Windows 10 und Android 5.0 im Unternehmenseinsatz?

Windows Phone 8.1 Geräte zentral mit einer Enterprise Mobility Management Lösung zu verwalten war in der Vergangenheit nur sehr eingeschränkt möglich. Im Gegensatz dazu bieten Android Geräte zwar viele Funktionen, jedoch gibt es aufgrund der offenen App Politik von Google stets Bedenken zur Sicherheit. Doch beides könnte sich schon in den kommenden Wochen ändern! 

Mit "Android for Work" adressiert Google genau diese Bedenken. Bei "Android for Work" handelt es sich um eine, im Betriebssystem integrierte, Sandbox mit der eine strikte Trennung zwischen privaten und geschäftlichen Daten und Apps möglich ist. Mit Lollipop 5.0 fügte Google folgende Funktionen ein, die speziell für mobile Geräte im Unternehmenseinsatz abzielen: 

  • Trennung von Unternehmens- und privaten Daten auf Betriebssystem-Ebene
  •  Unabhängig von Hersteller und Gerätetyp
  •  Sichere Verteilung von Unternehmens-Apps
  •  Zentrale Verwaltung durch EMM (Enterprise Mobility Management) Lösungen
  •  BYOD oder Company Profil möglich
  • Für Geräte mit Android 4.0 oder höher auch als App erhältlich
  • Separate Verschlüsselungsebene unabhängig von Geräteverschlüsselung
  •  Separate Authentifizierung 

Auch bei Microsoft tut sich was. Mit Windows 10 möchte Microsoft ein einheitliches Betriebssystem auf allen Geräten anbieten. In der Vergangenheit unterschieden sich beispielsweise das Surface Tablet und Windows Phone ziemlich stark voneinander. Folgende neuen Business Features wurden für Windows 10 angekündigt:  

  • Ein MDM Stack für alle Gerätetypen
  • Volumen Lizenzen für Apps aus dem Microsoft App Store
  • Trennung von Unternehmens- und privaten Daten auf Betriebssystem-Ebene
  • Updates über eine EMM Lösung
  • Enterprise Data Protection: Schutz vor Datenverlust
  • Nur explizit autorisierte Apps können auf Unternehmensinformationen zugreifen 

Aus IT-Security Sicht ist dies ein Schritt in die richtige Richtung und zeigt deutlich, dass langsam ein Umdenken stattfindet: Der Business Sektor wird von Microsoft und Google (endlich) ernster genommen als in der Vergangenheit.

Drastischer Anstieg bei Ransomware Vorfällen

Ransomware kommt wieder verstärkt auf

 

Einer der derzeit beliebtesten Angriffsarten auf Computernutzer ist die sogenannte Ransomware (engl. ransom = Lösegeld). Hierbei handelt es sich um Schadprogramme, die Daten oder Dateien des Benutzers verschlüsseln, um daraufhin ein Lösegeld zu erpressen. Wie der aktuelle Mc Afee Threat-Report (Mai 2015) zeigt, konnte im 1. Quartal 2015 ein Anstieg von 165% auf ca. 750.000 neue Varianten im Vergleich zum 4. Quartal 2014 (ca. 260.000 neue Varianten) registriert werden.

Die Idee einer solchen Malware ist allerdings nicht neu: Bereits im Jahr 1989 gab es erste „Cryptotrojaner“ die auf Erpressung basierten. Aktuelle Varianten die in freier Wildbahn beobachtet werden sind: CryptoWall (v2 + v3), TorrentLocker (v2) und der derzeit am häufigsten auftretende CTB-Locker. Anders als die Weiterentwicklungen der bereits bekannten Ransomware setzen Derivate aus der Familie CTB-Locker auf neue Techniken und Methoden:

  • Bezahlung des erpressten Betrags in einer virtuellen Währung (z.B. Bitcoins), so dass die Verfolgung des Geldflusses über das herkömmliche Bankensystem nicht funktioniert
  • Platzierung der Command&Control Server innerhalb des Tor-Netzwerks, was eine Verschleierung des Standorts und die langfristige Nutzung der Infrastruktur ermöglicht
  • Wechsel auf Mobilgeräte – mittlerweile ist die erste Ransomware für Android Smartphones aufgetaucht
  • Angriffe auf Massenspeichergeräte – Synolocker greift NAS und Rack-Stationen von Synology über eine Schwachstelle von ungepatchten NAS-Server an und verschlüsselt die Daten daraufhin per Fernzugriff

