English

BYOD: Sinkt die Nutzung bei der Regierung aufgrund von Netzwerksicherheitsbedenken?

von VPNHaus | 10.06.2014 |Endpoint Management, IT policy, Mobile

Das Department of Homeland Security (DHS) warnte letzte Woche davor, dass das Computernetzwerk eines öffentlichen Versorgungsunternehmens angegriffen worden war. Der Angriff erfolgte durch einen „Sophisticated Threat Actor“, wahrscheinlich über einen Angriff auf Passwörter mittels Brute-Force-Methode.

Obgleich das Versorgungsunternehmen die Attacke abwehrte und es keine Beweise gibt, dass Operationen beeinflusst worden waren, veröffentlichte das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) des DHS die Neuigkeiten über den Vorfall in seinem Bericht für Januar-April 2014. Auf diese Weise sollte „die Notwendigkeit zur Bewertung von Sicherheitskontrollen unterstrichen werden. Diese schützen an den Außenschnittstellen vor Angriffen und sorgen dafür, dass potentielle Angriffspunkte (zum Beispiel für Remote Access) mit geeigneten Sicherheitskontrollen gestaltet sind und über Überwachungs- und Erkennungsmöglichkeiten verfügen.“

Dieser Angriff verdeutlicht, warum die Unterwanderung der US-Regierungs-Infrastruktur ein dermaßen ernstes Problem für deren nationale Sicherheit darstellt. Erst vor ein paar Monaten berichtete die Federal Energy Regulatory Commission (amerikanische Energieaufsichtsbehörde), dass ein koordinierter Angriff auf nur neun der 55.000 Umspannwerke für elektrische Energieübertragung einen landesweiten Ausfall der Energieversorgung verursachen könnte.

Angesichts dessen liegt es in der Verantwortung von Regierungsbehörden, höchstmögliche Sicherheit für alle Endgeräte – von alten ICS-Terminals bis hin zu privaten Mobilgeräten der Mitarbeiter – zu bieten. Dies ist in einer Zeit, in der Advanced Persistent Threats (APTs) alltäglich präsent sind, besonders wichtig. Jeder Endpunkt muss jetzt abgesichert werden, da Hacker ständig auf der Suche nach neuen Angriffsmöglichkeiten sind. Zur gleichen Zeit muss die Regierung mehr Endstellen als je zuvor absichern. Der Grund: Die steigende Tendenz zu Bring-Your-Own-Device (BYOD) und Telearbeit führt dazu, dass Mitarbeiter zunehmend von außerhalb auf Regierungsnetzwerke zugreifen. Diese miteinander einhergehenden Veränderungen erfordern ein Umdenken der Regierung bezüglich ihres Vorgehens in puncto Netzwerksicherheit.

Die Digital Services Advisory Group (Beratergruppe der amerikanischen Regierung für digitale Anwendungen) und der Federal Chief Information Officers Council (amerikanische Regierungsbehörde für IT) schafften im August 2012 die Voraussetzungen für diesen neuen Ansatz. Sie veröffentlichten Netzwerksicherheitsrichtlinien und Musterrichtlinien für BYOD für Regierungsbehörden. Das hat jedoch nicht notwendigerweise zu einer breiten Anwendung von BYOD im öffentlichen Sektor geführt. Das US-Verteidungsministerium beispielsweise ist schon seit geraumer Zeit eher zurückhaltend gegenüber BYOD.

Was Regierungsorganisationen von Unternehmen lernen können

Regierungsangestellte fordern BYOD. Allerdings zögern Regierungsbehörden aufgrund der damit einhergehenden Datensicherheitsproblematik mit der Umsetzung. IDC sagt voraus, dass die Umsetzung von BYOD in der Regierung unausweichlich ist. Obgleich derzeit „private Geräte nur lediglich 5 Prozent des Regierungsmarktes ausmachen, wird diese Zahl in den nächsten drei Jahren um zweistellige Raten ansteigen.“

Große Unternehmen, welche BYOD bereits mit offenen Armen empfangen und sich den damit verbundenen Herausforderungen für die Sicherheit gestellt haben, sind gegenwärtig weiter als die Regierung. Sie liefern ein großartiges Beispiel für die Zusammenarbeit der richtigen Technologien. Konfrontiert mit der Notwendigkeit zur Sicherung unzähliger Endgeräte und Betriebssysteme, haben sie mit der Verwendung eines Defense-in-Depth-Ansatzes begonnen. Dieser nutzt unabhängige Netzwerk- und Sicherheitsverfahren für den verbesserten Schutz wichtiger Systeme und hilft Sicherheitslücken zu verhindern.

Als Teil eines solchen Konzepts implementieren Unternehmen Remote Access VPN-Lösungen mit zentralem Management. Damit wird die Überwachung der RemoteAccess-Infrastruktur und der Fernkommunikation mit dem Unternehmensnetzwerk durch Netzwerkadministratoren ermöglicht. Zukunftsorientierte Behörden beginnen derzeit mit dem Einsatz von VPNs mit zentralem Management.

Bei der Verwendung eines VPNs mit zentralem Management können Netzwerkadministratoren der Regierung verifizieren, dass sämtliche Endgeräte, welche von außerhalb auf das Netzwerk zugreifen, konform mit den Richtlinien der Regierungsstelle agieren. Erst dann wird ihnen der Zugriff gewährt. Nach Entdeckung einer Sicherheitslücke können sie außerdem deren Auswirkungen eingrenzen. Dazu entziehen sie den betroffenen Geräten die Netzwerkzugriffsrechte. Dies trägt zur Reduzierung der Netzwerkgefährdung durch die im ICS-CERT-Bericht genannten „potentiellen Angriffsvektoren“ bei.

Regierungsbehörden werden mit vielen unterschiedlichen Sicherheitsbedrohungen ihrer Netzwerke konfrontiert. Sie sollten daher die richtigen Technologien zum Schutz ihrer Endgeräte nutzen, eine BYOD-Politik nach gesundem Menschenverstand einführen und alles für den Datenschutz tun, was in ihrer Macht steht. Tun sie dies alles, sind sie besser für die Abwehr von Angriffen und ihre Aufgabe, die Bürger zu schützen, gerüstet.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK