Sicherheitsstudie: Vehikel für Gefahren – Web 2.0-Anwendungen überschwemmen Firmennetze
Einen alarmierenden Nutzungsanstieg von sogenannten "Enterprise 2.0 Applikationen" wie Facebook oder Instant Messaging in Firmen konstatiert die jüngste Sicherheitsstudie von Palo Alto Networks. Die Software-Tools tragen jedoch ein gravierendes Sicherheitsrisiko für die Firmen in sich.
Weit schneller als erwartet durchdringen die Facebooks, YouTubes, Instant Messagers und Twitters dieser Welt die Unternehmensnetzwerke. Als webbasierte, sogenannte Enterprise 2.0-Anwendungen etablieren sie sich mit oder ohne das Okay der Netzwerkadministratoren als beliebte und gemeinhin akzeptierte "Firmensoftware". Dies belegt unter anderen auch die aktuelle Herbststudie des US-Herstellers Palo Alto Networks: 38 Prozent von den insgesamt 651 Applikationen, die im Rahmen der Studie in den untersuchten Unternehmen registriert wurden, gehören dieser Kategorie an. Knapp ein Viertel dieser Anwendungen lief in mehr als der Hälfte aller untersuchten Firmennetzwerke.
| Fakten der Herbststudie 2009 |
| 38 % der Software in Unternehmen sind sog. Enterprise 2.0 Applikationen |
| Anstieg der Twitter-Nutzung um mehr als 250 Prozent |
| Anstieg der Facebook-Nutzung 192 Prozent |
| Anstieg von Blogging und Wiki-Einträgen um Faktor 39 |
| Anstieg der beanspruchten Bandbreite in Netzen durch Sharepoint um Faktor 17 |
| Anstieg der beanspruchten Bandbreite in Netzen durch Blogging und Wiki-Einträge um Faktor 48 |
Seit Erscheinen der Frühjahresstudie im April 2009 stieg die Häufigkeit, mit der beispielsweise Facebook in Unternehmensnetzwerken genutzt wird, um das Dreifache, der Micro-Blogging-Dienst Twitter wurde gar 250 Prozent öfter eingesetzt als noch vor sechs Monaten – bei Instant Messaging und vergleichbaren Anwendungen sieht die Lage ähnlich aus.
Einhergehend mit dieser rasanten Zunahme steigt jedoch auch das Sicherheitsrisiko für die Unternehmen. Denn es sind zwar die Anwendungen selbst nicht gefährlich – sieht man von einer Minderung der Produktivität ab und der übermäßigen Belegung von Bandbreite durch Datenaustausch, Chat- oder Blogg-Software – jedoch eröffnen sie aufgrund ihrer Funktionsweise Angriffen und Bedrohungen über das Netzwerk Tür und Tor.
Zusammenfassung der Studie
Die halbjährliche Studie "Application Usage and Risk Report" von Palo Alto Networks untersucht in mehr als 200 Großunternehmen verschiedener Branchen, welche Anwendungen im Netzwerk laufen und wie sie von den Mitarbeitern genutzt werden. Die aktuellen Daten wurden von März bis September 2009 gesammelt.
Die Studie entdeckte während des Untersuchungszeitraums 255 verschiedene Enterprise 2.0-Applikationen. Davon sind 70 Prozent in der Lage, Dateien zu übertragen und knapp zwei Drittel weisen bekannte Schwachstellen auf. 28 Prozent sind sogar dafür bekannt, Malware zu verbreiten. 16 Prozent können zudem andere Anwendungen tunneln, also unentdeckt über andere Applikationen ins Firmennetz eindringen. Darüber hinaus ergeben sich auch neue Gefährdungen von Unternehmen, wenn beispielsweise Angreifer speziell Social Networks attackieren, um Accounts zu kapern und persönliche Daten zu ergattern.
Web 2.0 hilft Unternehmen Kosten zu senken und erleichtert die Arbeit
Der aktuelle McKinsey-Report zu Web 2.0 belegt, dass 69 Prozent der Unternehmen messbare Vorteile durch den Einsatz dieser Web 2.0-Applikationen verzeichnen: Mitarbeiter arbeiten effizienter und kreativer zusammen, Wissen ist schneller zugänglich, Reise- und Kommunikationskosten sinken. So erstaunt nicht, dass auch die Teilnehmer der Palo-Alto-Networks-Studie die Enterprise 2.0-Applikationen als "wichtig" bis "sehr wichtig" einstufen.
(Bild: Palo Alto Networks)
Der Weg mit dieser neuen Art der Bedrohung der Unternehmenssicherheit fertig zu werden, kann also keinesfalls heißen, diese Web-Applikationen einfach zu verbieten oder zu unterbinden – wie es etwa im Sommer dieses Jahres in Zürich passierte. Da sowohl der einzelne Mitarbeiter wie auch das gesamte Unternehmen Vorteile und Nutzen aus den Enterprise 2.0-Applikationen ziehen kann, werden sie auch eingesetzt – und zwar im Zweifelsfalle auch ohne Wissen der zuständigen IT-Administratoren, wie die Palo-Alto-Studie aufzeigt.
"Es ist naiv, diese Flut von Web 2.0 Enterprise Software-Tools mit herkömmlichen Sicherheitspraktiken meistern zu wollen", unterstellt René Bonvanie, Vice President Marketing bei Palo Alto Networks. Er fordert die Unternehmen auf, den Tatsachen ins Auge zu sehen, und einzusehen, dass das Schwarzweiß-Denken, bestimmte Software zu erlauben andere nicht, nicht mehr ausreicht, um Unternehmenssicherheit zu gewährleisten. Nötig sei eine neue Herangehensweise, die auch "Graustufen" erkennt. "Dies ist eine radikale, aber unabdingbare Wende für die IT-Security-Professionals." (map)