Zur Verschlüsselung der Benutzerdaten kommen fast ausschließlich Public-Key-Kryptosysteme, das heißt asymmetrische Verschlüsslungsverfahren zum Einsatz. Hierfür wird vom Angreifer zunächst ein Schlüsselpaar (öffentlicher + privater Schlüssel) generiert. Mit Hilfe des öffentlichen Schlüssels ist es danach prinzipiell jedem (auch dem Schadprogramm) möglich Daten für den Inhaber des privaten Schlüssels zu verschlüsseln. Eine Entschlüsselung der Daten kann nur mit Hilfe des privaten Schlüssels erfolgen, der im Falle von bösartigen Attacken jedoch auf Seiten des Angreifers bleibt. 

In einigen wenigen Fällen können die Daten mit Hilfe der Windows-Widerherstellungsoption (sofern diese aktiviert ist) gerettet werden, allerdings gibt es diese Funktion mit Windows 8 nicht mehr. Die meisten neuen Ransomware-Varianten löschen mittlerweile sogar die hierfür benötigten Volumeschattenkopien. Aus diesem Grund können auch Malwareanalysten bei einem Ransomware-Vorfall nur wenig ausrichten, wodurch eine Entschlüsselung der Daten nahezu unmöglich wird.

Die Infektion findet auf dieselbe Weise wie bei anderer Malware statt: Drive-By Downloads, groß angelegte und zudem noch sehr „glaubwürdige“ Phishingkampagnen oder schadhafte E-Mailanhänge, um nur einige zu nennen. Die Angreifer verwenden zudem häufig sehr gute und nur schwer erkennbare Verschleierungsmethoden um z.B. Antispam-Schutzmaßnahmen zu umgehen. Zukünftige Generationen werden mit neuen Techniken und Funktionen ausgestattet sein, so dass auch ganze Webserver infiziert werden können (RansomWeb).

Auch wenn eine Entschlüsselung der Daten nicht möglich ist raten wir unter keinen Umständen das geforderte Lösegeld zu bezahlen. Es kann nicht garantiert werden, dass der Angreifer daraufhin die Daten wiederherstellt. Zudem wird hierdurch eine „Zahlungsbereitschaft“ signalisiert die zu weiteren Erpressungen führen können.

Um sich vor Ransomware zu schützen gilt es folgende Punkte zu beachten:

Warum Smartphones anders ticken

In vielen "Enterprise Mobility Management (EMM)" Projekten macht sich am Anfang Ernüchterung breit. Das liegt häufig daran, dass das "PC-Denken" fest in den Köpfen verankert ist. "Wenn ich auf dem PC einschränken kann welche Software ich installieren möchte muss das doch auf Smartphones und Tablets auch gehen." Diese und ähnliche Aussagen führen dazu das Vorstellung und Realität einer Management Lösung anfangs weit auseinander liegen. Das liegt in erster Linie nicht an den Software Lösungen die eingesetzt werden, sondern hauptsächlich an den Betriebssystemen von Apple, Google und Microsoft. 

·         Bei den verbreiteten Smartphone Betriebssystemen (iOS, Android und Windows Phone) hat der Endbenutzer immer Rechte das zentrale Management auszuhebeln. Profile können entfernt, Apps deinstalliert und Admin-Rechte entzogen werden. Eine EMM Lösung kann aber sicherstellen, dass ein Gerät, welches den Sicherheitsrichtlinien nicht entspricht, keinen Zugriff auf Unternehmensdaten bekommt (Emails, Anhänge, SharePoint usw.). 

·         Das Management der Geräte geschieht über Systeme der Hersteller (Apple=APNS, Google=C2DM). Dies kann allerdings bedeuten das Funktionen vom Hersteller abgeschaltet oder verändert werden können und der Endkunde dagegen nichts tun kann.

·         Für Android gibt es keinen Einheitlichen Mail Client. Dies bedeutet das die Verteilung der E-Mail Konfiguration nur bei bestimmten Herstellern und Modellen funktioniert. Erst durch den Einsatz von kostenpflichtigen E-Mail Clients von Drittherstellern kann dieser Fall behoben werden.

·         Es ist nicht ohne weiteres möglich die Installation von Apps zu verhindern. Über eine EMM Lösung lässt sich feststellen ob eine verbotene App installiert ist. Danach kann das entsprechende Gerät automatisch in Quarantäne verschoben werden bis die ungewollte App entfernt wurde.

