Sicherheit im Unternehmen bedeutet in erster Linie, die Produkte zu schützen, die der Betrieb erzeugt. In zweiter Linie bedeutet das auch, dass der Unternehmer seine Infrastruktur gegen Angriffe sichern muss.
Wer sein Firmennetz unangreifbar machen will, muss es deshalb in zwei Richtungen abdichten. Es gilt zu verhindern, dass unerwünschte Dateien sowie Viren und Trojaner in die Firma gelangen. Genauso wichtig ist aber, zu verhindern, dass vertrauliche Daten das Unternehmen verlassen. Der Markt bietet eine Vielzahl von Produkten, die für Betriebe unterschiedlicher Größe entweder einzelne Probleme lösen oder ganze Komplettpakete für die IT-Sicherheit anbieten.
Datenschutz gegen Spionage
Unternehmensdaten gehören zum Wertvollsten, was ein Unternehmen hat. In aller Regel gibt es keine wichtige Information, die nicht auf irgendeinem Rechner in der Firma gespeichert ist. Die Daten sind aus verschiedenen Gründen gefährdet. So trägt der Unternehmer die Verantwortung dafür, dass die persönlichen Daten seiner Mitarbeiter nicht missbraucht werden. Auch vor Wirtschaftsspionage müssen sich Unternehmen immer stärker schützen. Studien zeigen, dass sie besonders kleine und mittelständische Betriebe betrifft, weil sie in der Regel weniger Wert auf Datensicherheit legen (und geringere Mittel dafür zur Verfügung stellen).
Dabei müssen vertrauliche Daten nicht ausschließlich in böswilliger Absicht “Füße bekommen”. Es reicht schon, wenn ein Mitarbeiter Firmendaten auf einen USB-Stick speichert, etwa um zu Hause weiterzuarbeiten, und diesen verliert. Für den Unternehmer ist es daher wichtig, darauf zu achten, dass sensible Daten im Unternehmen bleiben.
Verschiedene Möglichkeiten des Device Management erlauben es, den Umgang mit bestimmten Daten entsprechend einzuschränken. So finden sich Produkte auf dem Markt, mit deren Hilfe sich genau festlegen lässt, welche Daten auf welchen Wechseldatenträger kopiert werden dürfen. So kann der Sicherheitsbeauftragte beispielsweise Dateien bestimmen, die sich nicht auf USB-Sticks kopieren, per Mail verschicken oder auf CD brennen lassen. Sinnvoll ist, wenn das Sicherheits-Tool es aber zulässt, bestimmte Daten auf personalisierte USB-Sticks zu kopieren, damit die Produktivität gewährleistet ist.
Ein gutes Device-Management-Werkzeug sollte überdies die Möglichkeit bieten, dass autorisierte Personen externe Geräte bestimmen können, die sich – beispielsweise stunden- oder tageweise – an den Rechner anschließen lassen. So kann etwa der Seminarleiter einer Gruppe von Studierenden oder eine bestimmte Person in einer Abteilung einen USB-Stick einer Arbeitsgruppe, der nachweislich Virenfrei ist, freischalten. Einige Produkte bieten die Möglichkeit, den gesamten Datenverkehr von oder zu externen Geräten im Firmennetz zu überwachen und auf Wunsch zu speichern.
Laptop-Sicherheit
Die Laptops eines Unternehmens sind mitunter in der ganzen Welt unterwegs – und mit ihnen die Firmendaten. Häufig sind die Mitarbeiter mit der größten Reisetätigkeit auch jene, die die größte Menge sensibler Daten dabeihaben. Sie sind besonders gefährdet. Es gibt Hinweise darauf, dass es Kriminelle immer stärker gezielt auf bestimmte Manager großer Unternehmen absehen, weil sie wissen, dass hier die meisten Daten zu holen sind. Sowohl für Insider-Wissen über Produkte als auch für Benutzerkonten und persönliche Daten existiert ein florierender Schwarzhandel.
