BYOD: Sicherheitsproblematik wird oft unterschätzt

Kommentieren Drucken

Das Weihnachtsgeschäft war wieder gut und Abermillionen bunter neuer mobiler Endgerätchen beglückten Beschenkte in aller Welt, auch dort, wo man noch nie etwas von Weihnachten gehört hat. Man versucht nun schon länger, Unternehmen und Organisationen einzureden, dass es vorteilhaft sei, den Besitzern der Geräte die Freude zu machen, sie vermöge eines BYOD-Konzeptes in die Unternehmens-IT einzubinden. Abgesehen vom fraglichen tatsächlichen Nutzwert gibt es aber das Problem, dass Benutzer vielfach von IT-Sicherheit weniger verstehen als ein chinesischer Bauer von der Weihnachtsgeschichte. Als wäre das nicht schon problematisch genug, bringen Social Media und nach Untersuchungen von IBM vor allem Android-Geräte erhebliche neue Gefährdungen mit sich.

Werbung und andere Interessierte möchten Unternehmen und Organisationen sowie deren Mitarbeitern einreden, dass die gesamte Arbeitswelt produktiver und rosiger wird, wenn die Mitarbeiter auf ihren privaten Geräten oder wenigstens auf modernen mobilen Endgeräten arbeiten, die aus einer Angebotspalette stammen. BYOD ist ein klarer Trend, aber bis heute bleibt der Nachweis eines realen wirtschaftlichen Nutzwertes angesichts der hohen Kosten, die die Integration derartiger Geräte vom notwendigen Ausbau der Wireless Infrastrukturen über die Anpassung von Anwendungen bis hin zur erheblichen Verschärfung der Sicherheitsmaßnahmen mit sich bringt, aus. Ein häufig genanntes Argument ist, dass man qualifizierten neuen Mitarbeitern ein ansprechendes Arbeitsumfeld bieten möchte. Leider sind die Kosten für die BYOD-Integration erheblich höher als für Topf-Pflanzen, Wandfarbe oder Sitzbälle.

Es mag ja sein, dass die Generation der heute maximal 30-jährigen mit den neuen Geräten so verwachsen ist, dass sie auch nur damit produktiv arbeiten. Aber was ist mit den älteren? Verbessern sie sich auch automatisch, wenn man ihnen neue Gerätchen in die Hände drückt? Wohl eher nicht. Natürlich gibt es Anwendungen, bei denen der Einsatz mobiler moderner Geräte erhebliche Vorteile bringt. Die können und müssen einzeln identifiziert und realisiert werden. Ein Gießkannenprinzip wird nicht funktionieren.

Tatsache ist aber, dass die in den sozialen Netzen zu beobachtende informationelle Inkontinenz in Verbindung mit den mobilen Geräten und deren eventuell vorhandenen spezifischen Sicherheitslücken neue, erhebliche Risiken für die Unternehmen bringt. Die Benutzer bilden seit je her ein kritisches Element in der Sicherheitspolitik eines Unternehmens. In der Vergangenheit haben sie sich nicht grade mit Ruhm bekleckert, sondern stellten die größte schadenstiftende Gruppe mit der höchsten Vernichtungskraft dar. Angesichts völlig neuer Bedrohungen ist es nicht zu erwarten, dass das in Zukunft besser wird.

Unrühmliche Historie: Benutzer sind maximal schadenstiftend!

Trotz aller bestehenden Schutzsysteme muss man mindestens mit folgenden Risiken allgemein für vernetzte Informationsverarbeitung rechnen:

  • Interne Sicherheitsprobleme,
  • Social Engineering,
  • Hacker aller Art,
  • Programme mit Fehlern oder anderen Nebenwirkungen,
  • Denial of Service-Attacken (Ausschalten von Diensten).

