Durch die immer stärkere Verknüpfung wesentlicher Abläufe mit unserer IT-Umgebung entstehen nicht nur neue Möglichkeiten, sondern auch neue Gefahren. IT-Systeme und elektronisch gespeicherte Informationen sind immer davon bedroht, kompromittiert, manipuliert oder beschädigt zu werden. Vertrauliche Informationen (z. B. Zahlungsdaten, Patientenakten oder geheime Geschäftsstrategien) sind bei Hackern heiß begehrt. Sie versuchen ständig und mit immer professionellerem Vorgehen, diese Daten einzusehen und für ihre Zwecke zu missbrauchen. Mit geschickten Manipulationen können Hacker ebenfalls persönliche Vorteile erlangen. Sie ändern Daten auf ihrem Übertragungsweg oder an ihrem Speicherort, z. B. durch die unerlaubte Änderung von Preisen in Online-Shops oder durch die Änderung von Finanztransaktionen. Durch die Beschädigung von Daten und Systemen können Personen und Unternehmen in ihrer Arbeit gestört und finanziell geschädigt werden. Unternehmen sind ohne IT oft kaum noch arbeitsfähig, was zu starken Umsatzeinbußen und hohen Reputationsschäden führen kann.
Dass die Gefahren rund um die IT immer stärker ansteigen, verdeutlicht auch der tendenzielle Anstieg an Sicherheitsvorfällen innerhalb der letzten Jahre. Obwohl die Anzahl neuer Sicherheitslücken zeitweise rückläufig ist, nimmt die Breite der bedrohten Systeme weiter zu, sodass sich die Sicherheitslage insgesamt verschärft.
–Mobile Geräte, z. B. Notebooks, Smartphones und Tablets, ermöglichen eine immer größere Flexibilität bei der Aufgabenerfüllung. Die Integration dieser Geräte in den IT-Verbund eines Unternehmens birgt jedoch hohe Gefahren. Sie können aufgrund des ständigen Transports schneller verloren gehen oder gestohlen werden. Beim mobilen Arbeiten befinden sich die Mitarbeiter oft in weniger sicheren Umgebungen, z. B. an vielbesuchten öffentlichen Orten. Dort können Daten leichter ausgespäht werden als in einer kontrollierten Einrichtung des Unternehmens. Bring Your Own Device (BYOD) bezeichnet die Möglichkeit, dass die Mitarbeiter eines Unternehmens ihre eigenen Geräte mitbringen. Die Geräte werden von den Mitarbeitern privat beschafft und administriert. Sie werden auf Wunsch des Mitarbeiters mehr oder weniger stark in die IT-Umgebung des Unternehmens integriert. Da das Unternehmen allerdings nur eine beschränkte Kontrolle über diese Geräte besitzt, können viele sicherheitsrelevante Einstellungen und Installationen nicht ohne weiteres vorgenommen werden. Außerdem können die Mitarbeiter während ihrer privaten Nutzung uneingeschränkt auf schadhafte Dateien oder Webseiten zugreifen. Selbst wenn im Unternehmen spezielle Richtlinien über den Umgang mit den Geräten vorhanden sind, werden sie aufgrund von fehlendem Verständnis oder mangelndem Sicherheitsbewusstsein oft nicht befolgt. Sollte ein Gerät erfolgreich angegriffen worden sein, sind nicht nur die persönlichen Daten des Mitarbeiters, sondern auch Unternehmensdaten gefährdet. Um die Gefahren beim BYOD abzumildern, kann auch ein Kompromiss zwischen reinen Firmengeräten und BYOD-Geräten gefunden werden. Hierbei werden bedeutende Sicherheitseinstellungen der Geräte zwar zentral verwaltet, jedoch wird den Mitarbeitern eine maximal mögliche Flexibilität bei der Nutzung der Geräte eingeräumt. Voraussetzung ist, dass die Mitarbeiter vor der Anbindung ihrer Geräte ins Unternehmensnetzwerk ihre Erlaubnis dazu erteilen, dass ihre Geräte durch das Unternehmen verwaltet und überwacht werden. Unabhängig davon, ob unternehmenseigene oder private Geräte im Unternehmen eingesetzt werden, gehen mit mobilen Geräten viele Gefahren einher, die ein Unternehmen kennen und bewältigen sollte:
−Aufgrund des häufigen Transports und mobilen Einsatzes können mobile Geräte schneller abhandenkommen als stationäre Geräte. Verlust oder Diebstahl können nicht nur dazu führen, dass Informationen nicht mehr verfügbar sind, sondern auch, dass sie unberechtigt ausgelesen und missbraucht werden. Insbesondere wenn Daten unverschlüsselt auf den mobilen Geräten gespeichert werden, können Angreifer mit geringem Aufwand an sensitive Daten gelangen.