Wichtig ist es daher, zu gewährleisten, dass die Daten auf dem Laptop auch dort bleiben und für Unberechtigte nicht lesbar sind. Den wirksamsten Schutz gegen Datenverlust bietet die Verschlüsselung des Laptops. Eine starke Verschlüsselung lässt sich selbst dann nur schwer knacken, wenn der Rechner gestohlen wurde und den Datendieben genug Zeit bleibt, das Notebook auszulesen. Bei Windows-Laptops setzt sich zur Zeit die Hardware-Verschlüsselung von Notebook-Festplatten immer stärker durch. Voll verschlüsselte Festplatten für das Laptop sind kaum mehr teuerer als unverschlüsselte und zeigen darüber hinaus kaum Leistungseinbußen. Für den Mac ist die Entwicklung noch nicht so weit: Checkpoint bietet eine software-basierte Komplettverschlüsselung für Mac-OS X an. Das Mac-interne Veschlüsselungstool Filevault macht immerhin das Benutzer-Verzeichnis unzugänglich. Eine hardwareseitige Lösung, die die komplette Festplatte verschlüsselt, existiert nicht, weil dazu EFI (das Startprogramm der Intel-Macs) und Mac-OS X geändert werden müssen – ohne Apples Hilfe ist das nicht zu machen.
Für den Verlust von Laptops bieten Sicherheitsfirmen den Service, das Notebook zu lokalisieren, sobald sich der Dieb mit dem Internet verbindet. Hierzu befindet sich im BIOS des Rechners ein Programm, das sich auf Wunsch bei der Sicherheitsfirma meldet, sobald das gestohlene Notebook ins Internet geht. In den USA arbeiten die Sicherheitsunternehmen eng mit den lokalen Polizeibehörden zusammen, um die Diebe schnell aufzuspüren. Da die Software in die Firmware des mobilen Rechners eingestrickt ist, lässt sie sich auch nicht einfach löschen. Die Sicherheitssoftware namens Computrace Lojack findet sich in vielen Laptops von Dell, HP, Asus und anderen. Sie ist auch für den Mac verfügbar.
Schutz vor Datendiebstahl aus dem Internet
Dem Diebstahl von sensiblen Daten geht häufig ein Angriff von außen voraus. So erstellen Cyberkriminelle eigens Spyware-Programme, die zum Ziel haben, alle brauchbaren persönlichen Daten von einem infizierten Rechner zu stehlen und in Datenbanken zu schreiben, die auf versteckten Servern im Internet stehen. Zwar handeln sich immer noch hauptsächlich PC-Anwender derartige Schädlinge ein, doch die steigende Verbreitung von Macs erhöht die Wahrscheinlichkeit, dass sich auch für das Mac-OS schädliche Software stärker verbreitet. Wer in seinem Unternehmen auf Macs setzt, sollte hier in jedem Fall vorsorgen.
Auf dem Markt gibt es verschiedene Lösungen, die per Software oder Hardware den Datenverkehr, der aus dem Internet ins Unternehmen kommt, filtert. So lassen sich die bekannten Viren und Würmer, aber auch Skripte und andere schädliche Software anhand komplexer Filterroutinen aussortieren. Zum Standard gehört, dass die Applikation erkennt, wenn der Server aus dem Internet mit unnatürlich vielen Anfragen gequält wird, was ihn dazu bringen soll, den Dienst zu verweigern und eine Sicherheitslücke zu öffnen. Gute Filter-Anwendungen erkennen solche Denial-of-Service-Attacken und verwerfen die entsprechenden TCP-Pakete.
Der israelische Hersteller Yoggie bietet für Laptops eine Hardware-basierte Lösung dieses Problems an. Die Gatekeeper-Karten des Herstellers beinhalten auf einer Smartcard oder einem USB-Stick ein komplettes eigenständiges Sicherheitssystem, das auf Linux basiert. Es erkennt und blockiert Spam, Phishing-Attacken und Viren, verfügt über einen eigenen VPN-Client und ein Intrusion Prevention- sowie Intrusion Detection System. Da die gesamte Sicherheits-Suite auf dem Stick beziehungsweise der Karte läuft, braucht das Laptop selbst keine Ressourcen mehr für Sicherheitssoftware zur Verfügung zu stellen.