Letztlich ergänzen die Gefahren durch Vernetzung, Mobilität und Einschleppen eigener Geräte durch die Mitarbeiter die grundsätzlichen von innen kommenden Risiken für die DV-Infrastruktur, wie fehlerhafte oder ganz fehlende Datensicherung, die ohnehin nach wie vor hohen Schäden durch Fehlbedienung, und das Einschleppen von Viren oder sonstiger schadenstiftender Software über private reale oder virtuelle Datenträger durch von außen kommende Bedrohungen.

Obwohl man diese Risiken seit rund 25 – 30 Jahren kennt, ist es in der Zwischenzeit nicht gelungen, wirklich alle Betreiber von wirkungsvollen Regelwerken zu überzeugen, die wenigstens die schlimmsten Mängelbereiche, wie z.B. private Datenhaltung am Arbeitsplatz, abstellen. Nein, sogar eigentlich mittlerweile endlich klar materialisierte Bastionen wie z.B. ausschließliche Vorhaltung von Anwendungsprogrammen und Daten nur auf Servern oder ein abgestuftes Backup-Konzept werden in einer Art Technik-Euphorie wieder gerne über Bord geworfen.

Lässt man die Entwicklung der IT der letzten 50 Jahre Revue passieren, kann man feststellen, dass es einen Zusammenhang zwischen Struktur der IT und Anzahl, Schulungsgrad und Schadenstiftungspotential der Benutzer gibt.

Zu Beginn gab es große Rechner, die nur von wenigen Spezialisten bedient wurden. Wenn überhaupt hatten Benutzer im heutigen Sinne lediglich indirekten Kontakt mit dem IT-System über Lochkarten und Drucker. Auf diesem Niveau konnten sie kaum Schaden anrichten.

Im Rahmen herstellerabhängiger IT-Architekturen wie SNA wurden die Benutzer mit Terminals versorgt. Der Rahmen, in dem sie dort arbeiten konnten, war vergleichsweise sehr eng gesteckt und beschränkte sich meist auf numerische oder textuelle Eingaben mit der Anzeige entsprechender Ergebnisse auf den Schirmen. Auch hier hatten Benutzer abgesehen von der physischen Zerstörung eines Terminals nur wenig kreativen Freiraum für kostenintensiven Unsinn.

Das änderte sich schlagartig mit der Einführung von PCs und der verteilten DV. Die grundsätzlichen Gefahren durch die Internet/Intranet-Vernetzung ergeben sich durch die Öffnung möglicher Wege für Angriffe von außen: Manipulationen an Daten durch Dritte, Verlust von vertraulichen Informationen, Angriffe auf die Netzwerk-Verfügbarkeit oder die Verfügbarkeit einzelner Komponenten, Einschleusen von Trojanischen Pferden und Viren. Hierbei ist oft die Vortäuschung einer falschen Identität in Tateinheit mit anderen Maßnahmen notwendig.

Als sei dies noch nicht genug, wird der Benutzer im Rahmen der Nutzung der aktuellen Technologie-Generation selbst zum wichtigen Element des Schutzes vor Angriffen. Und wie wir eigentlich schon länger wissen, ist er damit deutlich überfordert.

Folgende Schwachstellen erleichtern dem Angreifer im Internet das Leben:

  • ganz fehlende Sicherheitsmaßnahmen,
  • mangelhaft konfigurierte und administrierte Systeme,
  • prinzipielle Sicherheitsprobleme der Kommunikationsprotokolle,
  • fehlerhafte Dienstprogramme,
  • prinzipielle Sicherheitsprobleme der Dienstprogramme.

Eine frühe Studie von KES-Ultimaco war zu dem Ergebnis gekommen, daß die Hauptursachen von Sicherheitsmängeln im mangelnden Problembewusstsein auf allen Ebenen im Unternehmen von den Beschäftigten bis hin zum Top-Management zu suchen sind. Wenn Vorgaben fehlen, welche Sicherheitsstufen an den unterschiedlichen Stellen der Informationsverarbeitung erlangt werden sollen, ist es für Netz-Betreiber und Administratoren des Unternehmens ungemein schwierig, für Sicherheit zu sorgen. Alles in allem sind Sicherheitsmaßnahmen nämlich fast immer unbequem für die berechtigten Benutzer und nutzen überhaupt nichts, wenn sie mit mangelnder Disziplin durchgeführt werden.

