[datensicherheit.de, 01.03.2022] „Eine Umfrage unter 193 deutschen Internetnutzern hat ergeben, dass in deutschen Firmen eine große Sicherheitslücke klafft: Das öffentlich zugängliche WLAN vieler Unternehmen erlaubt es Mitarbeitern und Gästen, mit ihren Privatgeräten auf sensible Firmendaten zuzugreifen“, warnt Tanium in einer aktuellen Stellungnahme. Man bedenke man, dass viele dieser Gäste-WLANs nur mit schwachen oder gar keinen Passwörtern gesichert seien – daher bestehe hierbei eine nicht zu unterschätzende Gefahr für die Datensicherheit.

39% der Befragten können über das öffentliche WLAN ihrer Firma auf sensible Unternehmensdaten zugreifen

Den Untersuchungsergebnissen zufolge betrieben 75 Prozent der deutschen Unternehmen einen separaten WLAN-Zugang für Gäste sowie für die Privatgeräte ihrer Mitarbeiter. „Soweit so gut. Denn in der heutigen Zeit gehört es zum guten Ton, Geschäftspartner und Kunden mit einem Internetzugang zu versorgen, wenn diese zu Besuch sind. Auch die eigenen Mitarbeiter schätzen die Möglichkeit, ihr mobiles Datenvolumen am Arbeitsplatz schonen zu können.“

Problematisch werde es, wenn dieser quasi öffentliche Zugang zum Firmennetz den Zugriff auf unternehmensrelevante Arbeitsdaten ermöglicht. Erstaunliche 39 Prozent der Befragten hätten angegeben, dass sie über das öffentliche WLAN ihrer Firma auf sensible Unternehmensdaten zugreifen könnten. Jeder Server, jedes Netzlaufwerk oder sonstiges mit dem Firmennetz verbundenes Speichermedium könne – ohne dedizierte Sicherheitsmaßnahmen – von unberechtigten Dritten eingesehen werden. 35 Prozent nutzten diese Gelegenheit, navigierten mit ihren privaten Endgeräten in den firmeneigenen Systemen und griffen regelmäßig auf Arbeitsdateien zu.

75% der Befragten über private Smartphones via Firmen-WLAN mit Unternehmensnetz verbunden

Mit 75 Prozent am häufigsten seien private Smartphones über das Firmen-WLAN mit dem Unternehmensnetz verbunden. Auf Platz 2 befänden sich mit 54 Prozent private Laptops, dicht gefolgt von Tablets mit 49 Prozent. Erstaunliche elf Prozent der Befragten hätten darüber hinaus angegeben, dass sich auch Videospielkonsolen im Firmennetz befänden.

„Was gut gemeint ist, kann ohne wasserdichte IT-Sicherheitsmaßnahmen schnell zu einem schweren Datenleck führen, oder das gesamte Firmennetz durch unentdeckte und unwissentlich eingeschleuste Malware kompromittieren. Denn eines der vorrangigen Probleme, mit dem viele Unternehmen in Deutschland kämpfen, ist fehlende Sichtbarkeit aller mit dem Firmennetz verbundenen Endgeräte“, kommentiert Zac Warren, „Senior Director Cybersecurity Advisory EMEA“ bei Tanium.

Ohne umfassenden Überblick auf unregistrierte WLAN-Passanten kann Abfluss von Firmengeheimnissen kaum ausgeschlossen werden

Ohne einen umfassenden Überblick der unregistrierten „Passanten“ könne ein Abfluss von Firmengeheimnissen kaum ausgeschlossen werden. Ebenso verheerend sei es, wenn sich kriminelle Hacker gezielt über Sicherheitslücken in selten oder gar nicht gepatchten Konsolen oder anderen IoT-fähigen Geräten („Smartwatches“etc.) Zugang zum Firmennetz verschafften.

Warren: „Bedenkt man, dass 34 Prozent der Befragten derzeit hybrid arbeiten – 27 Prozent sind wieder ins Büro zurückgekehrt – und sogar 45 Prozent davon ausgehen, in einem halben Jahr hybrid zu arbeiten, müssen Arbeitgeber und IT-Sicherheitsverantwortliche diesen Missstand so bald wie möglich adressieren und ihre IT-Sicherheitsmechanismen eingehend überprüfen.“

Nur wer drei Grundsatzfragen positiv beantworten kann, sollte öffentliches WLAN weiterbetreiben

1. Sehe ich alle Endgeräte im Firmennetz?
2. Sind diese Geräte mit den aktuellen Sicherheitspatches versorgt?
3. Weiß ich, wer sich hinter Anfragen auf Firmendaten verbirgt und kann ich unrechtmäßigen Zugriff verhindern?

Warren unterstreicht abschließend: „Nur wer diese Fragen mit ,ja‘ beantworten kann, sollte sein öffentliches WLAN weiterbetreiben.“ Alle anderen sollten dieses vorerst deaktivieren und ihre IT-Sicherheitsstrategie auf den Prüfstand stellen.

[datensicherheit.de, 01.12.2020] Die meisten IT-Teams würden wohl gerne glauben, dass ihr Unternehmen alle Anwendungen, Websites und Tools kennt, die Mitarbeiter zur Erledigung ihrer Aufgaben einsetzen, so Netmotion nach eigenen Angaben als Fazit aus zahlreichen Kundengesprächen. Tatsächlich investierten Unternehmen in eine Vielzahl von Produktivitäts-, Kommunikations-, Speicher- und Collaboration-Tools für ihre Belegschaft, um sicherzustellen, dass die Mitarbeiter ihre Arbeit effizient und effektiv erledigen könnten. Was Arbeitnehmer möglicherweise darüber hinaus benötigen könnten, zeige eine kürzlich durchgeführte Studie, wonach 62 Prozent der mobilen Mitarbeiter zugegeben hätten, dass sie für ihre Arbeit alternative Anwendungen verwendeten, von denen ihre IT-Abteilung nichts wisse.

