Cisco Jahresbericht zum Thema Sicherheit 2011 · oder zwei Besprechungen teil. Die Arbeit begann, wenn die Leute ins Büro kamen, und endete, wenn sie wieder nach Hause gingen. Heute

Cisco Jahresbericht

zum Thema Sicherheit 2011

GLOBALE SICHERHEITSBEDROHUNGEN UND TRENDS

Der Cisco® Jahresbericht zum Thema Sicherheit bietet einen Überblick zum Thema Sicherheit im gesamten Cisco Konzern. Der Bericht enthält Informationen zu Bedrohungen und Trends, die von Januar bis November 2011 erfasst wurden. Geboten wird außerdem eine Momentaufnahme des Sicherheitsstatus in diesem Zeitraum unter besonderer Berücksichtigung wichtiger Sicherheitstrends, die für 2012 erwartet werden.

Cisco Jahresbericht zum Thema Sicherheit 2011 1Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.

TEIL 1 3 Willkommen in der vernetzten Welt

5 Der Mitarbeiter der Zukunft: Viele unterschiedliche Endgeräte, kein erhöhtes Sicherheitsbewusstsein

8 Social Media: das Produktivitäts-Tool der Gegenwart

10 Remote-Zugriff und BYOD: Gemeinsamer Lösungsansatz für Unternehmen und Mitarbeiter

16 Der Einfluss von Mobilgeräten, Cloud-Services und Social Media-Plattformen auf die Sicherheit in Unternehmen

TEIL 2 22 Cyber-Bedrohungen 2012: der Hacktivismus-Faktor

23 Geopolitische Trends: Social Media - die Macht der Masse

24 Die Gewinner des Cisco Cybercrime Showcase 2011

26 Die Cisco CROI-Matrix (Return on Investment der Cyberkriminalität)

28 Analyse der Schwachstellen und Bedrohungen 2011

29 Update zum globalen Spam-Aufkommen: Drastischer Rückgang des Spam-Volumens

31 Der Cisco Global ARMS Race Index

32 Das Internet: Ein elementares menschliches Grundbedürfnis?

35 Cisco Security Intelligence Operations

TEIl

1

2 Cisco Jahresbericht zum Thema Sicherheit 2011 Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.


Willkommen in der vernetzten Welt Stellen Sie sich ein Büro in den 1960er Jahren vor, z. B. in der US-amerikanischen TV-Serie „Mad Men“. Was Technik anging, konnten Mitarbeiter Schreibmaschinen und Telefone nutzen (die zumeist von Sekretärinnen bedient wurden). Das war praktisch alles, was zur Steigerung der Produktivität zur Verfügung stand. Mitarbeiter nahmen am Tag an ein oder zwei Besprechungen teil. Die Arbeit begann, wenn die Leute ins Büro kamen, und endete, wenn sie wieder nach Hause gingen.

Heute erledigt ein Mitarbeiter bereits während des Frühstücks oder auf dem Weg zur Arbeit mehr Aufgaben als in den 60er Jahren an einem ganzen Tag erreicht wurde. Dank zahlreicher technologischer Innovationen wie Tablets, soziale Netzwerke oder Videokonferenzsysteme ist eine standort- und geräteunabhängige Zusammenarbeit möglich. Voraussetzung dabei ist der Einsatz der richtigen Technologie für die Netzwerkanbindung und Gewährleistung der Sicherheit. Der größte Unterschied zwischen dem Arbeitsplatz in den 1960er Jahren und heute aber ist die Tatsache, dass die physische Anwesenheit im Büro nicht mehr notwendig ist. Tatsächlich unterscheidet sich der moderne Arbeitsplatz von seinem Gegenstück in den 1960er Jahren wohl am meisten durch das Fehlen der eigentlichen Akteure: Die Anwesenheit im Büro wird immer weniger notwendig.

Darüber hinaus wird die Zunahme technologischer Innovationen von einer veränderten Haltung begleitet. Mitarbeiter von heute sind so an die Produktivitätsvorteile und Benutzerfreundlichkeit ihrer Geräte, sozialen Netzwerke und Webanwendungen gewohnt, dass sie keinen Grund

sehen, warum sich diese nur auf ihre Freizeit beschränken sollten. Die Grenzen zwischen Arbeit und Freizeit sind praktisch aufgelöst. Diese Mitarbeiter chatten mit ihren Vorgesetzten auf Facebook, rufen auf Apple iPads ihre E-Mails ab, nachdem sie sich mit den Kindern einen Film angeschaut haben, und verwandeln ihre Smartphones in kleine Workstations.

Erwartungsgemäß gibt es in vielen Unternehmen Bedenken hinsichtlich der Auswirkung technologischer Innovationen und flexibler Prozesse auf die Sicherheit der Unternehmensdaten. Daher wird die Nutzung bestimmter Geräte einfach verboten oder der Zugriff auf Webservices beschränkt, die die Mitarbeiter eigentlich benötigen. Doch Unternehmen, die ihren Mitarbeitern diese Flexibilität nicht zugestehen und ihnen beispielsweise nur die Verwendung eines unternehmenseigenen Smartphones erlauben, werden bald feststellen, dass sie für neue Talente schlichtweg nicht attraktiv bzw. innovativ genug sind.

Im Cisco Connected World Technology Report (www.cisco.com/en/US/netsol/ns1120/index.html) ist festgehalten, inwieweit sich die Einstellung von Studenten und jungen Berufstätigen hinsichtlich Arbeitsplatz, Technologie und Sicherheit verändert hat. Denn es ist genau diese Generation, die für den nächsten großen Wandel in der Arbeitswelt sorgen wird. Zwar sind Mitarbeiter aller Altersstufen für den zunehmenden BYOD-Trend sowie den zeit- und standortunabhängigen Zugriff verantwortlich, jedoch sind es die jüngeren Arbeitnehmer und Hochschulabsolventen, die das Tempo dieses Wandels enorm beschleunigen. In der diesjährigen Ausgabe des

Cisco Jahresberichts zum Thema Sicherheit werden viele wichtige Ergebnisse dieser Untersuchung hervorgehoben, wobei die Auswirkungen auf Unternehmen analysiert und Strategien zur Steigerung des Innovationspotenzials vorgeschlagen werden.

Die meisten der weltweit befragten Studenten (81 %) wünschen sich eine freie Geräteauswahl am Arbeitsplatz. Dabei soll entweder der Arbeitgeber für die Kosten dieser Geräte aufkommen, oder sie möchten ihre privaten Geräte einsetzen. Nahezu 75 % der befragten Studenten möchten die Geräte sowohl privat als auch geschäftlich nutzen. Weit verbreitet ist mittlerweile auch der Einsatz vieler verschiedener Geräte. 77 % der weltweit befragten Mitarbeiter nutzen mehrere Endgeräte, z. B. Laptop, Smartphone bzw. mehrere Telefone oder Computer (siehe „Der Mitarbeiter der Zukunft: viele unterschiedliche Endgeräte, kein erhöhtes Sicherheitsbewusstsein“, Seite 5).

Ein umfassender, flexibler SicherheitsansatzTrends wie die Nutzung privater Geräte am Arbeitsplatz erfordern von IT-Abteilungen flexiblere und kreativere Lösungen, um die Sicherheit weiterhin aufrechtzuerhalten und gleichzeitig den Zugriff auf Collaboration-Technologien zu ermöglichen. Angesichts des Wunsches der Mitarbeiter, ihre eigenen privat genutzten Geräte mit zur Arbeit zu bringen, müssen Unternehmen eine „Bring Your Own Device“ (BYOD)-Strategie entwickeln, d. h. das Netzwerk und Daten unabhängig davon absichern, wie Mitarbeiter auf Informationen zugreifen. (Siehe „Remote-Zugriff und BYOD: Gemeinsamer Lösungsansatz für Unternehmen und Mitarbeiter“, Seite 10.)

Cisco Jahresbericht zum Thema Sicherheit 20114 Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.

„IT-Abteilungen müssen heute in der Lage sein, das durch eine BYOD-Umgebung entstehende Chaos in den Griff zu bekommen“, meint Nasrin Rezai, Director of Security Architecture und Chief Security Officer in der Collaboration Business Group bei Cisco. Das bedeutet nicht, dass generell höhere Risikolevel akzeptiert werden müssen. Es bedeutet, dass für die Anwerbung neuer Talente und die Entwicklung innovativer Lösungen gewisse Risiken eingegangen werden müssen. Es bedeutet, dass nicht jede Ressource dem Managenent der IT unterliegt.“

Die IT muss in Zukunft die richtige Balance zwischen den Risiken und Vorteilen finden. Anstatt die Verwendung bestimmter Geräte oder den Zugriff auf Social Media-Plattformen zu verbieten müssen Kontrollprozesse eingeführt werden, mit denen die Mitarbeiter einverstanden sind. Die IT-Abteilung kann beispielsweise einem Mitarbeiter mitteilen: „Sie können Ihr privates Smartphone zum Lesen und Beantworten von geschäftlichen E-Mails nutzen, aber wir müssen das Gerät verwalten können. Sollten Sie das Gerät verlieren, müssen wir sämtliche Daten remote löschen, einschließlich Ihrer privaten Apps und Bilder der Familie.“

Mitarbeiter müssen sich auf diesen Kompromiss einlassen. Sie müssen den Nutzen der Zusammenarbeit mit der IT-Abteilung erkennen, damit sie die benötigten Tools einsetzen können. Zudem müssen sie helfen, die Grundlagen für einen Prozess zu schaffen, der eine schnellere Einführung neuer aufkommender Technologien am Arbeitsplatz ermöglicht.

Eine weiterer Aspekt, der einer gewissen Anpassung durch die IT hinsichtlich der Sicherheit von Unternehmensdaten bedarf, ist die Tatsache, dass viele Informationen heutzutage öffentlich zugänglich gemacht werden. Laut einer Untersuchung von Connected World sehen junge Berufstätige und Studenten weitaus weniger Grenzen zwischen Arbeits- und Privatleben. 33 % der Studenten geben an, dass sie kein Problem damit hätten, private Informationen online freizugeben.

„Die ältere Generation geht davon aus, dass alles privat ist, abgesehen von den Informationen, die sie bereitwillig veröffentlichen“, erläutert David Evans, Chief Futurist bei Cisco. „Für die jüngere Generation ist alles öffentlich, was nicht explizit als privat erklärt wird. Diese Haltung steht im Gegensatz zu der bisher üblichen Arbeitsweise. Wettbewerbsfähigkeit und Innovationspotenzial basierten darauf, bestimmte Informationen nicht öffentlich zu machen und zu schützen. Doch in der heutigen Zeit bedeutet die Freigabe von Informationen mehr Nutzen als Risiko.

Diese Neuerungen haben aber auch einen Vorteil für die IT. Sie ermöglicht die Zusammenarbeit und Freigabe von Informationen und verfügt damit über mehr Verantwortung (und hoffentlich auch über mehr Budget) hinsichtlich Wachstum und Entwicklung des Unternehmens. „Erfolg ist, wenn die IT diese großen Veränderungen am Arbeitsplatz möglich macht und sie nicht verhindert“, so John N. Stewart, Vice President und Chief Security Officer bei Cisco. „Wir dürfen uns dabei nicht nur auf bestimmte Aspekte konzentrieren, wie z. B. die Frage, ob private iPads am Arbeitsplatz genutzt werden dürfen. Stattdessen sollte der Einsatz von Technologien zum Erzielen von Wettbewerbsvorteilen im Mittelpunk stehen.“

Der Mitarbeiter der Zukunft: Viele unterschiedliche Endgeräte,

kein erhöhtes Sicherheitsbewusstsein

5Cisco Jahresbericht zum Thema Sicherheit 2011Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.


D E R V E R N E T Z T E S T U D E N T

Würde zögern, bei einem Unternehmen zu arbeiten, das den Zugri auf Social Media untersagt

Möchte nicht die ganze Zeit im Büro arbeiten und ist der Meinung, dass die Arbeit zu �exiblen Zeiten und an verschiedenen Orten für mehr Produktivität sorgt

J U N G U N D F L E X I B E L

Bevorzugt �exible Arbeitszeiten sowie standortunabhängigen Zugri

Will unternehmenseigene Geräte für den Zugri auf Social Media und private Websites nutzen dürfen

Hält es für unnötig, regelmäßigim Büro anwesend zu sein

Findet, dass die IT-Abteilung letztendlich verantwortlich für Sicherheit ist

Besitzt mehrere Geräte wie Laptop, Tablet und Mobiltelefon (oftmals mehr als eines)

Besucht seine Facebook-Seite mindestens einmal am Tag

Wird IT-Richtlinien verletzen, falls dies notwendig ist, um die Arbeit zu erledigen

Möchte die Geräte seiner Wahl für die Arbeit nutzen - sogar den privaten Laptop und andere private Gadgets

Würde sich für den Internetzugang und gegen ein Auto entscheiden, wenn er vor die Wahl gestellt würde

Macht sich über den Schutz von Passwörtern wenig Gedanken


Erlaubt anderen Personen - sogar Fremden - die Nutzung seines Computers und seiner Geräte

Noch vor zehn Jahren erhielten Mitarbeiter einen Firmen-laptop und die dazugehörigen Anmeldeinformationen mit der Anweisung, das Gerät nicht zu verlieren und niemandem das Kennwort zu nennen. Ende der Sicherheitsschulung.

Heute erscheinen Ihre 20- bis 30-jährigen Mitarbeiter, die Sie aufgrund der frischen Ideen und Energie einstellen möchten, die sie Ihrem Unternehmen bringen, am ersten Arbeitstag an ihrem neuen Arbeitsplatz mit ihren eigenen Telefonen, Tablets und laptops und erwarten, dass sie diese in ihren Arbeitsalltag integrieren können. Sie erwarten außerdem, dass andere (nämlich IT-Mitarbeiter und CIOs) sich darum kümmern, dass sie ihre geliebten Geräte jederzeit und überall nutzen können, ohne dass Risiken für das Unternehmen entstehen. Sicherheit falle ihrer Ansicht nach nicht in ihre Zuständigkeit. Sie möchten ihre Arbeit im Büro oder von zu Hause aus erledigen und dabei soziale Netzwerke und Cloud-Anwendungen nutzen. Um die Sicherheit soll sich dabei jemand anderes kümmern.

Die Connected World-Studie zeigt, wie junge Berufstätige und Studenten vor dem Eintritt in die Berufswelt zu den Themen Sicherheit, Zugriff auf Informationen und Mobilgeräte stehen. Hier ein kleiner Eindruck der Person, die Sie basierend auf den Ergebnissen der Studie, wahrscheinlich einstellen werden:


D E R V E R N E T Z T E S T U D E N T

Würde zögern, bei einem Unternehmen zu arbeiten, das den Zugri auf Social Media untersagt

Möchte nicht die ganze Zeit im Büro arbeiten und ist der Meinung, dass die Arbeit zu �exiblen Zeiten und an verschiedenen Orten für mehr Produktivität sorgt

J U N G U N D F L E X I B E L

Bevorzugt �exible Arbeitszeiten sowie standortunabhängigen Zugri

Will unternehmenseigene Geräte für den Zugri auf Social Media und private Websites nutzen dürfen

Hält es für unnötig, regelmäßigim Büro anwesend zu sein

Findet, dass die IT-Abteilung letztendlich verantwortlich für Sicherheit ist

Besitzt mehrere Geräte wie Laptop, Tablet und Mobiltelefon (oftmals mehr als eines)


Wird IT-Richtlinien verletzen, falls dies notwendig ist, um die Arbeit zu erledigen

Möchte die Geräte seiner Wahl für die Arbeit nutzen - sogar den privaten Laptop und andere private Gadgets

Würde sich für den Internetzugang und gegen ein Auto entscheiden, wenn er vor die Wahl gestellt würde

Macht sich über den Schutz von Passwörtern wenig Gedanken


Erlaubt anderen Personen - sogar Fremden - die Nutzung seines Computers und seiner Geräte

Quelle: Cisco Connected World Technology Report

D E R S T U D E N T E N

W Ü N S C H E N S I C H E I N E F R E I E

GERÄTEAUSWAHL A M A R B E I T S P l A T Z


Social Media: das Produktivitäts-Tool der Gegenwart

Facebook und Twitter sind schon lange keine exklusiven Websites für Teenager und Computerfreaks mehr, sondern lebendige Kanäle für die Kommunikation mit Gruppen und das Bewerben von Marken. Junge Berufstätige und Studenten wissen dies und beziehen Social Media in alle Aspekte ihres Lebens ein. (Und auch wenn Facebook und Twitter die dominanten Anbieter in vielen Teilen der Welt sind, gibt es andere regionale soziale Netzwerke, die mittlerweile genauso wichtig für Online-Interaktionen sind, z. B. Qzone in China, VKontakte in Russland und den ehemaligen GUS-Staaten, Orkut in Brasilien und Mixi in Japan.)

Unternehmen sind sich jedoch häufig noch nicht des Ausmaßes bewusst, zu dem Social Media Eingang in das öffentliche und private Leben ihrer Mitarbeiter gefunden hat, was insbesondere für jüngere Arbeitskräfte gilt. Und sie erkennen nicht den wachsenden Wunsch der Mitarbeiter nach einem freien Zugriff auf soziale Netzwerke wie Facebook oder Websites für die gemeinsame Nutzung von Inhalten wie YouTube. Diese Trägheit kann sie im ungünstigsten Fall Talente kosten, die sie für Wachstum und Erfolg benötigen. Wenn kein Zugriff auf soziale Netzwerke gewährt wird, könnte dies ein Grund dafür sein, dass sich diese jungen Talente anderen Unternehmen zuwenden, die ihnen das ermöglichen. Diese Haltung ist noch stärker ausgeprägt bei Studenten, die Social Media-Plattformen bereits seit ihrer Kindheit nutzen.

Laut der Connected World-Studie spielt Facebook bei der privaten und geschäftlichen Kommunikation von Studenten und jungen Berufsanfängern eine zentrale Rolle. 98 % der befragten Studenten besuchen ihre Facebook-Seite mindestens einmal am Tag, bei den jungen Berufstätigen sind es 73 %. Diese Berufsanfänger nutzen Social Media-Kanäle auch für das Berufsleben. 7 von 10 Befragten gaben an, dass sie Vorgesetzte oder Kollegen im sozialen Netzwerk als „Freunde“ hinzugefügt haben.

Angesichts des Grads ihrer Aktivitäten auf Facebook (und der fehlenden Unterscheidung zwischen privater und geschäftlicher Nutzung sozialer Netzwerke) leuchtet es ein, dass junge Berufstätige auch im Büro nicht auf Facebook verzichten möchten. Von den befragten Studenten gaben 47 % an, dass in Unternehmen flexible Richtlinien für Social Media gelten sollten, vermutlich, um ihnen zu erlauben, jederzeit in ihrem beruflichen und privaten Leben an ihr Netzwerk angebunden zu bleiben.

Eine Arbeitsstelle in einem Unternehmen, das die Nutzung von Social Media-Kanälen untersagt, würden sie wahrscheinlich ablehnen. Würden sie dennoch dort arbeiten, würden sie mit hoher Wahrscheinlichkeit einen Weg finden, die Blockierung des Zugriffs auf diese Websites aufzuheben. Mehr als die Hälfte der weltweit befragten Studenten (56 %) gab an, dass Sie eine Stelle bei einem Unternehmen, das den Zugriff auf Social Media-Plattformen untersagt, nicht annehmen würden. Falls doch, würden sie einen Weg finden, entgegen der Unternehmensrichtlinien auf diese Websites zuzugreifen. Etwa zwei von drei Studenten (64 %) gaben an, bei Vorstellungsgesprächen die Social Media-Richtlinien im Unternehmen anzusprechen. 24 % sagen, dass diese Zugriffsrichtlinien ein ausschlaggebender Faktor für die Annahme der Stelle seien.

