Die unvermeidbare Nebenwirkung von BYOD
Wenn du schon einmal für ein großes Unternehmen gearbeitet hast, sind dir akzeptable Richtlinien, die die erlaubte Nutzung von persönlichen Laptops, Tablets, Smartphones und anderen Geräten im Unternehmensnetzwerk vorschreiben, nicht fremd.
Solche Richtlinien zielen darauf ab, die Sicherheitsrisiken zu minimieren, die entstehen, wenn Mitarbeiter ihre persönlichen Geräte mit Unternehmensnetzwerken verbinden.
Die unvermeidbare Nebenwirkung von BYOD
BYOD-Sicherheit und Gerätemanagement sind seit langem Themen, die innerhalb des Unternehmens diskutiert werden, aber BYOP (Bring Your Own Password) kann noch bedeutendere Auswirkungen auf die Sicherheit haben.
Ein notwendiges Übel
Im vergangenen Jahr verlangten 87 Prozent der Unternehmen tatsächlich, dass die Mitarbeiter ihre eigenen Geräte benutzen müssen, um auf Unternehmensanwendungen zuzugreifen.
Hinzu kommt, dass alle Geräte, die außerhalb von Firmen-Firewalls existieren, höchstwahrscheinlich in vielen verschiedenen ungesicherten Netzwerken betrieben wurden und dass sich die Sicherheitshygiene des Einzelnen am Arbeitsplatz wahrscheinlich nicht gut auf den privaten Bereich übertragen lässt.
Der letztgenannte Punkt trifft insbesondere dann zu, wenn man bedenkt, wie sich die Angriffsfläche eines Unternehmens drastisch ausweitet, wenn die Familie, Freunde oder sogar unerwartete „Gäste“ eines Mitarbeiters die privaten Heimnetzwerke der Mitarbeiter nutzen (und damit kontaminieren).
Der globale Markt für BYOD-Sicherheitslösungen ist mit der Nutzung von BYOD selbst gewachsen. Laut Computer Economics haben zwar fast 60 Prozent der Organisationen heute BYOD-Richtlinien eingeführt (gegenüber weniger als 50 Prozent im Jahr 2015), aber nur 38 Prozent verfügen über formale Richtlinien, die festlegen, welche Geräte erlaubt sind und wie diese Geräte genutzt werden können.
Weniger als 10 Prozent der Mitarbeiter geben an, dass sie sich aller ihrer Geräte in den Netzwerken „vollständig bewusst“ sind. Auf der Unternehmensseite berichten alarmierende 35 Prozent der Unternehmen, dass sie sich nicht bereit fühlen, eine BYOD-Richtlinie festzulegen, während nur 64 Prozent der Unternehmen der Meinung sind, dass sie über ein situatives Bewusstsein für alle Geräte in ihrem Netzwerk verfügen.
Tatsächlich verlieren die Unternehmen den Überblick über die Endgeräte, Benutzer und Konten, auf die in ihren Netzwerken zugegriffen wird.
Die Implikationen
Wenn Mitarbeiter die nicht verwalteten persönlichen Geräte, die sie sowohl für Firmen- als auch für Privatkonten zu Hause nutzen, in das Firmennetzwerk mitbringen, ist das Unternehmen exponentiell mehr Bedrohungen ausgesetzt.
Dies gilt insbesondere für Geräte, mit einem Jailbreak (oder Root-Zugang) und deren Standard-Sicherheitseinstellungen möglicherweise vollständig deaktiviert wurden. Zu den offensichtlichsten Bedrohungen, die von BYOD ausgehen, gehören die Verbreitung von Malware, unnötige ressourcenhungrige Anwendungen (wie z.B. Pokemon Go Ultimate) und natürlich die ungewollte Exfiltration von Unternehmensdaten.
Doch Geräte sind nur die Hälfte der Gleichung. Ein verworrenes Netz von Geräten, Anwendungen, Konten und Identitäten befindet sich plötzlich im selben Netzwerk – mit Passwörtern und allem Drum und Dran.
Die Statistiken im vorhergehenden Abschnitt werden noch beunruhigender, wenn man die Bedrohungen betrachtet, die die BYOP tangieren, insbesondere über mehrere Konten hinweg.
