Embed Size (px)
Citation preview
I
Security
extra
Eine
Son
derv
eröf
fent
lichu
ng d
er H
eise
Med
ien
GmbH
& C
o. K
G Sicherheitstrends unter der LupeThreat Intelligence – Intelligenz zum Erkennen von Bedrohungen
Den Feind sehenSeite II
Industrie 4.0 und Informationssicherheit
Smart, schnell, unsicherSeite VI
Informationen sichern mit IRM
Integrierter SchutzSeite VIII
Attacke auf mobilen Life- und Workstyle
BYOD mit BedachtSeite X
Oktober2015
Security
Unterstützt von:
iX extra zum Nachschlagen:www.ix.de/extra
Geht es um gezielte Angrif-fe beziehungsweise APTs,so kommen unter dem
Schlagwort „Advanced ThreatProtection“ (ATP) meist Anbietertechnischer Lösungen zum Er-kennen solcher APTs zur Spra-che. Für Organisationen, die be-reits ein Computer EmergencyResponse Team (CERT) oder garein Security Operations Center(SOC) beziehungsweise CyberDefense Center aufgebaut ha-ben, spielen Informationen überdie Angreifer, ihre Motivation,Ziele, Werkzeuge und typischenVorgehensweisen eine großeRolle. Wer rechtzeitig im Besitz
solcher Informationen ist, kanneinen Angriff möglicherweiseverhindern oder ihn zumindestfrüher und effizienter erkennen.Wird ein Unternehmen tatsäch-lich Opfer einer Cyberattacke,sind solche Details äußerst wert-voll, um den Einbruch bezie-hungsweise das Ausmaß derKompromittierung erkennenund sinnvolle Gegenmaßnah-men ergreifen zu können. DerFachbegriff, der sich für dieseArt von Informationen etablierthat, lautet Threat Intelligenceoder auch Cyber Intelligence.
Threat Intelligence entstehtbeispielsweise, wenn ein Angriff
erkannt und analysiert wurde:Aus der Analyse der Kommuni-kation lassen sich die IP-Adres-sen sogenannter Command-and-Control-Server (C&C),verwendete Protokolle, Portsund Domainnamen sowieHashwerte verwendeter Mal -ware und ihre Spuren auf derFestplatte beziehungsweise in der Registry ableiten. Manspricht in diesem Zusammen-hang von „Indicators of Compro-mise“ (IoCs), das heißt Indikato-ren, die auf ähnliche Angriffeschließen lassen und anhandderer „Tactics, Techniques, Pro-cedures“ (TTPs) bestimmterGegner zu erkennen sind.
Typische Produkte zum Er-kennen gezielter Angriffe er -zeugen damit zumindest tech -nische Threat Intelligence –beispielsweise während einerSandbox-Analyse – und sie kon-sumieren einfache Bedrohungs-intelligenz, wenn sie bei derAnalyse eines Downloads diePrüfsumme des heruntergelade-nen Objekts mit einer Liste be-kannter Malware vergleichenoder die Reputation der Domaindes Quellservers abfragen. Diemeisten Hersteller ermöglichendaher einen automatischen Aus-tausch von Threat Intelligence
zwischen ihren verschiedenenKunden.
Aber auch Threat Intelli-gence selbst hat sich zum Pro-dukt entwickelt: Einige Anbie terverkaufen Informationen, die sie selbst beschafft, analysiertund bewertet haben. Sie stam-men aus Untersuchungen fürKunden oder aus dem Betriebgroßer IT- und Sicherheitsinfra-strukturen ihrer Anwender.
Für diese Angebote betrei-ben einige Anbieter weltweiteNetzwerke mit Intrusion-De-tection-Sensoren und Honey-pots. Sogenannte Spam Lures(Köder) sind nur dazu da, mög-lichst viele Spam- und Phishing-Mails zu empfangen und dannzu analysieren. Die Analyse undAuswertung solcher Systemelässt sich teilweise automatisie-ren, beispielsweise das Verfol-gen der Links in Phishing-Mailsnebst Abgleich der Zielsystememit schon bekannten Malware-Sites und -Domains.
Die in den Links angesteuer-ten Webserver wiederum kön-nen automatisch durchsuchtund die gefundenen Binärdatei-en in einen automatischen Mal-ware-Analyseprozess einge-bracht werden. Hier lassen sichzumindest bereits bekannteSchadprogramme oder derenVarianten von völlig neuentrennen und eine Voranalysevon Samples in Sandboxen be-ziehungsweise auf virtuellenMaschinen anstoßen.
So entsteht Reputation
Eine wesentliche Rolle spielenjedoch kompetente Analysten,die manuell vertiefende Unter-suchungen durchführen und Be-richte schreiben. Als zusätzlichesProdukt bei solchen Analysenentstehen Listen mit IP-Adres-sen und Domains, die mit einerReputation versehen werdenkönnen. Diese Listen lassen sichdann automatisch oder manu ellin Web- und Spamfilter der Kun-den integrieren.
Bei vielen Anbietern vonThreat Intelligence stehen dieInformationsbeschaffung unddie Analyse zum Verkaufszweckgar nicht im Fokus des Unter-nehmens: Es handelt sich eher
II iX extra 10/2015
Security
Den Feind sehenThreat Intelligence – die Intelligenz zum
Erkennen von Bedrohungen
Hersteller von Produkten gegen gezielte An-griffe verweisen in den meisten Fällen aufThreat Intelligence, die darin enthalten ist.Diese ist jedoch weit mehr als nur ein Be-triebsstoff für Lösungen zum Schutz vor „Ad-vanced Persistent Threats“ (APT).
Threat Intelligence als Service liefert unter anderem ein genaues Bild der Beziehungen zwischen IP-Adressen, Domänen und weiteren Informationen, damit man etwa einen Infektionswegnachvollziehen kann.
Que
lle: P
ater
va
um ein „Abfallprodukt“, das dadurch entsteht, dass der An -bieter den Betrieb von Sicher-heitssystemen für Kunden alsManaged Service verkauft unddabei auch immer wieder Vor-fälle untersuchen muss. Ähnlichverhält es sich bei Firmen, diesehr aktiv im Bereich IncidentResponse und Forensik sind undbei denen die Ergebnisse derAnalysen teilweise in veröffent-lichte Berichte einfließen.
Andere Anbieter beschaffensich über ein weltweites Netzan Mitarbeitern mit Kenntnis-sen der jeweiligen Sprachen
und Gepflogenheiten Informa-tionen, indem sie Gruppierun-gen aus der Hacker-Welt oderauch kriminelle Vereinigungenüberwachen. Die Analysten ver-suchen auf diese Weise, die re-levanten Informationen direktvon der Quelle zu bekommenund nicht erst, wenn ein Vorfallerkannt und technisch analy-siert wurde. Die Methoden äh-neln denen eines klassischenNachrichtendienstes. Entspre-chend enthalten die Analysendeutlich mehr Hintergrundinfor-mationen und Kontext als beiAnbietern, die ihre Informatio-
nen vorrangig aus forensischenUntersuchungen nach einemVorfall ableiten.
Wenn eine Hacker-Gruppeeinen Angriff auf eine bestimm-te Branche oder Region plant,werden diese Erkenntnisse denKunden des Anbieters frühzeitigzur Verfügung gestellt. Hinzukommt eine Einschätzung vonAnalysten über die tatsächlicheGefährdung, die Fähigkeitenund die typische Vorgehenswei-se der jeweiligen Gruppe. Um-fassende technische Details undIoCs werden jedoch ebenfallsbereitgestellt.
Fazit
Threat Intelligence ist zumin-dest für die meisten deutschenUnternehmen und Organisa -tionen noch ein neues Thema. In Anbetracht der immer pro-fessioneller werdenden An -griffe, die sich kaum noch verhindern lassen, wird es zu-nehmend wichtiger, Einbrüchezu erkennen und angemessendarauf reagieren zu können.Threat Intelligence ist dabei eine wichtige Komponente. (ur)
Stefan StrobelGeschäftsführer cirosec GmbH
IV iX extra 10/2015
Security
Produkte und Dienstleistungen auf der Basis von Threat Intelligence In Sicherheitsprodukte integrierte Threat IntelligenceHersteller Produkt WebseiteBit9 Threat Intelligence Cloud www.bit9.com/solutions/threat-intelligence-cloudBlue Coat Intelligence Center https://www.bluecoat.com/products/intelligence-centerBrightPoint Sentinel https://www.brightpointsecurity.comCheck Point ThreatCloud IntelliStore www.checkpoint.com/products/threatcloud-intellistoreFortinet FortiGuard www.fortinet.com/solutions/advanced-threat-protection.htmlJuniper Spotlight Secure www.juniper.net/us/en/dm/security-intelligenceLogRhythm LogRhythm Labs https://www.logrhythm.comMcAfee GTI www.mcafee.com/de/threat-center/technology/global-threat-intelligence-
technology.aspxSymantec DeepSight www.symantec.com/deepsight-productsTipping Point DVLabs www8.hp.com/us/en/software-solutions/dvlabs-security-threat-intelligence/
index.htmlThreat Quotient Threat Q www.threatq.com/our-productTrend Micro Deep Discovery www.trendmicro.de/grossunternehmen/cyber-sicherheit/index.htmlTrustPort Threat Intelligence www.trustport.com/en/enterpriseVectra Networks Vectra www.vectranetworks.com/productEigenständige Produkte/ServicesAlienVault Labs OTX www.alienvault.com/who-we-are/alienvault-labsAnubis Networks Cyberfeed www.anubisnetworks.com/products/threat-intelligenceBAE CyberReveal www.baesystems.comBinary Defense Systems Threat Intelligence https://www.binarydefense.com/threat_intelligence/Booz Allen Hamilton Cyber4Sight www.boozallen.com/consulting/view-our-work/48383297/anticipating-
threats-with-cyber4sightBT Cyber Threat Intelligence www.globalservices.bt.com/uk/en/products/cyber-threat-intelligenceCisco/ThreatGrid Managed Security Services www.threatgrid.comCrowdstrike Falcon Intelligence www.crowdstrike.com/products/falcon-intelligenceCyberX Threat Intelligence Platform cyberx-labs.com/technologyCyveillance Cyber Threat Center www.cyveillance.com/home/cyveillance-services/cyveillance-
cyber-threat-centerFireEye Mandiant www.fireeye.com/products/dynamic-threat-intelligence.htmlIBM X-Force www-03.ibm.com/software/products/de/x-force-threat-intelligenceIID Threat Intelligence internetidentity.com/threat-intelligence iSight Partners ThreatService www.isightpartners.com/products/threatserviceKaspersky Labs Security Intelligence Services www.kaspersky.com/enterprise-it-security/security-intelligence-servicesPalo Alto AutoFocus media.paloaltonetworks.com/lp/autofocus/?ts=autofocusPixalate Intelligence Service www.pixalate.com/global-threat-intelligenceProofpoint Emerging Threats www.emergingthreats.net/threat-intelligenceRadar Services Advanced Cyber Threat Detection www.radarservices.com/de/services/advanced-cyber-threat-detection Recorded Future Web Intelligence Engine www.recordedfuture.com/products/RSA FirstWatch www.emc.com/emc-plus/rsa-thought-leadership/firstwatch/index.htmSecureWorks Intelligence Services www.dellsecureworks.de/intelligence-services/threat-intelligenceSolutionary Threat Reports www.solutionary.com/threat-intelligenceThreat Track ThreatIQ www.threattracksecurity.com/enterprise-security/threat-intelligence.aspxVerisign iDefense www.verisign.com/en_US/security-services/security-intelligence/index.xhtmlDie Übersicht erhebt keinen Anspruch auf Vollständigkeit.