Allzu oft wird der Plato-Satz (aus der Abhandlung „vom Staate“), dass „Frauen und Kartoffeln Gemeingut sein sollten“, auf die Information und den Netzwerkzugang übertragen. Dies mag für den gelegentlichen Chat sinnvoll sein, professionelle Anwendungsumgebungen kommen hiermit aber einfach nicht aus.

Bevor wir zu den Problemen kommen, die durch die Netzwerk-Technologie an sich begünstigt werden, müssen wir einige Worte über die reale Verteilung von Schadenspotentialen verlieren. Analysiert man die Schäden genauer, stellt man fest, dass historisch gesehen die wirkliche Bedrohung von den eigentlich autorisierten Benutzern ausgeht. So hatte IBM schon Mitte der achtziger Jahre für Time-Sharing Umgebungen festgestellt, dass über 30% der Kosten durch Fehlbedienung entstanden sind, danach kommen Sabotage sowie Feuer & Wasser. Viren & Hacker stehen auf dem letzten Platz der Charts. In 1990 wurde eine gleichartige Untersuchung vom National Center for Computer Crime Data veröffentlicht, die sich auf verteilte DV mit einfacheren PC-Netzen bezog. Hier haben die Benutzer ihren traurigen Vorsprung weiter ausgebaut und tragen schon fast 60% zu den Schäden durch Datenverluste bei. Dabei ist vor allem ausschlaggebend, daß einfache Fehler zu teuren Folgekosten führen können. Die anderen Schadensgruppen sind dagegen vergleichsweise harmlos, besonders Viren & Hacker finden wir wieder auf dem letzten Platz. Warum? Nun, mittlerweile hat ein Aufrüsten gegen Viren und Hacker begonnen, weil man die Notwendigkeit hierfür jedem IT-Manager verdeutlichen kann. Leider wurde aber versäumt, den Betreibern klar zu machen, daß sie auch etwas gegen Dummheit und Ungeschicklichkeit ihrer Benutzer tun sollten. Ausbildungsbudgets sind zu klein geschnürt, außerdem gibt es für die Bildung von Personen auch deutliche Grenzen in diesen selbst. Hersteller können überhaupt nicht auf diesen Problemkreis hinweisen, weil das ja dem Umsatz abträglich sein könnte und Berater können ebenfalls kaum damit werben, daß ein Unternehmen dringend Rat braucht, weil alle eigentlich unfähig sind. Also existiert in jeder IT-Abteilung wenigstens ein großer Teppich, unter den das Problem gekehrt wird. Mitte der 90er Jahre konnte man davon ausgehen, dass Dreiviertel aller Kosten durch Datenverluste durch die eigenen Benutzer verursacht wurden, wie entsprechende Untersuchungen zeigten.

Es wird noch viel schlimmer!

Aus den früheren Erkenntnissen sind mittlerweile natürlich Konsequenzen gezogen worden. Eine wesentliche Hilfestellung geben z.B. die Grundschutzbücher des BSI. Es wurde erkannt, dass es Aufgabe des Betreibers ist, die Benutzer angemessen zu informieren. Bei der Behandlung der Folgen eventueller Verstöße gegen die Informationssicherheit verlangen Richter in deutschen Gerichten Nachweise über die Aufklärung der Benutzer. Stabile Qualitätsanforderungen in diesem Zusammenhang konnte ich jedoch nicht finden. Folgendes ist allen bewusst:

Nach wie vor ist der Benutzer ein wesentliches Element der Sicherheitsstrategie. Eine Kette ist aber nur so stark wie ihr schwächstes Glied. Und das ist eindeutig der Benutzer.