Foto: NetMotion

Thomas Lo Coco: Arbeitnehmer greifen zwar auf nicht genehmigte Tools zu, dies aber zumeist im Interesse der Arbeitserledigung…

Mitarbeiter nutzen Schatten-IT womöglich mit einem Gefühl der Freiheit

„Warum halten sich also nur 38 Prozent der Arbeitnehmer an die Liste der sanktionierten IT-Software ihres Arbeitgebers?“ Wenn man sich die Ereignisse des Jahres 2020 anschaue, könne man einige Vermutungen anstellen: Aufgrund von Auflagen, zu Hause zu bleiben, und weil die Teammitglieder mehr Arbeit außerhalb des Büros erledigten, habe die IT ein gewisses Maß an Sichtbarkeit und Kontrolle verloren.
Möglicherweise spürten auch die Mitarbeiter selbst ein Gefühl der Freiheit. Sie müssten sich keine Sorgen mehr darüber machen, „dass sie ein Büronetzwerk nutzen oder bei der Nutzung einer externen Ressource auf frischer Tat ertappt werden“. Das Ergebnis sei ein Potpourri aus verschiedenen Anwendungen und Diensten, die Mitarbeiter gerne nutzten, um gewisse Lücken zu füllen. Ohne Kenntnis dieser Tätigkeit indes seien Unternehmen einem erhöhten Risiko von Datenlecks und potenziellen Sicherheitsverletzungen ausgesetzt.

Die Top-5 der Schatten-IT in Unternehmen laut NetMotion

„Welche Online-Tools und -Dienste sind für Mitarbeiter so wichtig, dass sie bereit sind, ihre Unternehmensrichtlinien zu verletzen, um diese Tools und Dienste dennoch zu nutzen?“ Die Antworten von NetMotion seien naheliegender als erwartet:

1. Produktivitätswerkzeuge
   Die erste Kategorie von Software, die von Fernmitarbeitern (in nicht sanktionierter Weise) eingesetzt wird, sind Produktivitätstools. Dies ist eine andere Sichtweise als die finstere, die den meisten in den Sinn kommt, wenn sie an „Schatten-IT“ denken. Die Arbeitnehmer versuchen hierbei eindeutig nicht, ihr Unternehmen zu sabotieren, indem sie auf bösartige Websites zugreifen – sie benutzen einfach Tools, die ihnen helfen, produktiver zu sein, während sie von zu Hause arbeiten.
   Anhand einiger der relevantesten Tools in dieser Kategorie ist dies leicht nachzuvollziehen. „Google Docs“ wird zwar von den meisten IT-Teams nicht sanktioniert, ermöglicht es den Mitarbeitern jedoch, Dateien schnell und einfach auszutauschen und zusammenzuarbeiten. Dennoch müssen IT-Teams wissen, welche Tools die Mitarbeiter verwenden, um sie effektiv zu sperren. Eine falsche Datei, die über einen Online-PDF-Konverter ausgetauscht wird, kann ein unbeabsichtigtes Datenleck und enorme Auswirkungen bis hin zum finanziellen und Reputationsverlust für das betroffene Unternehmen führen.
2. Kommunikation
   Kommunikationssoftware kommt im Bereich der Schatten-IT an zweiter Stelle und umfasst Tools wie „Zoom“, „Slack“ und „WhatsApp“. Auch hierbei ist es keine Überraschung, dass die Team-Mitglieder sich in Projekten engagieren und miteinander kommunizieren wollen. Für Unternehmen vielleicht noch schockierender ist der Umstand, dass die Mitarbeiter anscheinend unzufrieden mit den Kommunikationstools sind, die von der IT eigens eingerichtet wurden.
   Es ist die halbe Miete, wenn man versteht, welche Kommunikationswerkzeuge die Mitarbeiter (abgesehen von den sanktionierten) verwenden. Wenn das IT-Team das Problem versteht, macht es die Lösung des Problems einfach. Vielleicht wäre dies eine Investition in „Slack“ für die Mitarbeiter oder eine Schulungssitzung dazu, dass die aktuelle offizielle Kommunikationssoftware viele der gleichen Funktionen aufweist. Unabhängig davon ist es wichtig, sicherzustellen, dass die Kommunikationswerkzeuge, die Mitarbeiter verwenden, konsistent und sicher sind. Nachrichten bezüglich sensibler Unternehmensinformationen, die auf nicht genehmigten Nachrichtenplattformen gesendet werden (obwohl sie an sich sicher sind), können leicht in die falschen Hände geraten.
3. Storage
   An dritter Stelle, weit unterhalb von Produktivität und Kommunikationssoftware, stehen Storage-Tools. Dazu gehören Anwendungen wie „Dropbox“, „Box“ und „WeTransfer“. Diese sind überaus bekannt und werden in vielen Unternehmen verwendet, unabhängig davon, ob sie mit Sanktionen belegt sind oder nicht. Die gute Nachricht ist, dass die Unternehmen anscheinend einen Schritt zur Bekämpfung dieser nicht sanktionierten Verwendung unternommen haben, indem sie den Arbeitnehmern den Zugang zu Storage auf funktionierende Weise ermöglichen. „Dropbox“ zum Beispiel hat jetzt ein Angebot für Unternehmen, das einen robusteren Sicherheitsstandard erfüllt.
   Wenn Unternehmen jedoch noch nicht in externe Speicherkapazitäten investieren, sollten sie dies möglicherweise in Betracht ziehen. Große Dateien, die auf unsichere Speicherorte hochgeladen werden, sind eine einfache Möglichkeit, Daten durchsickern zu lassen, von der die meisten Mitarbeiter häufig Gebrauch machen, wenn sie keine Alternative haben.
4. Zusammenarbeit
   Collaboration-Tools belegen den letzten Platz in der Kategorie Schatten-IT-Software. Es ist leicht, dies als positiv zu sehen. Tools wie „Asana“, „Trello“ und „Coda“ sind ohne spezielle IT-Kenntnisse nutzbar. So scheint es, dass die Mehrheit der Mitarbeiter ihre Bedürfnisse an diese Tools erfüllt sieht. Ein Beispiel wäre, dass ein Team „Asana“ verwendet, ohne dass die IT-Abteilung davon weiß.
   Auch hierbei handelt es sich um eine Situation, die leicht gelöst werden kann und die wahrscheinlich darauf zurückzuführen ist, dass die Bedürfnisse der Mitarbeiter nicht erfüllt wurden. Wenn „Asana“ verwendet wird, bedeutet das normalerweise, dass ein Team versucht, sich zu organisieren und effektiver zusammenzuarbeiten. Wenn die IT-Abteilung in der Lage ist, diesen Bedarf zu erkennen, sollte sie helfen, indem sie entweder in „Asana“-Lizenzen investiert und Personal ausbildet oder diesen funktionalen Bedürfnissen auf andere Weise gerecht wird.
5. Sonstige
   Diese Kategorie regt die Phantasie auf Anhieb an, vor allem bei IT-Teams, denn es ist schwierig zu ergründen, welche Tools unter „Sonstige“ fallen.
   Was sich jedoch sagen lässt, ist, dass Fern-Arbeiter diese als ihre Antwort auf ein Problem wählen, weil sie bestimmte Tools ohne IT-Kenntnisse verwenden können.

