BYOD / Breaks Your Old Defences
geschrieben von Gavin Millard, Technical Director EMEA bei Tenable Network Security, www.tenable.com./wg
Das Iphone definierte neue Märkte und machte die Vision des mobilen Internets zur Realität. Das neue Gerät sorgte jedoch für zwei Nebeneffekte, die vermutlich nicht jeder sofort im Hinterkopf hatte: Erstens beeinflusst das Iphone massiv, wie Mitarbeiter ihre mobilen Geräte nutzen, um ihre täglichen Aufgaben zu erledigen. Zweitens erzwang es einen Paradigmenwechsel bei der Art, wie Sicherheitsexperten die IT-Infrastrukturen schützen.
Am 9. Januar 2007 stand Steve Jobs in Kalifornien vor neugierigen Zuhörern auf der Bühne und kündigte das brandneue Iphone an: „Von Zeit zu Zeit erscheint ein revolutionäres Produkt und verändert alles.“ Er sollte Recht behalten. Das Iphone veränderte die Art und Weise, wie wir mit unseren Geräten umgehen. Vor acht Jahren erschien der Gedanke, ein privates Gerät in die Arbeit mitzubringen, als undenkbar, heute ist es vielerorts bereits die Norm. Die Kommerzialisierung der IT und die zunehmende Mobilität der Nutzer ermöglichten es Angestellten zu arbeiten, wo immer es nötig ist. Es ist nun möglich, im Zug E-Mails zu beantworten, Tabellenblätter in einem Cafe zu überprüfen und Blogbeiträge im Bett zu verfassen. Je verbreiteter diese Arbeitsweise jedoch ist, desto größer wird die Angriffsfläche. Unternehmen können stark davon profitieren, für die Erstellung von Firmendaten und den Zugriff darauf mobiles Arbeiten und den Einsatz privater Geräte zuzulassen. Allerdings sollten sie die damit verbundenen Risiken nicht ignorieren oder unterschätzen.
Während der vorweihnachtlichen Sonderverkäufe in den USA („Black Friday“ und „Cyber Monday“) verkauften Händler Android-Tablets bereits ab 40 Dollar. Diese verfügten über dieselbe Rechenleistung wie ein Desktop-PC nur wenige Jahre zuvor. Bedauerlicherweise sind die Sicherheitsstandards dieser kostengünstigen Geräte ab Werk jedoch absolut unzureichend. Sicherheitslücken sind darauf zurückzuführen, dass Apps von nicht vertrauenswürdigen Dritten darauf installierbar sind, Code mit den falschen Schlüssel signiert wurde, sodass beim nächsten Update eine Backdoor Eindringlingen Tür und Tor öffnet, oder selbst bekannte und lange existierende Schwachstellen nicht gepatcht sind. Möglicherweise greift ein Mitarbeiter dann mit einem ungeschützten Gerät auf das Unternehmensnetz zu, ohne dass dies auffällt. In diesem Fall besteht die Gefahr, dass Angreifer in die Umgebung gelangen.
Gratis-Apps sind der einfachste Weg, um Schadsoftware zu verbreiten. Für Angreifer, die das Netzwerk infiltrieren und die teuren Kontrollen des Sicherheitsteams unkompliziert umgehen wollen, genügt ein Anwender, der sich das Geld für Spiele wie „Angry Birds“ sparen möchte und stattdessen nach einer gecrackten Version sucht. Sobald ein Angreifer auf diesem Weg einmal eingedrungen ist, kann er das Gerät nutzen, um an lohnenswertere und datenreichere Ziele zu gelangen.
Trojaner zielen mehr denn je auf Mobilgeräte ab. Denn erstens sind diese voll mit privaten Informationen, die für betrügerische Aktivitäten (zum Beispiel Social Engineering) nutzbar sind. Zweitens kommen sie häufig als zweiter Faktor zur Mehr-Faktor-Authentifizierung zum Einsatz, was für einen gezielten Angriff nützlich ist. Drittens können sie als ein Kanal für Angriffe Verwendung finden, indem Hacker die Kontrolle über das Gerät erlangen und darauf warten, dass dieses in ein Firmennetzwerk gelangt.
BYOD-Geräte (Bring Your Own Device, beruflich genutzte Privatgeräte) wie Smartphones oder Tablets benötigen allerdings nicht immer eine direkte Verbindung, um Probleme zu verursachen. Malware-Autoren zielen auf mobile Geräte ab, um diese zu infizieren und bei der anschließenden Synchronisation per USB den Virus auf einen Firmen-Notebook weiterzugeben. Schlecht konfigurierte Telefone oder Tablets sind ein einfaches Ziel für Malware, und die Chancen sind hoch, dass ein infiziertes Gerät an einen Host-Rechner angeschlossen wird, der für einen Angreifer von Interesse ist.
BYOD-Nutzer sind ebenfalls keine Hilfe. Laut einer aktuellen Bitdefender-Studie haben beinahe 40 Prozent der Nutzer, die private Mobilgeräte mit Unternehmensnetzwerken verbinden, keine Display-Sperre eingerichtet. Eine andere Studie von Viasat deckte auf, dass beispielsweise jährlich 25.000 vergessene Geräte bei Transport of London, dem Londoner Nahverkehrsanbieter, abgegeben werden. Die tatsächliche Zahl der alleine in der Hauptstadt Großbritanniens verlorenen Geräte ist natürlich weitaus höher, wird aber nicht in der Statistik erfasst.
Ein Mobilgerät ist schnell verlegt. Passiert dies im entriegelten Zustand, kann das zur Folge haben, dass enorme Mengen an Unternehmensdaten verloren gehen. Deshalb sollte es eine verplichtende Richtlinie sein, dass bei all diesen Geräten die Display-Sperre aktiviert sein muss. Erfahrungsgemäß setzen allerdings viele Unternehmen und Organisationen derartige Richtlinien für Privatgeräte gar nicht durch.
BYOD-Management problematisch
Der Markt bietet Lösungen an, um schadhafte und verdächtige BYOD-Geräte zu kontrollieren. Aber auch diese Lösungen haben Schwachstellen. Mobile-Device-Management (MDM) wurde mit dem Ziel eingeführt, die Mobilgeräte sauber, sicher konfiguriert und frei vom Einfluss von Hackern zu halten. Aber solange die Geräte nicht provisioniert und über die MDM-Plattform verwaltet sind, bestehen die Risiken weiter.
Das Sicherheitsniveau lässt sich mit der Einführung einer MDM-Plattform bereits stark verbessern. Allerdings kann es bereits eine Herausforderung darstellen, die Mitarbeiter dazu zu bringen, auf ihrem Privatgerät eine Firmen-App zu installieren. Zudem sollte man eine Richtlinie einführen, sämtliche Geräte zu erfassen, die mit dem Unternehmensnetzwerk oder unternehmenseigenen Daten in Berührung kommen. Trotzdem bleiben befallene Geräte häufig von den Sicherheitsexperten unentdeckt.
Network Access Control (NAC) ist eine hervorragende Möglichkeit, um zu verhindern, dass jegliche Art unbekannter Geräte Zugriff erhält. Zudem setzt NAC grundlegende Sicherheitskontrollen auf den Geräten durch, die versuchen, sich mit dem Netzwerk zu verbinden. Die Netzwerkinfrastruktur wird allerdings ständig komplexer, sodass sich die Verwaltung von NAC-Lösungen immer mühsamer gestaltet. Sollten die Sicherheitsrichtlinien zu umständlich und restriktiv sein, kann dies zur Folge haben, dass ungesicherte Access Points auftauchen, um diese Kontrollen zu umgehen.
Bedauerlicherweise können zahlreiche der herkömmlichen Sicherheitsansätze im Fall von BYOD und anderen Mobilgeräten keine Anwendung finden. Grundlegende Sicherheitstechniken, die in jedem Netzwerk eingerichtet sein sollten, wie beispielsweise Vulnerability-Management, sind gegenüber BYOD-Geräten häufig blind, da diese kaum im Netzwerk auffallen. Aber wie soll man nach Schwachstellen scannen, wenn es keine Listening Ports oder Remote Shell gibt? Und falls nur jede Woche oder jeden Monat gescannt wird, sinkt die Wahrscheinlichkeit, den Großteil der mobilen Geräte zu erfassen, gegen null.
Beinahe alle Plattformen für Vulnerability-Management folgen einem Prinzip aus den späten 90er-Jahren, mit Tools wie SAINT und SATAN, die in heutigen Netzwerken schlichtweg nicht funktionieren. Als Computer unbeweglich waren, war der Ansatz der aktiven Vulnerability-Scanner, Geräte zu bestimmen, sie zu scannen und zu analysieren, für die Anforderungen passend. Um die Probleme zu bekämpfen, die mit den hochbeweglichen Geräten des 21. Jahrhunderts verbunden sind, ist eine Lösung aus dem 21. Jahrhundert notwendig.
Eine der Effektivitätsmetriken der SANS Critical Security Control 1 zur Erkennung autorisierter und unautorisierter Geräte verdeutlicht den wunden Punkt herkömmlicher, aktiver Scanner: „Wie lange dauert es in Minuten, neue Geräte zu finden, die in das Unternehmensnetzwerk gelangt sind?“ Für viele IT-Organisationen ist es schlichtweg nicht möglich, dies in Minuten zu messen. Es handelt sich in Wirklichkeit eher um Monate, falls es überhaupt gelingt.
Spurensuche im Netzwerk
BYOD wird nicht verschwinden, sondern ein unumgänglicher Teil der neuen Unternehmenslandschaft bleiben. Aber glücklicherweise hinterlässt jedes Gerät Spuren im Netzwerk. Sämtliche Kommunikation dieser Geräte ist leicht zu erfassen, und deren Merkmale lassen sich mithilfe der gesammelten Metadaten erkunden und analysieren. Dank durchgängiger passiver Überwachung, die an der Switching Fabric des Netzwerks oder an den Ausgangspunkten des Netzwerks ansetzt und den Datenverkehr analysiert, sind zahlreiche Anzeichen von Sicherheitsverletzungen und ungewöhnlichen Verhaltens zu erkennen: ob ein Gerät mit Schadcode infiziert ist oder aufgrund einer Malware-Infektion mit Command-and-Control-Servern kommuniziert, oder ob es sich mit Systemen verbindet, auf denen es nichts zu suchen hat.
Angesichts dieser Sicherheitslücken reicht aktives Scannen nicht länger aus. Passives Monitoring wird zunehmend als ergänzendes Element benötigt. Passive Scans überwachen und durchsuchen fortwährend den Netzwerkverkehr, um Geräte, Services, Schwachstellen, verdächtige Aktivitäten, unangemessene Interaktion und den Strom an sensiblen Daten zu identifizieren. Passive Scans arbeiten in Echtzeit und suchen unauffällig nach verbundenen Geräten. Anders als bei aktiven Scans erzeugt passives Monitoring nicht nur eine Momentaufnahme, sondern überwacht das Netzwerk kontinuierlich. Auf diese Weise erkennt die IT selbst mobile Geräte, die sich über den Tag im Netzwerk an- und abmelden, sobald sie sichtbar sind.