Mobile Security

„Sicherheit muss einfach und erlebbar sein“

Was können Unternehmen tun, um ihre mobile IT besser vor Bedrohungen zu schützen? Diese Frage stand im Mittelpunkt einer Expertendiskussion anlässlich der TecChannel-Studie „Mobile Security 2015“.

Vieles liegt im Argen, wenn es um das Thema mobile Sicherheit in Unternehmen geht: Fehlendes Problembewusstsein, unzureichendes Fachwissen und organisatorische Defizite führen dazu, dass mobile IT-Systeme häufig offen wie ein Scheunentor sind. Diese ernüchternden Ergebnisse lieferte eine TecChannel-Umfrage unter mehr als 600 Business- und IT-Verantwortlichen aus Unternehmen im deutschsprachigen Raum. Doch wie lassen sich die Probleme in den Griff kriegen?

Technische Maßnahmen allein reichen nicht, darin waren sich die Teilnehmer eines vom TecChannel veranstalteten Roundtable-Gesprächs einig. Zu ihnen gehörten Sicherheitsexperten der Studienpartner baramundi software, Kobil Systems, mediaTest digital und TÜViT (TÜV NORD GROUP). Angesichts der Vielzahl und Komplexität potenzieller Bedrohungen stelle sich bei etlichen Nutzern eine gewisse Resignation ein, beobachtet etwa Sebastian Wolters, Geschäftsführer von mediaTest digital. Gerade mobile User bräuchten hier mehr Unterstützung.

"Sicherheit muss einfach und erlebbar sein", forderte Thomas Balgheim aus dem Beirat von Kobil Systems in diesem Kontext. Er berichtete von einer Kunden-Demo mit einer Software, die eigentlich komplett im Hintergrund läuft. Trotzdem poppen für den Benutzer immer wieder Hinweise auf sicherheitsrelevante Vorgänge auf. Der Kunde habe dieses Feature gleich in seine App integrieren wollen, so Balgheim. Ein anderer Weg, Sicherheit greifbar und bewusster zu machen, sei beispielsweise ein physischer Sicherheits-Token direkt neben dem Rechner, ohne den sich das System gar nicht starten lasse.

App-AGBs sind sicherheitskritisch

Katharina Bauer, TÜViT (TÜV NORD GROUP): „Schon aus Compliance Gründen kommt kein Unternehmen darum herum, sich mit App-AGBs auseinanderzusetzen.“
Katharina Bauer, TÜViT (TÜV NORD GROUP): „Schon aus Compliance Gründen kommt kein Unternehmen darum herum, sich mit App-AGBs auseinanderzusetzen.“

Wie schwierig das Thema Mobile Security in der Praxis sein kann, zeigt sich besonders an den umfangreichen App-AGBs, mit denen sich laut Umfrage noch die wenigsten Unternehmen ernsthaft beschäftigt haben. "App-AGBs sind oft so komplex, dass fast niemand mehr sie ohne juristische Fachkenntnisse verstehen kann", berichtete Wolters. Sein Unternehmen arbeitete zu diesem Thema bereits mit mehreren Ministerien in Forschungsprojekten zusammen.

Katharina Bauer, Managerin im strategischen Vertrieb / Marketing bei TÜViT (TÜV NORD GROUP), unterstrich die Bedeutung dieses Aspekts: "Schon aus Compliance Gründen kommt kein Unternehmen darum herum, sich mit App-AGBs auseinanderzusetzen." Schließlich regelten diese oft auch, welche Daten eine App erhebt, wie diese genutzt werden und vieles mehr. Gemeinsam mit mediaTest prüfe und auditiere TÜViT bereits Apps und vergebe das Gütesiegel "Trusted App". Dabei würden auch die AGBs juristisch unter die Lupe genommen.

Die Anzahl derart geprüfter Apps ist derzeit allerdings noch sehr überschaubar, wie Wolters einräumte. Von einer breiten Abdeckung gängiger mobiler Anwendungen sei man noch weit entfernt. Armin Leinfelder, Produktmanager bei baramundi Software, riet denn auch zu einer pragmatischen Herangehensweise. Generell sollten sich Nutzer immer überlegen, welches Geschäftsmodell beispielsweise hinter einer kostenlosen App steht. Vor allem unter diesem Aspekt sollten sie sich auch die AGBs genau durchlesen und sich klarmachen, wozu sie mit der App-Nutzung seine Zustimmung gibt.