Schatten-IT – Mangel an Sichtbarkeit im Allgemeinen nie eine gute Sache

„Offensichtlich hat diese Analyse aufgedeckt, was viele als ein Problem bezeichnen würden. Da einer von vier Umfrageteilnehmern NetMotion gegenüber offenbart, dass er eine beträchtliche Anzahl von Tools außerhalb der offiziellen IT-Richtlinien verwendet, ist Handlungsbedarf gegeben“, betont Thomas Lo Coco von NetMotion und fährt fort:
„Ist in Sachen Schatten-IT wirklich alles schlecht? In gewisser Weise ja – ein Mangel an Sichtbarkeit für die IT ist im Allgemeinen nie eine gute Sache. Andererseits zeigt die Erfahrung, dass Arbeitnehmer zwar auf nicht genehmigte Tools zugreifen, dies aber im Interesse der Arbeitserledigung tun.“

Schatten-IT so steuern, dass sie zu etwas Positivem wird

„Wie löst ein Unternehmen dieses Problem? Jedes Unternehmen ist anders. Ein Team nutzt vielleicht einen Mix von Schatten-IT oder weist eine große Anzahl von Fällen auf, die in eine ganz bestimmte Kategorie fallen.“ Unter dem Strich benötige die IT-Abteilung Sichtbarkeit außerhalb der vier Wände des Büros. Die IT müsse nach Meinung von Netmotion in der Lage sein, zu entschlüsseln, auf welche Tools die Mitarbeiter in jedem Netzwerk zugreifen.
Ist diese Sichtbarkeit gegeben, müsse die IT-Abteilung mit den Mitarbeitern zusammenarbeiten und effektive Lösungen finden, anstatt produktive Arbeitsweisen zu verhindern. Die Schatten-IT lasse sich so steuern, dass sie zu etwas Positivem wird, statt das eher archaische Modell der Beschränkung von Mitarbeitern, ihren Methoden und Geräten zu verfolgen.

Weitere Informationen zum Thema:

NetMotion
An introduction to experience monitoring

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

Gastbeitrag von Deepen Desai, VP Security Research bei Zscaler, 06.3.2020
Schatten-IoT: Wie man Licht ins Dunkel bringt / Bedrohungslandschaft im ständigen Wandel

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe / Beliebte Angriffsvektoren für Cyberkriminelle

datensicherheit.de, 16.09.2018
Fünf Maßnahmen gegen die mobile Schatten-IT / Starke Herausforderung für die Unternehmens-IT / Mitarbeiter nutzen nicht genehmigte Geräte und Apps

datensicherheit.de, 11.08.2016
Die dunklen Seiten der betrieblichen Schatten-IT / Tenable-Studie zeigt wachsende Anfälligkeit für Angriffe auf Unternehmen

[datensicherheit.de, 31.07.2020] McAfee hat nach eigenen Angaben in den vergangenen Monaten zahlreiche neue Erkenntnisse zum Thema Schatten-IT im sogenannten Home-Office sammeln können. Viele Unternehmen mussten im Kontext der „Corona“-Krose den Großteil ihrer Mitarbeiter ins „Home-Office“ schicken – daher sollten sich IT-Abteilungen jetzt mehr denn je um die Bewältigung der Risiken sogenannter Schatten-IT kümmern.

Abbildung: McAfee

McAfee-Studie „Cloud Adoption and Risk Report – Work from Home Edition“

Schatten-IT als zunehmende Herausforderung für IT-Abteilungen

Viele Unternehmen mussten in den letzten Monaten – im Kontext der „Corona“-Krose – zum ersten Mal den Großteil ihrer Mitarbeiter ins „Home-Office“ schicken. Eine der sicherheitstechnischen Tücken, die IT-Abteilungen jetzt mehr denn je beachten müssten, ist demnach die sogenannte Schatten-IT.

Gefahr von Datenschutz-Verletzungen in der Schatten-IT zugenommen

Laut einer neuen McAfee-Studie ist die Cloud-Nutzung in Unternehmen im Zuge des Remote-Working-Booms während der „Pandemie“ um 50 Prozent gestiegen. Durch die extreme Zunahme der Cloud-Nutzung vergrößere sich die Gefahr von Datenschutz-Verletzungen in der Schatten-IT noch weiter als je zuvor.

Oft gut gemeint, aber potenziell gefährlich: Installation von Schatten-IT

Zwar könnten Mitarbeiter dank der Cloud unabhängig von zuhause aus arbeiten, aber dadurch gleichzeitig auch selbständig Software installieren. Über das Ausmaß dieser Cloud-Nutzung seien sich die Cyber-Sicherheitsverantwortlichen oft nicht im Klaren.

3 Empfehlungen für IT-Abteilungen zum Schutz vor potentiellen Gefahren der Schatten-IT:

1. DLP: Eine erste wichtige Maßnahme, die Unternehmen ergreifen müssen, sei der Schutz der Datenbestände durch eine „Data Loss Prevention“-Software. Mithilfe einer DLP-Lösung könnten im Unternehmen verstreute Datenbestände sowie deren Lagerorte identifiziert werden.
2. SIEM: Zudem böten „Security Information and Event Management“-Systeme eine permanente Überwachung des Datenverkehrs. SIEM-Systeme sammelten Meldungen von Anti-Viren-Programmen und IPS-Systemen und zeichneten den Status sowie den Datenverkehr von Routern, Switches und Servern als auch Log-Events auf.
3. CASB: Besonders empfehlenswert sei außerdem der Einsatz eines „Cloud Access Security Brokers“. Mithilfe von CASB-Lösungen kontrollierten Unternehmen den Zugriff auf sämtliche Cloud-Anwendungen und könnten ihre eigenen Sicherheitsrichtlinien entsprechend darauf ausweiten.

Weitere Informationen zum Thema:

McAfee
Cloud Adoption and Risk Report / Work from Home Edition

Von unserem Gastautor Michael Scheffler, Regional Director CEEU, Bitglass

[datensicherheit.de, 06.12.2018] Nicht nur die DSGVO macht es deutlich: In Zukunft stehen die Daten im Zentrum der IT-Sicherheitsstrategie. Dieser Strategiewechsel gestaltet sich für einige Unternehmen angesichts der wachsenden Migration in die Cloud als schwierig, da zu jeder Zeit sowohl der Überblick als auch die Kontrolle über sämtliche erhobenen Daten gefordert ist. Um diese Herausforderung meistern zu können, sind Cloud Access Security Broker (CASBs) entwickelt worden. Worauf Unternehmen bei der Auswahl achten sollten, erläutert der nachstehende Artikel.

Heutzutage benötigen Unternehmen Lösungen, mit denen Daten überall gesichert werden können. Um Daten jenseits des Netzwerkperimeters in Cloudanwendungen überwachen und schützen zu können, wurden Cloud Access Security Broker entwickelt. Die ersten CASBs auf dem Markt arbeiteten agentenbasiert. Um diese nutzen zu können, war eine Softwareinstallation auf allen Endgeräten erforderlich. Den IT-Administratoren ermöglichten sie das Ermitteln von nicht genehmigten Cloud-Anwendungen und damit eine Eindämmung der Schatten-IT. Nicht selten stellte sich durch den Einsatz von CASBs heraus, dass Unternehmensdaten sich in weitaus mehr Cloudanwendungen befanden als von den IT-Administratoren ursprünglich geschätzt. Da Unternehmen auch zunehmend Ressourcen aus Rechenzentren in die Cloud verlagerten und Anwendungen wie Office 365, AWS, Salesforce und G-Suite nutzten, wurden CASBs schnell zu unverzichtbaren Sicherheitswerkzeugen.

Foto: Bitglass

Michael Scheffler, Regional Director Central and Eastern Europe, Bitglass

Dank API-Integrationen konnten diese neben mehr Transparenz auch einige Kontrollfunktionen bieten. So waren diese Lösungen nicht nur in der Lage, Schatten-IT-Prozesse aufzudecken, sondern sie warnten das IT-Team auch, wenn sich sensible Daten über das Unternehmensnetzwerk hinaus bewegen. Schutzfunktionen, die in Echtzeit auf Daten jenseits des Netzwerks angewendet werden können, konnten ausschließlich API-basierte CASBs allerdings nicht bieten.

Diese erweiterten Kontrollfunktionen werden durch die aktuelle Generation – proxy-basierte CASBs – abgedeckt. In der Regel basiert die Architektur auf einem primären Proxy-Mechanismus, entweder ein Forward-Proxy oder ein Reverse-Proxy. Forward-Proxys kommen vor allem für verwaltete Geräte zum Einsatz, während Reverse-Proxys für nicht verwaltete Geräte verwendet werden, da sie den Zugriff mit Single Sign On (SSO) regeln und keine Installation auf dem Gerät erfordern. Die umfassendste CASB-Form sind so genannte hybride oder multimodale CASBs, die zusätzlich über eine API-Integration verfügen.

Die neueste Generation: Intelligente, agile CASBs

Angesichts einer wachsenden Datenmenge in Unternehmen, höheren regulatorischen Anforderungen an den Datenschutz und fortschrittlichen Bedrohungen müssen langfristig auch die Schutzmechanismen agiler werden. Viele Anbieter entwickeln daher CASB-Funktionen zur proaktiven Identifizierung verdächtiger Aktivitäten, wie zum Beispiel die zeitgleiche Anmeldung von mehreren Standorten oder das Herunterladen großer Mengen sensibler Daten. Funktionen wie Data Leakage Protection und Mustererkennung unterstützen IT-Teams mit automatisierter Identifizierung und Sicherung sensibler Informationen. Diese Funktionen wenden für bestimmte Daten, wie beispielsweise Adressen oder Sozialversicherungsnummern, automatisch Verschlüsselungsfunktionen an.

Vor dem Hintergrund neuer Angriffsszenarien von Malware in Cloud-Anwendungen kommen auch Machine Learning und Künstliche Intelligenz zum Einsatz, um Daten vor Advanced Persistent Threats (APTs) schützen zu können. Intelligente Lösungen sind mit maschinellem Lernen in der Lage, Malware in Dateien sowie in Echtzeit während des Up- oder Downloads in oder aus der Cloud zu erkennen und zu blockieren. Ebenso erfolgt ein Scan der in der Cloud abgelegten Daten (data at rest), um der Ausbreitung von Malware auf die angeschlossenen Cloud-Anwendungen vorzubeugen. Führende CASB-Lösungen bieten mit verhaltensbasierter Bedrohungserkennung durch maschinelles Lernen Schutz sowohl vor bekannter als auch unbekannter Malware. Durch das automatische Erfassen und die Auswertung der Nutzung unautorisierter Cloud-Anwendungen ist vollständige Datentransparenz gewährleistet.