 

Jedes Betriebssystem hat seine Besonderheiten und sollte entsprechend ausgesucht werden. Unserer Empfehlung lautet iOS bzw. Samsung Android Geräte einzusetzen, da bei diesen Herstellern am meisten Enterprise Funktionalität zu finden ist. Grundsätzlich gilt: Je heterogener die Umgebung ist, desto aufwändiger ist das Management selbiger.

Herausforderungen bei Internet of Things


Internet of Things, oder kurz: IoT sind embedded Devices, die mit dem Internet verbunden werden können und nur einen bestimmten bzw. speziellen Einsatzzweck besitzen. Unter IoT fällt z.B. der Kühlschrank, Sportarmbänder wie Jawbone oder auch ein Temperatursensor für einen Atomreaktor. Daran erkennt man bereits die unterschiedlichen Einsatzgebiete von IoT bzw. die daraus resultierenden Sicherheitsniveaus.

Das größte Problem ist allerdings die überwältigende Anzahl an Geräten mit denen die Netzwerke "überflutet" werden. Außerdem wird bei der Entwicklung der meisten Geräte nicht auf die Sicherheit geachtet. Dies hat zur Folge, dass sich viele, möglicherweise ungesicherte Geräte in einem Netzwerk befinden. 

Je nachdem, in welcher Branche man sich befindet, ist Abhilfe schwierig: Chuck Benson (Assistant Director for Technology Services der Washington University) sagte auf der RSA Konferenz 2015, dass die Universität die Zunahme an IoT Geräten im Campusnetzwerk gar nicht aufhalten kann. Und Studenten "schleppen alles Mögliche" in die Universität bzw. ins angrenzende und angeschlossene Wohnheim. Google Glass, Quadcopter, TV Geräte… Da sind Tablets und Smartphones noch das gewöhnlichste.

Das Wichtigste für die Universität ist es, Transparenz in diesem Chaos schaffen. Das ist auch ein Ratschlag, den Benson an die anderen Branchen gibt. Schwachstellen müssen identifiziert werden können, damit im Fall der Fälle darauf reagiert werden kann. Und Schwachstellen kann man nur erkennen, wenn man weiß, was in einem Netzwerk vor sich geht. Sowohl welche Gerät angeschlossen sind, als auch welcher Traffic von diesen Geräten ausgeht bzw. welche Aktionen durchgeführt werden. Erst dann können z.B. Anomalien Rückschlüsse auf Sicherheitsprobleme geben.

Diese Ansicht teilt auch Stacy Cannady (Technical Marketing bei Cisco). Er sagt, dass mit Network Access Control (kurz NAC) die kritischen Netzwerksegmente auf unternehmenseigene Geräte überprüft werden können und sollten. Dann ist es möglich, andere, möglicherweise ungesicherte, BYODs zu trennen und die eigene Infrastruktur zu schützen.

Die Frage, ob die Daten oder die Geräte gesichert werden sollen, beantwortet Benson mit "kommt drauf an". Sind Leben in Gefahr - z.B. bei einem Temperatursensor in einem Atomkraftwerk, ist es sicherlich wichtiger, das Gerät zu schützen, als die Daten des Sensors. Ansonsten ist der Konsens: grundsätzlich gilt es, Daten zu schützen. Am meisten hilft hierbei eine Risikoanalyse.

Sicherlich muss die Sicherheit von IoT von Fall zu Fall betrachtet und bewertet werden. Eine starke Authentifizierung oder ein 15 stelliges Passwort für z.B. Infusionspumpen im Krankenhaus sind sicherlich nicht praktikabel.

Eine Möglichkeit, in Zukunft IoT Devices zu sichern, ist das Verwenden von Signaturen der Laufzeitanwendungen. Die Firmware sollte vor unberechtigten Änderungen geschützt werden. Aber dies liegt leider in erster Linie in der Hand des jeweiligen Herstellers. Zusätzlich zur "neuen" Bedrohung durch IoT bleiben die alten Sicherheitsprobleme aber natürlich bestehen. Administratoren müssen sich also nicht nur auf die neue Bedrohungslage durch IoT konzentrieren, sondern weiterhin auf das gesamte Spektrum.

Grundsätzlich helfen Produkte wie SIEM und/oder NAC. Auch ohne Internet of Things bekommt man hierüber mehr Transparenz, Übersicht und Sicherheit.