Für alle Inhaber, Entscheider und Führungskräfte aus mittelständischen Unternehmen
Wissen & Services für Unternehmen
Whitepaper www.nextbusiness-it.de
Lücken schließen – Endgeräte sichern – Richtlinien vorgeben
Ziehen Sie eine digitale Schutzmauer um Ihr Unternehmen!
© G+F Verlags- und Beratungs- GmbH
Classic Powered by:
2
Wissen & Services für Unternehmen
Inhalt
Warum sich ein IT-Sicherheitskonzept in jedem Fall empfiehlt
3
Bedrohungen auf einen Blick 3 Verstöße gegen die IT-Compliance sind kein Kavaliersdelikt
4
Vorsorge ist noch immer der beste Schutz
4
Darum sind Firewall und Virenscanner allein nicht länger „up to date“
5
McAfee Endpoint Protection-Suites im Überblick
5
Ganzheitlicher Schutz macht IT-Sicherheit planbarer
5
McAfee Endpoint Protection-Suites: Top-Features 6 Sicherheitsverwaltung geht auch einfach
6
Make or buy, SaaS oder „klassisches“ Produkt?
7
Statement Thomas Maxeiner, Enterprise Solution Architects EMEA, McAfee GmbH Endgerätesicherheit ist mehr als nur eine Standarddisziplin
7
Impressum 8
Ziehen Sie eine digitale Schutzmauer um Ihr Unternehmen!
Whitepaper – Classic
G
eschäftsrelevante Daten bilden den Grundstock jedes Unternehmens. Umso wichtiger ist es, dieses Wissenskapital umfassend zu schützen. Und zwar abteilungs- bzw. bereichsübergreifend, wie zum Beispiel bei Finanztransaktionen in der Buchhaltung, im Falle von Mitarbeiterprofilen in der Personalabteilung, in Form von Kundendaten in Marketing, Vertrieb und beim Service. Oder auch beim tagtäglichen Austausch von Informationen innerhalb und außerhalb des Firmennetzes. Arbeitgebern und Mitarbeitern sei geraten, sich in Belangen schützenswerter Daten die folgenden essenziellen Fragen zu stellen: Sind die Quellen dieser Informationen geschützt – seien es Dokumente, Bilder, Videos oder Datenbanken? Sind diese Daten auch dann „sicher“, wenn sie über das Netzwerk z. B. an Kollegen, Geschäftsoder Finanzpartner übertragen werden? Ist man sich darüber bewusst, wie teuer es für das Unternehmen werden kann, wenn zu wenig bzw. nichts in Sachen IT-Sicherheit unternommen wird? Tritt der Schadensfall ein – ist man sich der denkbaren persönlichen Konsequenzen und außerdem auch der möglichen Auswirkungen auf das Image des Unternehmens im Klaren? Dass beim Zugriff auf Geschäftsdaten mittlerweile auch mobile Endgeräte eine bedeutende Rolle spielen, dürfte für viele Unternehmen eine zusätzliche Herausforderung sein.
Warum sich ein IT-Sicherheitskonzept in jedem Fall empfiehlt Nach den Erfahrungen, die auch der IT-Sicherheitsspezialist McAfee gemacht hat, sind selbst für den Informatiker die Risiken, denen sich insbesondere auch kleine bis mittelständische Unternehmen aktuell ausgesetzt sehen, immer schwerer überschau-, geschweige denn kalku-
© G+F Verlags- und Beratungs- GmbH
lierbar. Ausgeklügelt sind inzwischen die Methoden der Hacker und Cyberkriminellen, die beim Versuch, auf fremde Rechner zu gelangen, nach neuen Sicherheitslücken und Applikationsschwächen suchen. Ein Blick in die Praxis: Schon beim Öffnen harmlos erscheinender E-Mail-Anhänge oder beim Herunterladen infizierter Bildschirmschoner besteht die Möglichkeit, sich zum Beispiel sogenannte „Rootkits“ mit einzufangen. Diese Programme sind in der Lage, die eigene Existenz zu verschleiern und somit vom Anwender unentdeckt Daten auszuspionieren oder einzelne Computer bis hin zu ganzen Netzwerken zu kontrollieren. Oder aber das Beispiel Trojaner: schädliche Anwendungen, die sich – beispielsweise nach dem Besuch einer manipulierten Webseite – im System einnisten und dort Informationen abziehen und/oder Viren verbreiten. Anstatt die Gefahrenliste beliebig fortzusetzen, seien im Folgenden einige wichtige exemplarische Punkte genannt. Diese erlauben es, sich zumindest einen ersten Überblick über bestehende und neue „Unheilsbringer“ aus dem Internet zu verschaffen:
Bedrohungen auf einen Blick
1
Über 320.000 neue Schadprogramme (doppelt so viele wie bei der vorherigen Datenerhebung) Insgesamt 74,7 Millionen URLs, die der Verteilung von Malware verdächtig sind (Anstieg um 16 %) Über eine Million neue Exemplare digitaler Malware, die mit Legitimationszertifikaten signiert ist (Anstieg um 50 %) Rund 18.000 auf Android basierende Exemplare von Malware2 (Anstieg um 35 %) Über fünf Billionen E-Mails mit Spam-Botschaften (das sind rund 70 Prozent des globalen E-Mail-Volumens) 1 Quelle: McAfee Threats Report Q2/2013. Jedes Quartal verfolgt McAfee Labs mit seinem Team die komplette Bandbreite an Gefahren in Echtzeit, entdeckt Angriffspunkte von Applikationen, analysiert und korreliert Risiken. 2 Im mobilen Kontext sind das z. B. Business Apps, die als Spyware persönliche Informationen sammeln und diese auf den Server des Angreifers transferieren, oder auch als nützliche Anwendungen getarnte schädliche Applikationen.