Die Vorteile des Social Media-ZugriffsSocial Media ist aus dem Alltag junger Berufsanfänger und zukünftiger Mitarbeiter nicht mehr wegzudenken. Es ist also kein vorübergehendes Phänomen. Unternehmen, die den Zugriff auf diese Plattformen sperren oder einschränken müssen wohl mit Wettbewerbsnachteilen rechnen.

Wird der Zugriff gestattet, können die Mitarbeiter dadurch sogar die Produktivität, das Innovationspotenzial und die Wettbewerbsfähigkeit steigern. Vorgesetzte können

beispielsweise in sozialen Netzwerken nach neuen Talenten Ausschau halten. Marketingteams können Social-Media-Kanäle überwachen, um den Erfolg von Werbekampagnen oder das Konsumklima für Marken nachzuverfolgen. Der Kundenservice kann unmittelbar auf Anfragen von Kunden reagieren.

Befürchtungen hinsichtlich Sicherheit und Datenverlust sind ein Hauptgrund, warum viele Unternehmen auf Social Media verzichten. Doch diese Bedenken sind wohl angesichts des wahren Risikos unverhältnismäßig (siehe „Mythos und Realität: Die Gefahr von Social Media für Unternehmen“ auf der gegenüberliegenden Seite). Auf alle Fälle können Risiken durch den Einsatz von Technologie und Benutzerkontrollen eingedämmt werden. Kontrollinstrumente für Internetdatenverkehr können z. B. Malware wie Koobface1 abwehren, die über Facebook und Twitter verbreitet wird. Diese Kontrollen hindern Mitarbeiter nicht daran, Social Media zu nutzen und sich mit Kollegen, Kunden und Geschäftspartnern zu vernetzen. Sie werden nur an Aktivitäten auf Social Media-Plattformen gehindert,

1 „The Evolution of Koobface: Adapting to the Changing Security Landscape“, Cisco Jahresbericht zum Thema Sicherheit 2010, www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf.


wenn die Gefahr besteht, dass sie eine infizierte Datei herunterladen oder auf einen verdächtigen Link klicken. Der Schutz ist für Benutzer unsichtbar und in das Netzwerk integriert, nicht in Computer oder Geräte. Mitarbeiter erhalten den gewünschten Zugriff, Unternehmen die benötigte Sicherheit für ihre Daten. (Weitere Informationen zu Schutzvorkehrungen für Social Media finden Sie unter „Zukünftige Richtlinien zur akzeptablen Nutzung“, Seite 19.)

Anbieter von Social Media haben auf Anfragen reagiert, größere Kontrollmöglichkeiten dafür zu bieten, was Benutzern in einem Netzwerk angezeigt wird. Ein Unternehmen kann beispielsweise Mitarbeitern den Zugriff auf YouTube zum Abspielen von Videos erlauben, die in Bezug zu ihrer Branche oder ihren Produkten stehen, jedoch den Zugriff auf pornografische Inhalte oder Glückspielwebsites sperren. Und IT-Lösungen können den Datenverkehr von Social Media-Kanälen auf eingehende Malware oder ausgehende Daten filtern (z. B. auf Unternehmensdateien, die nicht per E-Mail an Social Media-Plattformen oder andere webbasierte Services versendet werden dürfen).

Zum Schutz der Benutzer eines Unternehmens vor unbefugten Zugriffen auf ihre Konten hat Facebook seine Datenschutzfunktionen stetig verbessert. Wenngleich es sich dabei um einzelne Benutzer- im Gegensatz zu Netzwerkkontrollfunktionen handelt, können Unternehmen ins Gespräch mit Mitarbeitern kommen und Schulungen zu den nützlichsten Datenschutzfunktionen für den Erhalt der Informationssicherheit anbieten.

Unternehmen sollten den geschäftlichen Nutzen von Social Media-Plattformen im Vergleich zu den damit verbundenen Risiken genau abwägen, bevor Sie den Zugriff auf diese Websites unterbinden oder einschränken. Angesichts der Ergebnisse der Connected World-Studie hinsichtlich der Begeisterung junger Berufseinsteiger für Social Media-Kanäle und deren Kommunikationsfunktionen werden Unternehmen schnell erkennen, dass die Vorteile die Risiken überwiegen, vorausgesetzt, es besteht auch die nötige Sicherheit.

Mythos und Realität: Die Gefahr von Social Media für Unternehmen Mythos: Durch die Nutzung von Social Media-Kanälen durch Mitarbeiter, wird das Eindringen von Malware in das Unternehmensnetzwerk ermöglicht und die Produktivität nimmt ab. Außerdem geben Mitarbeiter Firmengeheimnisse und interne Informationen auf Facebook und Twitter preis und gefährden so die Wettbewerbsposition des Unternehmens.

Realität: Zwar ist es bereits vorgekommen, dass Cyberkriminelle ihre Opfer zum Download von Malware und zur Preisgabe von Kennwörtern gebracht haben, doch sind die Gefahren im Zusammenhang mit Social Media-Plattformen meist übertrieben. E-Mail-Nachrichten bleiben die gängigste Methode für das Einschleusen von Malware in das Netzwerk.

Gewiss sollten Unternehmen sich vor dem Verlust geistigen Eigentums schützen, doch sind die Social Media-Kanäle nicht allein verantwortlich dafür. Mitarbeiter, die für den Schutz der Informationen ihres Arbeitgebers geschult wurden, können Geheimnisse in indiskreten Gesprächen an öffentlichen Orten oder per E-Mail so schnell wie über Twitter ausplaudern, und sie können Firmendokumente ebenso einfach auf USB-Sticks herunterladen wie sie Informationen per Facebook austauschen können. Die Antwort auf IP-Lecks ist nicht ein komplettes Verbot von Social Media, sondern ein vertrauensvoller Umgang mit Mitarbeitern, sodass diese sich nicht gezwungen fühlen, vertrauliche Informationen preiszugeben.

„Die Mär vom Verlust der Produktivität durch soziale Netzwerke geistert schon länger durch die Medien“, meint Jeff Shipley, Manager von Cisco Security Research and Operations. „Tatsächlich können Mitarbeiter schneller und besser arbeiten, wenn Sie Tools nutzen, die eine problemlose Zusammenarbeit und Kommunikation mit dem Kunden ermöglichen. Heutzutage sind soziale Netzwerke diese Tools. Die Produktivitätssteigerungen gleichen somit die gelegentlichen Fehlzeiten aus.“

„Tatsächlich können Mitarbeiter schneller und besser arbeiten, wenn Sie Tools nutzen, die eine problemlose Zusammenarbeit und Kommunikation mit dem Kunden ermöglichen.“

– Jeff Shipley, Manager von Cisco Security Research and Operations


Remote-Zugriff und BYOD: Gemeinsamer Lösungsansatz für Unternehmen und MitarbeiterDie Frage, ob Mitarbeitern der Zugriff auf Social Media-Plattformen während der Geschäftszeiten erlaubt werden sollte und wie Unternehmensressourcen dabei zu schützen sind, spielt eine große Rolle. Noch wichtiger ist es aber, die richtige Balance zu finden zwischen der Bereitstellung der benötigten Tools und Informationen an Mitarbeiter für die standort- und zeitunabhängige Erfüllung ihrer Aufgaben und der nötigen Sicherheit vertraulicher Unternehmensdaten, wie geistiges Eigentum und persönliche Mitarbeiterdaten.

Unternehmen aus den unterschiedlichsten Branchen beginnen zu begreifen, dass die Consumerization der IT (die Nutzung privater Endgeräte am Arbeitsplatz) und die standortunabhängige Zusammenarbeit Trends sind, an die sie sich anpassen müssen. Es wird zunehmend deutlich, dass sie, sofern kein Wandel erfolgt, nicht wettbewerbsfähig und innovativ bleiben, keine produktiven Mitarbeiter behalten

und keine Top-Talente anziehen und an sich binden können. Gleichzeitig wird ihnen klar, dass das Aufrechterhalten zuvor definierter Sicherheitsgrenzen nicht mehr möglich ist. „IT-Abteilungen, insbesondere in Großunternehmen, sind bislang nicht in der Lage, mit der Geschwindigkeit, mit der neue Geräte auf den Markt gebracht werden und mit der Mitarbeiter ebendiese Geräte nutzen, Schritt zu halten“, sagt Gavin Reid, Leiter des Computer Security Incident Response Teams (CSIRT) bei Cisco.

Unter jungen Berufsanfängern von morgen (und auch schon von heute) herrscht klar die Erwartung, dass sie auf Geräten ihrer Wahl Zugriff auf Inhalte ihrer Wahl erhalten, um ihre Arbeit zu erledigen. Die Verwehrung dieses Zugriffs könnte weitreichende Folgen für das Unternehmen haben. Im Rahmen der Connected World-Studie gaben drei von zehn jungen Berufsanfängern weltweit an, dass ein fehlender

Remote-Zugriff die Auswahl ihres Arbeitgebers klar beeinflussen würde. So würden sie eine solche Stelle beispielsweise früher oder später aufgeben bzw. von Anfang an ausschlagen. Darüber hinaus könnte sich dadurch auch die Produktivität verringern oder die Arbeitsmoral nachlassen.

Die heutigen Studenten können sich ihren zukünftigen Arbeitsplatz ohne Remote-Zugriff nicht vorstellen. In der Cisco Connected World-Studie gaben zwei von drei Studenten an, dass sie dazu in der Lage sein müssen, von ihrem Heimcomputer aus auf das Unternehmensnetzwerk zuzugreifen. Ungefähr die Hälfte der befragten Studenten erwartet ebenso Zugriff über ihre privaten Mobilgeräte. Gestattet das Unternehmen diesen Zugriff nicht, ist es wahrscheinlich, dass diese zukünftigen Mitarbeiter dennoch einen Weg finden werden, dieses Hindernis zu überwinden.

Abbildung 1: Die Phasen des Mitarbeiterzugriffs auf dem Weg zur freien Geräteauswahl

INTERNERZUGRIFF

STANDORT-UNABHÄNGIG

STANDORT-UND GERÄTE-UNABHÄNGIG

JEDER SERVICE,JEDES GERÄT,

JEDER STANDORT

VIRTUELLESUNTERNEHMEN

Musste im Büro anwesend sein,

um auf Ressourcen zugreifen zu können

Consumerizationvon Geräten

MARKT-TREND

Consumerizationvon Services

MARKT-TREND

Kann mit jedem Gerät von überall

aus auf Ressourcen zugreifen

Kann durch von der IT verwaltete Geräte von überall aus auf

Ressourcen zugreifenGeräteunabhängige Services bewältigen

die Daten

Es entsteht ein „virtuelles Unternehmen“

- vollkommen unabhängig von

Standort und Services

Ger

äteu

nabh

ängi

gkei

t


Der sichere Weg von Cisco ins BYOD-ZeitalterIm Rahmen der Entscheidung, Mitarbeitern die Nutzung beliebiger Geräte, einschließlich nicht verwalteter privater Geräte, für ihre Arbeit zu erlauben, suchte die IT von Cisco gemeinsam mit CSIRT ein Tool, das schädliche Websites blockiert, bevor sie im Browser geladen werden. Gesucht wurde also ein Schutz vor Zero-Day-Angriffen, insbesondere vor denjenigen ohne bekannte Signatur. Die Lösung sollte aber auch die Benutzerumgebung erhalten, und zwar nicht nur um die Produktivität sicherzustellen, sondern auch, um Mitarbeiter am Ändern ihrer Browsereinstellungen zu hindern.

Cisco IT und CSIRT setzten zum Erfüllen dieser Anforderungen auf die Cisco IronPort® S670 Web Security Appliance (WSA), einen Web-Proxy, der Internetdatenverkehr untersucht und anschließend basierend auf Bewertungsfiltern oder dem Ergebnis eines Inline-Datei-Scans entweder weiterleitet oder verwirft. (Cisco nutzt die Webfilterfunktion der WSA nicht, um ganze Kategorien von Websites zu sperren, da das Unternehmen seinen Mitarbeitern vertraut, dass sie ihre Zeit produktiv nutzen.)

Wenn ein Mitarbeiter von Cisco auf einen Link klickt oder eine URL eingibt, wird die Anforderung über das Web

Cache Communication Protocol (WCCP) an einen Pool von Cisco IronPort S670 WSAs mit Lastenausgleich gesendet. Die WSA bestimmt basierend auf einer Reputationsbewertung von Cisco IronPort SenderBase® Security Network (www.senderbase.org), einem Cloud-basierten Überwachungsservice für E-Mail- und Internetdatenverkehr, ob die gesamte Website oder einzelne ihrer Objekte zugelassen oder abgelehnt werden. SenderBase weist jeder Website eine Reputationsbewertung von -10 bis +10 zu. Websites mit einer Reputationsbewertung von -6 bis -10 werden ohne weitere Untersuchung automatisch gesperrt. Websites mit einer Reputationsbewertung von 6 bis 10 werden zugelassen, ebenfalls ohne Untersuchung.

Cisco hat die Cisco IronPort S670 WSA in drei Phasen im Unternehmen eingeführt. Am Anfang stand ein sechsmonatiges Programm zur Prüfung der Umsetzbarkeit in einem Gebäude des Cisco Standorts im Research Triangle Park (RTP) in North Carolina. Es folgte ein zweijähriges Pilotprogramm (2009-2011), bei dem die Lösung auf alle 3.000 Mitarbeiter am RTP-Standort ausgeweitet wurde. 2011 wurde die WSA an anderen großen Unternehmensstandorten weltweit und für Zehntausende von Mitarbeitern eingeführt. Im November 2011 hat Cisco die globale WSA-Bereitstellung zu 100 % abgeschlossen.

„Cisco hat nun den höchstmöglichen Grad an Schutz vor Angriffen aus dem Internet“, sagt Jeff Bollinger, Senior Information Security Investigator bei Cisco. „Im Durchschnitt verzeichnen wir 40.000 blockierte Transaktionen pro Stunde. An nur einem Tag haben die WSAs 7,3 Mio. Transaktionen, darunter 23.200 Download-Versuche von Trojanern, mehr als 6.800 Trojaner, 700 Würmer und knapp 100 Phishing-URLs blockiert.“

Weitere Informationen zur Bereitstellung der Cisco IronPort S670 WSA bei Cisco finden Sie unter: www.cisco.com/web/about/ciscoitatwork/downloads/ciscoitatwork/pdf/cisco_it_case_study_wsa_executive_summary.pdf.

Die meisten Studenten (71 %) sind gemäß den Untersuchungsergebnissen der Ansicht, dass vom Unternehmen zur Verfügung gestellte Geräte auch in der Freizeit verwendbar sein sollten, da sich „Arbeitszeit und Freizeit häufig vermischen ... So ist es im Moment, und so wird es auch in Zukunft sein.“ Diese Aussage ist absolut richtig, weshalb immer mehr Unternehmen eine BYOD-Strategie entwickeln und umsetzen. Weitere bestimmende Faktoren sind die Mobilität der Mitarbeiterschaft, der ständige Nachschub an neuen Geräten, die Integration übernommener Unternehmen und das Management einer Extranet-Infrastruktur.

Cisco ist eines der Unternehmen, das bereits den Übergang zum BYOD-Prinzip gewagt und schnell gelernt hat, dass diese Transformation sowohl ein langfristiges als auch abteilungsübergreifendes Engagement im Unternehmen erfordert. Abbildung 1 auf der vorherigen Seite zeigt die fünf Phasen des Mitarbeiterzugriffs und den geräteunabhängigen Ansatz von Cisco auf dem Weg zum „virtuellen Unternehmen“. Zum Zeitpunkt des Erreichens der letzten Planungsphase, wofür wohl noch einige Jahre benötigt werden, wird das Unternehmen in größerem Maß standort- und serviceunabhängig sein, wobei die Sicherheit der Unternehmensdaten stets gewährleistet ist.2

Die spezifischen Anforderungen der Branche eines Unternehmens (gesetzliche Vorschriften) und die Unternehmenskultur (Spannungsfeld zwischen Risikotoleranz und Innovation) bestimmen BYOD-Entscheidungen. „Ich bin der Ansicht, dass für viele Unternehmen die BYOD-Frage weniger in Richtung ‚Nein, das können wir nicht̒ als vielmehr in die folgende Richtung geht: ‚Wie können wir das umsetzen? Welche positiven, fördernden Maßnahmen müssen wir ergreifen, um die Nutzung mobiler Geräte in unserem Unternehmen sinnvoll zu steuern?̒“, äußert sich Nasrin Rezai, Senior Director of Security Architecture und Chief Security Officer der Collaboration Business Group bei Cisco.

2 Weitere Tipps für Schritte in Richtung BYOD-Modell und zu den fünf Phasen, die Cisco zur Umsetzung dieses Modells durchlaufen hat, finden Sie unter Cisco Any Device: Planning a Productive, Secure, and Competitive Future, www.cisco.com/en/US/solutions/collateral/ns170/ns896/white_paper_c11-681837.pdf.


Was alle Unternehmen für eine erfolgreiche BYOD-Strategie benötigen, ist die Unterstützung der Führungsebene, die diesen Punkt ganz oben auf ihre Tagesordnung setzt und alles tut, um die Umsetzung zu ermöglichen. Dazu Rezai: „Die Führungsebene spielt bei der Einführung des BYOD-Prinzips eine wichtige Rolle. Sie trägt das Risiko, für den Fall, dass etwas schief geht. Sie geht aber auch systematisch vor und berücksichtigt die Architektur, wobei jeder Fortschritt eingehend bewertet wird.“ (Siehe Seitenleiste „Fragen auf dem Weg zur freien Geräteauswahl“ auf der gegenüberliegenden Seite.)

Governance ist ebenfalls ein wichtiger Faktor für den Erfolg einer BYOD-Strategie. Cisco hat beispielsweise einen BYOD-Lenkungsausschuss ins Leben gerufen, der von der IT-Abteilung geleitet wird, dem aber auch Teilnehmer aus anderen Geschäftsbereichen wie Personal- und Rechtsabteilung angehören. Ohne die entsprechende Governance wird der Übergang von einer durch die IT verwalteten in eine nicht verwaltete bzw. uneingeschränkte Umgebung ohne vordefinierte Sicherheitsparameter so gut wie unmöglich.

„Viele nehmen an, dass es sich beim BYOD-Trend nur um die Geräte drehen würde. Es geht jedoch um viel mehr“, so Russel Rice, Product Management Director bei Cisco. „Es geht darum, eine einheitliche Benutzerumgebung auf allen Geräten zu gewährleisten, ob in einer kabelgebundenen, WLAN- oder Cloud-Umgebung. Es geht um Richtlinienvorgaben für Interkationen. Es geht darum, wie Daten geschützt werden, darum, wie diese Daten sicher in die unterschiedlichen Umgebungen übertragen werden können. All diese Punkte sind beim Schritt zu BYOD zu bedenken. Wir sprechen hier schließlich von einem echten Paradigmenwechsel.“

Mythos und Realität: Mitarbeiter tolerieren keine Gerätekontrolle durch das UnternehmenMythos: Mitarbeiter werden nicht akzeptieren, dass ihr Arbeitgeber einen bestimmten Grad der Fernsteuerung über das persönliche Mobilgerät erhält, das sie beruflich und privat nutzen.

Realität: Unternehmen und Mitarbeiter müssen eine gemeinsame Lösung finden. Das Unternehmen muss erkennen, dass der Mitarbeiter jedes beliebige Gerät für die Arbeit nutzen können muss. Der Mitarbeiter muss verstehen, dass das Unternehmen alle erforderlichen Schritte ergreifen muss, um seine Sicherheitsrichtlinien durchzusetzen und Vorschriften hinsichtlich der Datensicherheit zu erfüllen.