Best Practices zur Auswahl des richtigen CASBs

Der Funktionsumfang von CASBs variiert je nach Hersteller. Für Unternehmen ist es deshalb wichtig, sich vorab damit auseinanderzusetzen, wie die einzelnen Architekturen implementiert und verwaltet werden, da sie große Auswirkungen auf die unterstützten Anwendungs- und Gerätetypen sowie auf den mit der Systemverwaltung verbundenen operativen Overhead haben können. Folgende Fragen helfen, die Auswahl einzugrenzen:

1. Anwendungscheck: Ein Ausgangspunkt vor dem Kauf eines CASBs-Produkts ist die Frage, für welche Anwendungen es genutzt werden soll. Dies umfasst nicht nur um Apps, die sich gegenwärtig im Gebrauch befinden. Es sollte berücksichtigt werden, dass in Zukunft sowohl neue Anwendungen hinzukommen als auch bereits jetzt weitere, nicht genehmigte Anwendungen von Mitarbeitern genutzt werden. Um herauszufinden, ob die Technologie eines Anbieters agil genug ist, hat sich für Unternehmen übrigens folgender Trick bewährt: Dem Anbieter wird vorab eine Liste mit nur einem Teil der verwendeten Apps gegeben. Bei der Testimplementierung zeigt sich dann, ob auch die weiteren Apps von der Lösung identifiziert wurden. Für Unternehmen ein Indiz, um die Zukunftssicherheit des Produkts zu ermitteln.
2. Definition von Authentifizierungs- und Zugriffsprozessen: Für ein Anforderungsprofil an CASBs ist es wichtig, festzulegen, welche Art von Zugriff und Kontrolle bei den einzelnen Cloudanwendungen erforderlich sind. Ein Verständnis der Geschäftsprozesse und der Art, wie Mitarbeiter die Anwendungen im Tagesgeschäft nutzen, ist eine notwendige Voraussetzung, um festzulegen, in welchen Fällen eine detailliertere Authentifizierung nötig ist und wann nicht.
3. Verschlüsselungsverfahren: Insbesondere eine der wichtigsten Funktionen von CASBs – die Verschlüsselung – sollten Unternehmen genau prüfen. Führende CASBs nutzen den derzeit höchsten Verschlüsselungsstandard: Der Advanced Encryption Standard (AES) mit 256 Bit-Schlüsseln (AES-256). Der Initialisierungsvektor, eine weitere Komponente, sorgt dafür, dass jedes Mal– auch bei wiederholter Verschlüsselung desselben Plaintexts – ein zufälliger Chiffretext erzeugt wird.  Die Länge dieses Initialisierungsvektors sollte 256 Bit entsprechen, um eine ausreichende Zufälligkeit und damit ein Höchstmaß an Sicherheit zu gewährleisten.
4. Unterstützung alternativer Zugriffsarten: Eine CASB-Lösung sollte neben der Überwachung des Web/HTTPS-Traffics auch alternative Zugangsarten, wie den Zugriff auf Cloud-basierte E-Mail-Systeme wie Office 365, MS Outlook oder Mac OS X Mail über Web oder mobile Endgeräte via Activesync unterstützen. Die Lösung sollte die wichtigsten Cloud-Anwendungen für Unternehmen sowie SaaS-, IaaS- und benutzerdefinierte Anwendungen unterstützen. Die umfassendsten CASB-Lösungen ihrer Art sind agentenlos, mit Unterstützung für jede App und Geräteart, integriertem Identitäts- und Zugriffsmanagement (IAM) und agentenloser mobiler Datensicherung.

Cloud Access Security Broker entwickeln sich schnell zu einer unverzichtbaren Sicherheitslösung für Unternehmen, die bereits Cloud-basierte Anwendungen einsetzen oder diese einsetzen wollen. Diese Technologien schließen die Lücken, die Anbieter von Cloud-Apps dem Unternehmen überlassen haben, um die Sichtbarkeit und Datensicherheit zu verbessern. Der Vorteil für Unternehmen besteht darin, dass sie statt vieler verschiedener Sicherheitslösungen für unterschiedliche Sicherheitsbedürfnisse nur eine einzige Lösung für die gesamte Cloud-App-Security implementieren können, die zudem kostengünstiger und einfacher zu bedienen ist.

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2018
IT-Sicherheitsstrategie: Datenverschlüsselung in der Cloud wird wichtiges Kriterium

datensicherheit.de, 30.09.2018
Cloud Security Alliance eröffnet europäischen Hauptquartier in Berlin

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 02.10.2018] Schatten-IT – Soft- und Hardware, die nicht durch das Sicherheitsteam eines Unternehmens freigegeben wurde – ist seit langem ein beliebter Angriffsvektor für Cyberkriminelle und Insider. Während Insider zunehmend bereits installierte, legitime und dadurch schwer zu entdeckende Tools wie PowerShell, WMI oder Cmd.exe einsetzen, um Unternehmensrechner mit Malware zu kapern, herrscht kein Mangel an scheinbar harmlosen Anwendungen, die die Unternehmenssicherheit gefährden können.

Cryptojacking durch bösartige Browser-Erweiterungen

Browser-Erweiterungen sind traditionell eine Brutstätte für Malware und Cyberattacken. Immer wieder machen beispielsweise bösartige Extensions für Google Chrome Schlagzeilen, denn Browser-Webstores eignen sich als überaus praktisches Tool für Cyberkriminelle, um ihre Schadsoftware rasch an eine möglichst große Zahl von Nutzern zu verteilen.

