Eine nie gekannte Anzahl von Viren, von Communities organisierte Denial-of-Service-Angriffe, aggressive Botnets wie Stuxnet oder Conficker - 2010 war in puncto IT-Sicherheit alles andere als ein langweiliges Jahr. Und es sieht nicht so aus, als würde es in diesem Jahr weniger gefährlich werden. Doch welche Trends sind es genau, auf die sich IT-Profis vorbereiten müssen?
Bildergalerie: Sicherheits-Websites
Secunia
Seucnia ist eine der führenden Seiten, wenn es um die Erforschung von IT-Schwachstellen geht.
milw0rm
milw0rm gilt als DIE Website rund um Exploits und Sicherheitsmeldungen. Es existieren zahlreiche Exploit-Baukästen, die neue Informaitonen direkt von milw0rm laden.
Bugtraq
Die ehemalige Mailing-Liste Bugtraq gehört mitterweile komplett zu Symantec und ist in SecurityFocus integriert.
National Vulnerability Database
Die NVD dient der zentralen Sammulung und der Verwaltung von Sicherheitsmeldungen. Zwar handelt es sich um eine nationale Datenbank der USA, dennoch gilt sie international als Anlaufstelle.
Common Vulnerabilities and Exposures
Das CVE-System zählt gemeldete Sicherheitslücken und identifiziert einzelne Lücken mit einmaligen IDs.
SANS
Das SANS Institut gilt als eine der zentralen Anlaufstellen, wenn es um Themen rund um Systemadministration, Auditing, Netzwerk und Sicherheit geht.....
SANS Internet Storm Center
... außerdem stellt das SANS das ISC zur verfügung, das über entdeckte Schwachstellen informiert.
Packet Storm
Die Seite von Packet Storm informiert über aktuelle Sicherheitslücken und neue Tools.
Juniper J-Security
Eine weitere Anlaufstelle für Sicherheitsnachrichten,betrieben von Juniper.
Metasploit
Metasploit ist ein Framework, das bekannte Lücken integrieren kann um vollautomatische Angriffspakete zu erstellen.
IT-Consumerization: wenn die Nutzer eigene Hardware mitbringen
Einer der größten Trends des vergangenes Jahres, die sogenannte IT-Consumerization, wird sich auch 2011 und in den folgenden Jahren fortsetzen. Der Ausdruck bezeichnet den Vorgang, dass der Nutzer eigene IT-Produkte ins Unternehmen einbringen und damit auf die Firmenressourcen zugreifen will. Klassisches Beispiel ist etwa das iPhone, mit dem der Mitarbeiter auf die E-Mails zugreift - ein Trend, der etwa durch Tablets wie das iPad weiter angetrieben wird.
Egal ob iOS oder Android - die Systeme lassen sich meist nur mit zusätzlichen Programmen oder Plugins verwalten. Auch wenn beispielsweise Apple deutlich an der Integration für Unternehmen gearbeitet hat, so fehlen doch noch immer wichtige Features wie etwa ein zentrales Software- und Patch-Management.
Ein weiteres Problem: Kommt es zu einem Zwischenfall, kann man private Notebooks, Smartphones oder Tablets nicht ohne Weiteres sicherstellen, um etwa forensische Untersuchungen durchzuführen.
Laut Rashmi Tarbatt, Sprecherin von RSA, lassen sich diese Probleme zwar lösen, sie verlangen allerdings verschiedene Vorgehensweisen. Das Wichtigste sind demnach eine passende Richtlinien, sprich eine genaue Einschränkung und Kontrolle, welche Nutzer auf welche Firmenressourcen zugreifen dürfen. Gemeinsam mit dem Datenschutzbeauftragten und dem Betriebsrat sollte man außerdem vor dem Einsatz der privaten Geräte klären, welchen Zugriff die Firma auf die Geräte hat, wenn ein berechtigter Verdacht vorliegt.