−Die Datenübertragung muss aufgrund der Mobilität zeitweise über öffentliche Netze erfolgen. Eine Beschränkung der Datenübertragung auf das interne Unternehmensnetzwerk ist nicht mehr praktikabel. Dadurch ergeben sich Gefahren für die Daten auf ihrem Übertragungsweg. Wenn sie nicht geschützt werden, können sie während der Übertragung von Angreifern mitgelesen, manipuliert oder beschädigt werden. Zusätzliche Gefahren können entstehen, wenn Datenprotokolle eingesetzt werden, über die das Unternehmen noch wenig Erfahrung besitzt. Fehler in der Sicherheitskonfiguration und unbekannte Schwachstellen bieten Unbefugten zusätzliche Angriffsmöglichkeiten.
−Die Komplexität der eingesetzten mobilen Geräte nimmt ständig zu. Nicht nur die Betriebssysteme und Applikationen werden zunehmend umfangreicher und mächtiger, auch die Heterogenität der auf dem Markt erhältlichen Geräte steigt kontinuierlich. Insbesondere, wenn BYOD-Geräte genutzt werden, ist die Vielzahl an unterschiedlichen Geräten und Konfigurationsmöglichkeiten immer schwerer zu überschauen. Unerkannte Details, z. B. seltene Applikationen oder Datenschnittstellen, bieten neue Angriffsmöglichkeiten. Werkseinstellungen sind meist unsicher und müssen je nach Geräteversion individuell angepasst werden. Auch der technische Support wird gefordert, mit seltenen oder kaum bekannten Geräten umzugehen, was zu ungelösten Problemen und frustrierten Mitarbeitern – sowohl im Support als auch bei den Benutzern – führen kann. Aufgrund mangelnder Kompatibilität von Sicherheitsprogrammen besteht zudem die Gefahr, dass diese unbemerkt deaktiviert werden oder sogar vorsätzlich umgangen werden.
−Die Entwicklung und Überwachung von geeigneten Kontrollmaßnahmen gestalten sich bei mobilen Geräten schwieriger. Je heterogener die Geräte sind, desto zeitaufwändiger und problemanfälliger wird die Implementierung von Kontrollmaßnahmen auf den Geräten. Schlecht abgestimmte Sicherheitssoftware könnte die Bedienung der Geräte beeinträchtigen. In der Folge sind die Mitarbeiter unzufrieden und versuchen, Sicherheitsprogramme zu deaktivieren oder zu umgehen. Da die Geräte oft lange unterwegs sind, können Probleme teilweise nur schwer behoben werden. Datenlöschungen und intensive Geräteüberwachung aus der Ferne sind kompliziert, wenn die Mitarbeiter mit den Geräten persönliche Daten einsehen und speichern, was vor allem bei BYOD-Geräten der Fall ist.
−Die Kompatibilität der mobilen Geräte zu vorhandenen Geschäftsprozessen und im Unternehmen etablierten Applikationen und Dateiformaten kann durch bestimmte Geräte unter Umständen nicht hergestellt werden. Folglich wird entweder die Arbeit der betroffenen Mitarbeiter gestört, was das Sicherheitsziel der Verfügbarkeit betreffen würde, oder es werden Workarounds gesucht, die bestehende Kontrollmaßnahmen womöglich ebenfalls umgehen.
−Regulatorische Vorgaben zum Umgang mit Daten und Systemen müssen natürlich auch beim Einsatz mobiler Geräte eingehalten werden. Darunter fallen z. B. die Verschlüsselung oder Archivierung von Daten. Aufgrund der technischen Restriktionen von mobilen Geräten können einzelne Vorgaben allerdings nur schwer implementiert und überwacht werden. Auch die Vermischung von privater und geschäftlicher Nutzung mobiler Geräte kann zu Problemen führen, vor allem bei der Einhaltung des Datenschutzes.
