Security-Tipps:
Praxis: Social Networks im Unternehmen ohne Risiko nutzen

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
01.07.2010

Laut einer Studie der Beratungsgesellschaft Gartner werden 2014 etwa 20 Prozent der Business-Anwender Social-Networking-Services als wichtigstes Kommunikationsinstrument verwenden. Daher ist es notwendig, potenzielle Sicherheitsprobleme auszuschalten, die durch Facebook, Myspace, Twitter und Co. entstehen können. Stonesoft zeigt, wie das zu bewerkstelligen ist.

Die Situation trägt leicht schizophrene Züge: Da werben Unternehmen um junge hochqualifizierte Mitarbeiter. Doch mit der »Generation Web 2.0« halten auch Social-Networking-Services Einzug in der Firma. Denn diese Kollegen wollen auch am Arbeitsplatz nicht auf Facebook oder Twitter verzichten.

Immer mehr Mitarbeiter wollen auch am Arbeitsplatz Social-Media nutzen, und immer mehr Firmen verbieten das schlichtweg.

Die Folge: Aus Angst vor Sicherheitsproblemen, die durch die Nutzung von Social-Networks entstehen könnten, sperren 25 bis 50 Prozent aller Unternehmen solche Services aus. Das verärgert nicht nur die betroffenen Mitarbeiter.

Wer eine solche Kahlschlag-Strategie verfolgt, verschenkt gleichzeitig das große Potenzial, das Social Media für Marketing, Vertrieb und die Unternehmenskommunikation bietet.

Dabei ist es kein Hexenwerk, Scoial-Media-Dienste in die firmeninterne Kommunikationsstruktur einzubinden, ohne dass dadurch Hackern und Cyberkriminellen Tür und Tor geöffnet werden. Stonesoft [1], ein Anbieter von Lösungen für Netzwerksicherheit und Business Continuity, hat zehn Tipps zusammengestellt, mit denen Unternehmen die beiden Punkte Sicherheit und Social Media miteinander vereinbaren können.

Mitarbeiter müssen mitziehen

1. Das Bewusstsein der Mitarbeiter schärfen: Nur wer die Sicherheitsrisiken kennt, kann sein Verhalten in sozialen Netzwerken entsprechend anpassen. Die oberste Pflicht für Unternehmen heißt deshalb: Die eigenen Mitarbeiter über die Risiken des Social Web aufzuklären und ihr Bewusstsein dafür zu schärfen, dass selbst vermeintlich harmlose Informationen Rückschlüsse auf private Lebensumstände oder die Firma zulassen können.

Kontinuierliche Informationen über neue Bedrohungen sowie ein Katalog mit Verhaltensregeln unterstützen die Mitarbeiteraufklärung zusätzlich. Hilfreich ist dabei die Ernennung eines Social-Media-Verantwortlichen im Unternehmen, der als fester Ansprechpartner für die Mitarbeiter zur Verfügung steht.

2. Fest definierte Prozesse aufsetzen: Administratoren müssen sich über die aktuellen Risiken im Web auf dem Laufenden halten. Dafür empfiehlt es sich, feste Prozesse aufzusetzen, die fest in die täglichen Arbeitsabläufe eingebunden sind.

So sollten IT-Verantwortliche beispielsweise regelmäßig die neuesten Sicherheits-Updates herunterladen. Mit diesen vermeintlich banalen Mechanismen können IT-Verantwortliche Netzwerkangriffen vorbeugen.

3. Starkes Regelwerk pflegen: Mit unternehmenseigenen Richtlinien können Netzwerk-Verantwortliche festlegen, wer wann Zugang zu welchen Netzwerkbereichen und Anwendungen erhält. Dadurch lässt sich der Zugang zu kritische Daten steuern, wie beispielsweise Finanzinformationen. Zudem sollte jederzeit nachvollziehbar sein, wer auf welche Daten zugegriffen hat.

Das reduziert die Gefahr, dass Informationen über nicht dafür vorgesehene Kanäle nach außen gelangen. Zudem sollten Unternehmen im eigenen Regelwerk gesetzliche Vorschriften (Compliance) berücksichtigen. Wichtig dabei ist, die Policies aktuell zu halten und an veränderte Bedingungen anzupassen.

Verseuchte Web-Sites aussperren

4. Infizierte Webseiten sperren. Durch einen Klick auf eine infizierte Web-Seite einen Trojaner herunterzuladen, kann selbst Internet-erfahrenen Mitarbeitern passieren. Mithilfe von URL-Filtern blockieren Unternehmen den Zugriff auf bekannte Malware- und Phishing-Webseiten von vornherein, ebenso wie auf jede andere verdächtige Site im Internet.

Über die Pflege so genannter schwarzer und weißer Listen lassen sich die Filter auf dem neuesten Stand halten.

5. Firewalls der nächsten Generation einsetzen: Unternehmen sollten ihre Sicherheitstechnik auf dem neuesten Stand halten. So ermöglichen moderne Firewalls beispielsweise eine umfassende Analyse des gesamten Datenverkehrs.

Intrusion-Protection-Systeme wie etwa die der StoneGate-Reihe von Stonesoft filtern Schadsoftware aus und blockieren Angriffe auf das Firmennetz.

Mit dieser Deep-Traffic-Inspection lässt sich jede Art von Datenverkehr überwachen. Egal, ob es sich um Web-Browsing, Peer-to-Peer-Anwendungen oder auch verschlüsselten Datenverkehr in einem SSL-Tunnel handelt.

Bei dieser SSL-Inspection entschlüsselt die Firewall den SSL-Datenstrom für die Analyse und verschlüsselt ihn wieder, bevor die Daten ins Netzwerk weitergeleitet werden. Dadurch sind Workstations, interne Netze, Hosts und Server gegen Angriffe über SSL-Tunnel geschützt.

Externe User berücksichtigen

6. Zugriff auf Unternehmensanwendungen definieren: Häufig müssen auch mobile Nutzer, Partner oder Lieferanten auf ein Unternehmensnetzwerk von außen zugreifen können. Bei dieser Anwendergruppe lässt sich die Nutzung von Social Media nur sehr eingeschränkt bis gar nicht überwachen.

Umso wichtiger ist es daher, die Rechte für alle Netzwerkzugriffe zentral zu vergeben, beispielsweise mithilfe eines SSL-VPN-Portals. Gleichzeitig erleichtert eine starke Authentifizierung auf Anwenderebene mittels Single- Sign-on die Arbeit des Administrators. Der Anwender kann dadurch mit einem einzigen Login nur auf die Netzwerkbereiche und Dienste zugreifen, für die er die Berechtigung hat.

7. Vor Sicherheitslücken schützen: Für jedes Netzwerk stellen Sicherheitslücken eine besondere Herausforderung dar. Zudem nehmen Angriffe auf Schwachstellen über Social Webs immer mehr zu.

Ein Intrusion Prevention System (IPS), wie etwa StoneGate IPS von Stonesoft, kann als Schutzbarriere dienen. Ein IPS verhindert Angriffe durch Würmer, Viren oder andere Schadsoftware, die gezielt auf bestimmte Sicherheitslücken ausgerichtet sind.

Wird ein Angriff registriert, stoppt das IPS diesen sofort und verhindert so die Ausbreitung von Malware im Netzwerk. Das System ermöglicht zudem das virtuelle Patchen von Servern und Diensten, indem es gefährdete Server absichert, die erst während des nächsten Wartungsfensters gepatcht werden sollen.

Intranet besonders gut absichern

8. Absicherung des Intranets: Das Intranet enthält in jedem Unternehmen hochsensible Informationen. Diese sollten über die Segmentierung des Intranets durch Firewalls vom restlichen internen Netzwerk isoliert werden.

Dadurch ist das Unternehmen in der Lage, einzelne Bereiche, etwa die Finanz- oder Account-Abteilung, vom Rest des Intranets abzuteilen und so ein Übergreifen von Infektionen auf diese Netzwerksegmente zu verhindern.

9. Mobile Endgeräte in die Sicherheitsstrategie einbinden: Viele Anwender nutzen zum Zugriff auf Social-Media-Dienste mobile Geräte, etwa Notebooks oder Smartphones. Mit den gleichen Systemen loggen sie sich aber auch in das Firmennetz ein. Deshalb sollten Administratoren auch die mobilen Geräte in ihre Sicherheitsrichtlinien einbinden.

Gerade von mobilen Geräten aus, wie etwa dem Blackberry, wird getwittert. Deshalb müssen auch Smartphones in die Sicherheitsstrategie einbezogen werden.

Das lässt sich beispielsweise mittels einer Assessment-Funktion bewerkstelligen. Sie überprüft das Gerät, das sich am Corporate Network anmeldet, daraufhin, ob die vorgegebenen Sicherheitseinstellungen aktiviert und Sicherheitsprogramme vorhanden sind.

Die Assessment-Funktion kontrolliert beispielsweise, ob die richtige und aktuelle Firewall installiert ist oder das Betriebssystem sowie die Antivirensoftware auf dem neuesten Stand sind. Ist ein Kriterium nicht erfüllt, wird dem Endgerät automatisch der Zugriff verweigert oder dieser teilweise eingeschränkt. Bei Bedarf lassen sich solche Geräte direkt auf eine Web-Seite mit den nötigen Updates weiterleiten.

10. Zentrales Management nutzen: Über eine zentrale Managementkonsole können Administratoren das gesamte Netzwerk und alle Endgeräte verwalten, überwachen und konfigurieren. Reports zeigen zudem an, wer wann auf welche Daten zugegriffen hat.

Dadurch lassen sich künftige Angriffe besser abwehren und gefährdete Anwendungen schneller schützen. Gleichzeitig ermöglicht eine zentrale Managementkonsole, einheitliche Sicherheitsrichtlinien für das gesamte Unternehmensnetzwerk zu implementieren.

»Die permanente Schulung von Mitarbeitern hilft nur eingeschränkt, um Risiken durch Social Networks zu vermeiden«, sagt Hermann Klein, Country Manager DACH bei Stonesoft.

»Immer wichtiger werden daher netzwerkinterne Schutzmechanismen, die Angriffe rechtzeitig entdecken und unschädlich machen. Mit der richtigen Sicherheitsstrategie aus Mitarbeiteraufklärung und den neuesten Technologien können Firmen jeder Größe von den Vorteilen des Social Networking profitieren.«

[1] http://www.stonesoft.de/

Verwandte Artikel