Unternehmen müssen in der Lage sein, Geräte eindeutig zu identifizieren, sobald sie auf das Unternehmensnetzwerk zugreifen. Sie müssen die Geräte bestimmten Benutzern zuordnen können und den Sicherheitsstatus der Geräte kontrollieren, die eine Verbindung mit einem Unternehmensservice herstellen. Der technologische Fortschritt wird zur „Containisierung“ von Geräten führen. Ziel ist ein virtuelles Telefon in einem Telefon, das vom Arbeitgeber bei einem Verlust oder Diebstahl des Geräts deaktiviert werden kann, ohne dass die persönlichen Daten eines Benutzers gefährdet werden, die getrennt gespeichert sind. Im Laufe der nächsten Jahre dürften geeignete auf dieser Technologie basierende Lösungen für den großflächigen Einsatz in Unternehmen zur Verfügung stehen.

Bis dahin müssen Mitarbeiter, die ihre privaten Geräte für die Arbeit nutzen möchten, akzeptieren, dass ihr Arbeitgeber aus Sicherheitsgründen bestimmte Rechte zum Schutz der Geräte behalten muss. Hierfür ist u. a. Folgendes erforderlich:

• Kennwörter

• Datenverschlüsselung (inklusive Verschlüsselung von Geräten und Wechselmedien)

• Remote-Managementoptionen, die es der IT-Abteilung ermöglichen, ein Gerät remote zu sperren oder alle seine Daten zu löschen, z. B. bei Verlust, Diebstahl oder sonstiger Gefährdung des Geräts oder wenn der Mitarbeiter das Unternehmen verlässt.

Wenn ein Mitarbeiter die Durchsetzung von Richtlinien oder Anforderungen des Ressourcenmanagements nicht akzeptiert, die dazu dienen, das Gerät gemäß den Sicherheitsstandards des Unternehmens als vertrauenswürdig einzustufen, verwehrt die IT-Abteilung diesem Mitarbeiter den Zugriff auf vom Unternehmen abgesicherte Ressourcen über sein Gerät.


Fragen auf dem Weg zur freien GeräteauswahlIm Zuge der Initiative für die freie Geräteauswahl bei Cisco wurden 13 kritische Geschäftsbereiche identifiziert, die von diesem neuen Modell betroffen sind. In der folgenden Tabelle sind diese Geschäftsbereiche und eine Liste mit Fragen aufgeführt, die Cisco dabei geholfen haben, potenzielle Probleme zu erkennen (und zu umgehen) und zu entscheiden, wie diese Aspekte jeweils am besten zu behandeln sind. Unternehmen, die eine BYOD-Strategie umsetzen möchten, sollten diese Fragen ebenfalls berücksichtigen.3

3 Ibid.

Geschäftsbereich Frage

Geschäftskontinuität und NotfallwiederherstellungSoll privaten Geräten der Zugriff gewährt werden oder sollen diese aus der Geschäftskontinuitätsplanung ausgeschlossen werden?Soll es möglich sein, ein Endgerät, das auf das Netzwerk zugreift, per Remote-Funktion zurückzusetzen, falls es verloren geht oder gestohlen wird?

Hostmanagement (Patching) Dürfen private Geräte in vorhandene Hostmanagementstreams des Unternehmens aufgenommen werden?

Management der Clientkonfiguration und Überprüfung der Gerätesicherheit Wie wird die Einhaltung der Sicherheitsprotokolle seitens der Geräte überprüft und auf dem aktuellen Stand gehalten?

Strategien für den Remote-ZugriffWer soll welche Services und Plattformen auf welchen Geräten nutzen dürfen?Soll ein externer Mitarbeiter über dieselben Berechtigungen für Endgeräte, Anwendungen und Daten verfügen?

Softwarelizenzierung

Soll die Richtlinie geändert werden, um die Installation von durch das Unternehmen lizenzierter Software auf privaten Geräten zu erlauben?Werden in vorhandenen Softwarevereinbarungen Benutzer berücksichtigt, die mithilfe mehrerer Geräte auf eine Softwareanwendung zugreifen?

Verschlüsselungsanforderungen Sollen private Geräte bestehende Anforderungen an die Datenträgerverschlüsselung erfüllen?

Authentifizierung und Autorisierung Sollen bzw. dürfen private Geräte in vorhandene Microsoft Active Directory-Modelle aufgenommen werden?

Compliance-Management Wie sieht die Unternehmensrichtlinie bezüglich der Verwendung privater Geräte in Umgebungen mit hohen Compliance-Anforderungen oder in hochriskanten Umgebungen aus?

Management und Untersuchung von Vorfällen Wie behandelt das Team für IT-Sicherheit und Datenschutz des Unternehmens Vorfälle im Zusammenhang mit privaten Geräten?

Anwendungskompatibilität Wie behandelt das Unternehmen Anwendungskompatibilitätstests bei privaten Geräten?

Ressourcen-Management Muss das Unternehmen eine Änderung bei der Art und Weise der Identifizierung der unternehmenseigenen Geräte vornehmen, um auch die unternehmensfremden Geräte zu identifizieren?

Support Wie lauten die Richtlinien des Unternehmens in Bezug auf den Support privater Geräte?


Verteilung unterschiedlicher Mobilgeräte und Malware-VorfälleDie Studie Connected World zeigte, dass drei von vier Mitarbeitern weltweit (77 %) mehrere Geräte besitzen, z. B. einen Laptop und ein Smartphone oder mehrere Telefone und Computer. 33 % der jungen Fachkräfte (jeder Dritte) gibt an, mindestens drei Endgeräte zum Arbeiten zu nutzen. Aber welche Plattformen für mobile Geräte werden von den meisten Mitarbeitern heute im Allgemeinen bevorzugt?

Bei den Untersuchungen für den aktuellen Cisco Global Threat Report befasste sich Cisco ScanSafe mit den verschiedenen Plattformen für mobile Geräte, die Mitarbeiter in aller Welt im Unternehmen verwenden.* Überraschenderweise rangieren BlackBerry-Geräte von RIM, die in den meisten Unternehmensumgebungen schon lange akzeptiert werden, jetzt auf Platz 4 unter den bei den Mitarbeitern beliebtesten Plattformen für mobile Geräte.

Noch überraschender ist vielleicht, dass die Geräte von Apple, Inc. (iPhone, iPad und iPod Touch) derzeit die bei Weitem dominanteste Plattform darstellen. Google Android belegt den zweiten Platz und Nokia-/Symbian-Geräte finden sich auf Platz drei.** Diese Ergebnisse unterstreichen, welche gewaltigen Auswirkungen die Consumerization von IT in diesem kurzen Zeitraum auf die Unternehmen hatte: Das erste iPhone kam 2007 auf den Markt; das erste im Handel erhältliche Android-Telefon wurde 2008 vorgestellt.

Die Studien von Cisco ScanSafe liefern auch Hinweise darauf, bei welchen Plattformen für mobile Geräte Malware auftritt. Die Antwort: bei allen. (Siehe nachfolgendes Diagramm.) Obwohl bei BlackBerry-Geräten momentan die meisten Malware-Vorfälle (über 80 %) verbucht werden, sagt die

leitende Mitarbeiterin der Forschungsgruppe für Sicherheitsbedrohungen von Cisco, Mary Landesman, dass die Malware nicht speziell auf BlackBerry-Geräte oder -Benutzer abzielt und dass es zweifelhaft ist, dass diese Geräte durch die gefundene Malware infiziert oder auf andere Weise beeinträchtigt wurden.

Landesman fügt hinzu: „Die Cyberkriminellen folgen den Benutzern überall hin.“ Mit dem steigenden Einsatz von mobilen Geräten in Unternehmen wird es auch zunehmend mehr Malware geben, die auf diese Geräte – und folglich diese Benutzer – abzielt. (Weitere Informationen zu den zunehmenden Investitionen von Cyberkriminellen in Exploits, die auf Benutzer mobiler Geräte abzielen, finden Sie in der Cisco CROI-Matrix (Return on Investment der Cyberkriminalität) auf Seite 26.)

* Cisco ScanSafe verarbeitet täglich Milliarden von Webanforderungen. Die Ergebnisse der Studie basieren auf einer Analyse der per Kundenanzahl normalisierten Benutzeragenten. ** Im Oktober 2011 verfügbare Nokia-/Symbian-Geräte.

Einsatz mobiler Geräte nach Anbieter Verteilung der Malware-Vorfälle

Android

iPhone/iPad/iPod touch

Nokia/Symbian

BlackBerry

Windows Mobile

Quelle: Cisco ScanSafe


Die iPad-Revolution: Tablets und SicherheitAls der Apple iPad Tablet-Computer 2010 auf den Markt kam, wurde er als Verbrauchergerät positioniert (und von der Öffentlichkeit als solches begeistert angenommen): Man nutzte das iPad, um mit den Kindern Filme anzusehen, zu Hause auf dem Sofa im Internet zu surfen und Bücher zu lesen.

Allerdings wurde in vielen Branchen, wie dem Gesundheitswesen oder der Fertigung, erkannt, wie attraktiv die geschäftliche Nutzung eines leistungsstarken, einfach zu bedienenden mobilen Geräts wäre, das die Lücke zwischen Smartphones (zu klein) und Laptops (zu unhandlich) schließen konnte. Der Finanzchef von Apple sagte kürzlich in einer Telefonkonferenz, dass 86 % der Fortune 500-Unternehmen und 47 % der Global 500-Unternehmen das iPad einsetzen oder testen. Unternehmen wie General Electric Co. und SAP entwickeln benutzerdefinierte iPad-Apps für interne Prozesse, und Piloten von Alaska Airlines und American Airlines ersetzen im Cockpit mit dem iPad Papierausdrucke von Navigationsdaten.4

Gleichzeitig fragen Mitarbeiter, die iPads und andere Tablets zu Hause verwenden, ihre Arbeitgeber, ob sie diese Geräte im Büro benutzen dürfen – ein weiterer Meilenstein der Consumerization von IT. Dies spiegelt sich in der Studie Cisco Connected World wider, in der 81 % der befragten Studenten angaben, dass sie erwarten, an ihrem zukünftigen Arbeitsplatz die Geräte ihrer Wahl verwenden zu können, egal, ob vom Arbeitgeber oder durch den Mitarbeiter selbst finanziert.

Ungeachtet dessen, ob die Unternehmen oder die Mitarbeiter die Akzeptanz von iPads und anderen Tablets fördern, werfen diese Geräte Fragen und Bedenken hinsichtlich der Sicherheit der Unternehmensdaten auf, auf die über Tablets zugegriffen wird. Im Gegensatz zu Smartphones stellen iPads und Tablets zuverlässigere Plattformen bereit,

mit denen die Mitarbeiter produktiver arbeiten können als mit Smartphones. Vorausschauende Unternehmen möchten die Einbindung von Tablets ermöglichen, ohne Kompromisse bei der Sicherheit einzugehen.

Durch immer neue Innovationen unterliegt auch die IT einem stetigen Wandel, der sich heute mehr denn je beschleunigt. Unternehmen, die ihre Gerätestrategie nur auf ein Gerät (z. B. das iPad, das beliebteste Gerät des Jahres 2011) ausrichten, müssen sich darauf einstellen, ihre Systeme in einigen Jahren erneut zu überarbeiten, wenn neue Anbieter, Produkte und Funktionen verfügbar sind.

Eine eher strategisch ausgerichtete Vorgehensweise lenkt die Sicherheitsdiskussion weg von bestimmten Geräten und hin zum BYOD-Trend, in dessen Rahmen persönliche Mitarbeitergeräte am Arbeitsplatz

verwendet werden können. Der Zugriff auf Unternehmensdaten wird dabei je nach Benutzer, Rolle und Gerätetyp gesteuert (weitere Informationen zum BYOD-Trend finden Sie auf Seite 10). Der Schlüssel zum sicheren Einsatz beliebiger Geräte im Unternehmen, und zwar unabhängig davon, ob es sich um unternehmenseigene oder private, von zu Hause mitgebrachte Geräte handelt, ist das Identitätsmanagement; d. h. zu wissen, wer das Gerät verwendet, wo er es verwendet und auf welche Daten er damit zugreift. Überdies müssen Unternehmen, die den Einsatz von Tablets am Arbeitsplatz unterstützen, hier ebenso über Methoden zum Gerätemanagement verfügen (z. B. zum Löschen von Daten von verloren gegangenen Geräten), wie es bei Smartphones und Laptops der Fall ist.

Bei Tablets – im Grunde bei jedem anderen neuen Gerät, das im Unternehmen eingesetzt werden soll – müssen die Sicherheitsexperten gewährleisten, dass die Benutzerfreundlichkeit nicht beeinträchtigt wird, wenn sie Sicherheitsfunktionen hinzufügen. So schätzen iPad-Benutzer die Touchscreen-Steuerelemente des Geräts, z. B. dass sie Bilder anzeigen oder vergrößern können, indem sie die Finger über den Bildschirm bewegen. Wenn die IT-Abteilung nun Sicherheitsfunktionen integriert, durch die diese beliebten Features eingeschränkt werden, stehen die Benutzer diesen Änderungen sehr ablehnend gegenüber.

„Der beste Ansatz zur Tablet-Sicherheit ist einer, der die zuverlässige Trennung von geschäftlichen und privaten Apps und Daten ermöglicht und auf jedes dieser Elemente angemessene Sicherheitsrichtlinien anwendet“, sagt Horacio Zambrano, Produktmanager bei Cisco. Die Richtlinien werden in der Cloud oder mit einem intelligenten Netzwerk umgesetzt, sodass für die Mitarbeiter die Benutzerfreundlichkeit erhalten bleibt und sie die nativen App-Funktionen des Geräts nutzen können.“

4 „Apple’s corporate iPhone, iPad app strength bad news for rivals,“ ZDNet, 20. Juli 2011, www.zdnet.com/blog/btl/apples-corporate-iphone-ipad-app-strength-bad-news-for-rivals/52758.


Der Einfluss von Mobilgeräten, Cloud-Services und Social Media-Plattformen

auf die Sicherheit im UnternehmenDie Kosten einer einzigen Datenschutzverletzung können für ein Unternehmen schnell in die Höhe schießen. Nach den Schätzungen des Ponemon Instituts können sie im Bereich zwischen 1 Million USD und 58 Millionen USD liegen.5 Die Probleme sind außerdem nicht nur finanzieller Art: Eine Beschädigung des Unternehmensrufs und Verluste von Kunden und Marktanteilen sind potenzielle Nebenwirkungen eines bekannt gewordenen Datenverlusts.

Da immer mehr Mitarbeiter zu mobilen Arbeitskräften werden, die mit mehreren Geräten auf Unternehmensressourcen zugreifen und darauf angewiesen sind, dass Collaboration-Anwendungen auch dann funktionieren, wenn sie sich nicht auf dem Firmengelände befinden, wächst das Risiko eines Datenverlusts. Laut der Cisco Connected World-Studie (www.cisco.com/en/US/netsol/ns1120/index.html) sendet fast die Hälfte (46 %) aller jungen Fachkräfte von ihren persönlichen E-Mail-Konten aus auch geschäftliche E-Mails.

„Das Potenzial für Datenverluste ist hoch“, sagt David Paschich, Web Security Product Manager bei Cisco. „Die Unternehmen verlieren immer mehr die Kontrolle darüber, wer Zugriff auf ihr Unternehmensnetzwerk hat. Und die einfache Tatsache, dass mehr Mitarbeiter mobile Geräte – und manchmal sogar mehrere Geräte – für die Arbeit verwenden, bedeutet, dass das Risiko eines Datenverlusts durch gestohlene oder verloren gegangene Geräte größer ist.“

Durch die zunehmende Vorliebe von Cyberkriminellen für gezielte Angriffe auf kleine Zielgruppen, z. B. Spearphishing-Kampagnen (siehe „Update zum globalen Spam-Aufkommen: Drastischer Rückgang des Spam-Volumens“, Seite 29), um wichtige Informationen zu stehlen, und die zunehmende Nutzung Cloud-basierter Dateifreigabeservices in Unternehmen, um die Effizienz zu steigern und

Kosten zu senken (siehe nächster Abschnitt „Schutz von Unternehmensdaten in der Cloud“) steigt auch das Risiko, dass Daten gestohlen oder kompromittiert werden.

In diesem Umfeld überrascht es nicht, dass sich immer mehr Unternehmen wieder verstärkt auf Maßnahmen zum Schutz vor Datenverlusten (Data Loss Prevention, DLP) konzentrieren. „Heute beurteilen Unternehmen ihre DLP-Programme im Hinblick auf zwei Punkte: ob sie die richtigen Daten schützen und ob sie die richtigen Maßnahmen zum Schutz dieser Daten ergreifen“, sagt John N. Stewart, Vice President und Chief Security Officer bei Cisco.

Bei der Kategorisierung von Daten, die geschützt werden müssen, ist für viele Unternehmen ein guter Ausgangspunkt, anhand der einschlägigen Gesetze und Verordnungen zu bestimmen, welche Datentypen geschützt und gesichert werden müssen. Dies kann von Branche zu Branche und je nach geografischem Standort (z. B. Staat, Bundesland) unterschiedlich sein. „Man kann nur dann Sicherheitsmaßnahmen für das, was geschützt werden muss, einrichten, wenn man weiß, was geschützt werden muss“, so Jeff Shipley, Manager von Cisco Security Research and Operations. „Viele Unternehmen, die ihre Sicherheitsmaßnahmen auf die Systeme und Netzwerke konzentrieren statt auf die Beschaffenheit der Daten, die sich in den verschiedenen Systemen oder im Netzwerk befinden, müssen daher umdenken.“ Er fügt hinzu, dass die Unternehmen auch den Aspekt des geistigen Eigentums bei der Kategorisierung der zu schützenden Daten nicht außer Acht lassen dürfen.

Shipley warnt IT-Abteilungen auch davor, offensichtliche Möglichkeiten zur Verhinderung einer Datenabwanderung zu verpassen. Er erläutert: „Hier ist ein Beispiel: Wenn ein Unternehmen seine vertraulichen Dateien, z. B. Excel-

Tabellen mit Kundendaten, durch Maßnahmen schützen würde, die verhindern, dass Daten von zentralisierten Anwendungen oder Datenbanken heruntergeladen werden, dann ist das Risiko, dass Mitarbeiter diese Daten auf ein privates oder mobiles Gerät herunterladen, bevor sie das Unternehmen verlassen, deutlich geringer.“

Paschich warnt Unternehmen auch davor, eine unscheinbare, dafür aber sehr mächtige Bedrohung für die Datensicherheit zu übersehen: USB-Geräte. „Unternehmen machen sich zwar Gedanken darüber, ob Mitarbeiter mit einem iPhone auf das Netzwerk zugreifen dürfen, weil sie eine Beeinträchtigung der Unternehmenssicherheit befürchten, aber sie erlauben Ihren Mitarbeitern, USB-Geräte an ihre Laptops anzuschließen und beliebige Daten zu kopieren.“

Paschich hat einen weiteren Tipp zur Optimierung des Datenschutzes in Unternehmen: DLP-Maßnahmen und Richtlinien zur akzeptablen Nutzung sollten in getrennten Dokumenten formuliert werden. „Diese Bemühungen greifen sicherlich ineinander, sind jedoch unterschiedlich“, sagt Paschich. (Siehe „Zukünftige Richtlinien zur akzeptablen Nutzung“, Seite 19.)

Schutz von Unternehmensdaten in der CloudCloud-basierte Dateifreigaben sind zu einer beliebten und komfortablen Methode zur gemeinsamen Nutzung großer Dateien über das Internet geworden und stellen einen weiteren potenziellen Gefahrenbereich für die Datensicherheit in Unternehmen dar. Der Gedanke, dass vertrauliche Unternehmensdaten zwischen webbasierten Cloud-Services, die nicht vom Unternehmen verwaltet werden, übertragen werden, kann Sicherheitsexperten schlaflose Nächte bereiten.

5 Email Attacks: This Time It’s Personal, Cisco, Juni 2011, www.cisco.com/en/US/prod/collateral/vpndevc/ps10128/ps10339/ps10354/targeted_attacks.pdf.