Bildergalerie: Tablets
Platz 1: Samsung Galaxy Tab 2 10.1
Mit dem Galaxy Tab 2 10.1 hat Samsung eine nur in wenigen Punkten veränderte Variante des überholten Galaxy Tab auf den Markt gebracht. Es basiert auf dem Galaxy Tab 10.1N und wird statt mit Honeycomb mit Android 4 ausgeliefert. Dargestellt wird das System auf einem 10,1 Zoll durchmessenden Touchscreen mit einer Auflösung von bis zu 1280 x 800 Punkten, womit das Gerät deutlich hinter der zeitgenössischen Konkurrenz zurückbleibt. Die Daten zu Leuchtstärke und Kontrast sind ebenfalls höchstens durchschnittlich zu nennen. Auch der verbaute Dual-Core-Prozessor, ein Cortex A9, bleibt hinter der mit TEGRA 3 ausgestatteten Konkurrenz deutlich zurück. Dafür wurde einer der größten Kritikpunkte am Vorgänger behoben: Der Speicher kann nun durch das Einlegen einer Speicherkarte erweitert werden, womit der Nutzer deutlich mehr Freiheiten als beim Konkurrenten Apple hat. Abgesehen hiervon ist allerdings nur ein Kopfhörerausgang sowie ein Dockingport vorhanden, der per Adapter an einen USB-Port oder ein Netzteil angeschlossen werden kann. Bei den drahtlosen Verbindungen bietet das Galaxy Tab 2 Standardkost: WiFi, Bluetooth, und optional ein 3G-Modul. Gegenüber dem Vorgänger sogar zurückgebaut wurde allerdings die Frontkamera, deren Auflösung mehr als halbiert wurde und die nun mit 640 x 480 Punkten auflöst. Auch der Blitz der weiter hochauflösenden Kamera an der Geräterückseite wurde entfernt.
Platz 2: Huawei MediaPad 10 FHD
Auf dem Mobile World Congress 2012 in Barcelona hat Huawei sein erstes 10-Zoll-Tablet mit Vierkern-CPU vorgestellt. Erst seit November ist es aber im Handel. Wie der Name indes schon vermuten lässt: Die Full HD-Auflösung ist mit 1920 x 1080 Pixeln die größte Stärke des Tablets. Der aus eigenem Haus stammende Prozessor taktet mit 1,5 GHz und ist leistungsstark genug, um auch Full-HD-Videomaterial oder großflächige 3D-Spiele ruckelfrei wiederzugeben. Als Betriebssystem kommt Android 4 zum Einsatz. Der Arbeitsspeicher ist mit 2,0 GByte großzügig dimensioniert. Auf der Rückseite des Gehäuses befindet sich eine 8,0-Megapixel-Kamera, eine Frontkamera ermöglicht Videotelefonie. Die Auflösung von 1,3 MPixel ist ausreichend.
Platz 3: Apple iPad 2
Das iPad 2 kommt schlanker und leichter daher als das Ur-iPad. So wurde die Gehäuserückseite flach gestaltet und die Gehäusekanten sind abegrundet. Die Kameraausstattung auf Vorder- und Rückseite lässt unter anderem Videotelefonie via Facetime zu, die Bildqualität ist allerdings nicht gut. Weitere Hardware-Details sind der 1-GHz-Dual-Core-Prozessor A5 sowie ein größerer Arbeitsspeicher. Die Akkulaufzeit bleibt trotzdem auf dem Niveau des ersten iPads mit rund 10 Stunden. Das iPad 2 ist noch immer im offiziellen Angebot von Apple.
Platz 4: Dell Latitude 10
Mit dem Latitude 10 adressiert Dell explizit professionelle Anwender. Das 10-Zoll-Tablet ist mit Windows 8 und Windows 8 Pro ausgestattet. Das 10-Zoll-Display arbeitet mit LED-Hintergrundbeleuchtung und einer Auflösung von 1366 x 768 Bildpunkten. Das Display unterstützt aktive Wacom-Stifte, die als Option erhältlich sind. Eher die Ausnahme im Tablet-Segment: Der Akku das Latitude 10 kann vom Anwender einfach entnommen werden. Zwei Akkukapazitäten mit 30 Wh oder 60 Wh sollen verfügbar sein. Drahtlos kommuniniziert das Business-Tablet im WLAN gemäß 802.11a/b/g/n und per Bluetooth 4.0. Als Option ist eine 3G-Lösung erhältlich. In Sachen Sicherheit ist ein TPM-Modul an Bord, eine Variante mit Fingerprint-Sensor und SmartCard-Reader soll zu einem späteren Zeitpunkt folgen. Das Tablet soll rund 670 Gramm auf die Waage bringen. Als weitere Ausstattungsmerkmale stehen ein USB-Port sowie ein SD-Card-Reader zur Verfügung.
Platz 5: Microsoft Surface
Nachdem Apple mit den iPads als Microsofts Hauptkonkurrent lange den Tablet-Markt dominierte, hat die Firma aus Redmond ein eigenes Gerät als Gegenschlag entwickelt. Das Microsoft Surface genannte Tablet bringt neben Windows RT auf der Pro-Variante auch das für berührungsempfindliche Oberflächen optimierte Betriebssystem Windows 8 mit. Doch nicht nur hierdurch will sich Microsoft absetzen. Stattdessen bietet das Surface einige Möglichkeiten, die das iPad bislang vermissen lässt: Mit USB-Anschluss und microSD-Slot zeigt es sich deutlich kommunikationsfreudiger und flexibler als Apples Plattform. Aber auch gänzlich neue Features sind integriert. Zuvorderst zu nennen ist hier die im Deckel integrierte Tastatur, die wie das Display eine berührempfindliche Oberfläche besitzt und das Arbeiten mit der mitgelieferten Office-Suite- deutlich erleichtert. Apples SmartCover ersetzt beim Surface ein in der Rückseite des Gehäuses integrierter Ständer, mit dem das Tablet beinahe eine Figur wie ein Laptop macht.
Platz 6: Apple iPad 4
Mit dem iPad der 4. Generation frischt Apple sein "Neues iPad" auf. Ein gutes halbes Jahr nach der Vorstellung des iPad 3 erhält das iPad 4 leistungsfähigere Hardware. Unverändert bleibt das Gehäuse und das Retina-Display mit seiner Auflösung von 2048 x 1536 Pixel. Auch an den Speicherkapazitäten von wahlweise 16, 32 oder 64 GByte ändert Apples nichts. Neu ist dagegen der A6X-Prozessor, der im Vergleich zum A5X vom iPad 3 die doppelte Rechenleistung und Grafik-Performance bieten soll. Der Chip basiert auf der A6-Dual-Core-CPU des iPhone 5. Neu ist auch ein Dual-Band-WLAN; damit ist neben dem 2,4-GHz-Band nun auch das 5-GHz-Band möglich. Die viel kritisierte LTE-Integration des iPad 3 frischt Apple beim iPad 4 ebenfalls auf. Während die in Deutschland verwendeten LTE-Frequenzen vom iPad 3 nicht unterstützt werden, kann mit dem iPad 4 zumindest das 1800-MHz-LTE-Netz der Telekom genutzt werden - wie schon beim iPhone 5. Eine weitere Verbesserung gibt es beim iPad 4 mit der Facetime HD Kamera: Die Frontkamera bietet nun 1,2 statt nur 0,3 Megapixel Auflösung. Desweiteren ersetzt Apple den alten Docking-Connector mit der neuen Lightning-Variante.
Platz 7: Asus Transformer Pad Infinity
Das Transformer Pad Infinity wurde ist ein 10,1-Zoll Gerät und wurde von Asus auf dem Mobile World Congress 2012 vorgestellt. Als Betriebssystem kommt Android 4 zum Einsatz. Das blickwinkelstabile Super IPS+ Display löst mit sehr guten 1920 x 1200 Bildpunkten auf und wird von dem besonders kratz- und bruchfestem Gorilla-Glas 2 geschützt. Das Asus Transformer Pad Infinity ist in den Kapazitäten 16, 32 und 64 GByte erhältlich. Sollte der Speicher nicht ausreichen kann er per microSD Karte erweitert werden, zudem stehen jedem Käufer acht GByte Cloud-Speicher zur Verfügung.
Platz 8: Samsung Galaxy Tab 10.1
Samsung hat es mit Galaxy Tab 10.1 geschafft, die erste „fast“ ebenbürtige Alternative zum damaligen Hauptkonkurrenten iPad 2 anzubieten. Das Android-Tablet ist so flach wie das Apple-Gerät, wiegt sogar noch etwas weniger und wirkt sehr wertig - trotz Kunststoffgehäuse. Der sofortige positive Eindruck beim ersten „Anfassen“ manifestiert sich auch im Betrieb. Das Galaxy Tab 10.1 reagiert auf alle Aktionen flott, unterstützt Webseiten mit Flash-Inhalten und unterstützt sehr viele Audio- und Video-Formate. Das Tablet ist allerdings nur „fast“ ebenbürtig, weil beim iPad 2 die Bedienung weiterhin einen Tick flüssiger, durchdachter und komfortabler funktioniert. Hier kann Android (zum Testzeitpunkt Version 3.1) dem Apple-Betriebssystem iOS noch nicht das Wasser reichen. Außerdem knausert das Galaxy Tab 10.1 mit Anschlüssen, ebenso wie das iPad 2.
Platz 9: Samsung Galaxy Note 10.1
Samung bietet mit dem Galaxy Note 10.1 ein Tablet mit 10,1-Zoll-Bildschirm an. Neben der gewohnten Bedienung über den Touchscreen ist das Galaxy Note 10,1 speziell auf die Stifteingabe via Stylus ausgelegt. Entsprechend ist auch ein Stift in das Gehäuse integriert. Eine weitere Besonderheit ist die Möglichkeit, zwei Apps auf dem Bildschirm im Splitscreen gleichzeitig darzustellen. Als Betriebssystem kommt Android zum Einsatz. Für genügend Rechenleistung sorgt ein Quad-Core-Prozessor auf ARM-Basis und aus eigenem Hause. Das Tablet bietet serienmäßig 16 GByte Speicherplatz an, Modelle mit 32 und 64 GByte sind ebenfalls im Angebot. Die Erweiterung ist über den Micro-SD-Kartenslot jederzeit möglich.
Platz 10: Fujitsu Stylistic M532
Das 10-Zoll große Tablet basiert auf Android 4 und arbeitet mit NVIDIAs Tegra-3-Prozessor. Fujitsu verspricht eine besonders einfache Integration des Tablets ins Unternehmen. Durch die sogenannte Virtual Desktop Infrastructure Technologie laufen die Anwendungen in einer von der Hardware abgekoppelten und sichereren Umgebung. Bereits ab Werk bietet das Fujitsu Stylistic M352 nativen Support für die VDI-Umgebungen von Citric, VMware und Microsoft. Ebenfalls vorinstalliert ist eine Office-Suite, diese erlaubt Ihnen das Betrachten und Bearbeiten von Word- oder Excel-Dokumenten. Das 10,1-Zoll-Display löst mit der WXGA-Auflösung von 1280 x 800 Pixeln auf. Der Akku soll unter Vollast bis zu 9,5 Stunden Laufzeit ermöglichen. Neben Wifi in den 802.11 b/g/n Standards ist auch ein 3G Modem sowie ein GPS-Modul mit an Bord.
Unified Communication: Angriff auf die Kommunikation
Unified Communications war eines der Buzzwords in den zurückliegenden Jahren. Die grundlegende Idee ergibt durchaus Sinn: Statt auf herkömmliche Telefonanlagen zu setzen, bauten die Firmen auf IP. Egal ob E-Mail, Telefonate, Videokonferenzen oder Instant Messaging - im Idealfall läuft die komplette Kommunikation der Firma über das Web.
Im Vorfeld der InfoSec warnte allerdings Adam Boone von Sipera Systems deutlich auch vor den Gefahren: Bereits 2010 seien etwa die Attacken per VoIP deutlich angestiegen, ganze kriminelle Vereinigungen hätten sich darauf spezialisiert. Vorfälle wie VoIP-Sniffing, also das Abhören der Gespräche, seien an der Tagesordnung - auch weil die Verschlüsselung bei IP-Telefonie eine knifflige Angelegenheit ist. Um zu verhindern, dass das Gespräch ins Stocken kommt, müssen die jeweiligen Endpunkte nahezu in Echtzeit die Daten ver- und entschlüsseln; das verursacht einen enormen Rechenaufwand.