Den Begriff Industrie 4.0 rief diedeutsche Bundesregierung ins Le-ben. Dabei handelt es sich um die
Vision einer vierten industriellen Revolu-tion, die sich in erster Linie auf die Infor-matisierung der Fertigungstechnik undder Logistik beziehen soll. Ein zentralesKonzept dieser Vision ist das Internet derDinge. Alle Objekte von Kühlschrankund Fabrikroboter bis zu ganzen Fabri-ken werden „smart“, das heißt intelligent,und können untereinander Informatio-nen austauschen. Der Verbund von her-kömmlichen Objekten mit Minicompu-tern wird als cyber-physisches System(kurz CPS) bezeichnet.
Diese Systeme kommen in der „SmartFactory“, der intelligenten Fabrik, zumEinsatz. Smarte Objekte interagieren mitHightech-Maschinen auch über die Fa-brikstandorte hinweg. Ziel ist es, fertigeProdukte aus der Fabrik zu erhalten, de-ren Herstellungsprozess sich selbst orga-nisiert, ohne dass der Mensch eingreift.Dazu kommunizieren die Maschinen mitden Fertigungskomponenten.
Die intelligente Logistik entlang dergesamten Wertschöpfungskette vom Zu-lieferer bis zum Endkunden ist das weite-re Ziel der Industrie 4.0. Zulieferungenwie das Lämpchen im Kühlschrank oderLebensmittel, die über dessen Schnitt-stelle zum Internet geordert wurden,kommen nicht nur just in time zum rich-tigen Empfänger, sondern auch Para -meter wie Stückzahl und Reihenfolge der Zulieferungen sind konfigurierbar.Die intelligente Fabrik organisiert ihrenNachschub selbst. Das ist günstiger undgleichzeitig werden nur die Dinge herge-stellt, für die am Ende eine Nachfragebesteht. Was auf den ersten Blick perfektklingt, birgt aber noch eine Reihe vonzum Teil bekannten, aber auch neuen He-rausforderungen. Datenschutz ist einerdieser Aspekte, Vorgaben für das Big-Da-ta-Management und die zukünftige Aus-
gestaltung des Internets hinsichtlich Aus-bau der Netzinfrastruktur mit Breitband-internet und Netzneutralität, der diskrimi-nierungsfreie Zugang zum Netz, sindweitere.
Das Gefährdungspotenzial ist bereitsheute enorm und die Berichte über Bedro-hungen durch Cyberattacken auf Indus-trieanlagen häufen sich. Diese Angriffestellen auch eine massive Gefahr für dieSicherheit der kostbaren Daten dar. Be-sonders die Industriebereiche, die direktoder indirekt mit kritischen Infrastrukturenzusammenhängen, zum Beispiel die Energie- und Wasserwirtschaft, die phar-mazeutische Industrie und die Gesund-heitsversorgung, wären bei einer totalenDurchdringung mit cyber-physischen Sys-temen à la Industrie 4.0 sehr verletzlich.
Bedrohungen aufverschiedenen EbenenDas Bundesamt für Sicherheit in der In-formationstechnik (BSI) unterscheidet indiesem Zusammenhang zwischen organi-satorischen Gefährdungen, menschlichenFehlhandlungen und vorsätzlichen Hand-lungen. Unzureichende Regelungen, man-gelndes Bewusstsein (Aware ness) für dieCybersicherheit und unzureichende Doku-mentation aller eingesetzten technischenKomponenten zählen zur ersten Gruppe,den organisatorischen Bedrohungen.Menschliche Fehlhandlungen sind etwaunsichere Konfigurationen von Kompo-nenten, fehlende Backups, unzureichendeValidierung von Eingaben und Ausgaben.Vorsätzliche Handlungen wie Brute-Force-Attacken, Denial-of-Service-Angriffe odereingeschleuste Schadsoftware komplet-tieren eine Gefährdungsanalyse. Für dasmassive Speichern, Versenden und Wei-terverarbeiten von Informationen reichenbisherige auf Safety (funktionale Sicher-heit) ausgelegte Anforderungen nichtmehr aus.
iX extra 10/2015
Security
Smart, schnell, unsicherIndustrie 4.0 und Informationssicherheit
Unter dem Schlagwort Industrie 4.0 treffen zwei Weltenaufeinander, die bislang weitgehend getrennt waren undsich unterschiedlich schnell entwickelten: schwerfällige Industrie auf der einen, Hypertextprotokoll nebst darübertransportierbaren Webanwendungen auf der anderen Seite.Doch noch gibt es Hürden bei der Umsetzung.
Ein Überblick über die Archi-tektur der Kommunikationsver-bindungen, die zu übermitteln-den Daten, die eingesetztendrahtgebundenen oder drahtlo-sen Übertragungstechniken unddie eingesetzten Kommunika -tionsprotokolle ist kaum mög-lich. Dementsprechend kompli-ziert ist die Absicherung derKommunikation. Mit der stei-genden Anzahl smarter Objek-te, die miteinander kommuni-zieren, steigt auch die Zahl dermöglichen Kommunikationsver-bindungen annähernd exponen-tiell. Zudem sind so viele ver-schiedene Objekte im Einsatz,dass deren sichere Konfigura -tion äußerst schwierig wird.
Die für Industrie 4.0 geeig-neten mächtigen Protokolle wieOPC UA sollen umfangreicheKommunikationsmöglichkeitenüber alle Netze bieten. Gleich-zeitig müssen aber Kommunika-tionspakete durch Firewalls undweitere Sicherheitstechnologiengegen Manipulation und Zugriffunberechtigter „Mithörer“ abge-sichert werden.
Vorhandene oder noch zuentwickelnde Standards zurKommunikation und Steuerungvon Maschinen bauen auf denaltbekannten üblichen Verdäch-tigen auf, beispielsweise XML,SOAP, TLS et cetera. Viele histo-risch ungelöste Sicherheitspro-bleme existieren somit weiter-hin: Zum Beispiel kann einAngreifer relativ einfach Schad-code in XML-Datenpakete ein-betten.
Industrielle Steuerungssys -teme in Fabriken sind heute mitklassischen IT-Netzen von Un-ternehmen verbunden. Bei-spielsweise baut das ERP-Sys-tem zur RessourcenplanungVerbindungen vom Unterneh-mensnetz zum Fabriknetz auf.Gleichzeitig ist es aber auch mitdem Internet verbunden. Si-cherheitslücken bei der konse-quenten Netztrennung führenhier zu realen Angriffsszenarienaus dem Cyberraum. Traditio-nell sind industrielle Steue-rungsanlagen für isolierte Insel-Netze ausgelegt und nicht fürvernetzte Systeme, in denen siealso erst einmal potenziell unsi-cher sind.
Es gibt aber auch techni-sche und organisatorische An-sätze, die Probleme zu lösenoder zumindest die Gefährdun-gen zu reduzieren. Durch Ein-führung eines Informationssi-cherheitsmanagements kannman ein höheres Sicherheitsni-veau erreichen. Im Mittelpunktstehen dabei die SchutzzieleVertraulichkeit, Integrität undVerfügbarkeit der Daten. Mit-hilfe eines Managementsys-tems nach ISO 27001 kannman die Risiken minimieren,die sich aus Gefährdungen wieDatendiebstahl, -manipulationoder weiteren Angriffen auf dieDaten und Systeme ergeben.
Basissicherheit „By Design“Ein erster Schritt in RichtungEtablierung solcher Basisinfra-strukturen ist das neue Sicher-heitsgesetz, das seit Ende Juli inDeutschland gilt (siehe S. 104).Der deutsche Sicherheitsstan-dard ISO 27001 auf Basis vonBSI IT-Grundschutz ermöglichtmit seinen Maßnahmenkatalo-gen ebenfalls ein gutes Sicher-heitsniveau. Sie beinhalten eineallgemeine Risikoanalyse fürgenerische IT-Objekte (zum Bei-spiel Gebäude, Server, WLANoder Anwendungen) sowie Ge-genmaßnahmen zu Gefährdun-gen. Zukünftig könnten neueMaßnahmenkataloge etwa fürWerks hallen, Leitstände odercyber-physische Systeme er-stellt und vorhandene Maßnah-menkataloge angepasst oder er-gänzt werden, etwa für Patch-und Änderungs- oder Netz- undSystemmanagement.
Essenziell ist eine effektiveKontrolle der Kommunikation –jegliche unerwünschte ist zuverhindern. Verschlüsselungund das Signieren von Datenpa-keten per https oder ganzenKommunikationskanälen mitVPN sind hier die Optionen. In-tegriert man diese Sicherheits-maßnahmen von Anfang an indas Design, hat man wenigermit „alten“ Problemen der Inter-netwelt zu kämpfen. (ur)
Andreas Floßist Senior Consultant bei
Hisolution
iX extra 10/2015
Security
iX extra 10/2015
Lange Zeit bedeutete Infor-mationssicherheit Schutzder Infrastruktur der Infor-
mationen. Dabei ging es umdas Gerät, auf dem die Datengespeichert sind, das Netzwerk,in dem sie bewegt werden, so-wie die Anwendung, die sieverarbeitet. Diese auf die In -frastruktur ausgerichtete Secu-rity war nicht immer erfolg-reich, wie die Berichte über die Millionenverluste durch Da -tendiebstähle zeigen. Darüber hinaus entspricht sie den heu tigen Anforderungen der Firmen nicht mehr, denn sieschränkt die unternehmens-übergreifende Online-Zusam-menarbeit mit Partnern, Zulie-ferern, Kunden und anderenDritten ein.
Ansätze, die sich auf die Si-cherheit der Netzwerkgrenze(Perimeter) konzentrieren, ent-lang derer die Informationenverteilt werden könnten, laufenper Definition dem „grenzenlo-sen“ Information Sharing entge-gen – abgesehen davon, dassPerimeter mittlerweile ein rechtschwammiger Begriff gewordenist, den Trends wie Cloud-Com-puting, Virtualisierung und BYOD (Bring Your Own Device)aufgeweicht haben.
Produkte, die auf die Sicherheit der Informations spei -cher orte oder Repositories aus gerichtet sind, wenden Zu-gangskontrollmechanismen aufOrdner an beziehungsweise bie-ten Authentifizierung und Auto-risierungs-Frameworks für kolla-
borative Umgebungen und Ge-schäftsanwendungen. Sie küm-mern sich jedoch nicht um dieTatsache, dass autorisierte Nut-zer Informationen kopieren kön-nen und viele AnwendungenKopien etwa über Mail verteilen.Jeder Speicherort (Ordnerfreiga-ben, Anwendungs-Repository,Collaboration-System, Wechsel-medien und so weiter) und je derPerimeter hat seine eigenen Si-cherheitseinstellungen und -mo-delle. Daher erhalten die Infor-mationen einen inkonsistentenSchutz.
IRM istinformationszentrischDiese Defizite hinsichtlich derheutigen Kommunikations- undKollaborationsbedürfnisse in derGeschäftswelt sollen aus demWeg geräumt werden, indem inden Mittelpunkt der Schutz-maßnahmen die Informationselbst tritt. Das bedeutet konse-quenterweise, dass die Informa-tionen in Form von Dokumentenjeglichen Formats (.docx, PDF etcetera) ihre Schutzmaßnahmenimmer mitnehmen, sodass diesein jeder Situation greifen.
Information Rights Manage-ment (IRM) ist Analysten wieMartin Kuppinger zufolge dieam besten geeignete Möglich-keit, informationszentrische Sicherheit zu bewerkstelligen.IRM stellt ein Set unterschiedli-cher Techniken und Methodenzur Verfügung, die vertrauliche
Informationen schützen, undzwar laut Kuppinger als einzigerAnsatz unabhängig davon, wosie sich befinden – innerhalboder außerhalb der Unterneh-mensgrenzen oder im Transit –und ob sie im Speicher liegenoder gerade genutzt werden.
IRM-Produkte bringen üblicherweise eine Reihe be-stimmter Funktionen für ihreSchutzaufgaben mit. Einegrundlegende Fähigkeit derTools ist die Verschlüsselungder zu schützenden Informatio-nen in der Datei, sodass nur der-jenige darauf zugreifen kann,der dafür autorisiert ist. Diemeisten IRM-Lösungen sindheutzutage auf Dokumente(Textverarbeitung, PDF, Spread -sheets et cetera) und E-Mailsausgerichtet. Unterstützt einWerkzeug ein bestimmtes For-mat nicht, gibt es die Möglich-keit, einen Wrapper um die Da-tei zu legen. Allerdings ist dannder Zugang auf „gestatten“ oder„verbieten“ beschränkt.
Die Datei erhält des Weite-ren Kontroll-Policies, die die Zu-gangsberechtigungen festlegen,also wer die Daten für welchenZweck wo und wann verwendendarf. Diese autorisierten Nutzererhalten spezifische Rechte fürdie Aktionen, die sie mit der Da-tei durchführen dürfen – etwaDrucken, Editieren, Kopierenoder Herunterladen.
Neben dem Rechtemanage-ment kann man der Datei auchdie Entschlüsselungs-Keys bei-fügen. In dem Fall erfolgt derZugriff auf die Informationenüber bestimmte für das IRM-Tool, das diese Richtliniendurchsetzt, aktivierte Client-Anwendungen. Als Alternativewerden die Keys in einer zen -tralen Datenbank auf einemIRM-Server vorgehalten. Die Zu gänge lassen sich auch aufvordefinierte Zeiträume festle-gen, wenn es sich etwa umGastberechtigungen handelt.
Nutzerverwaltung über das ADBeim Nutzermanagement bie-ten die meisten IRM-Herstellereine Integration in MicrosoftsAzure Active Directory oder
IntegrierterSchutzInformationen sichern mit IRM
In Zeiten, in denen eine Netzwerkgrenze nicht mehr auszumachen ist und Daten firmenübergreifend genutzt werden sollen,tritt Information Rights Management mit demAnspruch an, Daten und geistiges Eigentumzu schützen. Im Mittelpunkt der Sicherheitsteht dabei das Dokument selbst.
Anbieter von IRM-ProduktenHersteller Produkt WebseiteAdobe LiveCycle Rights Management www.adobe.comCovertix SmartCipher www.covertix.comDeep Secure Cyber Security Guards www.deep-secure.comFasoo Secure Document www.fasoo.comGigaTrust GigaTrust www.gigatrust.comIntralinks Intralinks VIA www.intralinks.com/deLockLizard LockLizard www.locklizard.comMicrosoft Azure Rights Management www.microsoft.com/deNextLabs Rights Management www.nextlabs.comOracle Information Rights Management www.oracle.com/de/solutions/index.htmlProt-On Prot-On https://www.prot-on.com/versuchen.htmlSealpath Sealpath Enterprise www.intellicomp.de/produkte/sealpathSeclore FileSecure www.seclore.com/seclore-filesecureSecure Islands IQProtector www.secureislands.com/irmSyncplicity Syncplicity www.syncplicity.comVaultize Vaultize www.vaultize.com/solutions/Watchful Rightswatch www.watchfulsoftware.com/en/productsDie Übersicht erhebt keinen Anspruch auf Vollständigkeit.
VIII
Security
iX extra 10/2015
auch in das firmeneigene ActiveDirectory. Einige setzen auf an-dere LDAP-Directories oder aufFöderation mit den Identitäts-Stores von Geschäftspartnern.
Durch die Verschlüsselungsind die Informationen im Spei-cher („Data at Rest“) und die inBewegung befindlichen („Datain Transit“ oder auch „Data inMotion“) sicher. Geht es um dieNutzung des Dokuments („Da-ta in Use“), so schützen die vor-handenen Zugangsberechti-gungen. Damit kann ein IRMeine strenge Kontrolle über dieDokumente ausüben und dieInformationen in allen Daten-zuständen schützen. Fähigkei-ten wie das Verhindern vonScreenshots oder Kopieren derDaten aus einem sicheren Do-kument in eine unsichere Um-gebung oder der Schutz vorprogrammiertechnischen An-griffen sind Schlüsselelementeeines effizienten Produkts.
Die Nützlichkeit einer IRM-Implementierung hängt auchdavon ab, wie die Policies fest-gelegt werden. Dies kann derBesitzer eines Dokumentsselbst tun und bestimmen, mitwem er die Daten teilen willund wer sie ändern darf. Geht esaber um Dokumente wie Preis-listen, Produktspezifikationenoder Prozessbeschreibungen fürdie Herstellung, so ist die auto-matische Policy-Festlegung ef-fektiver und konsistenter, dennsie kann für ganze Informations-gruppen auf der Grundlage be-stimmter Kriterien (etwa Spei-
cherort, Inhaltstypus und soweiter) erfolgen. Das erforderteine gute Klassifizierung derDaten sowie ein ausgefeiltesKlassifizierungsmodell, dazu ei-ne Policy, die die Auto-Klassifi-zierungsfunktionen kontrolliert.
Der Markt für Rights-Ma-nagement-Systeme ist breit gefächert und reicht von voll-ständigen Suiten, die alle gefor-derten Bestandteile für denSchutz der Informationen lie-fern, bis zu Punktlösungen, diesich auf ein paar Funktionen be-schränken und sich in andereTools integrieren lassen.
Fazit
Im weitesten Sinne löst IRM dasfundamentale Problem der Data-Leakage-Prevention-Systeme(DLP): Während Rights Manage-ment den gesamten Lebenszy-klus von Informationen in jederSituation, nämlich „at rest“, „inmotion“ und „in use“, innerhalbwie außerhalb der Unterneh-mensgrenzen schützt, bietenDLPs Sicherheit für vertraulicheDateien nur innerhalb der Un -ternehmensnetzwerke, typischer-weise an den Endpunkten (inOrd nern, auf Dateiservern, in Da-tenbanken). Andere Technikenwie File Server Security, SecureFile Transfer, sichere Datenräumeoder kollaborative Netzwerke decken lediglich Teile des Daten-sicherheitszyklus ab. (ur)
Susanne Franke ist freie IT-Journalistin in
München
Architektur einer IRM-Infrastruktur: Im Zentrum steht der Policy-Server, der die Benutzerberechtigungen geschützterDateien verwaltet.
Que
lle: S
eclo
reSecurity
iX extra 10/2015
Smartphones gelten alswahre Alleskönner, die injedem Funknetz einsatz-
bereit sind. Immer mehr Unter-nehmen sehen eine gute Gele-genheit, durch das Einbindender in der Regel privat ange-schafften Geräte die Produk -tivität ihrer Mitarbeiter zu ver-bessern und gleichzeitig ihreMotivation zu steigern – Stich-wort BYOD (Bring Your OwnDevice).
Die Kehrseite der Medailleaber ist ihre Anfälligkeit für
Malware und Angriffe, die aufden Diebstahl persönlicheroder geschäftsrelevanter Datenzielen. Smartphones sind stän-dige Begleiter ihres Besitzers.Daher ist das Risiko einesDiebstahls oder anderweitigenVerlusts sehr hoch, wie ein-schlägige Statistiken immerwieder untermauern. Auch Fir-mendaten wären damit weg.All diese Faktoren schürten inUnternehmen lange Zeit großeSkepsis gegenüber dem BYOD-Trend, sicher nicht zu Unrecht.
Auch wenn viele Mobility-Lösungen inzwischen erkennbardie meisten ihrer Kinderkrank-heiten überstanden haben, giltes nach wie vor, den BYOD-Ein-satz sorgfältig zu eruieren undmögliche Sicherheitsrisiken mitden geplanten Verbesserungenabzuwägen. Und der Erfolghängt immer davon ab, wie um-fassend es gelingt, Mitarbeiterdazu zu bewegen, ihre mobilenGeräte – neben Smartphonesauch Tablets und Laptops – inein solches Produkt integrierenzu lassen.
MDM ersetzt keine SecurityZur Sicherung von BYOD-Gerä-ten stehen zum einen Mobile-Device-Management-Pakete(MDM), zum anderen spezielleSecurity-Applikationen zur Ver-fügung. Für einen wirksamenSchutz ist beides notwendig. MitMDM wollen Unternehmen dieGeräte unter ihrer Kontrolle wis-sen und beispielsweise bei ei-nem Verlust die Option haben,ein Gerät zu sperren oder even-tuell heikle Daten darauf zu lö-schen. Der primäre Nutzen vonMDM liegt eher im Inventarisie-rungs- und Asset-Managementsowie in der Applikationskon-trolle. Bei den Apps kann die IT-Abteilung immerhin bestim-men, welche auf den Gerätenlaufen dürfen und welche ebennicht. Auch lassen sich mit klas-sischen MDM-Produkten sehrgut grundlegende Dinge über-prüfen. Beispielsweise kann dieIT-Abteilung damit feststellen,ob unerlaubt das Betriebssystemmanipuliert wurde – etwa inForm eines sogenannten „Jail-break“. Auch einfache Konfigu-rierungsaufgaben lassen sichüber ein MDM für eine größereZahl von Geräten durchführen.
Das alles ist aus Sicherheits-sicht wichtig, aber keineswegsausreichend, denn Mobile De-vice Management bewahrt einGerät nicht davor, mit Malwareinfiziert zu werden. Ebensosieht es nicht tiefergehend inApps hinein, um beispielsweiseunerwünschte Aktionen zu blo-ckieren. Einige MDM-Produktehaben zwar inzwischen auch
eine Art Applikationskontrolleintegriert, aber deren Wirkunghängt immer davon ab, ob dieentsprechende App schon beimHersteller bekannt ist. Sicher-heitspakete sollten daher ge-währleisten, dass nur berech-tigte Nutzer auf vertraulicheDaten zugreifen können undnicht jeder, der das Gerät zufäl-lig in die Hand bekommt.
Zur Sicherheit gehört auch,dass die Kommunikation mitdem Unternehmen nur überkontrollierte, sichere Verbindun-gen erfolgt. Üblich sind hierVPNs (Virtual Private Networks),die als sehr sicher, aber sperrigin der Handhabung gelten, so-wie das Remote Desktop Proto-col (RDP) von Microsoft, dasinsbesondere bei kleineren Fir-men gerne zum Einsatz kommt.Neuere Produkte für den Zugriffbauen via USB-Stick oder Appeinen verschlüsselten SSH2-Tunnel zu den IT-Ressourcen imUnternehmen auf.
Auch auf dem mobilen Gerätselbst ist der Schutz vor Mal -ware eine zentrale Funktion ineinem Security-Paket. Nebender Dateianalyse, etwa bei E-Mail-Anhängen oder Trans-fers, sollte es den Nutzer beimSurfen im Internet vor Malwareschützen. Entsprechende Anti -virensoftware (AV) lässt sich je-doch nicht auf allen Geräten ohne Weiteres installieren. ImBesonderen gilt dies für Apple-Geräte. Antivirensoftware benö-tigt Zugriff auf bestimmte Be-reiche des Betriebssystems, denMac OS nicht gewährt. Mit per-manent laufendem Virenschutztut sich Apple daher schwer.Ohne Software ist der Malware-schutz auf andere Art und Wei-se umzusetzen, etwa indemman das Surfen sicher macht.Ansätze dafür sind beispielswei-se das Surfen in der Cloud überVPN-Tunnel oder mit speziellenURL-Filtern – letzteres wieder-um mit Unterstützung einesentsprechenden Cloud-Service.
Container-Lösungenoft unzureichendManche Hersteller bieten umfas-sende Mobility-Management-Lösungen, die unter anderem
BYOD mit BedachtAttacke auf mobilen Life- und Workstyle
Smartphones sind heute sowohl privat alsauch in der Geschäftswelt das wichtigste undmeistgenutzte Kommunikationsmedium. An-greifer haben allerdings zahlreiche Möglich-keiten, unbemerkt Informationen vom Gerätabzuziehen. Eine gezielte und umfassendeBYOD-Strategie soll das verhindern.
X
Neuere Produkte für den sicheren Zugriff bauen mittels USB-Stick oder App einen verschlüsselten SSH2-Tunnel zu den IT-Ressourcen im Unternehmen auf (Abb. 1).
Security
MDM und Security miteinandervereinen. Darunter fallen meistsogenannte Container-Lösun-gen, die auf dem Smartphoneoder Tablet eine zweite, voll-ständig isolierte Betriebssystem-
instanz einrichten. Diese Instanzruft der Nutzer wie eine normaleApp auf und präsentiert quasiein virtuelles Firmen-Smart -phone. In einigen Fällen hält sieFirmendaten komplett vom Ge-
rät fern, indem sie mit einemCloud-Service korrespondiert,der diese Daten sicher in einemRechenzentrum ablegt.
Andere Produkte speichernFirmendaten im Container auf
dem Gerät – dann jedoch inder Regel verschlüsselt. Auchso sollen sie vor Malware sowieriskanten Interaktionen mit per-sönlichen Apps geschützt sein.Die virtuelle Betriebssystem -instanz wird über die MDM-/Mobility-Management-Soft-ware im Unternehmen verwal-tet, die von zentraler Stelle das Einhalten der im Unterneh-men definierten Sicherheits-richtlinien durchsetzt.
Sicher – aber häufigumständlichDas Container-Konzept klingtin der Theorie plausibel, er-weist sich in der Praxis jedochnach wie vor oft als umständ-lich. Das zeigt sich nicht zu-letzt an so banalen Dingen wieder Namensauflösung bei ei-nem Anruf. Diese funktioniertgut im privaten Bereich, in demdie meisten Nutzer ihr Adress-buch angelegt haben. Hat derNutzer jedoch auf den Con -tainer-Modus umgeschaltet,
XII iX extra 10/2015
Security
Anbieter von MDM-ProduktenHersteller Produkt WebseiteAagon ACMP Mobile Device Management https://www.aagon.de/produkte/automatisieren-und-managen/acmp-mobile-device-
management.htmlAbsolute Software Absolute Manage www.absolute.comBaramundi Management Suite https://www.baramundi.de/loesungen/mobile-device-managementCapricode SyncShield www.capricode.comCitrix XenMobile www.citrix.de/products/xenmobile/overview.htmlCortado Corporate Server corporateserver.cortado.com/de-de/ProduktTour/MobileDeviceManagementDatomo MDM datomo.de/mobile-device-management-mdm-highlights.htmlEgosecure Egosecure Data Protection egosecure.com/de/homeEquinux Tarmac www.equinux.com/de/start/index.html?lang=de#/mdmExcitor MobiControl https://www.excitor.com/excitor-mobicontrolFancyFon Famoc www.fancyfon.comFiberlink MaaS360 www.maas360.com/products/mobile-device-managementGood Technology Mobile Device Management https://de.good.com/secure-mobility-solution/de-mobile-device-management.htmlHeat Software Heat Mobile Device Management www.heatsoftware.com/de/heat/products/client-management/mdmIBM Worklight www-03.ibm.com/software/products/en/category/SW500Kaseya EMM www.kaseya.com/products/enterprise-mobility-managementKaspersky Security for Mobile www.kaspersky.com/de/product-updates/mobile-device-securityMagic Mobile Device Management www.magicsoftware.com/de/magic-mobile-device-management-mdmManageEngine Mobile Device Management https://www.manageengine.com/products/desktop-central/features.htmlMobile Active Defense Mobile Active Defense www.mobileactivedefense.com/MobileIron Mobile Device Management www.mobileiron.com/en/smartphone-management-products/smartphone-management-overviewSamsung Samsung KNOX www.samsungknox.com/deSAP Afaria www.sap.com/germany/pc/tech/mobile.htmlSophos Mobile Control www.sophos.com/de-de/products/mobile.aspxSymantec Device Management www.symantec.com/mobile-device-managementTangoe Matrix Mobile https://www.tangoe.com/productsservices/managed-mobility-services-matrixmobile/
mobile-device-management/Thinking Objects Auralis https://to.com/loesungen/mdmTrend Micro Mobile Security www.trendmicro.de/produkte/mobile-security/index.htmlVMware Airwatch www.vmware.comDie Übersicht erhebt keinen Anspruch auf Vollständigkeit.
Über eine zentral verwaltete virtuelle mobile Infrastruktur, hier beispielsweise „Safe MobileWorkforce“ von Trend Micro, können Benutzer von Smartphones und Tablets von überall auf dieApplikationen und Daten des Arbeitgebers zugreifen (Abb. 2).
Que
lle: T
rend
Mic
ro
sieht er nur die Nummer ohne Namen.
Ein weiteres Problem beiSoftware, die ein Smartphonelogisch teilt, sind unterschiedli-che Apps für ein und dieselbeAufgabe. Zum Teil gibt es auchnoch keine Programme für dengeschlossenen Bereich, die imoffenen Bereich aber zur Verfü-gung stehen. Das führt dazu,dass der Benutzer bestimmteDokumente im Container nichteditieren oder nicht einmal zumLesen öffnen kann. Da ist dieVersuchung groß, den Contai-ner zu ignorieren und die Doku-mente im offenen Bereich zuverwenden. Für die Sicherheitist das freilich katastrophal.
Smartphone-Sicherheit alsCloud-Service ist keineswegsan Container-Lösungen gebun-den. Inzwischen werden alter-native Angebote immer popu-lärer. Ihre Beliebtheit resultiertaus der bequemen Nutzung,des Weiteren sind sie skalierbarund verfügen über aktuelle
Security-Tools. Auf dem Gerätselbst muss man nichts in -stallieren oder konfigurieren – allerdings muss der gesamteDatenverkehr (inklusive Brow -ser) über den Cloud-Service ge-leitet werden, unter Umstän-den ein Widerspruch zu denCompli ance-Vorgaben. Alle Si-cherheitsprüfungen erfolgen inder Cloud, belasten also weder
Prozessoren noch Akku desEndgeräts.
Fazit
Smartphones sind wertvolleWegbegleiter in allen Lebensla-gen. Doch sobald Unterneh-men den Einsatz der Geräte fürbetriebliche Abläufe erlauben,vergrößern sie die Angriffsflä -
che für Hacker um ein Vielfa-ches. Daher ist dieses Vorge-hen nur in Verbindung mit adäquaten Sicherheitsvorkeh-rungen vertretbar – zum eige-nen Schutz ebenso wie zur Er-füllung immer strengererCompliance-Richtlinien. (ur)
Stefan Mutschlerist freier Journalist aus
Rosenheim
Security
Die Auslagerung von Daten undDiensten in die Cloud soll nebeneiner besseren Skalierbarkeit diehauseigene IT-Mannschaft ent-lasten und zu einer höheren Ver-fügbarkeit führen. Denn ein gro-ßes Cloud-Rechenzentrum kannmehr Fallback-Ressourcen in derHinterhand halten als etwa einmittelständischer Betrieb.
So weit die Theorie. Dochdieser Anspruch muss auchdurch entsprechende Verträgeabgesichert sein und der Dienst-leister glaubwürdig nachwei-sen, wie es um die Verfügbar-keit seiner RZ-Installa tionbestellt ist. Und natürlich willman als Kunde nicht alles ausder Hand geben, sondern
möchte Zustand und Auslas-tung der Cloud-Dienste imBlick haben.
Das nächste iX extra zeigt,worauf man bei der Auswahl eines Cloud-Providers achtensollte.
Erscheinungstermin: 17. Dezember 2015
In iX extra 01/2016Cloud-Computing: Verfügbarkeit sicherstellen, Cloud-Speicher überwachen