Programs Organization (CSPO). „Zudem können sich die Sicherheits- und Verschlüsselungsstandards von Anbieter zu Anbieter stark unterscheiden. Die Dateifreigabe in der Cloud hat viele Vorteile, aber die Unternehmen sollten die Anbieter der Dateifreigabeservices eingehend zu ihren Richtlinien zur Wahrung der Sicherheit befragen.“

Dazu gehören folgende Fragen:

• Welche Art von Verschlüsselungsmöglichkeiten stellt der Anbieter bereit?

• Welche Mitarbeiter haben Zugriff auf Kundendaten?

• Wer verwaltet die Behebung und Überwachung von Störfällen – der Anbieter oder der Kunde?

• Lagert der Anbieter einzelne Services an Drittunternehmen aus? Werden Daten von diesen Dritten zwischengespeichert?

• Gibt es DLP-Richtlinien zum Schutz vor Datenverlusten?

• Führt der Anbieter regelmäßig Bewertungen der Sicherheitsmaßnahmen durch?

• Wie wird die Redundanz sichergestellt? Wie und wo werden Sicherungsdateien gespeichert?

Die Cloud-basierte Dateifreigabe ist auf dem Vormarsch, weil sie so einfach zu verwenden ist. Der Anmeldevorgang für Services wie Box.net oder Dropbox ist schnell und einfach, die Services erfordern keine spezielle Hardware oder anspruchsvolle Software, und sie sind kostenlos oder kostengünstig.

Sie erleichtern auch die Zusammenarbeit zwischen Mitarbeitern und externen Beratern und Partnern, da die Dateien gemeinsam genutzt werden können, ohne dass zeitaufwändige und komplizierte Methoden zum Zugriff auf die Unternehmensnetzwerke entwickelt werden müssen. Jüngere Mitarbeiter, die Cloud-Services wie Webmail und soziale Netzwerke ständig nutzen, werden zweifellos die Cloud-basierte Dateifreigabe begrüßen und ihre stärkere Akzeptanz im Unternehmen fördern.

Wenn die Kontrolle über die Unternehmensdaten der Cloud überlassen wird, insbesondere dem Teil der Cloud, der nicht vom Unternehmen gesteuert wird, wirft dies berechtigte Fragen zur Datensicherheit auf. „Viele neue Anbieter auf diesem Markt sind junge Unternehmen mit wenig Erfahrung in der Bereitstellung unternehmensweiter Services und den damit verbundenen Herausforderungen“, berichtet Amol Godbole, Information Security Lead bei der Cisco Security

Parallel zur Bewertung der Anbieter sollten Unternehmen, die eine Unternehmensrichtlinie zur Dateifreigabe in der Cloud implementieren möchten, die folgenden Schritte ausführen:

Einrichtung eines System zur Datenklassifizierung: Entsprechend den geschäftlichen Anforderungen können die Dokumente nach ihrem Vertraulichkeitsgrad klassifiziert werden, beispielsweise „öffentlich“, „vertraulich“ oder „streng vertraulich“. Die Mitarbeiter sollten darin geschult werden, wie diese Einstufungen anzuwenden sind, und wissen, wie sich diese Klassifizierung auf ihre Möglichkeiten der Dateifreigabe in der Cloud auswirkt.

Einrichtung eines Systems zum Umgang mit speziellen Daten: Daten, die juristisch oder im Hinblick auf die Einhaltung gesetzlicher Vorschriften relevant sind, müssen in Bezug auf die Anforderungen an die Speicherrichtlinien, den physischen Speicherort und die Sicherungsmedien besonders behandelt werden. Unternehmen müssen neben der Klassifizierung der Daten nach Vertraulichkeitsgraden auch Richtlinien für das Senden von Daten an externe Zielgruppen definieren.

Implementierung einer DlP-lösung: Anbieter von Dateifreigabeservices bieten unter Umständen nicht in dem Umfang DLP-Maßnahmen an, die das Unternehmen erfordert. Eine DLP-Lösung im Netzwerk kann anhand der Klassifizierungen das Hochladen von Daten an Dateifreigabeservices blockieren, beispielsweise Steuerunterlagen oder Quellcode.

Bereitstellung von Identitätsservices zur Zugriffskontrolle: Die Benutzer sollten vom Netzwerk authentifiziert werden, bevor ihnen erlaubt wird, Dateien hoch- oder herunterzuladen. Die Nutzung der Corporate Identity und des Identitätsverbunds für die interne und externe Zusammenarbeit und das Lifecycle-Management der bereitgestellten Konten sind entscheidend.

Festlegung der Erwartungen des Anbieters: Klare und wohl definierte Richtlinien und Services sollten Bestandteil von Service Level Agreements (SLAs) sein, beispielsweise Redundanzsysteme und Verschlüsselungskontrollen, Verfahren für den Datenzugriff durch Dritte (z. B. Justizbehörden), die Definition gemeinsamer Verantwortlichkeiten, zu denen die Reaktion auf Störfälle, Monitoring- und Managementfunktionen sowie die Datenübertragung und Datenlöschung vor der Beendigung des Vertrags gehören können.


Gesetzgeber in den USA streben Maßnahmen zur Offenlegung von Datenschutzverletzungen an Einige Datenschutzverletzungen, die im Jahr 2011 im Licht der Öffentlichkeit diskutiert wurden, z. B. bei Sony Corp.6 und Citigroup Inc.7, hatten zur Folge, dass US-amerikanische Abgeordnete sich um die Verabschiedung von Gesetzesentwürfen bemühen, die regeln sollen, wie die Unternehmen Verbraucherdaten schützen und die Öffentlichkeit über Verletzungen der Cybersicherheit informieren.

Drei Gesetzesentwürfe zu Datenschutzverletzungen und zum Datenschutz wurden vom Judiciary Committee des US-amerikanischen Senats im September 2011 genehmigt und verabschiedet. Das Senate Commerce Committee und das House Energy and Commerce Committee arbeiten zudem an eigenen Gesetzesentwürfen. Bei der Version, die letztendlich im Senat angenommen wird, wird es sich wahrscheinlich um einen Kompromiss aus allen von den Senate Committees befürworteten Versionen handeln, aus denen ein umfassender Gesetzesentwurf entsteht, über den dann beraten und abgestimmt werden muss. Die folgenden Versionen wurden vom Senate Judiciary Committee angenommen:

Der Gesetzesentwurf zum „Data Breach Notification Act“ von 20118 Diese Maßnahme würde verlangen, dass Bundesbehörden und Unternehmen, die länderübergreifenden Handel betreiben und Daten mit vertraulichen personenbezogenen Informationen verarbeiten, alle Datenschutzverletzungen offenlegen.

Der Gesetzesentwurf zum „Personal Data Protection and Breach Accountability Act“9 Mit diesem Gesetz würde ein Verfahren erstellt, das Unternehmen die Einrichtung geeigneter Mindestsicherheitsstandards zum Schutz vertraulicher Verbraucherdaten erleichtern soll. Das Gesetz würde

von Unternehmen auch verlangen, die betroffenen Personen unverzüglich über Datenschutzverletzungen zu unterrichten.

Der Gesetzesentwurf zum „Personal Data Privacy and Security Act“ von 201110 Mit diesem Gesetz würde ein nationaler Standard festgelegt, den Unternehmen bei der Meldung von Datenschutzverletzungen einhalten müssten. Zudem würden Unternehmen dadurch verpflichtet, Datenschutz- und Sicherheitsmaßnahmen zur Verhütung von Datenschutzverletzungen zu implementieren. Dieser Gesetzesentwurf umfasst auch strafrechtliche Sanktionen.

Zu dem Zeitpunkt, als der Cisco Jahresbericht zum Thema Sicherheit 2011 erstellt wurde, wurden die Gesetzesentwürfe zur Meldung von Datenschutzverletzungen noch im US-amerikanischen Kongress beraten, ebenso wie die umfassenden Gesetzesentwürfe zur Cybersicherheit, die zum Schutz von Finanznetzwerken, Verkehrssystemen und Stromnetzen beitragen sollen. Der Senat arbeitet seit mehr als einem Jahr an einer umfassenden Gesetzgebung zur Cybersicherheit; im Mai 2011 veröffentlichte die Obama-Regierung ein Statement dazu, was ihrer Meinung nach in einer solchen Gesetzgebung enthalten sein sollte.11

6 „Sony Playstation Suffers Massive Data Breach“, von Liana B. Baker und Jim Finkle, Reuters.com, 26. April 2011, www.reuters.com/article/2011/04/26/us-sony-stoldendata-idUSTRE73P6WB20110426. 7 „Citi Says Many More Customers Had Data Stolen by Hackers“, von Eric Dash, The New York Times, 16. Juni 2011, www.nytimes.com/2011/06/16/technology/16citi.html. 8 The Data Breach Notification Act of 2011: www.govtrack.us/congress/billtext.xpd?bill=s112-1408. 9 The Personal Data Protection and Breach Accountability Act: http://judiciary.senate.gov/legislation/upload/ALB11771-Blumenthal-Sub.pdf. 10 The Personal Data Privacy and Security Act: www.govtrack.us/congress/billtext.xpd?bill=s112-1151. 11 „Letters to House of Representatives and Senate on the Administration’s cybersecurity proposal,“ WhiteHouse.gov, 12.05.2011,

www.whitehouse.gov/sites/default/files/omb/legislative/letters/Cybersecurity-letters-to-congress-house-signed.pdf.


Zukünftige Richtlinien zur akzeptablen NutzungViele Richtlinien zur akzeptablen Nutzung entstanden aus der Notwendigkeit heraus, Regeln festzulegen, inwieweit Mitarbeiter während der Arbeitszeit und unter Verwendung von unternehmenseigenen Ressourcen auf das Internet zugreifen dürfen. Im Laufe der Zeit entwickelten sich diese Richtlinien zu überladenen Dokumenten, in denen alles abgedeckt wurde, vom Internetzugang über Social Media-Plattformen bis hin zu Regelungen, welche Informationen über das Unternehmen von den Mitarbeitern in ihrer Freizeit über Onlinekanäle nicht preisgegeben werden dürfen. Infolgedessen sind diese Richtlinien, so gut sie auch gemeint sind, für die Mitarbeiter schwer zu verinnerlichen und einzuhalten und für die Unternehmen fast unmöglich durchzusetzen.

Angesichts der Ergebnisse der Umfrage Cisco Connected World scheint es, als wären die meisten Nutzungsrichtlinien aus einem anderen Grund ineffektiv: Die Mitarbeiter denken nicht, dass sie bei der Durchsetzung dieser Richtlinien im Unternehmen eine Rolle spielen. Die Studie zeigt, dass etwa drei von fünf Mitarbeitern (61 %) der Ansicht sind, nicht für den Schutz der Unternehmensdaten und -geräte verantwortlich zu sein. Stattdessen sind sie der Meinung, dass dies die Sache der IT-Abteilung und/oder der Service Provider sei. Es stellt sich also die Frage, wozu solche Nutzungsrichtlinien überhaupt gut sind.

„Richtlinien zur akzeptablen Nutzung sind aus vielerlei Gründen wichtig, auch im Hinblick auf die Einhaltung gesetzlicher Vorschriften, aber die meisten sind nicht realistisch“, sagt Gavin Reid, Cisco CSIRT-Manager. „Zu viele dieser Richtlinien sind lange Listen mit spezifischen Verboten. Eigentlich sind sie nur eine Möglichkeit für die Unternehmen, den Mitarbeitern, der Rechtsabteilung oder

Ermittlern im Fall eines Sicherheitsvorfalls zu sagen: ‚Wir haben doch darauf hingewiesen, dass dies nicht zulässig ist.“

Reid sagt, ein besserer Ansatz bestünde darin, wenn Unternehmen die Nutzungsrichtlinien überdenken und darauf Wert legen würden, dass sie relevant und durchsetzbar sind. Außerdem fügt er hinzu, dass viele Unternehmen dies bereits umsetzen. Die neuen Nutzungsrichtlinien, die aus diesem Prozess hervorgehen, sind effizienter und wirkungsvoller. Im Allgemeinen sind dies viel kürzere Listen, die nur wenige Punkte enthalten, z. B. um zu verdeutlichen, dass Mitarbeiter keine Peer-to-Peer (P2P)-Anwendungen verwenden oder keine Spam-Nachrichten von Ihrem Desktop-Computer versenden dürfen. Alles müsse technisch umsetzbar sein, so Reid. Das Unternehmen muss also über die Technologie verfügen, die für die Erkennung von Verletzungen dieser Richtlinien erforderlich ist.

„Aktuell verfolgen Unternehmen bezüglich der Nutzungsrichtlinien einen deutlich risikobewussteren Ansatz“, weiß Nilesh Bhandari, Produktmanager bei Cisco, zu berichten. „Die Konzentration liegt dabei auf grundlegenden Richtlinien, die für den Geschäftsbetrieb am sinnvollsten sind und deren Einhaltung und Übewachung, auch aus Zeit- und Kostengründen, in der Hand der Mitarbeiter liegt.“

Er ergänzt, dass eine gut definierte Nutzungsrichtlinie für die Mitarbeiter einfacher zu verstehen und einzuhalten sei und dem Unternehmen eine größere Einflussnahme auf die Belegschaft ermögliche. „Die Benutzer beachten eine Nutzungsrichtlinie, wenn sie genau wissen, was geschieht, wenn sie sich nicht an die Richtlinie halten“, so Bhandari.

Mythos und Realität: Richtlinien zur akzeptablen Nutzung lassen sich nicht durchsetzen Mythos: Richtlinien zur akzeptablen Nutzung sind sinnlos, weil sie sich nicht durchsetzen lassen – vor allem aber ist es für Unternehmen zu kompliziert, sie zu erstellen.

Realität: Schwer durchzusetzen sind allgemeine und zu umfassende Richtlinien. Die Ermittlung, was eine Richtlinie zur akzeptablen Nutzung beinhalten sollte und ob einzelne Punkte tatsächlich durchsetzbar sind oder nicht, ist zeit- und arbeitsaufwändig. Es führt jedoch letztlich zu einer für Mitarbeiter leichter verständlichen und einzuhaltenden Richtlinie, die effektiv zu mehr Sicherheit im Unternehmen beitragen kann.

Besonders wichtig ist es, Mitarbeiter im sicheren Umgang mit E-Mails und dem Internet zu schulen, da Cyberkriminelle für gewöhnlich diesen Weg nutzen, um Netzwerke zu infiltrieren, geistiges Eigentum und andere sensible Daten zu entwenden oder individuelle Benutzer zu schädigen.

„Aktuell verfolgen Unternehmen bezüglich der Nutzungsrichtlinien einen deutlich risikobewussteren Ansatz.“

– Nilesh Bhandari, Produktmanager, Cisco


Social Media: Einsatz von Richtlinien und technischen SicherheitsmaßnahmenDie Ergebnisse der Connected World-Studie zeigen, dass viele Studenten und junge Berufsanfänger unabhängig von den geltenden Unternehmensrichtlinien Zugriffsbeschränkungen auf Social Media-Plattformen umgehen würden. Drei von vier befragten Berufsanfängern sind der Meinung, dass sie auch am Arbeitsplatz und über beruflich genutzte Geräte Zugang zu Social Media-Kanälen haben sollten.

40 % der befragten Hochschulstudenten gaben an, dass sie einschränkende Unternehmensrichtlinien für den Umgang mit Social Media-Plattformen ggf. missachten würden. Wir sprechen hier von einem erheblichen Teil der Mitarbeiter der Zukunft. Dieses Ergebnis zeigt, wie wichtig es für ein Unternehmen ist, sich mit Richtlinien zur akzeptablen Nutzung von Social Media-Kanälen zu befassen. Es bedeutet, dass Mitarbeiter trotz einer Blockierung oder Zugriffsbeschränkung für diese Websites mit hoher Wahrscheinlichkeit dennoch auf sie zugreifen werden.

Ein weiteres Problem: Unternehmen mit Richtlinien zur akzeptablen Nutzung, die den Zugang zu sozialen Netzwerken stark beschränken, haben oft Schwierigkeiten, gute und talentierte Nachwuchskräfte an sich zu binden. 29 % der befragten Studenten sagten, sie würden Stellenangebote von Unternehmen ablehnen, die ihren Mitarbeitern den Zugang zu sozialen Netzwerken während der Arbeitszeit verbieten. Von denjenigen, die deshalb nicht ablehnen würden, gaben nur 30 % an, dass sie zur Einhaltung der entsprechenden Richtlinien bereit wären.

„Der Zugang zu sozialen Netzwerken und die Freiheit, die gewünschten Technologien einsetzen zu dürfen, werden zu einem entscheidenden Kriterium, wenn sich junge Menschen entscheiden, wo sie ihre Karriere beginnen wollen“, sagt Chris Young, Senior Vice President der Security Group bei Cisco. „Personalabteilungen

müssen diese Faktoren in die Unternehmenskultur und Richtliniengestaltung mit einbeziehen, um als Arbeitgeber attraktiv zu bleiben. Was benötigt wird, ist ein vernünftiger Kompromiss zwischen dem Wunsch der Mitarbeiter nach Vernetzung und der Notwendigkeit die Sicherheit und Vertraulichkeit von Unternehmensdaten zu gewährleisten.“

Solche Kompromisse beinhalten den Zugang zu sozialen Netzwerken und anderen Collaboration-Technologien sowie den Einsatz technologischer Sicherheitsvorkehrungen, die Bedrohungen wie Malware oder Phishing-Nachrichten erkennen. In den meisten Fällen werden die Sicherheitseinstellungen für soziale Netzwerke von den Benutzern festgelegt und nicht von der IT-Abteilung. Um diese Sicherheitslücke zu schließen, können beispielsweise Intrusion Prevention Systeme zum Schutz vor Bedrohungen des Netzwerks oder Reputationsfilter zur Erkennung verdächtiger Aktivitäten und Inhalte eingesetzt werden.

Die Implementierung technischer Sicherheitsmaßnahmen muss mit Benutzerschulungen einhergehen, die Mitarbeiter über zulässige Verhaltensweisen und Praktiken bei der Nutzung sozialer Netzwerke über Unternehmensgeräte und/oder -netzwerke informieren. Wie bereits erwähnt (siehe „Social Media: das Produktivitäts-Tool der Gegenwart“, Seite 8), ist vor allem für junge Mitarbeiter der Austausch von Informationen über Social Media zu einer Selbstverständlichkeit geworden. Oft realisieren diese Mitarbeiter nicht (und wurden möglicherweise auch nie darauf aufmerksam gemacht), dass viele über soziale Netzwerke verbreitete Informationen einem Unternehmen Schaden zufügen können – selbst wenn sie oberflächlich betrachtet wenig brisant erscheinen mögen. Mangelnde Schulung von Benutzern über Sicherheitsprobleme bei der Zusammenarbeit und das Fehlen effektiver Richtlinien für die Online-Weitergabe von Informationen können Ursachen des so entstehenden Risikos sein.