Wie man ihn in Zukunft besser einbinden kann, ist zwar Gegenstand entsprechender Forschung, aber zu wirklichen Ergebnissen in der Breite hat es noch nicht geführt. Das Problem ist, dass die modernen Entwicklungen zu einer großen Vielfalt von Elementen (Programme/Anwendungen, Daten) geführt haben, die der Benutzer überhaupt nicht mehr überblickt. Jedes Mal, wenn er sich heute eine App lädt, bekommt er wieder eine ganze Gruppe von Elementen. Die meisten Elemente sind hinsichtlich der IT-Sicherheit wahrscheinlich unkritisch, entscheiden kann das der Benutzer aber nicht. So verlässt er sich eigentlich seit einigen Jahren auf kontextsensitive Hilfesysteme, die ggf. ein Problem anzeigen und eine mögliche Lösung vorschlagen. Es ist aber durchaus möglich, dass der Text, den der Benutzer bekommt, von einem Spezialisten geschrieben und für den Benutzer völlig unverständlich ist. Es wird ihm z.B. eine Aktion vorgeschlagen, die er weder an sich noch in ihrer Tragweite einschätzen kann. Meistens gibt es dann die zwei Tasten „Abbrechen“ und „Ausführen“ und wenn er nicht versteht, was da ausgeführt werden soll, drückt er einfach die erste.

Immer wieder überraschen Internet-Nutzer mit extravaganten Ansichten. So regen sich fast alle tierisch über die NSA-Aktivitäten auf (die eigentlich so alt sind wie das Bit – warum also grade jetzt die Aufregung?) posten aber gleichzeitig jeden Mist in ein soziales Netz. Wer seinen Urlaub und deutliche Hinweise auf seine Anschrift ins Netz stellt, lässt auch am besten direkt die Balkontür für den Einbrecher offen. Noch mehr Hirntod gefällig ? Rund drei Viertel aller Nutzer haben schon einmal etwas von Risiken beim E-Business gehört, weit über 40% sind aber fest davon überzeugt, dass grade ihnen auch ohne zusätzliche technische Maßnahmen bestimmt nichts passiert. Und wir reden jetzt nicht über Mitglieder einer Alien-Rasse, mit der wir weiter nichts zu tun haben, sondern genau über die Personen, von denen einige als Mitarbeiter eines Unternehmens Benutzer der Unternehmens-IT werden.

Der Alptraum ist die GELEGENTLICHE Verbindung von Geräten, die je nach Ausführung nur wenige Möglichkeiten für die Unterstützung von Sicherheitskonzepten haben und von Benutzern bedient werden, die nur wenig IT-Sicherheitsbewusstsein aufweisen mit der in den meisten Fällen hinsichtlich der Sicherheit ordentlichen DV eines Unternehmens oder einer Organisation. Mal sind diese Geräte also im Einflussbereich einer sinnfälligen IT-Sicherheit, und mal nicht. Diese Leerzeiten sind ein gefundenes Fressen für externe Angreifer. Daten aus dem Unternehmen, die auf die Endgeräte kopiert wurden, können beliebig leicht abgegriffen werden, schadenstiftende Software kann in praktisch beliebigem Umfang installiert werden.

Eine aufschlussreiche Informationsquelle für Fragen der Bedrohung der IT-Sicherheit ist die IBM X-Force®. Forschungs- und Entwicklungsteams beobachten und analysieren die neuesten Bedrohungen einschließlich neuer Schwachstellen und deren Nutzung, Angriffe, Viren und andere Schaden-stiftende Software, Spam, Pfishing und schädliche Web-Inhalte. Neben der Information von Kunden und Öffentlichkeit entwickelt IBM X-Force® entsprechende Hilfsmittel zum Schutz der Kunden.

