IoT: Sicherheit von Anfang an

Beginnen wir mit der Absicherung des Internets der Dinge jetzt – bevor alles miteinander verbunden und damit angreifbar wird! Im Internet der Dinge (IoT) werden immer mehr Gegenstände des alltäglichen Lebens miteinander vernetzt. Dazu gehören unter anderem intelligente Stromnetze, intelligente Messgeräte, vernetzte Fahrzeuge und Haushaltsgeräte. Gartner zufolge gibt es heute tatsächlich mehr als 2,5 Milliarden vernetzter Geräte und bis 2020 werden es mehr als 30 Milliarden sein. Es herrscht Begeisterung über die Möglichkeiten, welche durch IoT entstehen. So lassen sich beispielsweise neue Geschäftsideen entwickeln sowie Produktivität und Komfort verbessern. Über all diesem darf die Technologiegesellschaft dennoch die Sicherheit nicht vergessen. IT-Experten wissen: Sobald etwas mit dem Internet verbunden ist, wird jemand versuchen, es zu hacken. Leider verfügt man im Technologiebereich in diesem Zusammenhang über jede Menge Erfahrungen. In dem Bemühen schnell neue Märkte zu erschließen, wurde der Sicherheitsaspekt oft außer Acht gelassen – und möglicherweise wird das mit IoT wieder passieren. Wir haben bereits erlebt, dass Hacker Sicherheitslücken in Smart-TVs und Babyphones ausgenutzt haben. In einigen Fällen kann IoT vorhandene Sicherheitstechnologien, wie beispielsweise Verschlüsselung, verwenden. Verschlüsselung kann zur Authentifizierung von Geräten genutzt werden. Darüber hinaus können durch die Kombination von Verschlüsselung und VPNs sensible Daten bei der Übertragung geschützt werden. [Nichts als Arbeit und kein Vergnügen – dann wird IoT langweilig. Siehe Playing Games With The Internet Of Things] Meist werden VPNs als Technologien im Zusammenhang mit der sicheren Kommunikation von Unternehmensnetzwerken und dem Internet verwendet. Jedoch lassen sie sich genauso einfach in Geräte implementieren, um die Machine-to Machine (M2M)-Kommunikation und innovativere Formen der Konnektivität zu unterstützen. Indessen hat Verschlüsselung auch ihre eigenen Nachteile. Man denke zum Beispiel an...

Warum ein nutzerorientierter Ansatz für die Netzwerksicherheit notwendig ist

Gehört auch Ihr Unternehmen zu den vielen Unternehmen, welche bei der Einführung neuer Technologien „den Launen wankelmütiger Privat- und Geschäftsanwendern unterliegen“? So jedenfalls beschrieb Clorox CIO und Vice President Ralph Loura die aktuelle Situation im Bereich der Unternehmenstechnologien und die Entwicklungen im Bereich Bring-Your-Own-Device (BYOD) Anfang des Monats bei einer Podiumsdiskussion. Zu dieser war eine Reihe von CIOs im Westin St. Francis Hotel in San Francisco zusammengekommen, um über die sich ändernde Rolle der CIOs zu diskutieren. Er sagte, dass Unternehmen möglicherweise versuchen, nutzerorientiert zu sein. Allerdings fordern Mitarbeiter ständig neue Technologien und ihre Wünsche ändern sich häufig. Dies macht es Unternehmen schwer, jeder Forderung nachzukommen, auch wenn es den Nutzern das Leben erleichtern würde. Da die Mitarbeiter mit vielen verschiedenen Arten von Geräten, Betriebssystemen und Anwendungen auf ihre Unternehmensnetzwerke zugreifen wollen, ist der Job eines CIO so schwierig wie nie zuvor. Aber wissen Mitarbeiter immer, was das Beste für die Netzwerksicherheit ist? Laut Loura „ist nutzergeführt nicht das Gleiche wie nutzerorientiert … Nutzerorientiert bedeutet, den Bedarf – nicht die Forderung – zu erkennen und zu verstehen.“ Ein nutzergeführter Ansatz verleiht Mitarbeitern Einfluss und verlangt vom Unternehmen, die meisten aller Nutzervorschläge anzunehmen. Dies birgt ein deutliches Risiko. Und mit Risiko hat sich Loura, wie viele andere CIOs, noch nie wohlgefühlt. Während eines von Okta Inc. veranstalteten Diskussionsforums im April, sagte er, er sei sehr vorsichtig mit Innovationen. Er bleibe risikoavers, suche aber dennoch nach solchen Investitionen, welche den höchsten Return on Investment bringen. In Bezug auf Unternehmenstechnologien sagte er, dass er nicht automatisch den Forderungen der Nutzer um Unterstützung einer neuen Unternehmenstechnologie, d. h. Hardware oder Anwendungen, nachkommt. Stattdessen...

