bis hin zu SQL-Injection ‑ die gesamte Sicherheitspalette im Layer 2 bis 7.
Bei einer vor Kurzem durchgeführten Umfrage sagten 69% der befragten 12.000 IT-Spezialisten, Applikationsangriffe innerhalb der eigenen Umgebung seien die größte Schwachstelle in puncto Sicherheit. Die Unternehmen Cenzic und WhiteHat, die Penetrationstests durchführen, geben an, dass 86% bis 89% aller Webapplikationen erhebliche Schwachstellen aufweisen.
Es ist keine Überraschung, dass diese Komplexität zu enormen Herausforderungen geführt hat. Unternehmen übernehmen Cloud-basierte Services oder Produktivitäts- und Mobilitäts-Services nicht so schnell, wie sie das gerne wollen.
Im Grunde genommen brauchen wir mehr Kontextualisierung oder, um es anders auszudrücken, wir müssen mehr über die Benutzer und die Apps, mit denen sie sich verbinden, in Erfahrung bringen.
Der typische Benutzer von heute hat Zugang zum Unternehmensnetzwerk, wenn er sich in dessen Reichweite befindet. Wenn er es verlässt, greift er in der Regel über VPN darauf zu, was fast das Gleiche ist, als wenn er im Unternehmensnetzwerk selbst wäre. Doch in letzerem Fall kann es vorkommen, dass der Benutzer von Standorten oder Geräten aus zugreift, die unter Umständen nicht sicher sind.
Die IT muss daher regeln, welche Art des Zugriffs den Benutzern gestattet wird. Angenommen, ein Benutzer besitzt ein privates Android-Gerät und möchte damit von einem unsicheren Standort aus auf das Unternehmensnetzwerk zugreifen. Eine ‘sichere’ Reaktion könnte darin bestehen, diesem Benutzer nur E-Mail-Zugang oder den Zugriff auf einen VDI-Desktop zu gestatten. Wenn sich derselbe Benutzer einige Stunden später aber von einem Firmen-Laptop und einem vertrauenswürdigen Standort aus einloggen möchte, könnte das als sicher genug für einen vollen VPN-Zugang eingestuft werden.
Der Schlüssel zu einer solchen Regulierung liegt in der Endgeräte-Inspektion, Standorterkennung, Einmal-Passwörtern und Ähnlichem.
Das zweite Puzzleteil betrifft Applikationen. Das Aufkommen der Cloud hat dazu geführt, dass Unternehmen tatsächlich die Wahl haben, wo ihre Apps bereitgestellt werden. Für einige Unternehmen ergibt es durchaus Sinn, Cloud-basiert zu arbeiten.
Diese zusätzliche Komplexität schafft aber auch Probleme für die IT-Abteilungen. Richtlinien, die für die App im Unternehmensrechenzentrum galten, sind unter Umständen nur schwer auf eine App anzuwenden, die von einem Cloud-Provider bereitgestellt wird.
Dies ist ein weiteres gutes Beispiel dafür, dass der Versuch von Unternehmen, flexibel zu sein, so viele Probleme hinsichtlich Sicherheit, Verfügbarkeit und Zugang schaffen kann, dass sie hinterher unter Umständen schlechter dastehen als vorher. Apps in der Cloud müssen mit Sicherheits- und Zugangs-Services verknüpft sein, wenn sie IT-Standards für App-Bereitstellung entsprechen sollen.
Benutzerverständnis und die Möglichkeit, Richtlinien auf einzelne Applikationen im Rechenzentrum oder der Cloud ‑ wo auch immer die Apps sind ‑ anzuwenden, werden entscheidend sein, da sich bei der Art und Weise, in der wir über Sicherheit und Sicherheitsmaßnahmen denken, der Schwerpunkt verlagern wird.