Das Ausmaß des Problems wird klar, wenn man sich ansieht, welche neuen Bedrohungen IBM X Force® alleine im ersten Halbjahr 2013 analysiert hat:

  • 4100 neue Sicherheitslücken bzw. Schwachstellen
  • 900 Millionen neue Web-Pages und Bilder
  • 27 Millionen neue oder upgedatete Einträge in der IBM Web Filter Datenbank
  • 180 Millionen neue, upgedatete oder gelöschte Einträge in der IBM Spam Filter Datenbank

Der IBM X Force® 2013 Mid Year Trend and Risk Report fasst die neuen Beobachtungen zusammen. Er ist kostenfrei über die IBM Homepage (US) zu beziehen und enthält in verständlicher Sprache wirklich spannende Ausführungen zu Themen wie:

  • Social Media. So beliebt die sozialen Netze für den Arbeitsalltag auch sind, werden sie auch zunehmend gerne von Angreifern für Aufklärung, Erkundung und Vorbereitung von Angriffen genutzt.
  • Schadenstiftende Software für Mobile Geräte. Die erhebliche Ausbreitung von Android-Geräten zieht die Autoren schadenstiftender Software grade zu magisch an. Bei Android ist es besonders attraktiv, die Unterschiede der vielen im Markt koexistierenden Versionen auszunutzen. In einem solchen Szenario ist es praktisch unmöglich, schnell genug über alle verbreiteten Versionen hinweg auf Angriffe durch zeitnahe Upgrades angemessen zu reagieren.
  • Vergiftung der Wasserstellen: wie Angreifer ein zentrales strategisches Ziel kompromittieren und Zero Day Exploits starten. Das sind Angriffe, in denen zwischen Entdeckung einer Schwachstelle und der Schädigung nur wenig Zeit vergeht, eben Null Tage. Das sind besonders gefährliche Angriffe, weil Entwickler kaum Zeit haben, Schutzmaßnahmen auf den Weg zu bringen.
  • Täuschung und Ablenkungsmanöver: wie Angreifer Verteilte Denial of Service Attacken (DDoS) als Ablenkung verwenden, im in Wahrheit in ganz andere Systeme einzubrechen.
  • Alte Techniken – neuer Erfolg: wie im Rahmen der heutigen Komplexität der Sicherheitsthematik alte Lücken erfolgreich neu genutzt werden.

Der Report ist eine extrem spannende Lektüre. Man bekommt Belege für Fakten, die intuitiv klar waren, so z.B. dass in Porno-Seiten die meisten schädlichen Links sind, aber auch völlig neue Aspekte wie den, dass Deutschland nach den USA der größte Hoster von Web-Sites mit potentiell schadenstiftendem Inhalt ist.

Mangelnde Kommunikation

Nun könnte man der Ansicht sein, dass Unternehmen und Organisationen im Dialog mit ihren Mitarbeitern die schlimmsten Dinge abfedern und zu mindestens für ein elementares Sicherheitsbewusstsein sorgen können. Aber auch das ist eine sehr optimistische Annahme.

GLOBO, ein internationaler Anbieter von Software-Produkten und Dienstleistungen in den Bereichen Mobilität, Telekommunikation und eBusiness aus Großbritannien (LSE-AIM: GBO) hat schon Ende 2012 eine Studie vorgelegt, nach der IT Abteilungen die Mitarbeiter des Unternehmens wenig oder gar nicht über BYOD-Strategien, – Planungen und – Regelwerke informieren. Die Ergebnisse sind vor allem vor dem Hintergrund eines erweiterten Bedrohungs-Szenarios wirklich erschütternd. Hier nur in kurzen Auszügen:

  • 68 % der Befragten geben an, ihre privaten Geräte auch für die Arbeit zu nutzen.
  • aber nur 29 % sagen, dass das Unternehmen, in dem sie arbeiten, auch ein BYOD-Regelwerk hat.
  • 42% der Befragten wissen nicht, ob die IT ihres Unternehmens im Rahmen der BYOD-Regeln auch vollständigen Zugriff auf ihre privaten Geräte hat.