Mittlerweile erfreuen sich Browser-Erweiterungen, die mit Malware für Klickbetrug-Kampagnen und Cryptomining infiziert sind, wachsender Beliebtheit. Beim In-Browser-Cryptojacking missbrauchen Cyberganoven für ihre Zwecke unbemerkt im Hintergrund die Leistung fremder Rechner zum Schürfen von Kryptowährungen wie Bitcoin oder Monero. Mit der Menge an Traffic, die dadurch in der Regel erzeugt wird, kann Cryptojacking verheerende Auswirkungen auf den Endpunkt einer Organisation und damit auf das Netzwerk haben.

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Mit Malware verseuchte App-Raubkopien

Bösartige Raubkopien von Apps tauchen immer häufiger in Onlinestores auf, einschließlich in dem von Microsoft. Diese Anwendungen ahmen die Funktionen legitimer Applikationen nach, sind aber in vielen Fällen kaum mehr als eine mit Malware oder Spyware infizierte Hülle und können Netzwerke für Angreifer öffnen.

Instant Messaging-Anwendungen

Instant-Messaging-Clients werden praktisch auf jedem Mitarbeiter-Rechner installiert. In den meisten Fällen handelt es sich dabei um Skype oder ein kollaboratives Kooperations-Tool wie Slack. Diese Tools sind durch Sicherheitsteams geprüft und zugelassen. Häufig sind es jedoch die unbekannten, nicht genehmigten Chat-Apps, die Unternehmen in Gefahr bringen können: Eine Anwendung wie der Open Source Instant-Messaging-Client Pidgin, der auf Millionen von Systemen weltweit eingesetzt wird, kann nicht nur für die Mitarbeiterkommunikation genutzt werden. In einigen Umgebungen können Angreifer den kostenlosen Chat-Client als Befehls- und Kontrollwerkzeug zur Steuerung von Backdoors und zur Ausführung beliebiger Befehle auf infizierten Endpunkten einsetzen. Zwar kann Instant Messaging ein wertvolles Kommunikationstool im Geschäftsalltag sein, doch die Verwendung nicht autorisierter Anwendungen setzt Unternehmen möglichen Datensicherheitsrisiken aus.

Fehlendes Patching nicht legitimierter Applikationen

Ein weiteres großes Problem von Schatten-Anwendungen ist zudem, dass Sicherheitsteams sie nicht wie legitimierte Applikationen patchen können. In der Regel haben Unternehmen einen streng reglementierten Patch-Prozess, um sicherzugehen, dass alle Anwendungen und Systeme auf dem neuesten Stand sind. Sicherheitsanfällige, nicht genehmigte Anwendungen können Cyberkriminellen somit die Möglichkeit geben, Exploits zu nutzen und Zugriff auf Geräte oder das Netzwerk zu erlangen.

Hinausschleusen von Daten durch Schatten-Anwendungen

In anderen Fällen können Schatten-Anwendungen so manipuliert werden, dass sie die Netzwerkfunktionalität auf Webseiten von Drittanbietern nutzen, mit denen ein Unternehmen nicht vertraut ist. Beispielsweise kann ein Insider-Angreifer eine FTP-Anwendung verwenden, die sein Unternehmen nicht überwacht. Sobald ein Angreifer Zugriff auf bestimmte Daten hat, ist es möglich, dass er sie über das Protokoll unbemerkt hinausschleust.

Hat ein Unternehmen festgelegt, welche Anwendungen es zulässt, muss zudem sichergestellt sein, dass weitere Applikationen, die mit den legitimierten Anwendungen integrierbar sind, gesichtet werden. Unzählige Applikationen von Drittanbietern interagieren mit Cloud-Storage-Anwendungen wie Dropbox und Box, doch wenn diese nicht identifiziert werden, können sie eine Bedrohung für das Unternehmen darstellen.

Risiken von Schatten-IT durch Sicherheitstechnologien eindämmen

Entsprechende Sicherheitstechnologien geben IT-Teams wertvollen Einblick in Unternehmensanwendungen, auch in die nicht genehmigten. Beispielsweise kann eine datenzentrierte Security-Software Administratoren Sicht auf die durch ihr System fließenden Daten ermöglichen und unautorisierte Anwendungen an der Ausführung hindern. Sensible Unternehmensdaten werden klassifiziert, kontinuierlich überwacht und kontrolliert, sowohl auf Endgeräten, im Netzwerk sowie in der Cloud. Zudem bieten diese Software-Tools verhaltensbasierte Erkennungswerkzeuge, um Bedrohungen wie Ransomware, polymorphe und Fileless Malware sowie verdächtige Datenbewegungen zu entdecken und zu blockieren.

Darüber hinaus tragen entsprechende Sicherheitstechnologien dazu bei, Mitarbeiter zu schulen, indem sie Nutzer benachrichtigt, sobald diese versuchen, Anwendungen zu öffnen, die nicht erlaubt sind oder gegen Unternehmensrichtlinien verstoßen. Im Laufe der Zeit können diese Warnmeldungen helfen, Mitarbeiter weiterzubilden und potenziell risikoreiches Verhalten zu verhindern.

Weitere Information zum Thema:

datensicherheit.de, 16.09.2018
Fünf Maßnahmen gegen die mobile Schatten-IT

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

datensicherheit,de, 11.08.2018
Die dunklen Seiten der betrieblichen Schatten-IT

[datensicherheit.de, 16.09.2018] Mobile Schatten-IT ist zu einer Herausforderung für die Unternehmens-IT geworden: Mitarbeiter nutzen nicht genehmigte Geräte und Apps und kümmern sich dabei wenig um rechtliche Regelungen, Sicherheitsvorschriften oder Compliance-Vorgaben. Virtual Solution zeigt, was Unternehmen gegen den Wildwuchs tun können.