Sichere ZusammenarbeitBei der Einrichtung von Sicherheitsrichtlinien, Technologien und Prozessen für eine sichere Zusammenarbeit und eine sichere Nutzung sozialer Netzwerke sind folgende Schritte notwendig:

• Erstellung eines Businessplans für Collaboration- und Social Media-lösungen auf der Grundlage der im Unternehmen bestehenden Anforderungen

• Entwicklung effektiver Mechanismen zur Umsetzung von Sicherheitsregeln bei der Zusammenarbeit

• Erstellung von Richtlinien zur Vertraulichkeit von Informationen und Definition von Regeln für das Verhalten von Mitarbeitern bei der Interaktion auf Collaboration-Plattformen

• Definition von Richtlinien zu Sicherheitsmaßnahmen im Netzwerkbereich, etwa für den Remote-Zugang über Mobilgeräte, den Kennwortschutz und die Dateifreigabe

• Ermittlung von gesetzlichen Vorschriften, die die Nutzung oder Weitergabe von Informationen über soziale Netzwerke einschränken

• Erstellung von Schulungsmaterialien für alle Benutzer

TEIl

2

Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. 21Cisco Jahresbericht zum Thema Sicherheit 2011

12 „‚Anonymous Launches DDoS Attacks Against WikiLeaks Foes“, von Leslie Horn, PCMag.com, 8. Dezember 2010, www.pcmag.com/article2/0.2817.2374023,00.asp#fbid=jU1HvGyTz7f. 13 Website von Occupy Wall Street: http://occupywallst.org/. 14 „Occupy protests spread around the world; 70 injured in Rome“, von Faith Karimi und Joe Sterling, CNN.com, 15. Oktober 2011, www.cnn.com/2011/10/15/world/occupy-goes-global/index.html. 15 „Occupy Oakland Violence: Peaceful Occupy Protests Degenerate Into Chaos“, Associated Press, The Huffington Post, 3. November 2011, www.huffingtonpost.com/2011/11/03/occupy-oakland-violence-_n_1073325.html. 16 „LulzSec Releases Arizona Law Enforcement Data, Claims Retaliation for Immigration Law“, von Alexia Tsotsis, TechCrunch.com, 23. Juni 2011, http://techcrunch.com/2011/06/23/lulzsec-releases-arizona-law-enforcement-data-in-retaliation-for-immigration-law/. 17 „Script Kiddies Hack Fox News Account, Tweet Obama’s Death“, von Nicholas Jackson, The Atlantic, 4. Juli 2011, www.theatlantic.com/technology/archive/2011/07/script-kiddies-hack-fox-news-account-tweet-obamas-death/241393/.

Unternehmen haben heute mit einer ganzen Reihe von Sicherheitsproblemen zu kämpfen, die mit veränderten Einstellungen und Arbeitsweisen ihrer Mitarbeiter und der Dynamik einer weltweit wachsenden Vernetzung und Mobilität zusammenhängen. Dieser Teil des Cisco Jahresbericht zum Thema Sicherheit 2011 zeigt auf, dass sich Unternehmen auch verstärkt vor zahlreichen schwerwiegenden Bedrohungen schützen müssen, mit denen Cyberkriminelle großen Schaden anrichten und die sie fortlaufend mit hohem Aufwand weiterentwickeln – zum Beispiel Advanced Persistent Threats (ATPs), Datendiebstahls-Trojaner und Web-Exploits.

Darüber hinaus müssen Unternehmen ihre Aufmerksamkeit auf einen weiteren Faktor richten, der noch gravierendere Auswirkungen haben kann: Hacktivismus.

„Hacktivismus hat sich aus dem traditionellen Hacking entwickelt“, erläutert John N. Stewart, Vice President und Chief Security Officer bei Cisco. „Die Motivation der ersten Generation der Hacker bestand darin, Spaß zu haben und bekannt zu werden. Später ging es dann vornehmlich um Geld. Die Hacktivisten von heute verfolgen politische Zwecke, und Unternehmen können aus allen möglichen Gründen zum Ziel ihrer Angriffe werden. Wir haben es also mit einer neuen Art von Gegnern zu tun.“

Hacktivismus – eine Wortschöpfung aus „Hacking“ und „Aktivismus“ – rückte Ende 2010 in den Blickpunkt, als Unterstützer von WikiLeaks.org mit der so genannten „Operation Payback“ großflächige Denial of Service (DoS)-Attacken gegen Unternehmen wie PayPal und MasterCard durchführten.12 In gewisser Hinsicht hat sich Hacktivismus ganz natürlich aus der Art entwickelt, in der das Internet heute von den meisten Menschen genutzt wird – nämlich dazu, sich weltweit mit Gleichgesinnten zu vernetzen. Das Internet ist eine ideale Plattform für alle, die ihre Meinung verbreiten, ein großes Publikum

erreichen und um Unterstützung für ihre Anliegen werben wollen. (Siehe „Social Media - die Macht der Masse“ auf der gegenüberliegenden Seite.)

Hinter der „Operation Payback“ stand das Hackerkollektiv Anonymous, das seitdem weltweit viele neue Mitglieder und verstärkten Einfluss gewonnen hat. (Weitere Informationen zu Anonymous siehe „Die Gewinner des Cisco Cybercrime Showcase 2011“ auf Seite 24.) Zuletzt wurde Anonymous mit der Occupy Wall Street-Bewegung in Verbindung gebracht.13 Die Occupy-Proteste breiteten sich von New York aus schnell auf mehr als 900 Städte weltweit aus. Vertreter von Anonymous haben die Mitglieder des Kollektivs zur Unterstützung der Bewegung aufgerufen, deren Proteste weitgehend friedlich verliefen, wenngleich es in Städten wie Rom14 oder Oakland/USA15 zu gewalttätigen Zusammenstößen mit Ordnungskräften kam. Bestimmte Fraktionen von Anonymous, die sich besonders stark mit der Occupy-Bewegung identifizieren, haben mehrfach damit gedroht, im noch größeren Stil Computernetze lahmzulegen und damit wichtige Finanztransaktionen unmöglich zu machen.

Weitere Hacktivismus-Aktivitäten anderer Gruppen im vergangenen Jahr haben ebenfalls dazu beigetragen, dass das Thema mittlerweile bei Unternehmen ganz oben auf der Liste der Prioritäten im Sicherheitsbereich steht. LulzSec beispielsweise konzentrierte sich auf Vollzugsbehörden. Die Hackergruppe führte DDoS-Angriffe gegen eine britische Organisation zur Bekämpfung von Cyberkriminalität und gegen eine Vollzugsbehörde des US-Bundesstaats Arizona aus und entwendete Daten.16 Im Juli hackte eine als „Script Kiddies“ bekannte Gruppe den Twitter-Account von Fox News und verbreitete die Nachricht, US-Präsident Barack Obama wäre ermordet worden.17

Hacktivismus-Aktivitäten können schnell und überraschend erfolgen. Anonymous hat aber einige

seiner Ziele bekannt gegeben, darunter HBGary Federal, ein Unternehmen, das von der US-Regierung mit dem Aufspüren von Cyberaktivisten beauftragt ist und sich auf Unterstützer von WikiLeaks.org konzentriert. Die Bedrohung durch Hacktivismus mag abstrakt und weit weg erscheinen, sie ist jedoch sehr real und steht für einen Paradigmenwandel im Bereich Cyberkriminalität.

„Bisher wurden bei der Konzeption von Sicherheitsstrategien meist rein kriminelle Motive der Hacker zugrunde gelegt. Dieses Modell ist auf Hacktivisten kaum anwendbar, weil ihr Ziel darin besteht, Chaos zu stiften und Abläufe zu stören. Faktisch kann jedes Unternehmen jederzeit aus jedem beliebigen Grund von beliebigen Gruppen oder Personen angegriffen werden“, erläutert Cisco Sicherheitsexperte Patrick Peterson. „Die Werte, die Unternehmen vor ‚traditionellen Sicherheitseinbrüchen zu schützen versuchen, etwa geistiges Eigentum, sind für Hacktivisten oft gar nicht interessant. Sie wollen Abläufe stören, auf die Schwachstellen ihrer Gegner aufmerksam machen, sie öffentlich bloßstellen oder an ihnen ein Exempel statuieren – oder all dies auf einmal.“

John N. Stewart fügt hinzu: „Wer sich gegen Hacktivismus wappnen will, muss einen klaren Aktionsplan entwickeln. Ein solcher Plan muss definieren, was unternommen und gesagt wird, nachdem das Problem aufgetreten ist. Er sollte unter Einbeziehung des Managements, von Sicherheitsteams, der Rechtsabteilung und von Kommunikationsexperten erstellt werden. Ist ein Unternehmen von Hacktivismus betroffen, müssen durchdachte und nachhaltige Maßnahmen zur Lösung des Problems ergriffen werden, da ansonsten langfristige Marken- und Imageschäden drohen. Es ist wie in vielen anderen Lebensbereichen auch: Wer klug ist, sorgt vor und entwickelt einen Notfallplan, bevor der Notfall tatsächlich eintritt.”

22 Cisco Jahresbericht zum Thema Sicherheit 2011 Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.

Cyber-Bedrohungen 2012: der Hacktivismus-Faktor

Wer überhaupt noch einen Beweis für die entscheidende Rolle brauchte, die soziale Netzwerke in der Gesellschaft spielen, wurde dieser im Jahr 2011 erbracht. Der Arabische Frühling und die Ausschreitungen in london und anderen britischen Städten während des Sommers haben gezeigt, dass Social Media besser als jeder andere Kommunikationskanal dazu geeignet ist, sich effektiv zu vernetzen und zu Aktionen zusammen-zuschließen. In beiden Fällen wurden Twitter und Facebook intensiv genutzt, um beispielsweise Termine von Versammlungen und Demonstrationen bekannt zu geben – und in beiden Fällen versuchten Regierungsbehörden, den Zugang zu sozialen Netzwerken durch Sperrung von Internetzugängen oder den Zugriff auf persönliche Nutzungsdaten zu verhindern.

Eine im September 2011 erschienene Studie der University of Washington ergab, dass Social Media, vor allem Twitter, eine zentrale Rolle bei der politischen Debatte während des Arabischen Frühlings spielte, insbesondere in Ägypten und Tunesien. Vor entscheidenden Aktionen stand häufig der intensive Austausch über Inhalte und Ziele der Revolution, zudem ließen sich über soziale Netzwerke Nachrichten von Protesten international verbreiten, was eine zusätzlich motivierende Wirkung hatte.18 Beobachter erwarten, dass sich Ähnliches in Zukunft wiederholen wird, weil die politisch Unzufriedenen in den Netzwerken ein ideales Forum finden.19

Die Gefahr für Unternehmen liegt darin, dass soziale Netzwerke dazu genutzt werden, Unruhe innerhalb einer Unternehmensorganisation zu stiften oder Marken oder Branchen in Misskredit zu bringen. (Siehe „Cyber-Bedrohungen 2012: Der Hacktivismus-Faktor“, Seite 22.) „Das Gefühl der Anonymität im Internet erhöht zusätzlich das Risiko für Unternehmen, eine Rufschädigung zu erleiden. Viele User fühlen sich berufen, schwerwiegende Anschuldigungen zu erheben, ohne sich zuvor über Fakten zu informieren oder im Geringsten um Objektivität zu bemühen“, so der Cisco Global Threat Analyst Jean

Gordon Kocienda. „Für Unternehmen und ihre Führungskräfte bestehen erhöhte Gefahren im Bereich der physischen und virtuellen Datensicherheit – insbesondere in einem gesellschaftlichen Klima, das wie derzeit in vielen Ländern weltweit von Feindseligkeit gegenüber vermeintlich privilegierten gesellschaftlichen Gruppen geprägt ist.“

Darüber hinaus kann der Geschäftsbetrieb von Unternehmen in Unruheregionen empfindlich gestört werden – etwa dann, wenn lokale Behörden aus Sicherheitsgründen den Zugang zum Internet sperren. Möglich ist auch, dass Unternehmen als Verbündete korrupter Regime gesehen und deshalb zum Ziel von Angriffen werden oder dass sie geschäftliche Einbußen erleiden, wenn ihnen vorgeworfen wird, den Erfolg sozialer oder revolutionärer Bewegungen verhindern zu wollen.

Ein weiterer Punkt, den Unternehmen berücksichtigen müssen: Regierungen und Behörden versuchen immer häufiger, den Zugang zu sozialen Netzwerken oder sogar zum gesamten Internet zu sperren, und fordern Zugang zu Kontodaten von Social Media-Plattformen oder mobilen Benutzerinformationen, die eigentlich dem Datenschutz unterliegen. Ein Beispiel: Während der Unruhen in Großbritannien wurde der Instant Messaging-Service BlackBerry Messenger (BBM) von Protestierenden dazu genutzt, sich zu Gewalttaten oder Plünderungen an bestimmten Orten zu verabreden. BBM funktioniert mit verschlüsselter Datenübermittlung zwischen einzelnen Geräten, die für Vollzugsbehörden schwierig nachzuverfolgen ist. Der BlackBerry-Hersteller RIM half der britischen Polizei, BBM-Benutzer zu ermitteln, die an Straftaten mitgewirkt oder zu diesen aufgerufen hatten. Allerdings teilte das Unternehmen nicht mit, welche Arten von BBM-Daten weitergegeben wurden.20

Nach den Unruhen warnten britische Offizielle, dass die Regierung zukünftig erweiterte polizeiliche Befugnisse für die Niederschlagung von Unruhen fordern könnte,

und schlugen vor, Social Media-Anbieter aufzufordern, den Zugang zu ihren Services während solcher Notfallsituationen einzuschränken.

Twitter reagierte mit einem Hinweis auf einen älteren Blogbeitrag aus dem Jahr 2011, um die weitere Verfügbarmachung und Verfügbarkeit des Services durch das Unternehmen zu verteidigen – egal, welche welterschütternden Ereignisse in den Tweets diskutiert würden: „Wir stimmen nicht immer mit den Äußerungen in den Tweets überein, doch halten wir die Informationen unabhängig von unseren eigenen Ansichten über die Inhalte nicht zurück.“21

Sicherheitsbeobachter sehen ein Tauziehen zwischen Regierungen – die verstärkt Zugriff auf Benutzerdaten verlangen werden, um Recht und Ordnung aufrechtzuerhalten – und Befürwortern des Datenschutzes, die gegen solche Offenlegungen durch Technologieanbieter protestieren werden. Beispielsweise hat Indien Besorgnis über seine Zugriffsmöglichkeiten auf solche Daten (beispielsweise zur Verfolgung terroristischer Aktivitäten) geäußert und eine Vereinbarung mit RIM geschlossen, dass die Regierung in Einzelfällen die Daten des Unternehmens zu privaten Benutzern anfordern kann. Die europäische Richtlinie über die Vorratsdatenspeicherung, die 2006 in Kraft getreten ist und die Vorratsspeicherung von Kommunikationsdaten für den Fall verlangt, dass diese von Strafverfolgungsbehörden gebraucht würden, wurde von einigen Ländern der Europäischen Union umgesetzt, von anderen jedoch aufgeschoben.22

„Klar ist, dass Regierungen in aller Welt bemüht sind, die neuen Aspekte der Technologie und Kommunikation auf die Grundprinzipien von Recht und Gesellschaft anzuwenden“, sagt Adam Golodner, Director of Global Security and Technology Policy bei Cisco. „Dies war bei technologischen Entwicklungen immer der Fall, und im Internet wird in naher Zukunft die Anwendung der neuen Aspekte auf die alten Prinzipien die Kernfrage bleiben.“

18 „Opening Closed Regimes: What Was the Role of Social Media During the Arab Spring?“, Projekt zur Informationstechnologie und zum politischen Islam, http://pitpi.org/index.php/2011/09/11/opening-closed-regimes-what-was-the-role-of-social-media-during-the-arab-spring/. 19 „U.K. social media controls point to wider ‚info war“, von Peter Apps, Reuters, 18. August 2011, www.reuters.com/article/2011/08/18/us-britain-socialmedia-idUSTRE77H61Y20110818. 20 „London Rioters’ Unrequited Love For BlackBerry“, von Nidhi Subbaraman, FastCompany.com, 8. August 2011, www.fastcompany.com/1772171/london-protestors-unrequited-love-for-blackberry. 21 „The Tweets Must Flow“, Twitter-Blog, 28. Januar 2011, http://blog.twitter.com/2011/01/tweets-must-flow.html. 22 „Sweden postpones EU data retention directive, faces court, fines“, von Jan Libbenga, The Register, 18. März 2011, www.theregister.co.uk/2011/03/18/sweden_postpones_eu_data_retention_directive/.

Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. 23Cisco Jahresbericht zum Thema Sicherheit 2011

Geopolitische Trends: Social Media - die Macht der Masse

23„Deactivating botnets to create a safer, more trusted Internet“, Microsoft.com: www.microsoft.com/mscorp/twc/endtoendtrust/vision/botnet.aspx.

24 „Rustock take-down proves botnets can be crippled, says Microsoft“, Computerworld.com, 5. Juli 2011, www.computerworld.com/s/article/9218180/Rustock_take_down_proves_botnets_can_be_crippled_says_Microsoft.

25 „How Microsoft Took Down Massive Kelihos Botnet“, The Huffington Post, 3. Oktober 2011, www.huffingtonpost.com/2011/10/03/microsoft-kelihos-botnet_n_992030.html.

Die Gewinner des Cisco Cybercrime Showcase 2011

Bösewichte und Helden gibt es in jeder Geschichte, so auch in der Sicherheitsbranche. Die personelle Besetzung mag sich ändern, aber die Tatsache bleibt, dass Jahr für Jahr neue Möglichkeiten gefunden werden, über Onlinekanäle Geld und Informationen zu stehlen und Chaos zu stiften. Doch es finden sich auch immer wieder neue unermüdliche Kämpfer gegen die Cyberkriminalität. Und so erkennen wir beim dritten jährlichen Cisco Cybercrime Showcase erneut Vertreter der „Guten“ und der „Bösen“ auf dem Gebiet der Sicherheit an, die im letzten Jahr wichtigen positiven oder negativen Einfluss auf die Sicherheitslandschaft im Internet genommen haben.

GUTEN MICROSOFT

Microsoft-Technologien haben aufgrund ihrer Allgegenwärtigkeit für Unternehmen und Verbraucher schon immer die Aufmerksamkeit Krimineller auf sich gezogen. Insbesondere Eigentümer von Botnets haben sich das Betriebssystem Windows per Social Engineering, durch webbasierte Angriffe oder durch Ausnutzung bestehender Schwachstellen als Ziel vorgenommen. In den letzten Jahren hat Microsoft mit drei Hauptmethoden zurückgeschlagen.

Erstens hat Microsoft die Produktsicherheit erheblich erhöht. Zu den wichtigsten Entwicklungen zählen eine aggressive Schwachstellenerkennung und wöchentliche Patch-Zyklen, die Implementierung des Microsoft Security Development Lifecycle (SDL)

zur deutlichen Erhöhung der Produktsicherheit, automatische Aktualisierungssysteme für alle Softwareprodukte von Microsoft, erhebliche Änderungen an Windows Internet Explorer, darunter ein neues Sicherheitsmodell für ActiveX-Steuerelemente, sowie die Entwicklung des Malicious Software Removal Tool (MSRT), das Malware von PCs restlos entfernt. Das MSRT wurde als Mittel gegen Malware-Familien bereitgestellt, die die Grundlage von 150 der weltweit verbreitetsten Botnets bilden, darunter Zeus (Zbot), Cutwail, Waledac und Koobface. So konnten mehrere Hundert Millionen Malwareinfektionen auf PCs beseitigt werden. Nachforschungen von Cisco haben massive jährliche Rückgänge bei der Ausnutzung von Microsoft-Technologien durch Web Exploit Toolkits ergeben.

Zweitens hat Microsoft die Sicherheits-Community im Kampf gegen die Cyberkriminalität angeführt. Die Digital Crimes Unit von Microsoft ist Gastgeber des jährlichen Digital Crimes Consortium (DCC), das Mitarbeitern von Strafverfolgungsbehörden und Mitgliedern der Technologiesicherheits-Community eine Möglichkeit gibt, die weltweiten Maßnahmen gegen die Cyberkriminalität zu diskutieren. An der diesjährigen Veranstaltung nahmen 340 Teilnehmer aus 33 Ländern teil.

Drittens ist Microsoft aggressiv auf rechtlichem Wege gegen Cyber-Kriminelle vorgegangen. Im Jahr 2010 verklagte Microsoft die Betreiber des Botnets Waledac, um es schließen zu lassen. Das Botnet hatte Hunderttausende Computer in aller Welt infiziert und täglich 1,5 Milliarden Spam-E-Mails gesendet. Ein US-Bundesrichter wurde aufgefordert, eine einstweilige Verfügung gegen fast 300 Internetdomänen zu erlassen, die als von Kriminellen gesteuert angesehen wurden, die in Zusammenhang mit Waledac stünden. Durch diese Maßnahme wurde die Kommunikation zwischen den Command-and-Control-Zentren des Botnets und den kompromittierten Computern unterbrochen, wodurch das Botnet im Grunde „getötet“ wurde.23

Anfang 2011 übernahmen Rechtsanwälte von Microsoft und US-Marshals Command-and-Control-Server des Botnets Rustock, die bei verschiedenen Webhosting-Anbietern in den USA untergebracht waren. Rustock wurde von russischen Kriminellen betrieben und verteilte Malware vor allem über Pharma-Spam und ging daraufhin erheblich zurück, sodass sich die Aktivität des Botnet bis zum Erliegen verlangsamte. Daneben setzte Microsoft 250.000 US-Dollar Prämie für Informationen aus, die zur Verhaftung der Urheber von Rustock führen würden.24 Laut Cisco IronPort SenderBase Security Network hat seit der Außergefechtsetzung von Rustock das tägliche Spam-Volumen weltweit drastisch abgenommen.