Der Einsatz mobiler Geräte sollte also gut überlegt sein. Das Unternehmen sollte sich der vorhandenen Gefahren bewusst sein und auf jeden Fall passende und funktionierende Kontrollmaßnahmen einsetzen. Mit diesen Kontrollmaßnahmen sollten die Gefahren so weit wie möglich beseitigt oder eingegrenzt werden. Wichtige Kontrollmaßnahmen für mobile Geräte sind unter anderem Verschlüsselung, Mobile Device Management und geeignete Sicherheitsrichtlinien.
–Soziale Netzwerke, wie Facebook, Twitter und Xing, haben sich in den letzten Jahren zu einem wichtigen Kommunikationsmedium entwickelt. Sowohl aus dem privaten als auch geschäftlichen Umfeld sind sie kaum noch wegzudenken. Durch die Erstellung und den Austausch von benutzergenerierten Inhalten konnte bei den Benutzern eine hohe Akzeptanz und Verbreitung erreicht werden. Mit den neuen Nutzungsmöglichkeiten gehen aber auch neue Risiken einher, wie Reputationsschäden durch negative Inhalte. Da vor allem die Veröffentlichung negativer Kommentare für jede Person mit Internetzugang sehr einfach ist, sollte das Unternehmen möglichst schnell darauf reagieren können. Um innerhalb des eigenen Unternehmens die Nutzung zu kontrollieren, kann unter anderem der dafür autorisierte Benutzerkreis mit technischen Maßnahmen eingeschränkt werden. Außerdem ist eine Nutzungsrichtlinie für soziale Netzwerke vorteilhaft. Die Gefahren, die mit sozialen Netzwerken in Verbindung stehen, sind in erster Linie:
−Die Vertraulichkeit von sensitiven Informationen kann gefährdet werden, wenn Mitarbeiter Informationen in sozialen Netzwerken veröffentlichen. Aus mangelndem Sicherheitsbewusstsein wird oft nachlässig mit Informationen umgegangen. Selbst dann, wenn ein Verstoß gegen Sicherheitsvorgaben zeitnah erkannt wird und die Informationen wieder entfernt werden, können die Daten bereits von Unbefugten eingesehen und weiterverteilt worden sein. Durch die Veröffentlichung vertraulicher Daten werden oft auch verbindliche Regularien verletzt, was zu hohen Strafen, Schadensersatzforderungen und Imageverlusten führen kann. Insbesondere personenbezogene Daten und Zahlungsdaten sind hiervon betroffen. Wenn vertrauliche Daten über Reisepläne, Treffpunkte oder ähnliches öffentlich bekannt gemacht werden, kann auch eine Gefahr für Leib und Leben hochrangiger Mitarbeiter bestehen: Anschläge könnten mit diesen Informationen zielgenauer geplant werden.
−Imageschäden können entstehen, wenn Personen, die dem Unternehmen Schaden möchten oder einen Groll gegen das Unternehmen hegen, negative oder sogar verleumderische Kommentare veröffentlichen. Dazu gehören z. B. verärgerte ehemalige Angestellte oder Konkurrenten. Auch ein unachtsamer Umgang mit sozialen Netzwerken kann dazu führen, dass ungünstig formulierte Kommentare oder andere Inhalte veröffentlicht werden. Sie können ein Grund für negative Reaktionen durch die Öffentlichkeit sein. Imageschäden ziehen meist auch finanzielle Verluste nach sich, da unter anderem die Höhe von Umsätzen oder Aktienkursen beeinträchtigt werden kann. Imageschäden betreffen nicht nur das Unternehmen im Gesamten. Auch das Ansehen einzelner Personen kann von negativen Äußerungen betroffen sein. Das Unternehmen sollte grundlegende Überlegungen anstellen, wie mit negativen Inhalten verfahren werden soll und welche unternehmenseigenen Reaktionen angebracht sind, um die Gefahr von Imageschäden zu reduzieren.
