Mobile Security 2015
Grundlagen für die Enterprise-Mobility-Strategie
Unternehmen müssen auf Basis der eigenen Anforderungen an die Sicherheit einen optimalen Mix finden. Ziel ist es dabei, ohne einen massiven Eingriff in die Flexibilität der Mitarbeiter ein ausreichendes Sicherheitsniveau zu gewährleisten, um von den Chancen der Enterprise Mobility profitieren zu können.
Mit dem Einzug von Smartphones und Tablets in den Geschäftsalltag hat sich die Art und Weise des Arbeitens massiv verändert. Mittlerweile spricht man immer häufiger vom mobilen und vernetzten Unternehmen. Die Auswirkungen und Abhängigkeiten liegen dabei nicht nur auf den Schultern der internen IT. Enterprise Mobility ist ein ganzheitliches Konzept, das von der Geschäftsführerebene bis in die Fachbereiche alle Beteiligten betrifft.
Die aktuelle Bedrohungslage
Da die Menschen am Arbeitsplatz oder privat immer häufiger über ein mobiles Endgerät auf relevante Daten zugreifen, haben sich auch die Bedrohungen und Risiken entsprechend verändert. Cyber-Kriminelle haben ihre Strategien längst an diesen Trend angepasst und neue Lücken in der mobilen Nutzung als Einfallstor für sich entdeckt. So wird die Schadsoftware mittlerweile vor allem über Werbebanner und auf ganz normalen Webseiten platziert. Letzteres ist beispielsweise im Februar auf der Webseite des bekannten TV-Kochs Jamie Oliver geschehen.
Durch Consumerization, BYOD und andere Trends gelangen viele Geräte weitgehend unkontrolliert in das Unternehmensnetzwerk. Die Folge ist, dass nicht nur der Mitarbeiter, sondern auch das gesamte Unternehmen zum Ziel der Datendiebe wird.
Es ist daher notwendig, sich zeitgleich mit der Einführung der Geräte inklusive ihrer mitgelieferten Software sowie weiteren adäquaten Anwendungen und Maßnahmen vor diesen Bedrohungen zu schützen.
- Tracking in Apps: Das geben Smartphone-Nutzer preis!
Surfen im Internet und Nutzung zahlreicher Apps erfolgt ständig auf dem Smartphone. Wie praktisch, dass auch der Standort und der Besitzer des Smartphones eindeutig identifizierbar sind. Lesen Sie, welche Daten von Ihnen erhoben werden und an welche Netzwerke sie fließen. - Android-Rooting: Vorzüge und Gefahren
Android-Anwender "rooten" oder "jailbreaken" oft ihr Android-Gerät. Anreize sind mehr Funktionalität, alternative Firmware und der Zugriff auf Apps von Quellen wie Cydia. Missbraucht wird dies häufig für die Verbreitung von Viren und Trojanern. Wir zeigen auf, was die Vorteile sind und worauf Sie achten sollten. - Produktivitäts-Apps im Security-Check
Dokumente auf dem Smartphone und Tablet verwalten und bearbeiten: kein Problem mit den richtigen Apps. Von Scanner-Apps über Textverarbeitung bis hin zu Zip-Programmen gibt es alles für iOS und Android. Die Apps greifen aber nicht nur auf Dokumente zu, sondern auch auf Ihre Daten. - Vorsicht: die raffinierten Geschäftsmodelle der Gratis-Apps
Viele Apps für Smartphones und Tablets werden kostenlos angeboten. Das ist jedoch nicht die ganze Wahrheit: Auch deren Anbieter wollen Geld verdienen. Wir blicken hinter die Kulissen der freien Apps und der damit verbundenen Geschäftsmodelle. - iOS und Android - was taugt die eingebaute Sicherheit?
Apps können Daten von Ihrem Smartphone oder Tablet auslesen und diese über das Internet versenden. Wie schützen uns die Hersteller vor diesem Risiko? - Schutz vor Spionage und Datenmissbrauch
Aufgrund mangelnder Schutzmechanismen sind Smartphones und Tablets die attraktivsten Ziele für Hacker- und Spionage-Attacken. Ein "Mobile Application Management" sorgt bei Unternehmen für eine sichere mobile Infrastruktur. - Mobiles Arbeiten sicherer gestalten
Sie sind praktisch. Sie sind effektiv. Aber wie ist es um die IT- Sicherheit in Unternehmen bestellt, wenn sich Smartphones, Tablets und Apps zu einem festen Bestandteil der IT-Infrastruktur entwickeln? - Auskunft-Apps im Security-Check
Schnell die Spritpreise checken, nach einer Apotheke in der Nähe suchen oder das Wetter abfragen: Auskunft-Apps helfen bei vielen Fragen schnell weiter. Aber Achtung, auch Sie geben Auskunft mit der Weitergabe Ihre Daten. - Reise-Apps im Security-Check
Flüge planen, Hotel suchen, Mietwagen reservieren: Für die Reiseplanung gibt es viele Apps für das iPhone und Android-Smartphones. Doch Vorsicht, bei vielen Apps gehen Ihre Daten gleich mit auf Reisen! - So unsicher sind Messenger
Egal ob Smartphone, Tablet, Notebook oder PC: Messenger zählen im privaten und beruflichen Umfeld zu den beliebtesten Apps. Bei der Verschlüsselung und dem Datenschutz gibt es aber teilweise erhebliche Mängel.