Im September 2011 setzte Microsoft eine ähnliche rechtliche Taktik ein, um das Botnet Kelihos zu schließen, und nannte erstmals in Rechtsakten einen Anzuklagenden, und zwar den mutmaßlichen Eigentümer der Webdomäne, die das Botnet steuerte.25

Mit diesen Maßnahmen gegen Botnets – sowie den Rekordzahlen bei der Veröffentlichung von Schwachstellen-Patches, die ebenfalls zum Rückgang krimineller Aktivitäten geführt haben – wurde Microsoft zu einem gefährlichen Gegner der Cyberkriminellen. Das unternehmenseigene Projekt MARS (Microsoft Active Response for Security), mit dem diese Maßnahmen zur Außerbetriebnahme von Botnets überwacht werden, hat seine Erkenntnisse über Botnets auch für Mitglieder der Sicherheitsbranche verfügbar gemacht.

DIE

Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.24 Cisco Jahresbericht zum Thema Sicherheit 2011 Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.

26 „‚Anonymous Hackers Group Threat to New York Stock Exchange“, von Ned Potter, ABC News, 10. Oktober 2011, http://abcnews.go.com/Technology/anonymous-hackers-threaten-erase-york-stock-exchange-site/story?id=14705072. 27 „Blink and You Missed It: Anonymous Attacks NYSE“, von Chris Barth, Forbes.com, 10. Oktober 2011, www.forbes.com/sites/chrisbarth/2011/10/10/blink-and-you-missed-it-anonymous-attacks-nyse/.

BÖSEN ANONyMOUS

Anonymous, eine „dezentrale Online-Community, die in koordinierter Weise anonym handelt“, ist eine „lose Koalition von Internetnutzern“, die seit mehreren Jahren besteht, aber in letzter Zeit häufiger Schlagzeilen gemacht hat, da die Gruppe immer stärker mit kollaborativem, internationalem Hacktivismus in Verbindung gebracht wird. (Weitere Informationen zum Hacktivismus finden Sie unter „Cyber-Bedrohungen 2012: Der Hacktivismus-Faktor“, Seite 22.)

Menschen, die sich mit dem Anonymous-Kollektiv identifizieren, gibt es auf der ganzen Welt, und sie kommunizieren miteinander in Internetforen, Imageboards und an anderen virtuellen Orten wie 4chan, 711chan, Encyclopedia Dramatica, IRC-Kanälen und selbst Mainstream-Websites

wie YouTube und Facebook. „Diese Gruppe ist ziemlich gut organisiert, hängt aber nur lose zusammen“, sagt Patrick Peterson, Senior Security Researcher bei Cisco. „Die Beteiligten sind hoch talentiert – und unglaublich ehrgeizig. In vielen Fällen sind ihre Aktionen nicht durch Profit motiviert. Es geht mehr darum, öffentlich zu zeigen, was sie können. Und wenn sie fertig sind, trennen sie sich und verschwinden so schnell, wie sie gekommen sind.“

2011 wurde Anonymous mit einer Anzahl auffälliger Hackervorfälle in Verbindung gebracht, von denen einige im Voraus angekündigt wurden und die allesamt die Absicht hatten, ein Statement abzuliefern. Darunter waren direkte Angriffe auf die Websites folgender Organisationen:

• Zahlreiche US-amerikanische Strafverfolgungs-organisationen, die zur Veröffentlichung vertraulicher persönlicher Informationen über Strafverfolgungsbeamte und Informanten führte

• Regierung Tunesiens, als Teil der Bewegung des „Arabischen Frühlings“ (siehe „Social Media - die Macht der Masse“, Seite 23)

• Sicherheitsfirma HBGary Federal

• Sony Computer Entertainment America

Welche Bedrohung wird Anonymous in der Zukunft darstellen? „Diese Gruppe besitzt die Fähigkeit, echte Schäden zu verursachen“, sagt Scott Olechowski, Threat Research Manager bei Cisco. „Was wir bisher von ihnen gesehen haben, war meist nicht allzu extrem. Im Vergleich zum dem, was sie fähig sind zu tun, kann man das höchstens als Störung bezeichnen.

Sollten sich zu Anonymous allerdings Leute gesellen, die wirklich Schaden verursachen möchten, oder wenn die Gruppe mit ihren Statements einen Schritt zu weit gehen sollte, kann dies zu einem echten Problem werden.“

Der folgende Vorfall hätte beinahe zu noch größeren Erschütterungen in der ohnehin bereits wackeligen Weltwirtschaft geführt: Im Oktober setzten sich Splittergruppen von Anonymous das große Ziel, die New Yorker Börse am 10. Oktober 2011 „aus dem Internet zu löschen“. Dazu sollte als Unterstützung der Bewegung Occupy Wall Street ein verteilter DDoS-Angriff gestartet werden.26 Ein möglicher Grund dafür, dass die Gruppe das Versprechen, die Börse zum Erliegen zu bringen, nicht hielt, war, dass „der Schlachtruf Kritik von Unterstützern wie Gegnern hervorrief, wobei die meisten die geplante Aktion beklagten“.27 So scheint es, dass Anonymous, so lose verknüpft, wie es derzeit ist, durch sein kollektives Gewissen so beeinflusst werden kann, dass keine schweren Schäden verursacht werden – zumindest in diesem Fall.

DIE

„Die Beteiligten sind hoch talentiert – und unglaublich ehrgeizig. In vielen Fällen sind ihre Aktionen nicht durch Profit motiviert. Es geht mehr darum, öffentlich zu zeigen, was sie können.“

– Patrick Peterson, Senior Security Researcher bei Cisco bei Cisco

Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Cisco Jahresbericht zum Thema Sicherheit 2011Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2012 Cisco Systems Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. 25


Die Cisco CROI-Matrix (Return on Investment der Cyberkriminalität)

Die CROI-Matrix von Cisco überwacht das Verhalten finanziell motivierter krimineller Aktionen über das Internet, die immer mehr wie komplexe, legitime Unternehmen verwaltet und organisiert werden. Diese Matrix weist insbesondere auf Typen aggressiver Aktionen hin, auf die Cyber-Kriminelle laut Prognose der Sicherheitsexperten von Cisco im kommenden Jahr den Großteil ihrer Entwicklungs- und Bereitstellungsressourcen konzentrieren werden.

Potentials: Massenkompromittierung von Konten, ein Neuling in der diesjährigen CROI-Matrix von Cisco. Dabei werden laut Patrick Peterson, Senior Security Researcher bei Cisco, vor allem „die

Überbleibsel von Datendiebstählen genutzt. Die Kriminellen setzen Informationsstücke zusammen, die sie über Trojaner gesammelt haben, um Benutzernamen und Kennwörter geringen Werts zu extrahieren. Die Anmeldedaten werden dann als „Trittsteine“ genutzt, um sie auf Websites von Online-Banken wiederzuverwenden oder um mit Webmail-Anmeldedaten die persönlichen E-Mails eines Opfers auszuspionieren und so aggressivere Aktionen vorzubereiten. „Cyberkriminelle betrachten die Unmengen von Informationen, die sie sammeln, heute aus einer anderen Perspektive. Die Frage lautet nunmehr, ob die Zugangsdaten für Webmail- oder Datingseiten in ihrem Besitz der Schlüssel zu einem anderen, für sie wertvolleren Konto sein könnten. Oder sie prüfen die Daten darauf, ob sie sich für einen Webmail-Exploit nutzen lassen, um etwa Kennwörter zurückzusetzen oder auszuspähen, womit sich noch mehr Gewinn erzielen ließe“, erklärt Peterson.

Darüber hinaus investieren Cyberkriminelle zunehmend in Methoden zum Missbrauch von VoIP- und anderen Telefonieanwendungen. Wie im Cisco Jahresbericht zum Thema Sicherheit 2010 dargelegt, konnten zahlreiche Übeltäter mithilfe dieser Methode bereits erfolgreich kleine und mittlere Unternehmen angreifen und dabei beträchtliche finanzielle Verluste verursachen. Beim VoIP-Missbrauch, in der letztjährigen Matrix noch unter „Potentials“ aufgeführt, werden PBX-Systeme gehackt. Das Ziel der Angreifer liegt darin, betrügerische Ferngespräche zu führen – in der Regel über Landesgrenzen hinweg. Einige Kriminelle nutzen VoIP-Systeme aber auch für ausgefeiltere Vishing-Maschen (telefonbasiertes Phishing), um sensible Daten wie Personalausweisnummern zu sammeln. Ebenso auf dem Vormarsch ist Call ID Spoofing, mit dem telefonbasierte Prüfsysteme angegriffen werden.

RISING STARSPOTENTIALS

DOGS CASH COWS

MobileDevices

VoIPAbuse

WebExploits

MoneyLaundering

(Muling)

CloudInfrastructure

Hacking

MassAccount

Compromise

Data TheftTrojans

SocialNetworking

Attacks

Phishing1.0

DDoS

Click/Redirect

Fraud

Spyware/ScarewareAdvanced

Fee Fraud

PharmaSpam

Erfo

lg/W

achs

tum

Skalierbarkeit/Einnahmen

Hoc

hN

iedr

ig

Niedrig Hoch

Die Cisco CROI-Matrix (Return on Investment der Cyberkriminalität) prognostiziert, welche Cybercrime-Methoden 2012 „Gewinner“ oder „Verlierer“ sein werden.


28 Cisco Jahresbericht zum Thema Sicherheit 2010, www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf. 29 „Ukraine Detains 5 individuals Tied to $70 million in U.S. eBanking Heists“, Brian Krebs, Blog „Krebs on Security“, 2. Oktober 2010, http://krebsonsecurity.com/tag/operation-trident-breach/. 30 „Breach Brings Scrutiny: Incident Sparks Concern Over Outsourcing of Email Marketing“ von Ben Worth, The Wall Street Journal, 5. April 2011, http://online.wsj.com/article/SB10001424052748704587004576245131531712342.html. 31 Weitere Informationen zur Außerbetriebnahme dieser Botnets finden Sie im Cisco Jahresbericht zum Thema Sicherheit 2010, www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2010.pdf.

Rising Stars: Geldwäsche (Muling) wird 2012 voraussichtlich weiterhin einen Schwerpunkt der Investitionen Cyberkrimineller darstellen. Wie im Cisco Jahresbericht zum Thema Sicherheit 2010

bereits ausführlicher erörtert, besitzen Kriminelle, die Malware zum Datendiebstahl einsetzen, Zugriff auf zahlreiche Online-Bankkonten. Auf ein Nadelöhr stoßen sie jedoch, wenn sie die erbeuteten Beträge sicher ins Ausland transferieren wollen, ohne eine direkte Spur zu hinterlassen.28 Hier kommen Geldkuriere, sogenannte Money Mules ins Spiel. Muling-Vorgänge haben in puncto Aufwand und internationale Tragweite unlängst zugenommen, wie insbesondere die „Operation Trident Breach“ aufzeigt. Bei diesem Einsatz nahmen das FBI und Polizeibehörden verschiedener europäischer Länder mehr als 60 Cyberkriminelle fest, denen es gelang, mithilfe von Geldkurieren 70 Millionen US-Dollar zu stehlen.29 Schätzungen zufolge verlaufen solche Transaktionen zwar nur in einem Drittel aller Fälle erfolgreich – zudem lassen sich „Money Mules“ zumindest in den USA relativ problemlos festnehmen. Doch die entsprechenden Netzwerke wachsen weiterhin, da die echten Kriminellen auf mehr als genügend Bankkonten und Geldkuriere zurückgreifen können.

Ein weniger überraschender Neueinsteiger in der Kategorie „Rising Stars“ sind mobile Geräte, die in der Matrix 2010 noch unter „Potentials“ zu finden waren. Cyberkriminelle richten ihre Aufmerksamkeit in aller Regel auf die Geräte, mit denen Menschen auf das Internet, ihre E-Mails und Unternehmensnetzwerke zugreifen. Und bei diesen Geräten handelt es sich zunehmend um leistungsstarke mobile Geräte. Angriffe auf mobile Geräte sind zwar nichts Neues, doch verbreiteten sie sich erst in den letzten Jahren stärker. Bislang setzen Cyberkriminelle sie daher mehr für Nachforschungen ein denn für tatsächliche kriminelle Machenschaften. Die Betonung liegt dabei wohlgemerkt auf „bislang“ – denn die Realität sieht mittlerweile anders aus.

Mobile Anwendungen setzen sich immer mehr durch und sind zunehmend erfolgreich, folgerichtig geraten sie verstärkt ins Visier Cyberkrimineller. Neue mobile Betriebssysteme bieten dabei auch neue Sicherheitslücken, die sich ausnutzen lassen. So setzen viele Cyberkriminelle gefälschte Apps ein, die Malware auf die Geräte nichts ahnender Benutzer übertragen, um sich illegal zu bereichern. Und da mobile Geräte herkömmlichen PCs im geschäftlichen Einsatz gerade in Windeseile den Rang

ablaufen, konzentrieren Cyberkriminelle ihre Ressourcen verstärkt auf die Entwicklung von APTs, um durch Ausnutzung der Zwei-Faktor-Authentifizierung Zugriff auf Unternehmensnetzwerke zu erlangen, in denen sie Daten stehlen und „Aufklärungseinsätze“ durchführen können.

Zusätzlich setzen immer mehr Unternehmen auf Cloud Computing und gehostete Services, weshalb Cyberkriminelle sich mittels Cloud-Infrastruktur-Hacking auch in der Cloud auf die Suche nach Profitmöglichkeiten begeben. „Die Kriminellen haben erkannt, dass sich mit Angriffen in der Cloud eine höhere Investitionsrendite erzielen lässt“, weiß Scott Olechowski, Threat Research Manager bei Cisco. „Wozu sollte man all seine Kräfte auf das Eindringen in ein einzelnes Unternehmen konzentrieren, wenn man eine gehostete Infrastruktur kompromittieren kann und so möglicherweise Zugriff auf die Daten Hunderter, wenn nicht Tausender Unternehmen erhält?“

Jüngste Sicherheitsverletzungen wie der Fall des E-Mail-Marketingunternehmens Epsilon Data Management LLC, dem bei einem Hackerangriff Namen und E-Mail-Adressen von Kunden entwendet wurden,30 unterstrichen den sich stetig verstärkenden Trend hin zur Methode „einen hacken, um alle zu hacken“, fügt Olechowski hinzu.

Cash Cows: Zwei der „Rising Stars“ aus 2010 sind in die Reihe der bevorzugten Gelddruckmaschinen Cyberkrimineller aufgestiegen und haben es 2011 somit in die

Kategorie „Cash Cows“ geschafft: Datendiebstahl-Trojaner und Web-Exploits. Dieser Aufstieg ist jedoch nicht allein darin begründet, dass die Kriminellen ihre Fähigkeiten im Umgang mit diesen Methoden perfektioniert haben. Dank der weiten Verbreitung kostengünstiger und leicht bedienbarer Toolkits für Web-Exploits und Datendiebstahl-Trojaner kann jeder, der möchte, mit relativ geringem zeitlichen und finanziellen Aufwand ins Geschäft einsteigen. Andere altbekannte Favoriten wie Spyware/Scareware und Klick-/Weiterleitungsbetrug haben zwar etwas an Glanz verloren, konnten ihre Rolle als treue Arbeitspferde 2011 jedoch beibehalten – woran sich auch 2012 nichts ändern wird.

Dogs: In dieser Kategorie finden sich die beiden Neueinsteiger Pharma-Spam und Vorkassenbetrug. Pharma-Spam, in der Cisco CROI-Matrix 2010 noch als „Cash

Cow“ vertreten, ist bei Cyberkriminellen aufgrund von

Strafverfolgungstätigkeiten und Botnet-Abschaltungen in Ungnade gefallen. (Siehe Cisco Cybercrime Showcase „Die Guten: Microsoft“ auf Seite 24.) Zahlreiche Kriminelle, die sich im Pharma-Spam betätigten, wurden inhaftiert oder haben sich in den Untergrund verzogen, um einer Verhaftung zu entgehen. Hierzu zählen etwa Igor Gusev von SpamIt/Glavmed; Pavel Vrublevsky von RX-Promotions/Eva Pharmacy; Oleg Nikolaenko, Betreiber des riesigen Botnet Mega-D; und Georg Avanesov, Betreiber des Botnet Bredolab. Da viele der einst riesigen Botnets wie Waledac, Mariposa, Cutwail (Berichten zufolge das größte Botnet aller Zeiten), Rustock, Bredolab und Mega-D längst abgeschaltet oder zumindest weitgehend lahmgelegt wurden und die Behörden immer aufmerksamer nach erfolgreichen Spammern suchen, lässt sich mit dem Versand von Pharma-Spam schlicht nicht mehr so viel Gewinn erzielen wie damals.31

Eine andere „Cash Cow“ aus dem letzten Jahr, der Vorkassenbetrug, schickt sich unterdessen an, die Bühne gänzlich zu verlassen. Benutzer sind heutzutage schlicht besser informiert, zudem greifen Spamfilter immer besser, weshalb diese Methode nicht mehr allzu viel Geld in die Kassen Cyberkrimineller spült. Der arbeitsintensive Nigeria-Scam mit dem reichen Prinzen läuft zwar weiter, doch auch hier schmälert sich die Gewinnspanne zusehends.

Unter den alten Bekannten auf der Matrix finden wir Scams mit Phishing 1.0 und DDoS-Angriffen. Angriffe in sozialen Netzwerken treten weiterhin in den Hintergrund, da Benutzer sich immer versierter in den „sozialen Sphären“ des Internets bewegen. Zudem reagieren immer mehr Benutzer lange nicht mehr so arglos auf die Kontaktaufnahme fremder Personen in sozialen Netzwerken. Hinzu kommt, dass Benutzer von den Datenschutz-Einstellungen sozialer Netzwerke Gebrauch machen und sich allgemein in Zurückhaltung üben, was das Teilen persönlicher Informationen auf solchen Seiten betrifft. Auch wenn Angriffe in sozialen Netzwerken nicht gänzlich von der Bildfläche verschwinden werden, ist damit zu rechnen, dass anspruchsvolle Cyberkriminelle ihre Ressourcen wohl kaum weiterhin für die Verfeinerung oder Erweiterung dieser Methoden aufwenden werden. Mittlerweile erfordert es einfach zu viel Zeit und Aufwand, um solche Scam-Arten zum Erfolg zu führen – ohnehin unternehmen zahlreiche Akteure der Schattenwirtschaft neuerdings besondere Anstrengungen, um ihre Ressourcen strategischer einzusetzen.


Der Cisco Jahresbericht zum Thema Sicherheit enthält eine nach Kategorien geordnete Gegenüberstellung der Zu- und Abnahme von Schwachstellen und Bedrohungen sowie eine Einschätzung ihrer Auswirkungen.

Das untenstehende Diagramm zur Entwicklung der einzelnen Kategorien zeigt einen leichten Anstieg bei der Anzahl erfasster Schwachstellen und Bedrohungen – ein bemerkenswerter Trend, war die Zahl seit 2008 doch allgemein rückläufig. Ursache für diesen Anstieg sind unter anderem Schwachstellen in offenen Quellcodes und Open-Source-Paketen großer Softwareanbieter, die etwa die Open-Source-Browser-Engine WebKit nutzen. Eine einzige Schwachstelle in einem Open-Source-Produkt wie WebKit kann zahlreiche wichtige Produkte betreffen und mehrere Advisories, Updates und Patches zur Folge haben. So veröffentliche beispielsweise Apple auch in diesem Jahr umfangreiche Updates für verschiedene Produkte, in denen Open-Source-Software enthalten ist.

2012 gilt das Augenmerk von Sicherheitsexperten insbesondere Schwachstellen in industriellen Steuerungssystemen sowie Überwachungs- und

Datenerfassungssystemen (ICS/SCADA-Systeme). Diese Systeme entwickeln sich zunehmend zu Problembereichen, weshalb auch Regierungen sich mit Verteidigungsinitiativen auf die Behebung ihrer Schwachstellen konzentrieren. Eine Bedrohung in diesem Bereich stellte, wie im Cisco Jahresbericht zum Thema Sicherheit 2010 erörtert, der Netzwerkwurm Stuxnet dar, der zur Infektion und Manipulation dieser Systeme entwickelt wurde.

Die gute Nachricht für 2011 lautet, dass ein Rückgang bei Pufferüberläufen, Denial of Service, der Ausführung beliebigen Codes und Stringformatierungsschwachstellen, also grundlegenden Codierungsfehlern, verzeichnet werden konnte. Bei Schwachstellen und Korrekturen in Bezug auf Fehler, welche Angriffe durch die Einschleusung von SQL-Code ermöglichen, findet sich dieser Rückgang indes nicht. Diese Angriffe stellen weiterhin ein weitverbreitetes Problem dar.

In den Cisco IntelliShield Alert Schweregradbewertungen spiegeln sich die Auswirkungen erfolgreicher Ausnutzungen von

Schwachstellen wider. Der bereits seit 2009 festzustellende leichte Rückgang der Schweregrade setzte sich auch 2011 in Einklang mit dem seit Kurzem verzeichneten Abklingen von Schwachstellen und Bedrohungen fort. Für 2012 ist damit zu rechnen, dass die Schweregrade auf dem gegenwärtigen Niveau verharren, breit angelegte Angriffe und Ausnutzungen spezifischer Schwachstellen dürften allerdings ausbleiben.

Die Cisco IntelliShield Alert Gefährdungsbewertungen geben das Ausmaß von Bedrohungsaktivitäten in Bezug auf spezifische Schwachstellen wieder. 2011 wurde ein deutlicher Anstieg auf der Gefährdungsstufe 3 registriert, d. h., eine begrenzte Anzahl von Exploits wurde festgestellt, wobei zusätzliche Exploits nicht auszuschließen sind. Dieser Anstieg deutet zwar auf eine größere Anzahl aktiver Bedrohungen im Internet hin, im Allgemeinen erreichen sie jedoch nicht die Gefährdungsstufen 4 (mehrere Berichte über Exploits aus verschiedenen Quellen) oder 5 (Berichte über breit angelegte Exploits aus verschiedenen Quellen, einfach durchführbare Exploits).

Schwachstellen- und Bedrohungsanalyse 2011

Format String

Spoo�ng

Unauthorized Access

Directory Traversal

Software Fault (Vul)

Information Disclosure

Privilege Escalation

Cross-Site Scripting

Arbitrary Code Execution

Denial of Service

Bu�er Over�ow

0 100 200 300 400 500 600 700

2009

2010

2011

0

500

1000

1500

2000

Severity ≥5Severity ≥4Severity ≥3

2009

2010

2011

0

20

40

60

100

80

Urgency ≥5Urgency ≥4Urgency ≥3

2009

2010

2011

Schwachstellen- und Bedrohungskategorien Cisco IntelliShield Alert Schweregradbewertungen

Cisco IntelliShield Alert Gefährdungsbewertungen


Update zum globalen Spam-Aufkommen: Drastischer Rückgang des Spam-VolumensDank der Vorliebe Krimineller für zielgerichtete Kampagnen scheint Spam an Lukrativität eingebüßt zu haben. Cisco Security Intelligence Operations (SIO) zufolge ist das weltweite Spam-Aufkommen zwischen August 2010 und November 2011 von über 379 auf rund 124 Milliarden Nachrichten täglich zurückgegangen – ein Stand, der seit 2007 nicht mehr erreicht wurde.

Bereits vor 2011 gingen einige Cyberkriminelle dazu über, sich gezielteren Angriffen zuzuwenden. So sollen mit Scam-Nachrichten bestimmte Personen in einem Unternehmen (etwa in der Finanz- oder IT-Abteilung) erreicht werden, um an sensible Zugangsdaten für das Netzwerk oder sonstige Kontoinformationen zu gelangen. Gezielte Scams gelten schon bei einer einzigen Antwort als erfolgreich, während beim Massenversand von Spam-Nachrichten eine wesentlich höhere Antwortquote erforderlich ist, damit sich die Investition lohnt.

Die Ereignisse des vergangenen Jahres haben die bisherigen Geschäftsmodelle der Spammer derart ins

Wanken gebracht, dass viele sich endgültig gezwungen sahen, sich auf die Entwicklung gezielter Angriffe zu konzentrieren. Strafverfolgungsbehörden und Sicherheitsorganisationen in aller Welt arbeiteten in den beiden letzten Jahren eng zusammen, um einige der größten Spam versendenden Botnets abzuschalten oder zumindest deren Aktivitäten erheblich einzuschränken. So wurde beispielsweise das dem Spam-Versand dienende Affiliate-Netzwerk SpamIt 2010 geschlossen, nachdem die russische Polizei gegen dessen Besitzer Anzeige erstattete. Weitere große Botnets wie Rustock, Bredolab und Mega-D wurden ebenfalls lahmgelegt oder komplett abgeschaltet.

Für das Geschäft der Cyberkriminellen hatten diese Maßnahmen schwerwiegende Folgen: Nach Schätzungen von Cisco SIO ging ihr Gewinn aus herkömmlichen E-Mail-basierten Massenangriffen zwischen Juni 2010 und Juni 2011 (annualisiert) um mehr als 50 % von 1,1 Milliarden auf 500 Millionen US-Dollar zurück.32

Im Gegensatz zu den breit angelegten Exploits mit Internetwürmern und schadhaftem Code der letzten Jahre sind Bedrohungen und Exploits überdies fokussierter geworden. Die Bedrohung liegt heute meist in Angriffs-Toolkits, mit deren Hilfe sich Angriffe auf spezifische Schwachstellen einzelner Systeme starten lassen.

Wie im Cisco Jahresbericht zum Thema Sicherheit 2010 dargelegt, wurden große Botnets wie Zeus – das zwei bis drei Millionen PCs weltweit kaperte – jahrelang zum Diebstahl von Bank- und Zugangsdaten eingesetzt. Neuerdings dagegen stellen Botnet-Betreiber Angriffs-Toolkits zur Verfügung, die Botnet-Code enthalten und die Einrichtung einer Fülle kleinerer Botnets ermöglichen.

Anstelle einer geringen Zahl riesiger Botnets, die für gewöhnlich von etablierten kriminellen Vereinigungen verwaltet werden, geht die Gefahr daher nunmehr von Dutzenden kleinerer Botnets aus. „Als es nur wenige große Botnets gab, war es einfacher, sie zu verfolgen und ihre Funktionsweise nachzuvollziehen“, erinnert sich Jeff Shipley, Manager Cisco Security Research and Operations. „Durch die Verfügbarkeit von Botnet-Toolkits hat die Zahl dieser Netze sowie deren Artenvielfalt stark zugenommen. Die Analyse ihrer Verhaltensmuster und die Bereitstellung entsprechender Schutzmaßnahmen ist damit ungemein komplizierter geworden.“

Das Ziel der neuen, kleineren Botnets liegt wie schon beim großen Zeus darin, Bankkontoinformationen zu sammeln. Die schiere Anzahl und Vielfalt dieser kleineren Botnets erschwert Sicherheitsexperten jedoch die Aufgabe, ihrer Spur nachzugehen.

32 Email Attacks: This Time It’s Personal, Cisco, Juni 2011, www.cisco.com/en/US/prod/collateral/vpndevc/ps10128/ps10339/ps10354/targeted_attacks.pdf.

0

50

100B

200B

150B

250B

300B

350B

400B

Aug

-10

Sep

-10

Oct

-10

Nov

-10

Dec

-10

Jan-

11

Feb-

11

Mar

-11

Apr

-11

May

-11

Jun-

11

Jul-

11

Aug

-11

Sep

-11

Oct

-11

Nov

-11

Spa

m V

olum

e

Quelle: Cisco SIO


Spam-Aufkommen im Ländervergleich: Rangliste 2011 Cisco SIO erfasst das weltweite Spamvolumen und auch, aus welchem Teil der Erde es stammt. Nach Stand September 2011 führt Indien als Verursacher von 13,9 % des weltweiten Spam-Aufkommens die Rangliste an. 2010 belegte das Land noch den zweiten Platz hinter den USA, deren Spam-Aufkommen zwischen Januar und September 2011 von 10,1 auf geradezu magere 3,2 % sank. In der weltweiten Gesamtrangliste der Spam-Nationen finden sich die USA somit auf dem neunten Platz wieder.

Den zweiten Platz belegt nunmehr Russland mit 7,8 %. Das Spam-Volumen des Landes stieg in der ersten Jahreshälfte 2011 und erreichte nach 7,6 % im Januar mit 9 % im Mai seinen bisherigen Höchststand, seitdem konnte jedoch ein kontinuierlicher Rückgang registriert werden.

Vietnam belegt in der Rangliste für 2011 den dritten Platz, nachdem es neben Indien und Russland im Cisco Jahresbericht zum Thema Sicherheit 2010 bereits unter den Top 5 geführt wurde. Das Spam-Aufkommen Vietnams bewegte sich im Jahresverlauf zunächst zwischen 3 und 4 %, woraufhin im August 2011 ein sprunghafter Anstieg auf fast 6 % verzeichnet wurde. Im September des Jahres folgte schließlich ein weiteres Wachstum auf beinahe 8 %.

Mit jeweils rund 6 % des gesamten Spam-Aufkommens runden Südkorea und Indonesien Cisco SIO zufolge die Top 5 der Spam-Nationen 2011 ab. Erstaunlicherweise fand sich im letztjährigen Bericht noch keines der beiden Länder unter den ersten zwölf Plätzen.

China konnte unterdessen seinen siebten Platz aus dem Vorjahr verteidigen. Während das Spam-Aufkommen der Volksrepublik insgesamt nur leicht gewachsen ist (von 3,6 % im Dezember 2010 auf 4,7 % im September 2011), konnte sie sich 2011 kurzzeitig den zweifelhaften Titel der mit Abstand größten Spam-Nation der Welt sichern: Nach 1,1 % im Mai explodierte Chinas Spam-Volumen geradezu und erreichte im Juni etwas über 10 %. Im Juli wurde gar der Spitzenwert von 18 % erreicht, woraufhin das Volumen im August auf 11,5 % sank und im September nur noch 4,7 % des weltweiten Spams ausmachte.

Brasilien war den Ergebnissen von Cisco SIO zufolge im September 2011 für rund 4,5 % des globalen Spam-Volumens verantwortlich. Somit belegt das Land in diesem Jahr den achten Platz, nachdem es 2009 die Rangliste noch angeführt und 2010 den dritten Platz erreicht hatte. Indessen schwankte das Spam-Volumen Brasiliens 2011: Im April hatte sich der Wert mit 8 % beinahe verdoppelt, danach ging er jedoch stetig bis auf 4,5 % zurück.

India VietnamRussian Federation

Republic of Korea/Indonesia

2

13

4/5

4/5


Der Cisco Global ARMS Race IndexDer an der Richterskala zum Vergleich der Stärke von Erdbeben orientierte jährliche Cisco Global ARMS Race Index spiegelt den weltweiten Grad von unterwanderten Ressourcen unter Fremdkontrolle (Adversary Resource Market Share, ARMS) in privaten und geschäftlichen Systemen wider. Die Abkürzung „ARMS Race“ legt zudem nahe, worum es für die Verursacher geht: ein Wettrüsten. Dabei misst der Index die Gesamtmenge kompromittierter Ressourcen weltweit, d. h. der Netzwerke und Geräte, die sich gegenwärtig unter „feindlicher Kontrolle“ befinden. Die Sicherheitsexperten von Cisco erstellten den Index, um anhand der weltweiten Aktivitäten Internetkrimineller und deren Erfolgsquoten bei der Fremdkontrolle von Unternehmens- und Privatgeräten ein besseres Verständnis allgemeiner Trends zu erlangen.

Gemäß den für den diesjährigen Index erhobenen Daten wurde Ende 2011 ein Wert von 6,5 Punkten (auf einer Skala von eins bis zehn) erreicht. Somit konnte die Zahl kompromittierter Ressourcen im Jahresvergleich leicht reduziert werden, nachdem im Dezember 2010 noch 6,8 Punkte zu Buche standen. Bei der erstmaligen Veröffentlichung des Cisco Global ARMS Race Index im Cisco Jahresbericht zum Thema Sicherheit 2009 zeigte die Skala noch 7,2 Punkte an. Unternehmensnetzwerke hatten damals mit dauerhaften Infektionen zu kämpfen, und die Infektionsraten von Privatgeräten konnten einen konstanten Servicemissbrauch mit alarmierenden Ausmaßen nach sich ziehen.

Seither ist die Infektionsrate von Systemen für den privaten wie auch den geschäftlichen Einsatz stetig abgeklungen, jedoch liegt sie weiterhin zwischen „konstanter Missbrauch von Services mit alarmierenden Ausmaßen möglich“ und „breiter (aber nicht anhaltender) Missbrauch von Diensten in hohem Maße möglich“. Leider gibt dieser Rückgang die Umstände jedoch nicht vollständig wieder, da eine einzelne Instanz einer APT-Malware weitaus mehr Schaden anrichten kann als in den vergangenen Jahren.

Doch weshalb ist die Zahl weltweit kompromittierter Ressourcen in diesem Jahr gesunken? Einen erheblichen Einfluss hatten Strafverfolgungsmaßnahmen, die zur Abschaltung einer Reihe großer Botnets und zur Verhaftung

ihrer Betreiber führten. Da Strafverfolgungsbehörden und Sicherheitsunternehmen deren Aktivitäten genauestens verfolgen, stehen die riesigen, in den letzten Jahren massiv eingesetzten Botnets nun nicht mehr im Mittelpunkt. Im Gegenzug wurden allerdings zahlreiche kleinere Botnets entwickelt, die mit einem einzelnen Bot mehr Schaden anrichten können als ihre großen Vorgänger.

Zudem richtet sich der Großteil der kriminellen Energie in diesem Bereich heute darauf, mithilfe von APTs bestimmte wertvolle Ziele zu infizieren und gezielte Angriffe durchzuführen, die mit hoher Wahrscheinlichkeit mehr Gewinne einbringen. Durch die hohe Verbreitung unterschiedlicher Malware für den Datendiebstahl, z. B. Zeus/SpyEye, konnten viele dieser Angriffe überhaupt erst durchgeführt werden. „Die Fähigkeiten der kriminellen Gruppen und der Schaden, den sie dabei anrichten können, erinnert schwer an den Film Oceans Eleven“, so Patrick Peterson, Senior Security Researcher bei Cisco. „Sie unternehmen gewaltige Anstrengungen, um wenige aber wertvolle Ziele anzugreifen, statt wie früher eine großflächige Bombardierung durchzuführen.“

MethodologieZum Erhalt der Messdaten für den diesjährigen Cisco Global ARMS Race Index stützte sich Cisco auf Schätzungen führender Botnet-Tracker bezüglich der Gesamtmenge von Bots sowie weitere Datenpunkte, die durch interne Forschungsarbeiten und externe Experten erlangt wurden. Hierzu zählt beispielsweise die Shadowserver Foundation, eine Organisation freiwilliger Sicherheitsexperten aus aller Welt, die die Aktivitäten Cyberkrimineller verfolgen. Die Methodologie für den Global ARMS Race Index basiert auf:

• der aktuellen Gesamtgröße von Botnets

• Statistiken zur Schätzung der Gesamtanzahl mit dem Internet verbundener Geräte weltweit

• Schätzungen der Infektionsraten von Geräten und Netzwerken im privaten und geschäftlichen Bereich, für die Faktoren wie die Verfügbarkeit der Systeme gemessen werden

9.5+: More resources are under rogue control than legitimate control. Inability to trust any connection or application. All services are readily deniable.

9-9.5: Nearly every network, every machine type, every user type, in all regions is infected at significant levels. Widespread resource abuse is common.

8: Enterprise networks are widely and continuously infected. Consumer systems are heavily infected, with traditional security programs proving ineffective. Large simultaneous attacks on many high-visibility targets are possible.

7: Enterprise networks are experiencing persistent infections. Consumer systems are infected at levels capable of producing consistent and alarming levels of service abuse.

6: Enterprise networks are infrequently infected. Consumer systems have significant infection levels and are capable of broad (but not sustained) high-level service abuse.

5: Enterprise networks are rarely infected. Consumer systems are experiencing annoying but not alarming infections; targeted service abuse is possible.

1-4: Enterprise networks are virtually not infected. Consumers have nominal levels of infection and barely noticeable abuse.

7.2 December 2009

6.5 December 2011 Level

The Cisco Global ARMS Race Index

6.8December 2010

Die Skala des Cisco Global ARMS Race Index, der weltweit den Grad von Ressourcen unter feindlicher Kontrolle misst, erreichte Ende 2011 6,5 Punkte. Der Rückgang gegenüber dem Vorjahreswert von 6,8 Punkten belegt, dass Infektionen von Unternehmensnetzwerken und Privatgeräte seltener geworden sind.


Das Internet: Ein elementares menschliches Grundbedürfnis?

Die Art und Weise, wie wir das Internet nutzen, entwickelte sich auch im Jahr 2011 weiter. Das Web bietet immer neue, ungeahnte Möglichkeiten der weltweiten Zusammenarbeit und sorgt so für Veränderungen, die unser Zusammenleben nachhaltig beeinflussen. Der Einfluss des Internets auf unseren beruflichen und privaten Alltag wächst stetig. Sind wir bereits abhängig vom Web und seiner Fähigkeit, Informationen und Menschen aus aller Welt miteinander zu vernetzen? Ist das Internet ein elementares Grundbedürfnis geworden?

Ein Drittel der im Rahmen der Cisco Connected World-Studie befragten Studenten und junger Berufsanfänger in den USA beantwortet diese Frage mit „Ja“. Das Internet gehört zu ihrem Leben wie Wasser, Nahrung, ein Dach über dem Kopf und die Luft zum Atmen. Die Sichtweise mag etwas extrem erscheinen, aber sie wird unter der kommenden Generation weit verbreitet sein. Schon heute können wir beobachten, wie die Grenze zwischen der privaten und beruflichen Nutzung des Internets und der Web 2.0-Technologien immer mehr verschwimmt. Doch das ist nur der Anfang. In naher Zukunft könnte sich diese Grenze schon vollkommen aufgelöst haben.

Für Unternehmen stellt sich heutzutage gar nicht mehr die Frage, ob das Internet ein Grundbedürfnis ist. Ohne das Web können Unternehmen weder grundlegende Tätigkeiten durchführen noch wettbewerbsfähig bleiben. Allein aus diesem Grund dürfte in einem Unternehmen keine Diskussion darüber entstehen, ob eine Technologie, welche die Produktivität, Effizienz, Innovation sowie die Mitarbeiterzufriedenheit erheblich steigert, unternehmensweit strategisch eingesetzt werden sollte.

Gleichwohl haben viele Unternehmen Schwierigkeiten, sich so schnell an eine solche Vielzahl von Veränderungen anzupassen. Sicherheitsbedenken werden dabei als größte Hürde genannt, die sie von der Nutzung neuer Technologien abhält. Doch erst einmal in Ruhe abzuwarten und somit vermeintlich das Unternehmen und seine Ressourcen zu schützen, das haben viele Unternehmen mittlerweile erkannt, kann der Wettbewerbsfähigkeit abträglich sein – vielleicht nicht heute aber in naher Zukunft.

Reaktionsträge Unternehmen risikieren nicht nur verpasste Chancen für neue Innovationsmöglichkeiten, die zu umfassenden Optimierungen führen könnten, sondern auch den Verlust ihrer wichtigsten Ressourcen: den Mitarbeitern. Wie bereits erwähnt, könnte der eingeschränkte oder gänzlich blockierte Zugriff auf Unternehmensnetzwerke und -anwendungen über private Geräte zur Ablehnung eines Jobangebots führen (siehe „Remote-Zugriff und BYOD: Gemeinsamer Lösungsansatz für Unternehmen und Mitarbeiter“, Seite 10.)

Ähnliche Äußerungen machten mehr als 50 % der für die Connected World-Studie befragten Hochschulstudenten: Sie würden das Jobangebot eines Unternehmens, das die

Nutzung von Social Media-Kanälen verbietet, entweder von vorneherein ausschlagen, oder aber Mittel und Wege suchen, um entgegen der Unternehmensrichtlinien dennoch auf die Plattformen zuzugreifen (Siehe „Social Media: das Produktivitäts-Tool der Gegenwart“ auf Seite 8.)

Viele Unternehmen sind jedoch bemüht, Veränderungen herbeizuführen. In Interviews für den Jahresbericht zum Thema Sicherheit 2011 berichteten verschiedene Sicherheitsexperten von Cisco, sie hätten Fortschritte in den Bemühungen zahlreicher Unternehmen vernommen, ihr Sicherheitsmodell an die Gegebenheiten der vernetzten Welt von heute anzupassen. Ferner seien sie bestrebt, eine gemeinsame Lösung mit Mitarbeitern zu finden, die die Nutzung bestimmter Anwendungen und Geräte für ihre Arbeit fordern. Sie überprüften auch ihre Nutzungsrichtlinien und Verhaltenskodizes, verstärkten ihre Bemühungen zur Vorbeugung von Datenverlusten und bezögen längst nicht mehr nur die IT-Abteilung in Fragen der Sicherheit ein. Das Thema Sicherheit – und die Verantwortung zur Aufrechterhaltung des gewünschten Sicherheitsniveaus – betrifft nun alle Abteilungen vom Marketing über das Personalwesen und die Rechtsabteilung bis hin zum Management.

„Der rasche Abbau dieses in 20 Jahren entwickelten Sicherheitsperimeters hat in vielen Unternehmen zu großer Verunsicherung geführt.”

– Ofer Elzam, Integrated Security Solutions Architect bei Cisco


Auch Cisco zählt zu diesen Unternehmen, wie wir in diesem Bericht erfahren haben. Wie zahllose Unternehmen in aller Welt versucht auch Cisco, die richtige Balance zwischen der Nutzung neuer Möglichkeiten und der Aufrechterhaltung von Netzwerk- und Datensicherheit zu finden. Die Cisco „Any Device“-Initiative zur freien Geräteauswahl und Gewährleistung einer einheitlichen Benutzerumgebung, soll die Wettbewerbsfähigkeit und Sicherheit des Unternehmens optimieren. Doch bereits die damit verbundene Schaffung einer Grundlage für eine BYOD-Strategie kann sich als große Herausforderung erweisen.

„Smartphones und Tablets sorgen in der IT für einen gewaltigen Umbruch“, meint Ofer Elzam, Integrated Security Solutions Architect bei Cisco. „Unternehmen sind es gewohnt, einen bestimmten Sicherheitsperimeter zu wahren und alles innerhalb dieses Kreises erbittert zu verteidigen. Der rasche Abbau dieses in 20 Jahren entwickelten Sicherheitsperimeters hat in vielen Unternehmen zu großer Verunsicherung geführt.“

Das damit verbundene Gefühl der Verwundbarkeit ist oft nicht einmal unangebracht. Das Leben in einer vernetzten Welt bedeutet zwar, dass wir näher an unseren Kollegen, Geschäftspartnern, Kunden, Freunden und Familien sind. Doch wir und die Unternehmen, für und mit denen wir arbeiten, sind nun auch stärker in die Reichweite der kriminellen Wirtschaft gerückt. Die Offenheit und Vernetzung, die mobile Geräte, soziale Netzwerke und Web 2.0-Anwendungen ermöglichen, bieten böswilligen Zeitgenossen neue Wege, um Daten zu stehlen, Geschäftsabläufe zu stören oder einfach nur auf sich aufmerksam zu machen.

Viele Cyberkriminelle suchen nach neuen Möglichkeiten, die weit verbreiteten Mobilgeräte für Ihre Zwecke einzusetzen und sich Zugriff auf die Cloud-Umgebung zu verschaffen, um mit den dort befindlichen Daten Gewinn zu machen oder den Erfolg eines Unternehmens zu untergraben. Wie der Hacktivismus-Trend zweifellos zeigt, ist dank der heutigen

Technologie ein schneller, anonymer und unvorhersehbarer Zusammenschluss potenziell gefährlicher Gruppen relativ einfach möglich. Für Außenstehende oder die Opfer dieser Angreifer, die meist keine finanziellen Absichten hegen, ist der Angriff nicht ohne Weiteres erkennbar. „Im Laufe des letzten Jahres haben wir Dinge erlebt, die alles bisher Dagewesene in den Schatten stellen“, sagt Gavin Reid, CSIRT-Manager bei Cisco. „Einige der Ereignisse waren regelrecht vernichtend, und das ist kein gutes Zeichen.“

Wie in der „realen Welt“ gibt es auch in der vernetzten Welt stets eine Sonnen- und eine Schattenseite. Dazwischen liegt oft nur ein schmaler Grat. So ist in einem Unternehmen vielleicht ein gewisses Maß an Sicherheit gegeben, doch die Entwicklung eines effektiven Sicherheitsmodells erfordert neue Denkweisen und eine gewisse Risikobereitschaft. Und die Aufrechterhaltung des Modells verlangt mehr Wachsamkeit denn je. Die zentrale Herausforderung für Unternehmen besteht heute darin, das richtige Verhältnis aus Technologien und Richtlinien zu finden, das ihren einzigartigen Anforderungen gerecht wird. Dies ist keine leichte Aufgabe, doch einmal gemeistert können Unternehmen flexibler agieren und sind besser darauf vorbereitet, sich schnell und sicher an die unvermeidlichen technologischen Veränderungen von morgen anzupassen.

„Die vernetzte Welt ist eine Welt voller Variablen. Unternehmen, die bisher nicht erkannt haben, dass diese Veränderungen bereits in der Arbeitswelt angekommen sind, werden schnell das Nachsehen haben“, weiß Chris Young, Senior Vice President der Security Group von Cisco. „Durch die Einführung der Technologien, die Mitarbeiter und Kunden früher oder später nutzen werden, kann eine umfassende Sicherheitslösung gewährleistet werden. Sie müssen sich einfach der Realität stellen, statt sich über Eventualitäten Gedanken zu machen.“


Maßnahmen zur Gewährleistung der Unternehmenssicherheit für 2012

Natürlich muss jedes Unternehmen einen eigenen Sicherheitsansatz für Netzwerk und Daten entwickeln, der die konkreten Anforderungen der Mitarbeiter und das Erreichen der zentralen Geschäftsziele unterstützt. Es gibt jedoch einige Maßnahmen, die die aktuelle Sicherheitslage unmittelbar und langfristig verbessern können. Die Sicherheitsexperten von Cisco geben die folgenden 10 Empfehlungen:

1 Bewerten Sie Ihr Netzwerk in seiner Gesamtheit. „Sie sollten wissen, wo Ihre IT-Infrastruktur beginnt und endet – viele Unternehmen sind sich des Umfangs ihres Netzwerks überhaupt nicht bewusst. Sie sollten auch wissen, was für Sie ‚normal ist, damit Sie Probleme schnell erkennen und bekämpfen können.“

John N. Stewart, Vice President und Chief Security Officer bei Cisco

2 Bewerten Sie Ihre Richtlinien zur akzeptablen Nutzung sowie Ihren geschäftlichen Verhaltenskodex immer wieder neu. „Vergessen Sie die vermeintlichen Komplettlisten notwendiger Sicherheitsrichtlinien. Konzentrieren Sie sich nur auf Dinge, von denen Sie wissen, dass Sie sie durchsetzen müssen und können.“

Gavin Reid, Cisco Manager CSIRT

3 Bestimmen Sie, welche Daten geschützt werden müssen. „Sie können kein wirksames DLP-Programm erstellen, wenn Sie nicht wissen, welche Informationen im Unternehmen gesichert werden müssen. Außerdem müssen Sie die Person im Unternehmen bestimmen, die Zugriff auf diese Informationen haben darf und wie dieser Zugriff ermöglicht wird.“

David Paschich, Web Security Product Manager bei Cisco

4 Sie müssen wissen, wo sich Ihre Daten befinden und wie (sowie ob) diese gesichert sind. „Listen Sie jeden externen Anbieter auf, der Daten Ihres Unternehmens speichern darf – von Cloud-Anbietern bis zum E-Mail-Marketing – und überprüfen Sie, ob Ihre

Informationen angemessen gesichert werden. Aufgrund rechtlicher Vorschriften und neuerdings auch des Cybercrime-Trends zum ‚hack one to hack them all (d. h. dass mit einem Hackerangriff zahlreiche Ziele attackiert werden) dürfen Unternehmen niemals davon ausgehen, dass ihre Daten sicher sind, auch dann nicht, wenn sie sie in Hände gegeben haben, denen sie vertrauen.“ Scott Olechowski, Threat Research Manager bei Cisco

5 Überprüfen Sie die Weiterbildungs-möglichkeiten Ihrer Benutzer. „Lange Seminare und Handbücher zeigen wenig Wirkung. Jüngere Mitarbeiter sind gegenüber zielgerichteten Ansätzen der Benutzerfortbildung empfänglicher, bei denen kürzere Sitzungen und bedarfsabhängige, also ‚Just-in-Time-Schulungen zum Einsatz kommen. Gegenseitige Schulungen von Kollegen funktionieren in der heutigen von Zusammenarbeit geprägten Arbeitsumgebung ebenfalls gut.“ David Evans, Chief Futurist bei Cisco

6 Überwachen Sie den ausgehenden Datenverkehr. „Das ist eine ganz grundlegende Aufgabe, die aber nicht von allen Unternehmen umgesetzt wird. Allerdings sind aufgrund gesetzlicher Vorschriften mehr Unternehmen zu dieser Praxis übergegangen. Bei der Überwachung des ausgehenden Datenverkehrs, werden die Daten überprüft, die von Ihrem Unternehmensnetzwerk aus gesendet werden, also dieses verlassen, und ggf. daran gehindert. Sie überwachen, was aus Ihrem Unternehmen von wem wohin gesendet wird – und hindern bestimmte Daten am Verlassen des Unternehmens.“

Jeff Shipley, Manager für Cisco Security Research and Operations

7 Entwickeln Sie eine BYOD-Strategie. „Unternehmen müssen aufhören, darüber nachzudenken, wann sie zu einem BYOD-Modell übergehen und stattdessen planen, wie sie dies tun.“

Nasrin Rezai, Senior Director of Security Architecture und Chief Security Officer für die Cisco Collaboration Business Group

8 Erarbeiten Sie einen Notfallplan. „IT-bezogene Risiken sollten wie jedes andere geschäftliche Risiko behandelt werden. Unternehmen müssen demnach über einen klaren Plan verfügen, um schnell und angemessen auf jede Art von Sicherheitsereignis reagieren zu können, egal, ob es sich um eine Datensicherheitsverletzung durch einen gezielten Angriff, eine Richtlinienverletzung durch Sorglosigkeit eines Mitarbeiters oder einen Fall von Hacktivismus handelt.“

Pat Calhoun, Vice President und General Manager der Cisco Secure Network Services Business Unit

9 Implementieren Sie Sicherheitsmaßnahmen, um die manglende Kontrolle über soziale Netzwerke auszugleichen. „Unterschätzen Sie nicht die Effektivität von Technologien wie Intrusion Prevention-Systeme für den Schutz vor Bedrohungen durch Netzwerkangriffe. Reputationsfilter gewährleisten ebenfalls die Identifikation verdächtiger Aktivitäten und Inhalte.“

Rajneesh Chopra, Director of Product Management der Cisco Security Technology Group

10 Überwachen Sie die dynamische Risikolandschaft und halten Sie die Benutzer auf dem aktuellen Stand. „Die Risikoquellen für Unternehmen und ihre Sicherheitsteams werden immer vielfältiger. Die Gefahr geht von Mobilgeräten und der Cloud, sozialen Netzwerken und in Zukunft noch weiteren technologischen Neuentwicklungen aus. Um dennoch Sicherheit gewährleisten zu können ist ein zweiteiliger Ansatz von Vorteil: Reagieren Sie einerseits auf bekannte Schwachstellen und handeln Sie andererseits proaktiv, indem Sie Mitarbeiter schulen, um diese und damit ihr Unternehmen vor dauerhaften Bedrohungen zu schützen.“

Ofer Elzam, Integrated Security Solutions Architect bei Cisco


Cisco Security Intelligence Operations

Die Verwaltung und Sicherung der verteilten und flexiblen Netzwerke von heute wird zu einem immer größeren Problem. Das Vertrauen der Benutzer in Verbraucher-anwendungen und-geräte wird nach wie vor von Cyberkriminellen ausgenutzt. Damit steigt das Risiko für Unternehmen und Mitarbeiter. Herkömmliche Methoden, die auf verschiedenen Sicherheitsschichten und Filtern basieren, genügen als Schutz vor der neuesten Malware nicht mehr. Die neueste Malware-Generation breitet sich enorm schnell und weltweit aus und nutzt dabei unterschiedliche Vektoren.

Um auch vor den neuesten Bedrohungsformen Schutz zu bieten, verwendet Cisco Echtzeit-Bedrohungsinformationen aus den Cisco Security Intelligence Operations (SIO). Mit fast einer Million Live-Datenströmen von implementierten Cisco E-Mail-, Web-, Firewall- und Intrusion Prevention System (IPS)-Lösungen ist die Cisco SIO das umfangreichste Cloud-basierte Sicherheitssystem der Welt.

Nach der Auswertung und Verarbeitung der Datenströme erstellt die Cisco SIO mithilfe von über 200 Parametern Regeln zum Schutz vor Bedrohungen. Es werden kontinuierlich Informationen zu sicherheitsrelevanten Ereignissen gesammelt, die kritische Auswirkungen auf Netzwerke, Anwendungen und Geräte haben können. Die Sicherheitslösungen nutzen diese Informationen wiederum, um den Schutz vor aktuellen Bedrohungen gewährleisten zu können. Dabei werden alle drei bis fünf Minuten dynamisch Regeln an implementierte Cisco Sicherheitslösungen übermittelt. Zusätzlich veröffentlicht das Cisco SIO-Team Best Practices und taktische Richtlinien zur Abwehr von Bedrohungen.

Cisco stellt umfassende integrierte Sicherheitslösungen bereit, die zeitgerecht und wirksam arbeiten. Unternehmen in aller Welt vertrauen auf die Lösungen von Cisco und gewährleisten so ein hohes Maß an Sicherheit. Diese Unternehmen sparen Zeit ber der Suche nach Bedrohungen und Schwachstellen und können sich so auf einen proaktiven Sicherheitsansatz konzentrieren.

Cisco Security IntelliShield Alert Manager Service bietet eine umfassende, kosteneffiziente Lösung zur Bereitstellung der anbieterunabhängigen Sicherheitsinformationen, die Unternehmen zur Identifizierung, Prävention und Verminderung von IT-Angriffen benötigen. Dieser anpassbare, webbasierte Warnservice für Bedrohungen und Schwachstellen ermöglicht es dem Sicherheitspersonal, auf zeitgerechte, präzise und glaubwürdige Informationen zu Bedrohungen und Schwachstellen zuzugreifen, die sich auf ihre Umgebungen auswirken können. Mit dem IntelliShield Alert Manager müssen Unternehmen bei der Suche nach Bedrohungen und Schwachstellen weniger Zeit aufwenden und können sich auf einen proaktiven Sicherheitsansatz konzentrieren.

Cisco bietet eine 90 Tage gültige, kostenlose Testversion des Cisco Security IntelliShield Alert Manager Service. Bei Registrierung für diese Testversion erhalten Sie uneingeschränkten Zugriff auf den Service, inklusive Tools sowie Bedrohungs- und Schwachstellenwarnungen.

Weitere Informationen zu den Cisco Security IntelliShield Alert Manager Services finden Sie unter: https://intellishield.cisco.com/security/alertmanager/trialdo?dispatch=4

Informationen zu Frühwarnung, Bedrohungs- und Schwachstellenanalysen sowie bewährte lösungen von Cisco für die Risikosenkung finden Sie unter folgender Adresse: www.cisco.com/go/sio.


Cisco SecureXDie Cisco SecureX-Architektur ist ein kontextsensitives Framework der nächsten Generation, das die immer höheren Sicherheitsanforderungen von Borderless Network-Umgebungen erfüllt.

Im Gegensatz zu älteren Sicherheitsarchitekturen, die Richtlinien auf der Grundlage eines einzigen Datenpunkts erzwingen sollten, setzt Cisco SecureX Richtlinien unter Berücksichtigung des gesamten Kontexts durch. Kontextsensitive Richtlinien nutzen eine übergeordnete Sprache, die eng mit den Geschäftsrichtlinien verknüpft ist. Dies vereinfacht das Richtlinienmanagement erheblich. Gleichzeitig wird ein hohes Maß an Sicherheit und Kontrolle erzielt, und die geschäftliche Effizienz und Flexibilität erhöht.

Die Cisco SecureX-Architektur:

setzt kontextsensitive Richtlinien bei unterschiedlichen Formfaktoren durch und gewährleistet flexible Sicherheit

verwaltet kontextsensitive Sicherheitsrichtlinien im gesamten Netzwerk und bietet umfassende Transparenz und Kontrollen

bietet sicheren, standort-, zeit- und geräteunabhängigen Zugriff - PC, Mac, Smartphones, Tablets und andere Mobilgeräte

nutzt Cisco SIO zur Bereitstellung aktueller Informationen zu globalen Bedrohungen

ermöglicht vereinfachte Geschäftsrichtlinien, die die Sicherheitsrichtlinien der IT und die Unternehmensrichtlinien miteinander verbinden

integriert umfassende, erweiterbare APIs, die die eigenen Verwaltungssysteme und die Partner von Cisco direkt zur Vervollständigung ihrer Sicherheitsumgebung nutzen können

Weitere Informationen zu Cisco SecureX finden Sie unter www.cisco.com/en/US/netsol/ns1167/index.html.

Weitere InformationenCisco Security Intelligence Operationswww.cisco.com/security

Cisco Security Blogblogs.cisco.com/security

Cisco Remote Management Serviceswww.cisco.com/en/US/products/ps6192/serv_category_home

Sicherheitsprodukte von Ciscowww.cisco.com/go/security

Sicherheitsprogramme von Ciscowww.cisco.com/go/cspo

Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern finden Sie auf der Cisco Website unter www.cisco.com/go/offices.

Cisco und das Cisco Logo sind Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Marken von Cisco finden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begriffs „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen.12/11

Hauptgeschäftsstelle Nord- und Südamerika Cisco Systems, Inc. San Jose, CA

Hauptgeschäftsstelle Asien/Pazifik Cisco Systems (USA) Pte. Ltd. Singapur

Hauptgeschäftsstelle Europa Cisco Systems International BV Amsterdam, Niederlande

Der Bericht steht auf folgender Webseite zum Download bereit:

www.cisco.com/go/securityreport

Documents

Cisco Jahresbericht zum Thema Sicherheit 2011 · oder zwei Besprechungen teil. Die Arbeit begann, wenn die Leute ins Büro kamen, und endete, wenn sie wieder nach Hause gingen. Heute