3
4
Wissen & Services für Unternehmen
Verstöße gegen die IT-Compliance sind kein Kavaliersdelikt
Vorsorge ist noch immer der beste Schutz
Halten wir kurz inne: „Compliance“ meint im Geschäftskontext die Summe aller Maßnahmen, die das regelund gesetzeskonforme Verhalten eines Unternehmens sicherstellen sollen. Das schließt insbesondere auch den Umgang mit der IT ein.
Sicherheitsthemen und -projekte zu forcieren, die Systeme entsprechend anzupassen und zu innovieren, sich darüber hinaus auch noch über die Gesetzgebung auf dem Laufenden zu halten, erfordert Ressourcen, die gerade in kleinen und mittleren Unternehmen, wenn überhaupt, nur rudimentär zugestanden werden können. Entsprechend lückenhaft ist hier das Wissen der Angestellten über die Gefahren und wie man im Sinne des Unternehmens damit umgeht.3 Wie also schafft es das Unternehmen, den Spagat zwischen Ansprüchen der Mitarbeiter, deren Sensibilisierung und Schulung, Anforderungen von Kunden, Geschäftspartnern und „Vater Staat“ sowie der technologischen Möglichkeiten zu meistern?
Angenommen, es tritt der Fall der Fälle ein und ein Mitarbeiter lässt das im Dienst genutzte Handy im Zugabteil, am Flughafen oder im Taxi liegen. Wird hier vonseiten des Arbeitgebers kein Sicherheitsplan vorgegeben und dieser auch explizit an die Mitarbeiter kommuniziert, öffnet das Findern mit hinreichend krimineller Energie Tür und Tor, um auf das Firmennetz zuzugreifen und – im schlimmsten Fall – mit gespeicherten Dokumenten, Adressen oder Kundendaten Schindluder zu treiben. Dann ist nicht nur der Aufschrei groß, sondern der Inhaber oder Geschäftsführer haftet außerdem gemäß Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz: KonTraG. Bisweilen auch mit dem eigenen Vermögen.
McAfee empfiehlt: Aktives Vorbeugen ist noch immer der beste Schutz! Entsprechende Vorkehrung schließt 3E rgebnis einer Umfrage unter 1.000 Angestellten in deutschen Unternehmen zwischen 25 und 100 Mitarbeiter, die McAfee im Frühjahr 2013 in Auftrag gegeben hat.
Brennpunkt IT-Sicherheit: Optimierung verspricht zum Beispiel der Komplettüberblick in Echtzeit über ein einziges Dashboard
Ziehen Sie eine digitale Schutzmauer um Ihr Unternehmen!
Whitepaper – Classic
unbedingt auch das zur-Verfügung-stellen von IT-Lösungen ein, die Sicherheit vor den zuvor genannten Bedrohungen überhaupt erst ermöglichen.
Darum sind Firewall und Virenscanner allein nicht länger „up to date“ Zentrale Firewall plus Antiviren-Programm – so lautet in vielen Unternehmen immer noch die Verteidigungsstrategie. Durch die heutige Sicherheitsbrille betrachtet, offenbart dieser klassische Ansatz so manche Schwachstellen und ist daher nicht länger ausreichend, um umfassende Sicherheit in Bezug auf Missbrauch personenbezogener Daten, Verlust geschäftsrelevanten Know-hows – unter Umständen hin zur Konkurrenz, Ausfallzeiten oder stockenden Workflow,
sicherzustellen. Heißt im Klartext: Bricht Ihre Schutzmauer am Übergang zwischen Internet und Firmennetz, ist das gesamte Unternehmensnetzwerk weitgehend schutzlos. Hinzu kommt, dass diese Art von Schutz immer schwieriger umzusetzen ist: Denkt man alleine an die Smartphones, Laptops oder Tablets, die von den Mitarbeitern immer häufiger in das Firmengebäude und wieder hinausgebracht werden. Steht dann der IT-Verantwortliche jeweils parat, um das Gerät zu „filzen“? Wohl kaum. Denken wir noch etwas weiter, so können sich Unternehmenslenker angesichts der beispiellosen Zunahme hoch entwickelter, hartnäckiger Bedrohungen nicht auf Lösungen verlassen, die für den Endgeräteschutz lediglich die Signaturanalyse einsetzen. Für gewöhnlich vergehen von der Erkennung einer Bedrohung bis Signaturausbringung auf Endgeräten 24 bis 72 Stunden. Genügend Zeit, in denen Daten und Systeme ungeschützt und damit potenziell gefährdet sind.