Die Schatten-IT ist für Unternehmen schon immer ein Problem gewesen: Waren es früher vor allem persönliche Excel-Sheets oder Datenbanken, die eine weitgehend unkontrollierte und nicht autorisierte IT-Struktur bildeten, so geht es mittlerweile mehr und mehr um mobile Systeme und Anwendungen. Smartphones und Tablets werden von Mitarbeitern an den Vorschriften der Unternehmens-IT vorbei genutzt. Sie verwenden Apps wie WhatsApp und Evernote oder Fileshares wie Dropbox oder Google Drive auch für ihre beruflichen Aufgaben.

Solche unkontrollierten Systeme stellen Unternehmen nicht zuletzt vor rechtliche Herausforderungen, denn die Einhaltung von Be­stimmungen zum Datenschutz, zum Urheberrechtsschutz oder zu Aufbewahrungspflichten ist in keiner Weise sichergestellt. Darüber hinaus stellen sie eine ständige Gefahr für die IT-Sicherheit dar, weil Angreifer über unzureichend gesicherte mobile Anwendungen leichten Zugang zur Unternehmens-IT finden könnten.

Virtual Solution gibt Empfehlungen, was Unternehmen gegen die mobile Schatten-IT tun können:

1. Mitarbeiter informieren: Die Sorglosigkeit von Mitarbeitern beim Umgang mit Smartphones und Tablets beruht vielfach auf Wissensdefiziten, beispielsweise hinsichtlich rechtlicher Implikationen; erst wenn Mitarbeiter umfassend informiert sind, welche Probleme die Nutzung von nicht autorisierten Apps mit sich bringt, kann erwartet werden, dass sie sorgsamer damit umgehen.
2. Von Mitarbeitern lernen: Unternehmen sollten sich gut anschauen, welche Apps Mitarbeiter privat nutzen. Daraus können sie lernen, welche Funktionalitäten benötigt werden und welche die Unternehmens-Anwendungen nicht zur Verfügung stellen; wenn „offizielle“ Alternativen verfügbar sind, verringert sich das Risiko durch mögliches Fehlverhalten der Mitarbeiter.
3. Abteilungen einbeziehen: Mittlerweile entscheiden viele Abteilungen selbst, welche Tools sie nutzen. Unternehmen sollten sicherstellen, dass IT und Fachabteilungen eng zusammenarbeiten, so dass sinnvolle Apps bereit gestellt und dabei auch Sicherheitsstandards eingehalten werden. IT- und Compliance-Verantwortliche dürfen dabei nicht als „Bremser“ fungieren, sondern als konstruktive Business-Enabler.
4. Infrastruktur-Zugriffe steuern: Unternehmen müssen genau definieren, welche App auf welche internen Ressourcen oder Cloud Services zugreifen dürfen. Sie müssen zum Beispiel festlegen, welche E-Mail-App auf den Exchange- oder Office365-Server zugreifen darf; nicht autorisierte Apps dürfen keinen Zugriff bekommen.
5. Richtige Apps zur Verfügung stellen: Bei der Auswahl zugelassener Apps sind Sicherheit und Kompatibilität mit der stationären IT wichtig. Dennoch hat auch die Usability einen hohen Stellenwert. Nur wenn die Nutzer mit den Apps zufrieden sind und ihre Arbeit problemlos erledigen können, werden sie nicht auf die Suche nach Schatten-Apps gehen.

„Das Grundproblem der Schatten-IT sind nicht die uneinsichtigen Nutzer, sondern die IT-Entscheider, die die Bedürfnisse der Mitarbeiter zu wenig berücksichtigen“, erklärt Günter Junk, CEO der Virtual Solution AG in München. „Sie wollen in der Regel produktiv arbeiten, Schatten-IT ist daher immer auch ein Stück praktizierte Kritik; das sollte die Unternehmens-IT sehr ernst nehmen und in Zukunft die Anforderungen der Mitarbeiter mehr in den Mittelpunkt stellen.“

Weitere Informationen zum Thema:

Virtual Solution
Mobiles Arbeiten, einfach und sicher mit SecurePIM

 datensicherheit.de, 11.08.2016
Die dunklen Seiten der betrieblichen Schatten-IT

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

[datensicherheit.de, 14.08.2018] In der modernen Arbeitswelt müssen Organisationen ihren Mitarbeitern einen schnellen und störungsfreien Zugriff auf Ressourcen über kabelgebundene, drahtlose und mobile Netzwerke hinweg zur Verfügung stellen. Das Problem dabei: Cyberkriminelle nutzen diese unterschiedlichen Vektoren, um ausgeklügelte Angriffe – z. B. verschlüsselte und Zero-Day-Angriffe – zu starten.

Unternehmen droht Kontrollverlust

Auch in Umgebungen mit geografisch verteilten Mitarbeitern, die drahtlose und mobile Netzwerke für Cloud-Services nutzen, können Organisationen schnell die Kontrolle über die Daten verlieren. Unterbrechungen beim Zugriff führen zu Produktivitätsverlusten und Lücken im Sicherheitskonzept der Organisation und begünstigen darüber hinaus die Schatten-IT.

In der Kurzdastellung „Warum eine umfassende Sicherheit beim drahtlosen und mobilen Zugriff essenziell ist“ von SonicWall sind Empfehlungen zur Erkennung und Verhinderung von Cyberangriffen auf kabelgebundene, drahtlose und mobile

Weitere Informationen zum Thema:

SonicWall
 „Kurzdastellung: Warum eine umfassende Sicherheit beim drahtlosen und mobilen Zugriff essenziell ist“

datensicherheit.de, 06.08.2018
Sicherer Zugang zu öffentlichen WLANs

datensicherheit.de, 30.07.2018
Datensicherheit im Urlaub und auf Reisen

datensicherheit.de, 25.10.2016
WLAN-Sicherheit: Kosten durch kostenlose Zugänge auf Geschäftsreisen

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

datensicherheit.de, 20.07.2017
BITKOM gibt Sicherheitshinweise zur Handy-Nutzung im Sommerurlaub

[datensicherheit.de, 05.11.2014] Die Sicherheitsbedrohungen für unternehmenskritische Daten werden immer komplexer. Ganzheitliche Sicherheitskonzepte seien deshalb unerlässlich, so Absolute Software, ein  Anbieter von Lösungen zur Verwaltung und zum Schutz von Computern und mobilen Geräten. Das Unternehmen nennt vier Grundvoraussetzungen, die erfüllt sein müssen, um das Sicherheitsniveau zu erhöhen.

