Albträume der IT-Security und eine Security-Konferenz mit Alpenblick
Die Angreifer schlafen nie. Die IT-Security-Verantwortlichen auch nicht mehr. Sie haben zu viele Albträume. Denn die Wünsche, mit Social Media-Nutzung und BYOD-Zugriff von unterwegs die Vernetzung der Mitarbeiter zu verbessern, lassen sich nur schwer mit dem Schutz von Daten und Systemen verbinden. Dazu kommt noch der Kostendruck, der die Unternehmen immer stärker in Richtung der Nutzung von Cloud Computing drängt, und bald erwacht der IT-Admin jedes Mal schweißgebadet.
Als Alternative zu Valium und Baldrian hat Barracuda Networks, einer der führenden Anbieter von Security-, Backup- und Archivierungslösungen, seine Anwender, Fachmänner und Partner deswegen zur „Technical Conference“ nach München geladen, wo es genau um diese Themen gehen sollte: wie ist die Gefahrenlage in Social Media tatsächlich, wie lassen sich BYOD-Zugriffe schützen, wie kann die Cloud zu einem Verbündeten in diesem Kampf werden, statt eine zusätzliche Quelle der Angst zu sein?
Die IT-Security zieht möglicherweise eine besondere Art von Menschen an: kreativ, etwas unstrukturiert, aber sowohl hochintelligent als auch leidenschaftlich engagiert in ihrem Feld. Wieland Alge, einer der Mitbegründer von Phion und heute General Manager Europe, Middle East and Africa bei Barracuda, ist sicher ein solcher Exot. Seine Eröffnung der Konferenz gibt Zeugnis davon:
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Wieland Alge hatte noch ein paar andere Überraschungen parat: er kürte den „iDiot“ als Synonym für den unkontrollierbaren Nutzer von Smartphones im Unternehmensnetz, und leitete damit über zum ersten Schwerpunkt des Conference: wie ermöglicht man Zugriff zum Unternehmensnetzwerk von Außerhalb – nur den richtigen Leuten, und nur auf die richtigen Daten natürlich – ohne jeden Gedanken an Sicherheit aufzugeben. Denn eines gaben Alge und seine Kollegen zu: die Schlacht um den Perimeter, also die Außengrenze der Firmen-IT, haben wir verloren.
Angriffe verlagern sich in die sozialen Medien
Auch die Gefahrenlage hat sich in den letzten Monaten verändert: Spam ist out – er ist nicht mehr lukrativ genug. Spam-Filter und die Lernfähigkeit der Anwender haben dafür gesorgt. Die „Alternativen Online-Marketiers“ sind heute woanders unterwegs: auf Facebook und Twitter nämlich. Genau wie Malware-Verbreiter, Datendiebe, Phiser, SMisher und die übrigen hart arbeitenden Cyber-Ganoven.
Der Vortrag zu diesem Thema von Paul Judge, Vice President, Chief Research Officer bei Barracuda, war einer der am meisten erwarteten auf der Konferenz. Er präsentierte einige beeindruckende Zahlen: einer von 60 Posts bei Facebook ist bösartig, leitet etwa auf Websites weiter, die mittels Drive-by-Download Schadsoftware (wie etwa das „BlackHole Exploit Kit“ auf dem Rechner installieren. Sehr oft werden die Lücken, die diese Malware ausnutzt, nur spät gestopft. Die besondere Gefhr geht dabei von dem Umstand aus, dass diese LInks in Nachrichten von Freunden oder Verwandten enthalten sein können. Die gelernte Paranoia, die sich User im Umgang mit E-Mails unbekannter Herkunft angewöhnt haben, greift hier nicht. Mama schickt mir einen Link – was kann Mama mir schön böses wollen? Ich klick einfach mal…
Wie sichert man BYOD (und was hat das mit der Archivierung zu tun?)
Als ob das nicht Aufgaben genug wäre, bringt die zunehmende Nutzung von Social Media im Unternehmensalltag (man denke an LinedIn, Xing…) noch eine rechtliche Herausforderung: wie kann Unternehmenskommunikation über diese Medien archiviert werden, um gesetzlichen Anforderungen gerecht zu werden? Interessanterweise liegt die Antwort auf diese Frage sehr nah am Problem der Sicherheit der Social Media Zugriffe: Ein System, dass diese Interaktionen kontrolliert und überwacht, kann quasi nebenbei auch dafür sorgen, dass die Inhalte in ein speicherfähiges Format übertragen und dem Archivierungssystem zugeführt werden.
Barracudas Vision der Security 2012 zielt darauf ab, all diese Elemente zu einen: iPads und iPhones, die für Unternehmenszwecke genutzt werden, müssen mit einem Set von Regeln und einem eigenen Browser ausgestattet werden. Zugriffe auf das Web und auf die Unternehmensinformationen geschieht dann nur noch über eine VPN-Verbindung, die durch die Barracuda Cloud-Sicherheitsfilter läuft. So ist einerseits gewährleistet, dass Attacken durch Malware unterbunden werden, andererseits der Zugriff auf die sensiblen (aber nötigen) Daten ermöglicht wird. Wie erwähnt kann diese Lösung auch zur Archivierung der gesendeten Kommunikation verwendet werden – sei es nun auf sozialen Netzwerken, per E-Mail oder Instant Messaging.
Security ist flüchtig – die Conference deswegen eine Tradition
Die Teilnehmer der Conference waren von diesem Konzept angetan (oder vielleicht war es auch nur die kollegiale Atmosphäre, das Rahmenprogramm und nicht zuletzt das Münchner Bier, dass die Laune hob). Der Nachfolger der Phion- (und später Barracuda) Gipfelkonferenz kam gut an. Und wenn es einen Lichtblick an der Tatsache gibt, dass sich die Security jedes Jahr von Grund auf neu erfinden muss (wie Alge erklärte), dann diesen: die nächste Technical Conference ist damit schon fest vorgesehen.
Aber helfen dagegen nicht Anti Virus Programme, wie Norton Internet Security 2012? Und mittlerweile sind auch mehr User bereit auch für die Sicherheit ihrer daten zu zahlen.
Alge zufolge schützen simple Antivirenprogramme nicht ausreichend – vor allem nicht im Unternehmensnetzwerk. In der Tat sieht man ja immer wieder, dass auch große, gut geschützte Unternehmen (die sicherlich in ihre Sicherheit investieren) Angriffen zum Opfer fallen. Auch die exzellente Arbeit der Antivirenhersteller wie Norton bietet keinen vollständigen Schutz. Aber gerade wer mit sensiblen Daten arbeitet, kann doch einiges Tun, um sich weitgehend abzusichern.