Sicheres Gerätemanagement in Cloud-Umgebungen Wie man Geräten im Netz vertrauen kann

Autor / Redakteur: Katie Wah* / Elke Witmer-Goßner

Eine professionelle IT-Infrastruktur ist ohne eine Vielzahl von Geräten nicht denkbar. Sie übernehmen viele Aufgaben und Prozesse – lokal oder mobil. Hochverfügbarkeit und Performance sind Grundvoraussetzungen für die Abläufe. Ebenso Sicherheitsaspekte. Nur wenn alle Eckwerte stimmen, können Unternehmensprozesse erfolgreich ablaufen.

Die Sicherheit ist ein kritischer Faktor für Unternehmen, weshalb man nicht allen Devices im Netz vertrauen sollte.
Die Sicherheit ist ein kritischer Faktor für Unternehmen, weshalb man nicht allen Devices im Netz vertrauen sollte.
(Bild: © Peter Atkins - stock.adobe.com)

Die IT-Landschaft vieler Unternehmen basiert auf heterogenen Strukturen mit einer Vielzahl unterschiedlicher Komponenten. Viele Geräte, die neu integriert werden, lassen sich per „Plug and Play“ implementieren und können dann vertrauensvoll genutzt werden, so das Versprechen. Die Wirklichkeit sieht oft anders aus, denn nicht selten werden neue Geräte zum Einfallstor für Cyberkriminelle oder Schadsoftware, wenn sie nicht sicher konfiguriert werden. Der Schaden, der dadurch angerichtet wird, ist immens. Gleiches gilt für externe Geräte, die in Unternehmensnetzen arbeiten dürfen. „Bring your own device“ (BYOD) gehört inzwischen bei vielen Unternehmen zum gelebten Alltag.

Was ist zu tun? Von entscheidender Bedeutung ist, dass alle Geräte, die auf Unternehmensdaten zugreifen, vertrauenswürdig sind. Welche Endgeräte das sind, ist in der Regel die individuelle Entscheidung eines Unternehmens. Dabei hängt viel von der Risikotoleranz und den Compliance-Anforderungen ab. Ob ein Gerät als vertrauenswürdig eingestuft werden sollte und damit die Berechtigung für Handlungen im Unternehmensnetz erhält, kann durch einfache Analyseprozesse festgestellt werden.

Cloud Computing: Chance und Risiko

Die Erfolgsgeschichte des Cloud Computings hat in Unternehmen zu einer neuen Form der Komplexität geführt. Immer mehr sensible, vertrauliche Informationen und wichtiges geistiges Eigentum sind in Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und/oder Infrastructure-as-a-Service (IaaS) gespeichert. Keine Frage: diese Dienste sind großartig, denn sie sind sofort einsatzbereit, skalierbar und leicht zugänglich. Dass sie leicht zugänglich sind, ist gleichzeitig aber auch eine schlechte Nachricht. Es bedeutet nämlich, dass der Zugriff auf kritische Unternehmensinformationen über jeden Webbrowser und von jedem Gerät aus möglich ist.

Sicherheitsteams wenden darum viel Energie und Ressourcen auf, um unternehmenseigene Rechner für unberechtigte Zugriff zu sperren. Auf diese Weise soll verhindert werden, dass Angreifer sich Zugang zum Netz verschaffen, Malware installieren und somit Zugriff auf Unternehmensdaten bekommen. Damit wird ein erster Schutzwall errichtet. Problematisch ist allerdings, dass mit SaaS-Apps über jeden Webbrowser und von nahezu jedem Gerät der Zugang zu Firmeninformationen möglich ist.

Was also sollte Mitarbeiter, Auftragnehmer und Partner davon abhalten, über nicht verwaltete, unsichere Privatrechner oder mobile Endgeräte auf die Datenpools zuzugreifen? Sie wollen dem Unternehmen in der Regel nicht schaden, sondern lediglich ihren Job machen. Die Gefahr, dass sich dennoch auch unberechtigte Personen auf diesem Weg ebenfalls Zugang verschaffen, ist aber groß und wächst von Tag zu Tag.

Nicht alle Geräte, die die Belegschaft nutzt, sind vom Unternehmen ausgegeben und können entsprechend überwacht werden. CISOs berichten immer häufiger, dass Mitarbeiter von unsicheren Privatrechnern auf sensible Unternehmensdaten zugreifen. In der Regel ist das IT-Team gegen diese Vorgehensweise machtlos und kann sie kaum verhindern.

Sicherheitsregeln: Der große blinde Fleck

Systemadministratoren beispielsweise nutzen ihren privaten Rechner für den Zugriff auf kritische Infrastrukturen. Gleiches gilt für Software-Ingenieure, die von einem privaten Gerät aus unentdeckt und ohne Überwachung auf zentrale Server und Hubs zugreifen, um Codes zu übertragen. Ob dabei sämtliche Sicherheitsmaßnahmen eingehalten werden, lässt sich kaum überprüfen. Das ist ein großer blinder Fleck in der Unternehmens-IT.

Der ungesicherte Zugriff auf Unternehmensdaten, die in der Cloud gespeichert sind, auf private Geräte heruntergeladen und dort verarbeitet werden, birgt hohe Risiken. Dahinter muss seitens der Akteure keine böse Absicht stecken. Es besteht aber die Gefahr, dass nicht verwaltete Privatgeräte bereits kompromittiert sind, ohne dass die Nutzer dies bemerken. Unbeabsichtigt werden sie damit zu Angriffsvektoren auf Unternehmensdaten und -ressourcen. Ein Risiko, mit dem CISOs heute leben müssen.

Viele Mitarbeiter, darunter vor allem Zeitarbeiter, externe Auftragnehmer und Partner möchten allerdings nicht, dass ihre persönlichen Geräte verwaltet werden. Sie fürchten um den Schutz ihrer Privatsphäre. Unternehmen wiederum wollen aus Kostengründen nicht für alle Mitarbeiter Smartphones, Tablets oder Laptops für den beruflichen Einsatz kaufen. Stattdessen wird nach dem BYOD-Konzept der Einsatz privater Geräte erlaubt. Sicherheitstechnisch ein Dilemma.

Der Umgang mit Risiken, die von nicht verwalteten Geräten ausgehen, wird immer wichtiger. Aufgrund der aktuellen Bedrohungslage müssen Sicherheitsteams jederzeit in der Lage sein zu überprüfen, ob jedes Endgerät, das in einem Unternehmensnetz arbeitet, tatsächlich vertrauenswürdig ist. Der erste Schritt dazu ist die Verifizierung des Gerätenutzers. Bevor aber die Erlaubnis zum Zugriff tatsächlich erfolgt, wird im zweiten Schritt festgestellt, ob das Gerät sicher ist.

Benutzer: Identität hinter dem Gerät überprüfen

Geräte, die durch den IT-Administrator verwaltet werden, sind in der Regel personalisiert und auf einen Benutzer registriert. Nicht verwaltete Geräte dagegen sind eine Blackbox. Aufgrund der fehlenden Registrierung ist nur schwer zu erkennen, um wessen Gerät es sich handelt. Das ist eine ernsthafte Bedrohung für das Unternehmensnetz.

Es gibt aber eine Möglichkeit, den Benutzer eines nicht verwalteten Gerätes zu validieren. Dazu wird diesem Gerät eine Identifikation zugeordnet und sicher hinterlegt. Registrierte Geräte, hinter denen eine verifizierte Identität steht, lassen sich so vom Rest der nicht verwalteten Geräte trennen. Angreifer, die ein verdächtiges Verhalten zeigen, können auf diese Weise leichter identifiziert werden.

Gerätepark: Sicherheitsfaktoren abfragen

Allerdings sind auch verwaltete Geräte unter Umständen eine Gefährdung für die Firmen-IT. Sind die Geräte nicht entsprechend von Unternehmensregeln konfiguriert oder läuft die Sicherheitssoftware nicht ordnungsgemäß, wird es problematisch. Darüber hinaus verändert sich die Unternehmens-IT kontinuierlich, weshalb der Sicherheitszustand eines Gerätes quasi immer nur eine Momentaufnahme ist. Sicherheitseinstellungen können sich ändern, Programme nicht mehr funktionieren oder deinstalliert werden – die Liste lässt sich beliebig erweitern.

Deshalb müssen Geräte müssen kontinuierlich auf ihre Sicherheit überprüft werden. Mögliche Prüfungsfaktoren sind:

  • Ist die richtige Sicherheitssoftware installiert und läuft sie auf dem Gerät fehlerfrei?
  • Ist die lokale Firewall aktiviert?
  • Ist dieses Gerät durch eine Biometrie geschützt?
  • Ist dieses Gerät verschlüsselt?
  • Ist der Gatekeeper aktiviert?

Dies sind einige der Fragen, die Sicherheitsteams beantworten sollten. Überprüfungen sind für alle Geräte wichtig, die auf Unternehmensressourcen zugreifen, unabhängig davon, ob es sich um verwaltete oder nicht verwaltete Geräte handelt. Die einzige Möglichkeit, sich ein vollständiges Bild vom Sicherheitszustand zu machen, ist eine kontinuierliche, automatische Prüfung des gesamten Geräteparks, der in einem Unternehmensnetz arbeitet.

Katie Wah, Beyond Identity.
Katie Wah, Beyond Identity.
(Bild: Beyond Identity)

Das Vertrauen in Geräte ist auch eine entscheidende Komponente für die Zugriffskontrolle. Der Zugriff auf wichtige Daten und Ressourcen unterliegt sowohl Sicherheits- als auch Compliance-Regeln. Durch den Einsatz von „Device Trust“ können Sicherheitsteams vor der Authentifizierung sicherstellen, dass sowohl nicht verwaltete als auch verwaltete Geräte sämtliche Sicherheitsanforderungen erfüllen. Das schützt sensiblen Unternehmensdaten vor Risiken.

* Die Autorin Katie Wah ist Director of Product Marketing bei Beyond Identity.

(ID:47636973)