–Cloud Computing bietet eine bedarfsgerechte Bereitstellung von IT-Ressourcen durch einen Dienstleister über ein Netzwerk. Für den Kunden führt dies zu einer hohen Flexibilität und einer niedrigen Komplexität beim Abruf von Ressourcen. Durch den gesunkenen Investitionsbedarf in Hard- und Software kann der Kunde außerdem von einer Kostenersparnis profitieren. Allerdings ergeben sich daraus neue Bedrohungen, denn es werden mehr Daten über das Netzwerk übertragen und in einer externen Einrichtung eines Dienstleisters gespeichert. Die Absicherung der Daten sollte also überdacht werden. Sowohl auf dem Übertragungsweg als auch beim Dienstleister können geschäftskritische Daten und Systeme stärker von Bedrohungen betroffen sein. Große Teile der Sicherheit müssen je nach Servicemodell vom Dienstleister bereitgestellt oder zumindest unterstützt werden. Im Speziellen unterscheidet das National Institute of Standards and Technology (NIST) drei verschiedene Modelle:1
−Beim Software as a Service (SaaS) kann der Kunde auf Applikationen, die der Dienstleister über die Cloud bereitstellt, zugreifen. Sie sind von verschiedenen Endgeräten zugänglich, z. B. über einen Web-Browser.
−Beim Platform as a Service (PaaS) hat der Kunde die Möglichkeit, selbst erstellte oder beschaffte Applikationen in der Softwareumgebung des Dienstleisters zu betreiben.
−Beim Infrastructure as a Service (IaaS) stellt der Dienstleister dem Kunden grundlegende IT-Ressourcen, wie Prozessorleistung, Speicherplatz und Netzwerke, bereit. Der Kunde kann darauf beliebige Software ausführen, inklusive selbst ausgewählter Betriebssysteme. Für die softwareseitige Administration der genutzten Systeme ist der Kunde selbst verantwortlich.
Daraus ergeben sich für den Kunden und den Dienstleister unterschiedliche Verantwortlichkeiten in Bezug auf die Administration.2 Während beim SaaS der Kunde lediglich für die Daten und gegebenenfalls einige Schnittstellen verantwortlich ist, muss er beim IaaS das gesamte Spektrum von den Daten bis zur virtuellen Infrastruktur abdecken. Der Dienstleister verantwortet dann ausschließlich die physischen Geräte und Einrichtungen. Beim PaaS hingegen kümmert sich der Dienstleister zusätzlich um Betriebssysteme sowie virtuelle Systeme und Infrastruktur. Aus den verschiedenen Verantwortlichkeiten bei der Administration ergeben sich auch verschiedene Verantwortlichkeiten für die Umsetzung und Pflege von Kontrollmaßnahmen, die für eine angemessenen Sicherheit erforderlich sind. Während sich beim SaaS der Dienstleister selbstständig um Firewalls und die Härtung der Systeme kümmert, muss der Kunde beim PaaS und IaaS dabei mitwirken. Durch den Einsatz von Cloud Computing ergeben sich oft neue Gefahren, die zu gravierenden Schäden führen können, wenn man sich nicht mit ihnen auseinandersetzt:
−Die Kontrollmaßnahmen werden nicht mehr ausschließlich durch den Eigentümer der Daten entwickelt und betrieben. Wie oben bereits erwähnt geht die Verantwortung für viele Kontrollmaßnahmen auf den Dienstleister über. Der Kunde ist je nach Servicemodell gar nicht mehr dazu im Stande, bestimmte Kontrollmaßnahmen, z. B. die physische Zutrittskontrolle oder die Härtung von Betriebssystemen selbst durchzuführen. Der Kunde und der Dienstleister müssen nicht nur ein Bewusstsein darüber besitzen, welche Kontrollmaßnahmen erforderlich sind, sondern sich auch im Klaren darüber sein, wie die Verantwortlichkeiten aufgeteilt sind. Die bloße Annahme, dass sich der jeweils andere um bestimmte Kontrollmaßnahmen oder die Sicherheit im Allgemeinen kümmert, kann gravierende Folgen haben. Sollten nämlich fundamentale Kontrollmaßnahmen vernachlässigt oder sogar ganz übersehen werden...