BYOD: Neue Möglichkeiten zur Sicherung mobiler Geräte

Mitarbeiter arbeiten effizienter, wenn sie ihre privaten Geräte für die Arbeit nutzen. Jedoch stellen diese Geräte aufgrund ihrer Anzahl und ihrer unterschiedlichen Betriebssysteme auch eine Gefahr für die Sicherheit des Unternehmensnetzwerks dar. Daher geht es im Zusammenhang mit der Verwendung von BYOD in Unternehmen vor allem um die Frage: Überwiegt die Produktivitätssteigerung der Mitarbeiter, welche durch die erlaubte Nutzung privater Mobilgeräte für Arbeitszwecke erreicht wird, alle eventuellen Netzwerksicherheitsrisiken für das Unternehmen? Als Kompromisslösung, welche die Interessen von Arbeitnehmern und Arbeitgebern zusammenführt, ist die Festlegung von BYOD-Richtlinien hilfreich. Allerdings bringen diese nicht unbedingt sämtliche Arbeitnehmer- und Arbeitgeberinteressen unter einen Hut. Viel zu oft wird nämlich davon ausgegangen, dass Arbeitseffizienz und verbesserte Netzwerksicherheit sich gegenseitig ausschließende Konzepte sind. Aus diesem Grund sind neue Technologien, welche Arbeitgebern bei der Sicherung von Mobilgeräten helfen könnten, so gefragt. Was sind das nun für Technologien? Bieten sie wirklich größere Vorteile als bereits vorhandene BYOD-Richtlinien und -Ansätze? Ein „Kill Switch“ könnte BYOD neuen Schwung geben Derzeit wird in Kalifornien gerade eine neue Gesetzesvorlage auf den Weg gebracht. Nach dieser würde von Mobilgeräteherstellern verlangt, dass sie ihre Produkte mit einem „Kill Switch“ – einer Not-Aus-Funktion – ausstatten. Damit ist es Nutzern möglich, ihr Telefon im Fall eines Verlusts oder Diebstahls per Fernsteuerung zu sperren. Dahinter steckt die Idee, dass potentielle Diebe weniger Anreiz zum Stehlen eines Mobiltelefons hätten, wenn sie wüssten, dass dieses durch einen Kill Switch unbrauchbar gemacht werden könnte. Könnte diese Gesetzesvorlage mit der Bezeichnung SB 962, sollte sie als Gesetz in Kraft treten und damit einen nationalen Trend starten, BYOD auch attraktiver für Unternehmen machen? Nein, meint FierceCIO-Mitarbeiter Jeff Rubin. Kill Switches als Ergänzung...

BYOD: Sinkt die Nutzung bei der Regierung aufgrund von Netzwerksicherheitsbedenken?

