"Social-Media-Nutzung in der Arbeit muss sicher und vom Aufwand machbar sein.", so Achim Kraus.
Dass soziale Netzwerke immer weiter in unserem Berufsalltag genutzt werden und dies meist privat, ist eine entscheidende Erkenntnis des aktuellen Reports von Palo Alto Networks. Warum dies so ist und wie sich Unternehmen vor den Risiken, die mit einer Social-Media-Nutzung einhergehen, schützen können, erklärt Achim Kraus, Senior Consultant Strategic Accounts von Palo Alto Networks, in diesem Interview.
Herr Kraus, Sie untersuchen regelmäßig weltweit Unternehmen und die Applikationen, die diese nutzen – so auch in Ihrem letzten Report. Was war dessen Haupterkenntnis?
Die vielleicht spannendste Erkenntnis: Mitarbeiter engagieren sich weltweit aktiver in sozialen Netzwerken und das auch am Arbeitsplatz. Facebook Apps, Social Plugins und Postings werden dreimal so häufig genutzt wie vor ca. einem Jahr. Im November 2011 nahmen Social-Networking-Anwendungen 25 Prozent der gesamten Bandbreite ein – das ist ein Plus von 20 Prozent zum Oktober 2010.
Ist Social Media am deutschen Arbeitsplatz Ihrer Meinung nach angekommen?
Ja, besonders Facebook und Twitter werden in deutschen Unternehmensnetzwerken gern genutzt. Unternehmen müssen entscheiden, wie sie diese Technologien sicher auf ihren Netzwerken zur Verfügung stellen und so die Produktionsvorteile bestmöglich ausschöpfen. Sie müssen dabei gleichzeitig ihre Unternehmensnetzwerke und die Nutzer vor allen Bedrohungen schützen. Viele Administratoren versuchen, das Risiko durch generelles Blocken des Zugriffs auf Anwendungsplattformen zu minimieren, doch das ist meistens nicht ratsam. Es zeigt sich im Report, dass Mitarbeiter neue und kreative Wege für den Zugang zu Facebook, Skype und Co finden und dafür schwer kontrollierbare Technologien nutzen. Das gilt auch für Browser-basiertes File Sharing.
Wie würden Sie File-Sharing-Anwendungen beschreiben? Werden diese von deutschen Mitarbeitern in der Arbeit genutzt?
File-Sharing-Anwendungen ermöglichen, Dateien mit anderen zu teilen durch den gemeinsamen Zugriff darauf. Es meint also das direkte Weitergeben von Dateien zwischen Benutzern des Internets unter Verwendung eines File-Sharing-Netzwerks. Dabei befinden sich die Dateien normalerweise auf den Computern der einzelnen Teilnehmer oder dedizierten Servern, von wo sie an interessierte Nutzer verteilt werden, das heißt hoch- und runtergeladen werden. In Deutschland finden sich auf 97 Prozent der Unternehmensnetzwerke Browser-basierte File-Sharing-Anwendungen wie Rapidshare, Dropbox und Megaupload. Insgesamt haben wir 65 unterschiedliche Browser-basierte Varianten identifiziert.
Was sind das für Risiken für Unternehmen und Anwender?
Alle geschäftlichen oder persönlichen Anwendungen haben ein gewisses Maß an Geschäfts- und Sicherheitsrisiken mit Netzwerk-Ausfallzeiten, Compliance-Verstößen und erhöhten Betriebskosten. Mögliche Geschäftsrisiken beinhalten Verstöße gegen das Urheberrecht, versehentliche Verlust von sensiblen Daten oder das unerwünschte Teilen von Daten. Browser-basierte Filesharing-Anwendungen haben direkte Auswirkungen auf die Organisation und deren Exposition auf Risiken. Die Möglichkeit, Dateien von nahezu jeder Größe schnell und einfach zu übertragen, macht diese Anwendungen attraktiv für die Nutzer, doch leider auch Kriminelle. Sie nutzen die besonderen Merkmale von File-Sharing-Anwendungen – sie sind kostenlos und anonym, einfach und durch besondere Features leicht zu kontrollieren. Jene Applikationen basieren zudem auf Ausweichtechniken, welche die Sicherheitssoftware in einem Unternehmen oft nicht erkennt.
Wie können sich Firmen schützen?
Unternehmen sollten wissen, dass sich die Art des Datenverkehrs in Unternehmensnetzwerken immer mehr ändert. Web-Applikationen, die auf den Standard-Port für HTTP Web Browsing TCP Port 80 zurückgreifen, werden weniger genutzt. Das heißt nicht, dass der Web-Traffic zurückgeht, sondern dass sich der Anteil von HTTP Port 80 am Gesamtverkehr reduziert. Ein Sicherheitskonzept, dass sich nur auf den Bereich Web-Traffic konzentriert, kann demzufolge nur einen kleinen Teil des Datenverkehrs eines Unternehmens schützen. Nicht-webbasierter Datenverkehr ist wesentlich wichtiger als die meisten Unternehmen glauben. Sie sollten wissen, was in ihrem Unternehmensnetzwerk passiert, um daraus entsprechende Vorgehensweisen und Richtlinien abzuleiten. Viele Unternehmen haben eine komplette Sicherheitsstrategie basierend auf Technologien wie Firewall, Intrusion Prevention, Anti-Malware etc., doch die ursprüngliche Konzeptionierung und Anschaffung liegt oft Jahre zurück. Inzwischen hat sich aber die Technologie der Angreifer enorm weiterentwickelt, was ein Überdenken erforderlich macht.
Profitieren davon nur große oder auch mittelständischen Unternehmen?
Beide können profitieren, lediglich die Zuständigkeiten und Sicherheitsrichtlinien im Unternehmen sind unterschiedlich. Die Angriffsfläche und der Sicherheitsanspruch variieren nicht zwingend nach Größe eines Unternehmens, sondern richtet sich beispielsweise auch nach Geschäftsbereich und zu schätzenden Gütern. Je nach Unternehmensgröße oder –form sind eventuell unterschiedliche Ausbaustufen von Sicherheitslösungen erforderlich. Funktion, Effektivität und Betrieb einer Sicherheitslösung sollten aus technischen und betriebswirtschaftlichen Gründen jedoch keinen Kompromiss eingehen müssen. Aus diesem Grund bieten wir die gleiche Funktion in kostengünstigen Lösungen für kleine Unternehmen oder Niederlassungen bis hin zu sehr leistungsfähigen Maschinen für große Unternehmen und dem Einsatz im Datacenter an. Sicherheitsanspruch und die dadurch umsetzbare Sicherheits-Richtlinie bleiben gleich.
Wie viel Aufwand muss man für Administration einsetzen? Sicherheit scheint in den meisten Firmen ja noch ein Luxusthema zu sein, oder wie sehen Sie das?
Social-Media-Nutzung in der Arbeit muss sicher und vom Aufwand machbar sein. Ich rate immer, keinen Kompromiss zwischen Sicherheit, Leistungsfähigkeit und Administrierbarkeit einzugehen. Das gelingt nur, wenn eine neue Technologie wie die Next Generation Firewall zur Erkennung und Abwehr von aktuellen Bedrohungen geprüft und eingesetzt wird. So erreicht man Transparenz und positive Kontrolle durch eine vereinheitlichte Security Policy im Bezug auf Anwendungen, Benutzer und Inhalte in direktem Zusammenhang – anstatt nur über eine der drei Kriterien zu entscheiden.
Herr Kraus, vielen Dank für dieses Gespräch.