Es ist ja so einfach: wenn das eigene Tablet gerade nicht zur Hand ist, weil man bei einem Freund ist, erbittet man als allzeit mobiler Vertriebler dessen Mobilgerät und lädt schnell mal am Wochenende einen Packen Kundendaten von Salesforce herunter und dann auf das Konto des persönlichen Cloud-Speichers wieder hoch. Man muss für die anstehenden montäglichen Telefonate einiges nachschauen und überhaupt kann man ja nie wissen, wozu solche Daten noch gut sind. Schließlich ist man mit dem jetzigen Arbeitgeber nicht verheiratet.
Ein Szenario, wie es wohl tausendfach vorkommt. Die Motivation kann dabei jeweils durchaus variieren. Was an diesem Szenario sicherheitsmäßig entscheidend ist: das Tablet des Freundes steht natürlich nicht unter der Kontrolle des eigenen Unternehmens und das persönliche Speichermedium in der Cloud ist vermutlich nicht besonders sicher. Schnell stehen in einem solchen Fall vertrauliche Unternehmensdaten leicht einsehbar in der Cloud.
Unbefugte können auf diese Daten zugreifen, sie manipulieren oder auch entwenden. Gewiss, dazu gehört einiger Aufwand, aber für interessante Daten von der Konkurrenz lohnt sich ein solcher Aufwand allemal. Und moralisch zwielichtige Gesellen gibt es zuhauf. Die Sicherheit von Unternehmens-Datenbeständen sieht jedenfalls anders aus.
Unternehmen müssen daher verstehen, dass der Zugriff von einem mobilen Endgerät beziehungsweise einer mobilen App fundamental anders ist, als der über einen Browser auf einem traditionellen PC oder Laptop. Letzterer steht vollständig unter der Kontrolle der Unternehmens-IT. Die Browser-Sitzungen sind nur temporär und es werden keinerlei Daten auf Speichermedien abgezogen. Folglich können entsprechende Inhalte nicht einfach anderen Apps zur Verfügung gestellt werden.
Im Falle mobiler Apps ist die Situation deutlich anders: solche Apps können sowohl auf nicht-administrierte als auch auf administrierte Geräte heruntergeladen werden. App-Sitzungen sind dauerhaft und auf dem Endgerät lassen sich Daten speichern. Damit ist es relativ einfach, Inhalte anderen Apps zur Verfügung zu stellen beziehungsweise sie irgendwo in der Cloud zu speichern.
Mit der gängigen Authentifizierung über Benutzername und Kennwort allein lässt sich die Cloud-Herausforderung nicht lösen. Unternehmen benötigen vielmehr ein umfassendes und leistungsfähiges Monitoring der Zugriffe auf die Unternehmensdaten in der Cloud.
Die zentrale Frage lautet: wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu? Mit anderen Worten: Es muss die gesamte Gestik (im Englischen „posture“) eines Endgeräts auf den Prüfstand gestellt werden, bevor dieses mit Apps auf Unternehmens-Datenbestände zugreifen darf.
Dazu muss nicht nur geprüft werden, ob derjenige, der Einlass begehrt, auch dazu berechtigt ist. Es muss auch kontrolliert werden, ob das Endgerät, das er benutzen will, manipuliert ist (durch Jailbreak oder Rooting), aus welcher Weltregion es sich einwählen will und was für eine IP-Adresse es hat. Womöglich spielt auch eine Rolle, zu welchem Zeitpunkt der Zugriff erfolgt: 3 Uhr nachts Ortszeit ist eventuell verdächtig. Nicht zuletzt muss abgeprüft werden, ob das Gerät unter der Kontrolle eines Systems für Enterprise Mobility Management (EMM) steht, sodass die Unternehmens-IT bei Bedarf vollen Zugriff auf den Unternehmensteil des Geräts hat.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.
Eine Zugangskontrolle jenseits der bloßen Identitätsprüfung ist im Bereich des Netzwerkzugangs schon länger über Mechanismen für Network Access Control (NAC) möglich. Jetzt hat MobileIron mit dem Cloud-Zugangs-Gateway MobileIron Access eine vergleichbare Kontrollinstanz für den Cloud-Zugriff auf den Markt gebracht. Sie prüft im Zusammenspiel mit dem EMM-System von MobileIron genau, „wer mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zugreifen will.“
Ein derartiges Tool füllt eine echte Lücke. Zwar haben auch Produkte der sogenannten Cloud Access Security Broker (CASB) „Cloud Access“ im Namen, sie arbeiten aber völlig anders. Auch sind die CASB-Systeme derzeit noch weitgehend auf das traditionelle Desktop-Computing-Modell zugeschnitten und im Mobilbereich wenig skalierbar. Vor allem aber überwachen sie nicht die „Gestik“ des Endgeräts, sondern kontrollieren in erster Linie den Traffic. Sie verfügen über keinerlei Möglichkeiten, mobile Geräte nach dem Grad ihrer Richtlinien-Konformität (sind sie unter Kontrolle der IT oder nicht?) und ihres Sicherheitszustands (ist das Betriebssystem manipuliert?) zu beurteilen.
Das Abprüfen des Gerätezustands ist in Zeiten der mobilen IT ein wesentlicher Faktor, insofern liegt es nahe, von den Mechanismen eines Enterprise-Mobility-Management-Systems auszugehen, wenn man Zugriffe von mobilen Geräten und Apps auf Unternehmensdatenbestände sicher und richtlinienkonform steuern will.
Ein solches EMM-System muss so erweitert werden, dass Apps und Mobilgeräte, die auf Unternehmensdatenbestände zugreifen, auf die oben geschilderten Sicherheitsparameter hin überprüft werden können. Das EMM-System allein kann nämlich nicht verhindern, dass Nutzer mit nicht verwalteten Apps oder einem nicht verwalteten Browser, die von irgendwoher geladen wurden, auf Cloud-Services wie Dropbox zugreifen und auf diese Cloud-Speicher Unternehmensdaten verschieben.
Andererseits garantiert auch ein Identity-und Access-Management-System (IAM) allein nicht für ausreichende Sicherheit in den genannten Fällen. Vielmehr müssen zusätzliche Authentifizierungsmechanismen geschaffen werden (Überprüfung von IP-Adresse, Geräte-Compliance, Zugriffszeitpunkt etc), die über den ohnehin schon vorhandenen „Türwächter“ (Proxy) des EMM-Systems geleitet werden. Der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette, zum Beispiel der Security Assertion Markup Language (SAML), sorgt dafür, dass dabei keine Anpassungen der Cloud-Apps erforderlich sind.
Ein derart gestaltetes Cloud-Access-System liefert nicht zuletzt Auditoren und Compliance-Verantwortlichen in Unternehmen die notwendigen Werkzeuge, damit sie einen umfassenden Blick auf Benutzer, Apps und Geräte, die auf Cloud-Services zugreifen, erhalten. Ist ein effizientes und sicheres Cloud-Access-System im Einsatz, können Unternehmen und Mitarbeiter von den Produktivitäts- und Usability-Vorteilen der mobilen Cloud-Services profitieren ohne fürchten zu müssen, dass dabei vertrauliche Unternehmensdaten in die falschen Hände gelangen.
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…