Einbußen in Sachen Image und Vertrauen
McAfee Endpoint Protection-Suites im Überblick Endpoint Protection
Endpoint Protection Advanced
Complete Endpoint Protection Business
✔
✔
✔
Schutz für Endgeräte Viren- & Spyware-Schutz für Windows, Unix, Mac & Linux Viren- & Spyware-Schutz für Storage, Server & SharePoint
✔
Hardwareunterstützte Sicherheit Desktop-Firewall
✔ ✔
✔
✔
✔
✔
✔
✔
✔
Sicheres Surfen & Suchen inkl. Web-Filtering
✔
✔
✔
Schutz vor Malware für E-Mails
✔
✔
✔
✔
✔
✔
Eindringungsschutz für Desktops (Host IPS) Anwendungsblockierung Schutz für Web & E-Mail
Schutz für Daten Kontrolle von Wechselspeichermedien Verschlüsselung von Dateien, Ordnern & ganzen Datenträgern
✔
Management & Schutz für mobile Geräte Mobile Device Management
✔
Management & Bereitstellung
© G+F Verlags- und Beratungs- GmbH
Management-Konsole (McAfee ePO)
✔
✔
✔
Real-Time for McAfee ePO
✔
✔
✔
5
6
Wissen & Services für Unternehmen
Ganzheitlicher Schutz macht IT-Sicherheit planbarer
Sicherheitsverwaltung geht auch einfach
Entlastung verspricht eine IT-Lösung zum vollständigen Schutz des Firmennetzwerks, angeboten von einem vertrauenswürdigen und professionellen Security-Spezialisten. Entsprechende Sicherheitssoftware wie McAfee Endpoint Protection bündelt, in Form einer Suite, zahlreiche Schutzmodule, verhindert dadurch das Eindringen von Schadsoftware, unterbindet die fremde Kontrolle über Firmenrechner und schützt die dort gespeicherten Informationen. Die wichtigsten Vorteile der McAfee Business-Lösungen zur Sicherung aller Endpunkte im Unternehmen finden Sie nachfolgend.
Unternehmen des Mittelstands benötigen einfach zu installierende und problemlos zu verwaltende Sicherheitslösungen – ohne dass dabei auf die nötige Funktionalität verzichtet werden muss. Hier kommen zum Beispiel die McAfee Endpoint Protection-Lösungen ins Spiel, bei denen sämtliche „Schutzwerkzeuge“ über eine einzige zentrale Software verwaltet werden. McAfee ePolicy Orchestrator®, kurz: McAfee ePO™, sorgt, im Vergleich zu herkömmlichen Einzellösungen, für eine höhere Vereinfachung der Installation und Wartung von Schutzmechanismen und zugehörigen Regeln sowie Richtlinien. Zahlen bestätigen: Mithilfe dieses optimierten Ansatzes lassen sich die Verwaltungskosten für IT-Sicherheit und Compliance im Unternehmen um bis zu mehr als 60 Prozent senken.4
McAfee Endpoint Protection-Suites:
Top-Features
Mehrstufiger, schneller Schutz zur Abwehr von Malware, Verschleierungsangriffen usw. auf Mobilgeräte, Daten, Internet und E-Mail. Zuzüglich hostbasierte Firewall. Schutz aller Geräte – also PC, Mac, Linux-System, Server, Smartphones oder Tablets. Echtzeit-Status-quo über eine zentrale Konsole. Eine Reaktion ist dadurch wesentlich schneller möglich im Vergleich zu Lösungen, die einzeln und separat betrachtet bzw. administriert werden. Präventive Verschlüsselung zum Schutz vertraulicher Daten auf Rechnern und Macs, Datei-Servern, Dateien und Ordnern sowie Wechselspeichermedien. Host-Web-Filterung. Überwacht das Surfen von Anwendern und Gruppen mit und ohne Verbindung zum Unternehmensnetzwerk. Unabhängigkeit vom Betriebssystem. „Deep Defender“ bietet Sicherheit nahe der Hardware und schützt vor versteckter Malware, die klassische Antivirus-Lösungen nicht erkennen. Frühwarnsystem. Mögliche Schwächen in der Sicherheitsstruktur können frühzeitig erkannt werden. Volle Konzentration auf den Geschäftsbetrieb, da weniger Zeit für den Schutz des Unternehmens verbracht werden muss.