Das Department of Homeland Security (DHS) warnte letzte Woche davor, dass das Computernetzwerk eines öffentlichen Versorgungsunternehmens angegriffen worden war. Der Angriff erfolgte durch einen „Sophisticated Threat Actor“, wahrscheinlich über einen Angriff auf Passwörter mittels Brute-Force-Methode. Obgleich das Versorgungsunternehmen die Attacke abwehrte und es keine Beweise gibt, dass Operationen beeinflusst worden waren, veröffentlichte das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) des DHS die Neuigkeiten über den Vorfall in seinem Bericht für Januar-April 2014. Auf diese Weise sollte „die Notwendigkeit zur Bewertung von Sicherheitskontrollen unterstrichen werden. Diese schützen an den Außenschnittstellen vor Angriffen und sorgen dafür, dass potentielle Angriffspunkte (zum Beispiel für Remote Access) mit geeigneten Sicherheitskontrollen gestaltet sind und über Überwachungs- und Erkennungsmöglichkeiten verfügen.“ Dieser Angriff verdeutlicht, warum die Unterwanderung der US-Regierungs-Infrastruktur ein dermaßen ernstes Problem für deren nationale Sicherheit darstellt. Erst vor ein paar Monaten berichtete die Federal Energy Regulatory Commission (amerikanische Energieaufsichtsbehörde), dass ein koordinierter Angriff auf nur neun der 55.000 Umspannwerke für elektrische Energieübertragung einen landesweiten Ausfall der Energieversorgung verursachen könnte. Angesichts dessen liegt es in der Verantwortung von Regierungsbehörden, höchstmögliche Sicherheit für alle Endgeräte – von alten ICS-Terminals bis hin zu privaten Mobilgeräten der Mitarbeiter – zu bieten. Dies ist in einer Zeit, in der Advanced Persistent Threats (APTs) alltäglich präsent sind, besonders wichtig. Jeder Endpunkt muss jetzt abgesichert werden, da Hacker ständig auf der Suche nach neuen Angriffsmöglichkeiten sind. Zur gleichen Zeit muss die Regierung mehr Endstellen als je zuvor absichern. Der Grund: Die steigende Tendenz zu Bring-Your-Own-Device (BYOD) und Telearbeit führt dazu, dass Mitarbeiter zunehmend von außerhalb auf Regierungsnetzwerke zugreifen. Diese miteinander einhergehenden Veränderungen erfordern ein Umdenken der Regierung bezüglich ihres Vorgehens...

BYOD und die Risiken für die Netzwerksicherheit

Dass High Speed Internet-Verbindungen für Unternehmen nicht überall verfügbar waren, ist noch gar nicht so lange her. Auch waren nicht genügend Mittel vorhanden, um den Mitarbeitern Remote Access zu ermöglichen. Zu der Zeit waren Unternehmen eher geneigt, streng geregelte Arbeitszeiten durchzusetzen als heutzutage. Schließlich konnte die Arbeit nicht fertig werden, wenn keine Mitarbeiter anwesend waren. Mit der Weiterentwicklung der Mobilfunktechnik wuchs die Tendenz zur Telearbeit. Arbeitnehmer können nun überall und zu jeder Zeit arbeiten. Deshalb hat sich auch die Erwartungshaltung der Arbeitgeber inzwischen geändert. Sie sind flexibler gegenüber ihren Mitarbeitern geworden, auch was die Regelung der Arbeitszeiten anbelangt. Was jedoch die Regelungen betrifft, wie Mitarbeiter ihre privaten Mobilgeräte für Arbeitszwecke und für den Fernzugriff auf das Unternehmensnetzwerk nutzen, sollten Arbeitgeber nicht so flexibel sein. An dieser Stelle hinken viele von ihnen der allgemeinen Entwicklung tatsächlich hinterher. Risiken durch Sicherheitsprobleme der eigenen Mitarbeiter Bring Your Own Device (BYOD) ist mittlerweile eher die Norm und nicht länger ein neuer bahnbrechender Trend. Laut einer neuen von Gartner durchgeführten Studie, sagten mehr als die Hälfte der 995 befragten Mitarbeiter, dass sie ihre privaten Geräte länger als eine Stunde pro Tag für Arbeitszwecke nutzen. Für Unternehmen steigt damit die Gefahr. Denn in jeder Sekunde, in der sensible Daten das Unternehmensnetzwerk verlassen, könnten diese exponiert werden. In einer perfekten Welt hätten Mitarbeiter niemals Sicherheitsprobleme bei der Nutzung ihrer privaten Mobilgeräte für Arbeitszwecke. Und falls doch, würden 100 Prozent der wenigen Betroffenen jegliche Zwischenfälle den zuständigen Personen in ihrem Unternehmen melden. Die Realität sieht allerdings völlig anders aus. Gartner fand heraus, dass ungefähr ein Viertel der Nutzer bereits ein Sicherheitsproblem bei der Arbeit mit ihrem privaten...