Das Thema gewinnt zusätzliche Brisanz durch den Trend zum eigenen Gerät: Während der Administrator Firmeneigentum normalerweise nahezu komplett unter seiner Kontrolle hat, wird das bei einem Smartphone, Tablet oder Notebook schwierig. Und Clients gibt es genügend, nahezu jeder namhafte Hersteller hat eine eigene App parat, sei es für Android, iPhone oder Mac und Windows.
Die sieben Todsünden beim Umgang mit der Cloud
Die Cloud ist eine weitere Technologiegattung, die inzwischen ihrem Buzzword-Status entwachsen ist. Das liegt auch daran, dass die verschiedenen Angebote ausgereift sind: Cloud-basierter Storage oder Anti-Spam-Lösungen zeigen, wie sich die Cloud sinnvoll nutzen lässt. Voraussetzung dafür ist allerdings, dass die jeweilige Lösung von den Unternehmensrichtlinien mit abgedeckt sind.
Problematisch wird es allerdings, wenn Cloud-Dienste ohne Kenntnis der IT-Abteilung verwendet werden. Im Rahmen der Konferenz warnte Adrian Davis vom Information Security Forum vor sieben Kardinalfehlern:
-
Ignoranz: Nur weil das Unternehmen offiziell keine Cloud-Lösung anbietet, heißt das nicht, dass einzelne Teams oder Nutzer sie nicht verwenden.
-
Ungewissheit: In Verträgen mit den jeweiligen Anbietern werden wichtige Punkte, etwa Datensicherheit, Standort der Storage-Datencenter oder SLAs, vergessen oder nicht abschließend geklärt
-
Zweifel: Es ist relativ schwierig, die Wirksamkeit von Sicherheitskonzepten zu beweisen, denn im besten Fall wehren diese alle Attacken ab.
-
Ungewolltes Übertreten: Möglicherweise sind die Gesetze, nach denen sich der Anbieter der Cloud-Lösung richtet, komplett unterschiedlich zu denen, die das Unternehmen zu befolgen hat. Dementsprechend ist es wichtig, dass man sowohl die eigenen rechtlichen Vorgaben kennt als auch die des Anbieters.
-
Chaos: Tritt auf, wenn es keine einheitliche Verwaltung, Klassifizierung und Kontrolle über die Daten gibt, die in die Cloud ausgelagert werden.
-
Einbildung: Meist gehen Firmen davon aus, dass die bisherige Sicherheits-Infrastruktur auch Cloud-basierte Angebote mit abdecken kann. Das ist aber nicht immer der Fall.
-
Nachlässigkeit: Die Cloud-Infrastruktur ist ebenfalls anfällig für Stromausfälle oder Hardwaredefekte - deswegen sollte man in jedem Fall SLAs sowie Backup-Pläne besitzen, um nicht für unbestimmte Zeit von den eigenen Diensten und Daten abgeschnitten zu sein.
Firmen, die sich mit Cloud-Systemen auseinandersetzen, sollten diese Anbieter ebenso behandeln, wie sie bei sonstigen externen Anbietern vorgehen, so Davis. Dazu gehört etwa, dass man Service Level Agreements aushandelt und das bereits in der Firma vorhandene Know-how der IT-Abteilung in die Entscheidungen mit einbindet.
Bildergalerie: Cloud im Mittelstand
Die Anbieter im Härtetest
In der Studie werden die Cloud-Services folgender Anbieter analysiert: Amazon, Deutsche Telekom AG Geschäftskundensegment (DTGK), Fujitsu Technology Solutions (FTS), Google, Hewlett-Packard (HP), IBM, Microsoft, Nionex, Pironet NDH, Salesforce.com, T-Systems.
Public-Cloud: So positioniert Experton die Anbieter
Nur fünf der elf untersuchten Hersteller bieten Public Cloud- Services ohne Zugangsbeschränkungen über das Internet an. Das Feld wird beherrscht von US-amerikanischen Anbietern. Ihre Verträge und SLAs - wenn es welche gibt – sind zumeist in englischer Sprache.
