Misstrauen als Prinzip für Endpoint-Security

Zero Trust als Security-Strategie ist keine Option, sondern ein Muss in Zeiten grenzenloser Vernetzung, denn Vorsicht ist besser als Nachsicht!
Peter Machat, Vice President Central EMEA bei MobileIron erläuterte im Interview, wie Endpoint-Sicherheit und Nutzerakzeptanz zeitgleich mit Techniken, die durch „Misstrauen als Prinzip“ gekennzeichnet sind, gesteigert werden.

Herr Machat, welche Auswirkungen haben Cloud, mobiles Arbeiten, BYOD, remote, aber andererseits auch die zunehmende Vernetzung (IoT, IIoT) im Hinblick auf den Endpoint und dessen Sicherheit?

Die herkömmlichen Netzwerkgrenzen gibt es in dieser modernen Arbeitswelt nicht mehr. Die Plattform von MobileIron ergänzt deshalb die bewährten Unified Endpoint Management (UEM) Funktionen durch Techniken, die durch „Misstrauen als Prinzip“ gekennzeichnet sind (Zero-Trust-Prinzip). Oder positiv ausgedrückt: Jede Nutzerin und jeder Nutzer müssen sich Vertrauen erst einmal erarbeiten. Zusammen ermöglichen diese Methoden und Technologien eine nahtlose, sichere Benutzererfahrung, indem sie sicherstellen, dass nur autorisierte Nutzer, Geräte, Anwendungen und Dienste auf Geschäftsressourcen zugreifen können.

Wo lauern aktuell die größten Gefahren?

Lange Zeit war der Bereich der Smartphones und Tablets sicherheitstechnisch eher unauffällig. Das hat sich mittlerweile grundlegend geändert. Neben unsicheren WiFI-Zugängen, über die viele oft gedankenlos mit ihrem Mobilgerät auf sensible Geschäftsdaten zugreifen, haben sich Spionage-Apps mittlerweile zu einem der gefährlichsten Angriffsvektoren im Mobil-IT-Bereich entwickelt. Ohne entsprechende Nachrüstung in Form einer Früherkennung und schnellen Beseitigung von Cyberangriffen (Mobile Threat Detection and Remediation, MTD) bieten hier Unified-Endpoint-Management-(UEM-)Systeme, die die Mobilgeräte-Flotte eines Unternehmens verwalten, zunächst einmal wenig bis gar keinen Schutz.

Aber nicht überall, wo MTD draufsteht, ist MTD, wie ich es mir vorstelle, auch drin. MobileIron ist auch hier meiner Meinung nach die große Ausnahme. Unser Frühwarnsystem ist nämlich direkt in den UEM-Client integriert. Das heißt, der Nutzer muss es nicht eigens aktivieren und was noch wichtiger ist: der Nutzer kann es auch nicht deaktivieren, weil ihm oder ihr Warnmeldungen überflüssig erscheinen oder weil er oder sie vermeintlich Zeit sparen wollen. Darüber hinaus ist dieses MTD nicht nur ein Früherkennungssystem, sondern auch in der Lage, das System derart gegen den Angriff zu schützen, dass die Abläufe dadurch nicht unterbrochen werden. Wir führen also gleichzeitig mit der Früherkennung Maßnahmen zur Beseitigung der Störung durch.


„Alle Akteure – ob in einem Unternehmen oder außerhalb eines Unternehmens – sind potenzielle Gefährder.“

Peter Machat

Unser Interviewpartner:
Peter Machat ist seit 2016 Vice President Central EMEA bei
MobileIron. Der studierte Wirtschaftsinformatiker besitzt mehr als 20 Jahre Erfahrung in der Mobile IT-Branche. Durch die jahrelange Zusammenarbeit mit den Vertriebsteams der Carrier, lokalen und globalen Systemhäusern sowie den gemeinsamen Aufbau der mobilen Infrastrukturen bei Kunden ist Peter Machat ein geschätzter Partner und Experte auf vertrieblicher und technischer Ebene. Vor MobileIron war Peter Machat bei Research In Motion (heute: BlackBerry) für ein europaweit agierendes Pre-Sales Team verantwortlich, das Kunden und Partner bei der Implementierung und beim Aufbau von BlackBerry-Infrastrukturen beriet.


Wie ist der Status Quo deutscher Unternehmen und wo sehen Sie aktuell den größten Handlungsbedarf?

Viele Unternehmen haben den eben erwähnten Paradigmenwechsel in die perimeter-lose Ära in ihren Sicherheitsmaßnahmen noch nicht oder nur unzureichend umgesetzt. Sie geben immer noch zu viel Geld für traditionelle Maßnahmen aus, die in der modernen Arbeitswelt mit Cloud und mobilen Endgeräten nichts bringen oder sogar kontraproduktiv sind, weil sie die Unternehmen in einer falschen Sicherheit wiegen. Es soll ja immer noch massenweise Unternehmen geben, die ihre Smartphone- und Tablet-Flotte nicht in ein Unified Endpoint Management System eingebunden oder nur in Teilen, oder die ein wenig leistungsfähiges System benutzen, dessen Security-Features unzureichend sind.