4 Quelle: MSI International Umfrage unter 488 mittelständischen und großen Unternehmen
Ziehen Sie eine digitale Schutzmauer um Ihr Unternehmen!
Whitepaper – Classic
Make or buy, SaaS oder „klassisches“ Produkt? Eine der Hauptanforderungen, mit der sich sowohl Unternehmen als auch deren IT-Dienstleister auseinandersetzen müssen, wenn es um Sicherheitsvorkehrungen seitens der IT geht, ist die Entscheidung, ob die Lösung On-Premise, also traditionell als Vor-Ort-Infrastruktur, implementiert oder aber in die Cloud ausgelagert und als Dienstleistung, also Security-as-a-Service (SaaS), bereitgestellt werden soll. Essenzielle Anforderungen, die auf dem Weg zur Entscheidungsfindung unter anderem in Überlegungen berücksichtigt werden sollten, können zum Beispiel sein: Inwiefern lassen sich die innerbetrieblichen Infrastrukturen schlanker gestalten? Wie intuitiv ist die Bedienbarkeit bzw. wie selbsterklärend ist die Benutzeroberfläche? Ist der „grenzenlose“ Zugriff – auch mobil – auf Informationen sichergestellt?
Inwieweit lassen sich Kosten reduzieren, indem z. B. keine internen Spezialisten für Sicherheitsaspekte aufgebaut bzw. benötigt werden? Wie steht es um die flexible Erweiterbarkeit von Sicherheitsanwendungen? Am Ende sind Sie es, der unter Berücksichtigung aller vorgenannten Aspekte und in gemeinsamer Absprache mit Ihrem Sicherheitspartner entscheidet, ob Sie die modernisierte Lösung selbst betreiben oder diese in die Cloud auslagern möchten. Für weiterführende Informationen zu SaaS nutzen Sie bitte das McAfee Whitepaper „KMU profitieren von ITSicherheitslösungen aus der Cloud“. Download unter http://mcafee.nextbusiness-it.de.
McAfee GmbH Ohmstraße 1 D-85716 Unterschleißheim Tel.: ++49 (0) 89 3707 0 Fax: ++49 (0) 89 3707 1199 E-Mail: info_deutschland@mcafee.com Internet: www.mcafee.com/de
Endgerätesicherheit ist mehr als nur eine Standarddisziplin „Ein wesentlicher Grund dafür liegt in der steigenden Vielfalt der im Unternehmen eingesetzten Endgeräte. Ein anderer sind die immer intelligenteren Angriffe von außen. Die McAfee Endpoint Security-Suites bieten eine komplette Sicherheitstechnologie über alle Geräte, Daten und Applikationen hinweg. Sie reduzieren die Komplexität und ermöglichen dennoch den mehrstufigen Schutz aller Schnittstellen. Die Produktivität ‚inhouse’ wird nicht beeinträchtigt.“ Thomas Maxeiner, Enterprise Solution Architects EMEA, McAfee GmbH
© G+F Verlags- und Beratungs- GmbH
7
nextbusiness-IT bietet mehr!
Downloads und Videos, SocialMedia-Updates, Unternehmensprofile sowie Kontakt möglichkeiten zu McAfee finden Sie bei uns im Internet.
http://mcafee.nextbusiness-it.de
Impressum Verlagsanschrift: G+F Verlags- und Beratungs- GmbH, Kapellenstraße 46, 76596 Forbach, Telefon: (0 72 20) 2 13, Telefax: (0 72 20) 2 15, info@gf-vb.de, www.gf-vb.de; Geschäftsführer: Andreas R. Fischer Redaktion: Jürgen Bürkel v.i.S.d.P., Guntram Stadelmann, Alexander Buggisch Leitung Key Account Management Steffen Guschmann Leitung Strategisches Marketing: Heiko Fischer Produktion: Strattack GmbH
Bildnachweis: Alle Bildrechte liegen bei den jeweiligen Eigentümern Rechtshinweis: Dieses Whitepaper einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für die ganze oder teilweise Vervielfältigung, Bearbeitung, Übersetzung, Mikroverfilmung sowie die Einspeicherung oder Verarbeitung in elektronische Medien, elektronische Systeme oder elektronische
Netzwerke. Alle Angaben, trotz sorgfältiger redaktioneller Bearbeitung, ohne Gewähr. Fremdbeiträge geben nicht unbedingt die Meinung der Redaktion wieder. Wir weisen darauf hin, dass hier verwendete Soft- und Hardwarebezeich nungen und Markennamen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. © G+F Verlags- und Beratungs- GmbH