Es gibt also offensichtlich einen signifikanten Mangel in der Kommunikation zwischen der IT und den Benutzern hinsichtlich des BYOD-Angebotes und der im Rahmen der BYOD-Nutzung anzuwendenden Regeln bzw. Bestimmungen. Dies wird auch durch weitere Antworten bestätigt:

  • 14 % der Befragten wissen gar nicht, ob es in ihrem Unternehmen ein BYOD-Regelwerk gibt
  • 91 % wissen nicht, ob ihr Unternehmen ein BYOD-Regelwerk plant
  • 93 % würden definitiv nicht an einem BYOD-Programm teilnehmen, wenn klar wäre, dass die IT auch Zugriff auf die persönlichen Informationen des Mitarbeiters wie E-Mails oder Kontakte hätte

Ganz am Ende werden die Benutzer dann offensichtlich auch noch empfindlich. Das legt eigentlich nahe, dass BYOD in Deutschland nur im Rahmen entsprechender Betriebsvereinbarungen erfolgreich eingeführt werden kann.

  • 69 % würden es nicht in Betracht ziehen, die BYOD-Regeln eines Unternehmens bewusst zu brechen, auch wenn sie sicher sein könnten, dafür keine Strafe erwarten zu müssen, das ist ja immerhin etwas.
  • 62% derjenigen, die bereits ein persönliches Gerät für die Arbeit einsetzen, geben an, dass sie damit hauptsächlich E-Mails checken.

Die letzte Zahl belegt eindrucksvoll, dass BYOD nur entlang von Anwendungen, Nutzungsszenarien und Regeln überhaupt zu einem sinnvollen Ergebnis führen kann, das gelegentliche Checken von E-Mails rechtfertigt den Gesamtaufwand sicher nicht.

Fazit

Nach Angaben eines US-Versicherers zerstören Haustiere in den USA jährlich rund 8 Millionen elektronische Geräte und richten dabei einen Schaden von 3 Mrd. US$ an. Ein Drittel der zerstörten Geräte sind Smartphones, zwei Drittel der Unfälle geschehen, wenn der Besitzer nicht zuhause ist und die Wahrscheinlichkeit, dass ein Unfall von einem übergewichtigen Tier ausgelöst wird, liegt bei 72 %. Die Gesellschaft arbeitet jetzt an einem Konzept für eine Versicherung für den Fall von Schäden an der Unternehmens-IT durch haustierbedingte Zerstörung von Geräten, die im Rahmen von BYOD eingesetzt werden. Vielleicht kann ein Unternehmen eine solche Versicherung in Zukunft auch für seine Mitarbeiter abschließen. Eine ähnlich passende detaillierte Ursachenanalyse konnte ich jedoch nicht finden.

Die Voraussetzungen für die Einführung sicherer BYOD-Konzepte sind ungünstig:

  • ein Teil der Geräte (Android) hat technisch schlechte Voraussetzungen
  • Benutzer sind traditionell aus Fahrlässigkeit massiv schadenstiftend. Sie werden diese Tradition aufrecht erhalten.
  • Benutzer-zentrierte Sicherheitskonzepte sind erst in Entwicklung
  • Juristische Probleme von der Betriebsvereinbarung bis hin zu Haftungsfragen legen weitere Steine auf den Weg
  • Schon während einer Projektphase und erst recht im laufenden Betrieb kommen permanent neue Bedrohungen hinzu

Die Aufrüstung der Infrastruktur wird teuer, die genannten Probleme werden es nicht preiswerter gestalten.

Nichtsdestotrotz gibt es sicherlich konkret nützliche Anwendungsfälle. Diese müssen genau identifiziert und analysiert werden. Eine Implementierung muss vor dem permanenten Hintergrund einer entsprechenden Sensibilität gegenüber den hier nur kurz angerissenen Sicherheitsfragen geschehen. Jeglicher Zweckoptimismus ist aber fehl am Platz.

zugeordnete Kategorien: Endgeräte, IT-Sicherheit
zugeordnete Tags: , ,

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.