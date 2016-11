Das Hauptproblem ist, dass private Geräte nur zeitweise mit dem Unternehmensnetz verbunden sind und in der verbleibenden Zeit meist nichtgeschäftliche Applikationen genutzt werden. Die Devices melden sich aus dem Netzwerk ab, verbinden sich mit fremden Hotspots, werden von verschiedenen Personen verwendet und verbinden sich dann irgendwann erneut mit dem Firmennetz. Außerhalb des Firmennetzwerkes sind sie ohne jegliche Verwaltung, so dass Malware oder anderer Schadcode auf die Mobilgeräte geschleust werden kann. Selbst wenn keine aktive Infektion besteht, könnten Patch-Termine verpasst werden, was Cyber-Kriminellen Angriffschancen eröffnet.

Die meisten Unternehmen werden argumentieren, dass sie ja eine spezifische Sicherheitslösung für mobile Geräte im Einsatz haben und somit ausreichend geschützt seien. Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht auf diesem Gebiet gute Fortschritte: „Mobile-Device-Management-Systeme (MDM) haben sich in den vergangenen Monaten weiterentwickelt. In Kooperation mit den Herstellern der mobilen Betriebssysteme werden mittlerweile Lösungen angeboten, die es ermöglichen, Regelwerke zu definieren, mit denen geschäftlich genutzte Mobilgeräte zentral verwaltet und eingeschränkt werden können. Dabei kann auch vorgegeben werden, welche Apps installiert werden dürfen. Auch Szenarien mit kombinierter Nutzung werden von MDM-Systemen adressiert.“

MDM zunehmend Standard, aber …

Eine MDM-Lösung allein kann Unternehmen vor Angriffen über mobile Geräte nicht schützen. Zum einen funktioniert MDM nur, solange das Gerät online ist. Zum anderen sind mobile Endpunkte nicht nur Smartphones, sondern auch Tablets, Laptops und Geräte aus dem Internet der Dinge (IoT). Solche Endpunkte werden von MDM-Lösungen aber nicht unbedingt unterstützt. Die Absicherung der wachsenden Zahl mobiler Endgeräte wird mit herkömmlichen Tools nahezu unmöglich. Traditionelle Sicherheitslösungen wie Virenschutz, Patch-Management und Schwachstellenbewertung gehen von verwalteten Endpunkten aus, die statisch im Netz verbleiben – ein Szenario, das längst nicht mehr der Realität entspricht. Dennoch müssen alle diese Funktionen auch auf mobilen Geräten angewendet werden. MDM-Lösungen brauchen eine Möglichkeit, um ihre Erkenntnisse mit anderen Tools zu teilen.

Vor kurzem befragte Frost & Sullivan IT- und Sicherheitsfachleute aus den USA, Großbritannien und Deutschland, die in Unternehmen mit mehr als 4.000 Beschäftigten tätig sind, zu den Sicherheitsverletzungen in den letzten 12 Monaten. Was die Verwaltung von Smartphones, Tablets und Endnutzer-Computern angeht, so meldeten 42 Prozent aller deutschen Unternehmen fünf oder mehr Sicherheitsverstöße im Zusammenhang mit Smartphones oder Tablets – mehr als doppelt so viele wie in Großbritannien (17 Prozent) oder in den USA (23 Prozent). Die Ergebnisse dieser Untersuchung zeigen, dass es im Hinblick auf mobile Sicherheit an Bewusstsein mangelt. Am besten lassen sich kritische Sicherheitsverletzungen vermeiden, wenn alle Geräte bei der Verbindungsaufnahme mit dem Netz unverzüglich automatisch ermittelt und klassifiziert sowie Profile der Geräte erstellt werden. Damit alle Geräte erfasst werden können, bedarf es eines agentenfreien Ansatzes, der auch IoT-Geräte sichern kann.

Network-Access-Control-Technologien (NAC)

Moderne Network-Access-Control-Technologien (NAC) bieten eine Grundlage für zentralisierte Verwaltungslösungen für Mobilgeräte. Ein Ansatz mit NAC als Response Center sieht jeden Endpunkt ab dem Augenblick der erstmaligen Anmeldung und kann feststellen, ob dieser schon einmal mit dem Netzwerk verbunden war. Dann können geeignete Maßnahmen getroffen werden, abhängig davon, wie lange das Gerät nicht verwaltet wurde.Auch können Endpunkte je nach Gerätetyp in unterschiedliche virtuelle Netzwerke verlegt werden. Natürlich erstrecken sich diese Integrationsmöglichkeiten auch auf MDM-Lösungen. Dank bidirektionaler Integration ist deren Installation und Funktion sichergestellt, und die Aktionen bei Regelabweichungen können vordefiniert und in feinen Abstufungen ausgelöst werden.

Sinnvoll sind Lösungen, die automatisierte Reaktionen und die Integration von Drittanbieter-Sicherheitstools unterstützen. In der Global Information Security Workforce Study lautete die häufigste Antwort auf die Frage nach der besten Technologie für mehr Sicherheit: Network Monitoring und Intelligence. Der Studie zufolge favorisieren 75 Prozent aller IT-Fachkräfte Lösungen auf Basis des Netzwerkszugangs, um ihre Sicherheitskonzepte voranzubringen. Eine zentralisierte Reaktion auf Netzwerkebene ermöglicht es, ein adaptives Sicherheitsmodell anzuwenden, das Anfälligkeiten jederzeit mit richtlinienbasierten, automatisierten Reaktionen begegnet. Die Richtlinien können auf sämtlichen Geräten durchgesetzt werden, auch auf mobilen Endpunkten, die nicht permanent verbunden sind.

Grundsätzlich muss jeder Endpunkt im Netzwerk erkannt und verwaltet werden. Sicherheitsarchitekturen müssen so ausgelegt sein, dass Endgeräte umgehend nach der ersten Verbindung erfasst werden. Die steigende Anzahl der Geräte macht eine rein manuelle Verwaltung unmöglich, daher müssen Endpunkte nach einer Prüfung automatisch in entsprechende Netzwerksegmente verschoben werden. Je nach erkannter Sicherheitsfreigabe und Risikoniveau kann eine Freigabe für verschiedene Zugriffsbereiche gewährt oder blockiert werden. Richtlinien und Policies müssen dabei granular über das Netzwerk, über einzelne Segmente oder bestimmte Endpunkte direkt und unkompliziert angepasst und durchgesetzt werden. Bestehende Sicherheitstools können über eine entsprechende NAC-Lösung angeleitet werden, um mobile Devices optimal abzusichern und in Sicherheitskonzepte zu integrieren. Durch intelligente Orchestrierung wird das Schutzniveau erhöht. Quelle: Forescout

Bildquelle; Thinkstock, iStock