Das A und O: Aktuelle Software
Die meisten schwerwiegenden Sicherheitslücken treten auf, wenn Unternehmen oder Einzelpersonen mit veralteten Betriebssystemen und veralteter Software arbeiten und es versäumen, die Aktualisierungen zeitnah zu installieren. Die Regelmäßigkeit, mit der Apple Patche für das Mac-OS, Safari, das iPhone und andere Software herausgibt, zeigt, dass auch Macs nicht davor gefeit sind, dass Kriminelle Sicherheitslücken ausnutzen.
Die meisten Hersteller von Antivirensoftware haben bereits reagiert und bieten ihre Schutz-Tools auch für das Mac-OS an. Besonders häufig gingen in der letzten Zeit Meldungen über Sicherheitslücken in Adobe-Produkten durch die Medien. Ebenso wie Sicherheitslücken in anderen Programmen betreffen sie in der Regel den Mac ebenso wie den PC.
Oft funktionieren solche Lücken so, dass sie es dem Angreifer ermöglichen, die Software zum Absturz zu bringen – etwa indem sie ein Dokument öffnen soll, bei deren Verarbeitung sie unerwartete Kommandos erhält. Ist das Programm mit derartigen Anfragen überfordert, stürzt es häufig ab oder hängt sich auf und springt dann fast immer auf ein Shell oder Eingabezeile zurück. Gelingt es dem Angreifer, an dieser Stelle ein ausführbares Skript einzuschleusen, führt es der Rechner aus – auch wenn es ein Mac ist. Der Mac hat zwar Vorteile durch das Unix-System, das systemkritische Befehle nur vom Administrator ausführen lässt. Wer jedoch als Administrator arbeitet, gibt dem eingeschleusten Code freie Fahrt. Im April 2009 wurde das erste Botnetz bekannt, das sich aus ferngesteuerten Macs zusammensetzte. Bis heute ließ sich aber nicht klären, welche Befehle dieses Botnetzs ausführen kann und wer es steuert.
Regelmäßiges Update von Hand
Aus diesem Grund ist es für die Sicherheit der Unternehmens-Macs besonders wichtig, dass alle Rechner im Unternehmen mit den aktuellen Software-Versionen laufen. Für kleine Unternehmen mit einer überschaubaren Anzahl der Arbeitsplätze bedeutet das, dass es regelmäßige Zyklen geben sollte, in denen die Software aktualisiert wird. Sinnvoll ist, in den Systemeinstellungen “Automatisches Update” zu aktivieren und die Update-Benachrichtigung, soweit möglich, auch von den installierten Programmen zu verlangen. Da die Mitarbeiter aus den erwähnten Gründen mit einem Benutzeraccount ohne Verwaltunsrechte arbeiten sollten, sollte ein Administrator in der Nähe sein, der Software-Updates zeitnah einspielen kann.
In großen Unternehmen erledigt diese Aufgabe die Software. Ziel ist es hier, die Aktualisierung herunterzuladen und zunächst auf einem internen Update-Server zwischenzuspeichern. Dann kann sie zunächst in weniger kritischen Geschäftsbereichen in geringerem Umfang installiert und getestet werden. Wenn bei der Installation und in einer festgelegten Testphase keine Probleme auftreten, lässt sich das Update zügig auch in den sensibleren Unternehmenszweigen installieren.
Eindringlinge früh erkennen
Mit dem Begriff der Intrusion Prevention bezeichnet die Sicherheitsbranche die Aufgabe der IT-Security, ein Firmennetz vor unbefugtem Zugriff zu schützen. Dazu gehören die verschiedenen Maßnahmen, die das Firmennetz schützen: Etwa dass an Servern, die im Netz stehen, nur jene Ports geöffnet sind, die der Server auch für die Protokolle verwendet, mit denen er arbeitet.
Je nach Architektur des Firmennetzes gehören dazu auch Firewalls, die alle denkbaren Angriffe aus dem Internet erkennen und abweisen, sowie software- oder hardwarebasierte Lösungen, die den gesamten Netzverkehr überwachen und, falls erforderlich, filtern (Beispiel unten: Yoggie). Weil die Cyberkriminellen immer neue Wege finden, Firmennetze zu entern, gehört zu einer sinnvollen Sicherheitsstrategie auch ein System, das Eindringlinge aufspürt.