Kompromittierte Geräte im Unternehmensnetzwerk können dazu führen, dass Zugangsdaten für Unternehmenskonten aufgedeckt werden, die angezeigt oder gestohlen werden können, wenn auf persönliche oder gemeinsam genutzte Geräte zugegriffen wird.
Auch wenn die Unternehmensrichtlinien die Verwendung von starken Passwörtern für Firmenkonten vorschreiben könnten, sind dank BYOD diese Vorgaben wertlos, da 35 Prozent der Mitarbeiter ihre Arbeitspasswörter auf ihren nicht verwalteten persönlichen Smartphones speichern. Und wenn Mitarbeiter die gleichen (oder ähnliche) Passwörter für persönliche und berufliche Konten verwenden, werden die Risiken und das Potenzial eines einzigen gestohlenen Passworts, das den Schlüssel für viele Firmenkonten darstellt, nur noch erhöht.
Die Lösung
Die vollständige Abschottung der heute allgegenwärtigen BYOD und BYOP ist einfach nicht praktikabel, wie können sich Organisationen also verteidigen?
Aus strategischer Sicht kann die Führungsspitze der Informationssicherheit ein Situationsbewusstsein gewinnen, indem sie ihre theoretische Exposition darlegt.
Diese Karte muss die Anzahl der Mitarbeiterkonten, die zwischen den einzelnen Mitarbeitern verwendet werden, die Anzahl der persönlichen Konten, die ihre Familien im Durchschnitt haben, die Anzahl der Arbeitskonten, die sie haben, und die Gesamtzahl der Mitarbeiter umfassen.
Solche Karten sollten über mehrere, miteinander verbundene Knotenpunkte verfügen, die jeden Mitarbeiter, jedes Familienmitglied, jedes Gerät, jedes Netzwerk und jedes Konto erfassen. Jede Verbindung zwischen ihnen stellt einen potenziellen Pfad für eine Malware-Infektion oder Account-Übernahme dar, und jedes persönliche Gerät oder Konto stellt angesichts des „menschlichen Elements“ der Sicherheit, insbesondere der schlechten Passwort-Hygiene, ein schwaches Glied dar.
Um das Problem aktiv anzugehen, können Organisationen ihre Mitarbeiter darüber aufklären, wie wichtig es ist, Passwörter nicht wiederzuverwenden, sichere Passwörter zu verwenden und diese Ratschläge sogar an ihre Familienmitglieder weiterzugeben.
Die Richtlinien für die akzeptable Nutzung sollten regelmäßig aktualisiert und weitergegeben werden, um spezifische Anleitungen zur Passwortstärke und natürlich zur BYOD-Sicherheit zu geben. Neue Richtlinien sollten genau festlegen, worauf von nicht verwalteten, insbesondere mobilen Geräten aus zugegriffen werden kann und worauf nicht.
Selbst für Unternehmen mit SIEM/IDS/IPS-Suites, die sich dynamisch aktualisieren, aussagekräftige Warnmeldungen generieren und ihre eigenen Netzwerke mit Hilfe von maschinellem Lernen lernen, gilt die BYOD-Sicherheit nicht strikt auf der Geräteebene.
Anwendungsbasierte Sicherheitskontrollen und andere Mechanismen sind ebenfalls wichtig. Einige Unternehmen verlangen, dass die Benutzer nur über intern entwickelte Anwendungen über verschlüsselte Verbindungen auf Unternehmensressourcen zugreifen. Dies ist eine zuverlässige Möglichkeit für Unternehmen, die Bewegung und Sicherheit von Unternehmensdaten sowie die Offenlegung von Berechtigungsnachweisen auf nicht verwalteten persönlichen mobilen Geräten zu kontrollieren.
Schließlich muss BYOP als Nebeneffekt von BYOD ebenfalls frontal angegangen werden. Unternehmen sollten verlangen, dass Mitarbeiter Passwortmanager sowohl für ihre persönlichen als auch für Firmenkonten verwenden, und diese Passwörter sollten lang, komplex und sicher gespeichert und niemals zwischen Konten wiederverwendet werden.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.