Public-Cloud-Anbieter Amazon:
Schon vor acht Jahren hat Jeff Bezos die eigenen Rechenkapazitäten anderen Anwendern zur Nutzung angeboten. Mit diesem großen Erfahrungsvorsprung hat sich Amazon laut Experton-Einschätzung einen Spitzenplatz verdient.
Public-Cloud-Anbieter Microsoft:
Microsoft hat in kurzer Zeit zu Amazon aufgeschlossen. Der Softwarehersteller nutzt seine Marktpräsenz offensiv aus.
Public-Cloud-Anbieter Nionex:
Nionex fordert mit seinem IaaS-Angebot die etablierten Hersteller heraus. Die Bertelsmann-Tochter überzeugte Experton mit Transparenz und einem deutschen Rechenzentren.
Cloud-Angebote für den Mittelstand
Der Mittelstand hat deutlich breitere Anforderungen an Cloud- Anbieter und deren Leistungen. Reine IaaS- und PaaS-Angebote im Public-Modus decken nur einen Teil der Anforderungen ab.
Privat-Cloud im Mittelstand, Microsoft:
Gutes Produktspektrum und hohes Vertrauen: Microsoft ist für mittelständische Anwender mit Interesse an Cloud-Diensten eine gute Anlaufstation. <br/> Quelle: Microsoft.
Privat-Cloud im Mittelstand, IBM:
Auch IBM kann im Mittelstandssegment punkten. Dem Unternehmen kommt vor allem zugute, dass es hohes Vertrauen genießt.
Privat-Cloud im Mittelstand, Deutsche Telekom:
Der Geschäftskundenbereich der Deutschen Telekom bietet unter anderem auch Telco-Cloud-Services und deckt laut Experton-Einschätzung nahezu alle Use-Cases ab.
Privat-Cloud im Mittelstand, Nionex:
Die Bertelmann-Tochter betreibt Server- und Storage-Dienste. Weil Rechenzentren in Deutschland stehen und alle Unterlagen in Deutsch geschrieben sind, bietet sich Nionex als Alternative an.
Privat-Cloud im Mittelstand, HP:
Die Cloud-Angebote von HP sind noch verbesserungsdürftig, meinen die Experton-Analysten. Zudem fehlt das eindeutige Bekenntnis des obersten Managements zum Cloud-Geschäft.
Privat-Cloud im Mittelstand, Amazon:
Google bietet günstige Preise, richtet sich mit den Services jedoch vor allem an den Massenmarkt. Wer bei Bedarf einen lokalen Ansprechpartner benötigt, wird bei Google selten fündig.
Privat-Cloud im Mittelstand, Amazon:
Das gleiche gilt für Amazon. Selbstversorger sind hier bestens aufgehoben. Doch das vertrauen im Mittelstand muss sich Amzon noch erarbeiten.
Fazit: bekannte Probleme in neuem Umfeld
Die schlechte Nachricht: Auch 2011 wird die Arbeit für IT-Abteilungen und Sicherheitsteams nicht weniger. Die gute: Das notwendige Know-how ist in den meisten Fällen bereits vorhanden. Egal ob Compliance oder IT-Sicherheit: Die grundlegenden Problemstellungen unterscheiden sich kaum von den bisherigen Herausforderungen.
Dementsprechend sollten Unternehmen sich nicht Hals über Kopf in neue Technologien stürzen, sondern solche erst nach einer ausführlichen Prüfung einführen. Ähnliches gilt für ein weiteres Trendthema: Cyber-Spionage. Nachdem selbst die Bundesregierung davor warnt und ein Nationales Cyber-Abwehrzentrum einrichten will, ist es nur verständlich, dass sich auch Unternehmen vor Angriffen sorgen.
Allerdings sollte man auch hier nichts überstürzen, sondern vielmehr auf eine fundierte Sicherheits-Infrastruktur setzen. Der Vorteil hierbei: Man wehrt nicht nur etwaige Angriffe fremder Nationen ab, sondern erhöht auch die Sicherheit gegen Attacken "herkömmlicher" Cyber-Krimineller. (mec/mje)