Unachtsamkeit der Mitarbeiter, Cyber-Attacken, verlorene oder gestohlene mobile Geräte: die Gefahren für vertrauliche Unternehmensdaten lauere an sehr vielen Stellen. Wirkungsvollen Schutz böten nur umfassende, durchgängige Sicherheitsstrategien und -lösungen, die interne und externe Gefahren gleichermaßen berücksichtigen.

Vier Punkte sind dabei nach Absolute Software besonders wichtig:

1. Verwaltung der mobilen Geräte
   Mobiles Arbeiten, BYOD-, CYOD- und COPE-Modelle: großartig für die Effizienz, aber gefährlich für die Daten. Denn klar ist: Mobile Geräte, die auch unterwegs genutzt werden, gehen leichter verloren als stationäre Rechner. Und wenn das passiert, bieten Smartphones, Tablets oder Notebooks ein leicht zu nutzendes Gateway für den Zugriff auf das Unternehmensnetz und damit auch auf kritische Daten. Deshalb ist es für jedes Unternehmen erforderlich, Lösungen zu finden, die die Sicherheit der mobilen Geräte gewährleisten. Es bieten sich zum Beispiel spezielle, zentral verwaltete Applikationen an, die eine Remote-Datenlöschung im Falle des Verlustes oder Diebstahls eines mobilen Gerätes ermöglichen.
2. Berücksichtigung aller installierten Apps
   Die App-Nutzung nimmt auf breiter Front zu und auch Apps stellen eine potenzielle Bedrohung für die Sicherheit der Unternehmensdaten dar. Sie sind zum Beispiel gefährlich, wenn sie Daten in nicht überwachten Repositories speichern oder wenn ein Download aus unsicheren Quellen erfolgt, denn Apps mit versteckter Malware sind heute bei Weitem keine Ausnahme mehr. Der einzige „sichere“ Weg ist die Konzeption und Umsetzung einer Sicherheitsstrategie, die auch alle genutzten Apps berücksichtigt. Konkrete Lösungswege sind zum Beispiel eine zentrale Verwaltung aller Apps der mobilen Geräte oder die Erstellung von Blacklists für potenziell gefährliche Anwendungen. Wichtig ist außerdem, dass das Unternehmen selbst entsprechende Apps anbietet, die die Anforderungen der Nutzer erfüllen. Für Mitarbeiter besteht dann deutlich weniger Bedarf für die Installation von Fremd-Apps – und das Unternehmen beugt so einer Schatten-IT vor.
3. Einweisung der Mitarbeiter
   Ein Viertel aller Mitarbeiter glaubt gemäß einer Studie von Absolute Software nicht, dass die Sicherheit der Unternehmensdaten in ihrem Verantwortungsbereich liegt (1). Das heißt: Für Unternehmen geht es nicht nur darum, Lösungen zum Schutz der Daten einzusetzen, sondern auch darum, die „Schwachstelle“ Mitarbeiter zu beseitigen. Zunächst muss gewährleistet sein, dass sie über die genutzten Sicherheitsmaßnahmen und deren Möglichkeiten informiert sind. Zudem ist es erforderlich, dass Mitarbeiter über ihre Verantwortlichkeiten aufgeklärt und für alle potenziellen Sicherheitsrisiken sensibilisiert sind.
4. Umsetzung ganzheitlicher Sicherheitskonzepte
   Die Gefahrenquellen für unternehmenskritische Daten können unterschiedlicher nicht sein: sie reichen von Malware bis zu menschlichen Fehlern. Alle potenziellen Gefahren müssen deshalb bei der Ausarbeitung einer Sicherheitsstrategie berücksichtigt werden. Das heißt zum Beispiel auch, dass es nicht nur um externe Cyber-Attacken geht, denen mit einem Perimeter-Schutz vorgebeugt werden kann. Ebenso wichtig ist es, dass die Datenzugriffsmöglichkeiten jedes einzelnen Mitarbeiters auf den Prüfstand kommen und jedes einzelne Gerät – auch ein privates –, das im Unternehmen beruflich genutzt wird, in die Sicherheitsbetrachtungen einbezogen wird.

„Für die vielfältigen Sicherheitsgefahren, mit denen Unternehmen heute konfrontiert sind, gibt es eine große Bandbreite von Lösungen. Zentrales Problem für IT-Verantwortliche ist dabei, dass unterschiedliche Lösungen auch zu einer aufwändigen, zeitintensiven Verwaltung führen“ erklärt Margreet Fortuné, Systems Engineer Team Leader EMEA bei Absolute Software.

„Genau diese Herausforderung hat auch Absolute Software aufgegriffen und zum Beispiel vor Kurzem mit der neuen Version Absolute Manage 6.6 eine Management- und Sicherheitslösung auf den Markt gebracht, die nicht nur mobile Geräte wie Tablets oder Smartphones, sondern auch Mac- und Windows-Rechner unterstützt. IT-Abteilungen wird damit eine komfortable, zentralisierte Verwaltung aller eingesetzten Endgeräte ermöglicht, auch im Hinblick auf unterschiedlichste Geräte- und Betriebssystemvarianten.“

(1) Ergebnis der Ende 2013 von Absolute Software durchgeführten Studie „Mobile Enterprise Risk Survey“, an der sich in Deutschland 750 Mitarbeiter größerer Unternehmen beteiligten.–

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft