Mitarbeiter schätzen ihre vielen kleinen digitalen Helferlein und ahnen nicht, welche Sicherheitsrisiken sie dabei in Kauf nehmen. Mit der richtigen Herangehensweise können Unternehmen jedoch externe Anwendungen erlauben und ihre Sicherheitsanforderungen trotzdem einhalten.
Gehärtete Server, Penetrationstests und tagesaktuell gepatchte Anwendungen sollen Sicherheitsrisiken in Unternehmen möglichst reduzieren. Allerdings liegen neben den offiziell installierten und betriebenen Applikationen auf einem büroüblichen Client über 63.000 ausführbare Dateien und diese Zahl steigt täglich an. Was diese digitalen Helfer konkret tun, wissen die Sicherheitsverantwortlichen häufig nicht. Welche Schwierigkeiten mit dieser Intransparenz verbunden sind und wie Application Security zuverlässig gelingt, wird im folgenden Beitrag erläutert.
Die Gefahr lauert im Detail
Die Gefahr, die von handelsüblicher Software auf Clients ausgeht, besteht nicht etwa in Fehlern oder Hacks, sondern meist durch „works as designed“-Verwundbarkeiten. In den letzten Jahren haben die Teams der Operational Services OS) rund 2.000 verschiedene Programme auf eine Vielzahl von Schwachstellen überprüft. In 65 Prozent aller Anwendungen fanden sich Verstöße gegen Datenschutzregularien oder unternehmensinterne Compliance-Vorgaben. Die Experten überprüften beispielsweise eine Treibersoftware für einen 3D-Drucker, die als Cloud-basierte Lösung eingesetzt wurde. Die Mitarbeiter luden sämtliche Informationen über das zu druckende Objekt auf eine Plattform hoch, die daraufhin mit dem Drucker kommunizierte und die Produktion sicherstellte. Erst bei genauer Überprüfung fiel auf, dass die Daten automatisch durch eine Einstellung in der Treibersoftware zusätzlich an den Hersteller der Lösung gesendet wurden. So gelangte dieser also – vorerst unbemerkt – an sensible Informationen über Prototypen und Entwicklungsprojekte. Sogar die Verläufe wurden gespeichert, sodass der gesamte Prozess für den Hersteller des Treibers nachvollziehbar war. Eine Lücke, die keine R&D-Abteilung gerne sieht.
Aber leider auch kein Einzelfall. So gibt es beispielsweise Online-Anbieter für die Kompression von PDF-Dateien. Ein Mitarbeiter lädt dort beispielsweise den gerade fertiggestellten Jahresbericht des Unternehmens hoch, weil er ihn vor dem offiziellen Drucktermin in zwei Wochen schon einmal per E-Mail an interne Stakeholder weiterleiten möchte. Er bekommt eine verkleinerte Datei zurück, die er versenden kann – was allerdings mit dem Input im Hintergrund unbemerkt geschieht, weiß er nicht. In der Praxis gibt es zahlreiche solcher Beispiele und nahezu jedes Unternehmen ist mit dieser unbekannten Gefahr konfrontiert. Doch wie sieht die Lösung aus? Macht es Sinn, alle externen Anwendungen strikt zu verbieten? Zur Mitarbeiterzufriedenheit und Produktivität trägt diese Einstellung eher nicht bei. Es gilt also, einen Weg zu finden, um Applikationen externer Hersteller einsetzen zu können und dennoch die gesetzlichen und unternehmensinternen Anforderungen zu erfüllen.
Ein Blick hinter die Kulissen
Von den 65 Prozent aller Anwendungen, die Verstöße zeigten, musste das Team der OS nur 4 Prozent letztlich ablehnen und ihren Gebrauch unterbinden. In allen weiteren Fällen gab es andere Lösungen, um einerseits von den Möglichkeiten der Applikationen zu profitieren und andererseits keine zusätzlichen Security-Risiken einzugehen. Immerhin verlangen die DSGVO, das IT-Sicherheitsgesetz und weitere Regularien von Unternehmen, technische und organisatorische IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ umzusetzen. Das ist in der Praxis nicht einfach, denn eine genaue Definition dazu gibt es nicht. Wichtig ist es also, möglichst die aktuellsten Technologien einzusetzen und deren sichere Nutzung zu gewährleisten.
Der Schlüssel bei Application Security liegt in der Anpassung externer Lösungen an den Stellen, an denen sie im ursprünglichen Zustand noch nicht allen Anforderungen entsprechen. Dies gelingt beispielsweise durch die Einrichtung spezieller Firewall-Regeln oder die Blockade bestimmter Kommunikationswege auf dem jeweiligen Client oder zentral. Darüber hinaus können Experten die Funktionen in Config-Dateien anpassen oder gar Veränderungen im Code vornehmen. Manchmal finden sich auch in den Tiefen der Systemeinstellungen oder Registry-Funktionen bestimmte Details, die Spezialisten entsprechend verändern können. Sollte all das nicht möglich sein, setzt das OS-Team sich mit dem jeweiligen Hersteller der Anwendung in Verbindung und klärt dort die Änderungsmöglichkeiten mittels Patches oder individueller Anpassungen.
Alle müssen an einem Strang ziehen
Application Security ist ein Thema, das sämtliche Unternehmensbereiche auf allen Hierarchie-Ebenen betrifft. Der CISO muss übergreifend Awareness für die Problematik und mögliche Lösungsansätze schaffen sowie entsprechende Maßnahmen anweisen. Die IT braucht fachliche Schulungen und die Fähigkeiten, neue Anwendungen und deren potenzielle Risiken einschätzen und bewerten zu können. In einigen Fällen ist hier die Zusammenarbeit mit externen Beratern nützlich, die bereits viele Anwendungen geprüft haben und die IT-Mitarbeiter von Recherche- und Anpassungsaufwänden entlasten können. Und auch die Mitarbeiter in den Fachabteilungen sind gefragt: Sie müssen in Sachen Application Security geschult werden und sollten selbst mit darauf achten, welche externen Lösungen sie für welche Zwecke einsetzen beziehungsweise für welche Aufgaben es noch sicherere Alternativen gibt. Das reine Verbot von externen Lösungen führt nur zu Frust und Demotivation im beruflichen Alltag – besser gelingt die Integration der Mitarbeiter in die Thematik Application Security, die Nutzbarmachung kritischer Anwendungen sowie die Bereitstellung adäquater Alternativen.
Fazit
Neben der eigenen Infrastruktur und den Standard-Images sollten Unternehmen gezielt darauf achten, welche externen Anwendungen von Mitarbeitern – teilweise auch ohne Abstimmung mit der IT – eingesetzt werden. Deren Sicherheit können Experten gewährleisten, indem sie die Applikationen intensiv analysieren und ungewollte Funktionen abschalten oder so anpassen, dass sie keine Schwierigkeiten mehr darstellen. Auf diese Weise gewährleisten sie, dass keine sensiblen Informationen das Unternehmen ungewollt verlassen und schlimmstenfalls in falsche Hände geraten, wo sie Imageschäden oder finanzielle Verluste verursachen. Mit der richtigen Herangehensweise können Unternehmen und ihre Mitarbeiter von den Vorteilen externer Applikationen profitieren und trotzdem sämtliche Sicherheitsanforderungen einhalten.