Wie sollten Sicherheits- und IT-Teams vorgehen, um Endpoints zu sichern und damit letztendlich potenziellen Abfluss hochsensibler Unternehmensdaten zu verhindern?

Wie gesagt: das traditionelle „Innen“ und „Außen“, also zwischen innerem Unternehmensnetz und der externen IT-Welt gibt es heute nicht mehr. Alle Akteure – ob in einem Unternehmen oder außerhalb eines Unternehmens – sind potenzielle Gefährder. Grundsätzlich ist deshalb erst einmal Misstrauen angesagt. Jede Nutzerin und jeder Nutzer, die auf sensible Unternehmensdaten zugreifen wollen, und das sind natürlich auch E-Mails, müssen sich zuvor umfassend ausweisen. Benutzername und Passwort genügen da bei Weitem nicht. Gefragt ist ein kontextueller Sicherheitsmechanismus, der erst dann Zugriff auf Daten, Netzwerke etc. gewährt, wenn Gerät und Benutzer in ihrem jeweiligen Kontext validiert, die App-Autorisierung überprüft, das Netzwerk verifiziert und Bedrohungen erkannt und behoben sind.

Welche besonderen Vorteile gewinnen Kunden durch den Einsatz Ihrer Zero-Trust-Sicherheitsplattform?

Eine reine Passwort-Zugangskontrolle reicht nicht mehr aus, um die heute vorherrschende mobile Cloud-Infrastruktur zu sichern. Gestohlene Nutzerdaten sind die Hauptursache für Sicherheitslecks und Datenschutzverletzungen. Aus diesem Grund geht MobileIron einen neuen Weg für die Unternehmenssicherheit, indem es Passwörter eliminiert und das mobile Gerät als solches zur ID und zum sicheren Zugriffsmedium auf Unternehmensdaten macht. Anfang des Jahres wurde die Zero-Sign-On-Technologie eingeführt, die eine große Anzahl von Parametern wie Geräte-, Anwendungs-, Netzwerk-, Standort- und Benutzerkontext prüft, bevor sie Zugriff auf Unternehmensressourcen gewährt – ohne ein Passwort zu benötigen.


Ohne Machine Learning lässt sich keine Echtzeit-Abwehr (Zero-Day-Defense) aufbauen.
Eine solche Echtzeit-Abwehr ist in der mobilen Cloud-Welt von heute ganz entscheidend.


Welche Rolle wird Künstliche Intelligenz in Zukunft im Rahmen von IT-Security einnehmen?

Ohne Mustererkennungs-Algorithmen, die ständig dazulernen und das vollautomatisch, ist es nicht möglich, Abweichungen vom normalen Verhalten genügend schnell zu erkennen. Und ohne solches Machine Learning lässt sich keine Echtzeit-Abwehr (Zero-Day-Defense) aufbauen. Eine solche Echtzeit-Abwehr ist in der mobilen Cloud-Welt von heute ganz entscheidend.

Wie sollte vor diesem Hintergrund eine IT-Sicherheitsstrategie aufgebaut sein?

Ganz klar: KI muss eingebettet sein in eine effiziente Sicherheitsorganisation. Nur so lassen sich die Stärken von KI vollständig ausspielen.
Wichtig sind folgende Punkte:

  • Wie gut spielt das Mobile Security-System mit dem UEM-System zusammen?
  • Wie einfach ist das Frühwarnsystem zu handhaben. Ist es für den Nutzer vielleicht völlig transparent?
  • Inwieweit ist das jeweilige System in der Lage oder überhaupt darauf ausgerichtet, einen Angriff nicht nur zu erkennen, sondern auch zu neutralisieren, das heißt die Gefahr zu beseitigen (Remediation)
  • Und nicht zuletzt die Frage: Lässt sich das Frühwarnsystem vom Nutzer abschalten oder nicht?

Ganz entscheidend für den Erfolg in Sicherheitsfragen ist aber immer die Akzeptanz bei den Nutzern:  Jeder Management- und Sicherheits-Ansatz steht und fällt mit der Tatsache, inwieweit er das positive Nutzererlebnis durch transparente Gestaltung der Kontrollmechanismen erhält und damit die Produktivität der Nutzer noch einmal steigert. Sicherheit nicht als Bremsklotz, sondern als Produktivitätsfaktor.

Aufmacherbild/ Beitragsbild / Quelle / Lizenz
Bild von Gerd Altmann auf Pixabay
Bild von Pete Linforth auf Pixabay