Die Strategien von Datendieben im Internet konzentrieren sich immer stärker darauf, bei einem Einbruch schnell und unbemerkt so viele Daten wie möglich zu sammeln und unauffällig wieder zu verschwinden. Intrusion Detection Systeme haben daher die Aufgabe, auffällige Bewegungen im Netz zu erkennen und die Daten gegen Diebstahl zu sichern respektive eine Kopie zu verhindern.
Datenwiederherstellung
Falls sich Datendiebe trotz aller Vorsicht Zugang zu den Firmendaten verschafft haben, hinterlassen sie – wenn sie genügend zerstörerische Energie oder auch Unvermögen mitbringen – nicht selten ein Feld der Verwüstung. Damit wichtige Daten nicht unwiederbringlich verloren gehen, ist eine solide Backup-Strategie für jedes Unternehmen, egal welcher Größe, Pflicht. Einen Überblick über eine professionelle Backup-Lösung für den Mac gibt der Artikel auf Seite 30. Bei größeren Unternehmen ist darüber hinaus von großer Bedeutung, dass die Wiederherstellung der Daten schnell geht, da in der Zeit, in der die Systeme nicht laufen, bares Geld verloren geht. Enterprise-Lösungen bieten daher entsprechende Datenwiederherstellungs-Systeme an, die die kritischen Daten so verwalten, dass bei einem Verlust in kurzer Zeit Ersatzsysteme in den Startlöchern stehen, die den Verlust zumindest so weit ersetzen können, dass das Geschäft weiterlaufen kann. Viele Anbieter von Sicherheits-Software für den Enterprise-Bereich koppeln ihre Werkzeuge für die Abwehr von Eindringlingen und den Schutz der Daten mit Lösungen, die eine schnelle Wiederherstellung von Daten ermöglichen.
Unternehmenskultur aufbauen
Unternehmens-Security ist nur wirksam, wenn die Mitarbeiter sie mittragen. Der stärkste Verschlüsselungs-Algorithmus verfehlt sein Ziel, wenn es den Mitarbeitern zu umständlich ist, ihn zu verwenden. Etabliert ein Unternehmen neue Sicherheits-Maßnahmen oder führt es sie erst ein, müssen die Mitarbeiter daher über die Ziele, die die Maßnahmen verfolgen, aufgeklärt werden. Im Idealfall flankiert das Management neue Sicherheitsstandards mit einer Schulung, die die Neuerungen und deren Hintergrund vermittelt. Hierzu gehört ein Workshop über die Verwendung sicherer Passwörter, über Verschlüsselung und die Erklärung, warum man in der Regel keinen Admin-Zugang auf seinem Rechner hat und warum manche Software aus Sicherheitsgründen auf den Firmen-Clients nicht installiert werden darf. Auch die notwendige Vorsicht beim Umgang mit Datenträgern sollte an dieser Stelle vermittelt werden.
Fazit
Der Markt ist in Bewegung. Die Sicherheits-Lösungen, die für gemischte Netze in großen Unternehmen ausgelegt sind, gehen in aller Regel ganz selbstverständlich auch mit Mac-Clients um. Zusätzlich reagieren die Hersteller auf die steigende Verbreitung von Macs auch im Business-Bereich und richten ihre Software immer stärker auf Macs aus. Manche Hersteller spezialisieren sich sogar und bieten Smalloffice- und Enterprise-Lösungen für den Mac an. Einige wie Trendmicro und Kaspersky arbeiten an einer besseren Mac-Einbindung in ihre Produkte oder passen Software, die im PC-Bereich bereits erfolgreich läuft, auf den Mac an. Häufig schnüren die Anbieter verschiedene Pakete, so dass die Mac-Anwender gezielt auswählen können, welche Dienste sie brauchen. Die Hersteller, die auf den Mac setzen, bemühen sich darum, ihre Tools schon bald auch für Mac-OS X 10.6 bereit zu stellen, sofern das nicht schon geschehen ist. Wer im kommenden Frühjahr einen zweiten Blick auf den Markt wirft, wird feststellen, dass sich die Anzahl der verfügbaren Produkte und Lösungen weiter vergrößert hat.