Die Stufen zurück zur inneren Ruhe
Da in den meisten Unternehmen bislang noch wenig konkrete Maßnahmen zur Absicherung der mobilen Endgeräte und des zugehörigen Datenverkehrs getroffen wurden, besteht häufig akuter Handlungsbedarf. Es geht für die Unternehmen in erster Linie darum, eine grundlegende technologische Absicherung zu schaffen und gleichzeitig die Mitarbeiter entsprechend dafür zu sensibilisieren, sich im Rahmen der eigenen Richtlinien in einer Form zu verhalten, die das Bedrohungspotenzial möglichst gering hält.
Eine damit einhergehende Voraussetzung ist, dass sich die entscheidenden Akteure, zum Beispiel das Management oder die IT-Abteilungen, wieder mehr Kontrolle über die Enterprise Mobility-Aktivitäten des eigenen Unternehmens verschaffen. Flexibilität ist ein wesentlicher Aspekt bei einer konstruktiven Enterprise Mobility-Strategie. Diese Flexibilität kommt aber genau dann an ihre Grenzen, wenn sie auf Kosten der notwendigen Sicherheitsmaßnahmen geht.
Die Basics für eine Enterprise Mobility Management-Strategie
Um die Sicherheit und ein ganzheitliches Enterprise Mobility Management-Konzept zu etablieren, sind folgende Faktoren wesentlich:
Container-Bildung: Auf dem Mobilgerät werden private und geschäftliche Daten strikt getrennt. Das Betriebssystem sorgt dafür, dass die private Nutzung recht uneingeschränkt funktioniert und gleichzeitig keinen Einfluss auf den geschäftlichen Teil nimmt. Demgegenüber ist die Nutzung im Geschäftskontext an die Policies der Unternehmen angepasst und entsprechend gesichert.
Verschlüsselung: Die Betriebssysteme sind standardmäßig mit einer Verschlüsselung ausgestattet, die den gesamten Datenverkehr verschlüsselt. Dies kann auf technologischer Ebene auf unterschiedliche Weisen und in unterschiedlicher Intensität, je nach Kritikalität der bewegten Daten, erfolgen.
Mobile-Device-Management (MDM): Die Verwaltung aller mobilen Geräte läuft zentral über einen Service. Jedes Gerät wird einzeln erfasst und zusätzlich über Management-Tools, welche unter anderem den Software-Zugriff, die allgemeine Sicherheit, interne Policies sowie das Management des Inventars und der Services steuern, überwacht.
Mobile-Application-Management (MAM): Hier werden vor allem Anwendungen und Daten geschützt. Häufig knüpfen diese Tools an die Idee der Container-Bildung an und bieten unter Umständen noch weitere Funktionen zur zentralen Steuerung der Anwendungen.
Virtual-Private-Network (VPN): Die Verschlüsselung der Daten beim Versenden und die Überwachung über eine zentrale Stelle funktioniert am besten über VPN. So haben Unternehmen die Möglichkeit, ihre Mitarbeiter via VPN überall mit dem optimalen Sicherheitsniveau zu schützen.
Network-Access-Control (NAC): Um das eigene System auch im mobilen Zeitalter zu schützen ist es wichtig zu wissen wer welche Berechtigungen innerhalb des Netzwerks hat. NAC-Systeme dienen dazu, nur diejenigen Personen auf die Daten zugreifen zu lassen, die dazu berechtigt sind.
Diese Funktionen gehören aktuell zu den grundlegenden Disziplinen bei der Sicherung der mobilen Aktivitäten des Unternehmens. Sie können beliebig durch weitere Maßnahmen und Technologien ergänzt werden, um einen noch umfangreicheren Schutz zu gewähren oder bestimmte Verhaltensweisen und Bereiche gezielter abzusichern. Dazu zählen auch Lösungen, die noch gezielter vor Malware-Attacken schützen und besonders schnell auf neue Bedrohungsszenarien reagieren können. Grundsätzlich gilt aber auch, dass die Anwender immer mit einem Restrisiko leben müssen. Weder die Betriebssysteme noch die Lösungen der Lösungsanbieter sind fehlerlos. Hier ist man in der Regel davon abhängig, wie schnell das Patching bei den einzelnen Anbietern nach Bekanntwerden der Lücken ist.