Das Bewusstsein für Security-Risiken steigt

Dass in vielen Unternehmen noch das Problembewusstsein fehlt, erklärte Wolters zum Teil mit dem "Betroffenheitsphänomen". Wer selbst noch nie Opfer eines Angriffs war, sehe die Bedrohungen oft auch nicht so klar. Außer einigen sehr prominenten Fällen wie dem Sony-Hack seien viele Sicherheitspannen gar nicht bekannt geworden. Aus seiner Sicht ist es aber nur eine Frage der Zeit, bis mehr passiert und damit auch das öffentliche Bewusstsein für mobile Gefahren steigt. Die geringe Risikoeinschätzung vieler Umfrageteilnehmer bezüglich mobiler Devices und Apps könne auch mit dem Consumerization-Trend zu tun habe, ergänzte Leinfelder. "Im privaten Bereich legt man andere Sicherheitsmaßstäbe an, doch jetzt nutzen viele ihre privaten Geräte auch im Business."

Zumindest im Banking-Sektor habe sich die Wahrnehmung bereits verändert, berichtete Kobil-Experte Balgheim. "Hier erleben wir einen radikalen Shift Richtung mobile Welt." Entsprechend schnell steige das Bewusstsein für App-Sicherheit, wenn es etwa um Mobile Banking gehe. Das sei auch bei den Kunden der Finanzinstitute zu beobachten.

MDM allein bringt noch keine Sicherheit

Armin Leinfelder, baramundi software: „Die IT-Admins werden von der Vielfalt der neuen Mobilgeräte im Zuge der Consumerization geradezu überrollt."
Armin Leinfelder, baramundi software: „Die IT-Admins werden von der Vielfalt der neuen Mobilgeräte im Zuge der Consumerization geradezu überrollt."

Trotz vieler Fortschritte gibt es aber auch noch reichlich technische Hürden auf dem Weg zu mehr mobiler Sicherheit. "Die IT-Admins werden von der Vielfalt der neuen Mobilgeräte im Zuge der Consumerization geradezu überrollt", warnte Leinfelder. "Die Management-Tools und -Möglichkeiten waren die letzten Jahre über erst im Entstehen. Deshalb sind mobile Devices im Vergleich zu klassischen Geräten oft noch weniger professionell gemanagt." Auch Wolters sieht diesen Aspekt: "Es ist ein deutlich komplexeres Thema als bei PCs." Bei Apples iOS etwa sei es schon systembedingt schwierig, in puncto Sicherheit mit entsprechenden Suiten einzugreifen. Mit Android-Plattformen tue man sich etwas leichter. Wolters: "Was die Apps in der Praxis tun, ist noch zu intransparent." Lapidare Hinweise etwa auf einen Kamera-Zugriff durch eine App reichten schlicht nicht aus.

Thomas Balgheim, Generalbevollmächtigter der Kobil Gruppe und Mitglied im Kobil-Beirat: „MDM kann nur der erste Schritt sein.“
Thomas Balgheim, Generalbevollmächtigter der Kobil Gruppe und Mitglied im Kobil-Beirat: „MDM kann nur der erste Schritt sein.“

Dass immerhin 53 Prozent der Befragten in der Studie ein MDM-System nutzen und weitere 26 Prozent die Einführung planen, bewerteten die Diskutanten grundsätzlich positiv. Es komme aber darauf an, wann ein MDM an den Start gehe, schränkte TÜViT-Expertin Bauer ein: "Idealerweise sollte eine Management-Lösung gleichzeitig mit der Einführung von mobilen Geräten implementiert werden." In der Praxis sei das häufig nicht der Fall. Auch Balgheim gab sich kritisch: "MDM kann nur der erste Schritt sein. Unser Berufsumfeld wird immer mehr digital, wir bekommen mehr Knowledge Worker, die oft verschiedene mobile Geräte an verschiedenen Orten nutzen. Da greift ein MDM irgendwann nicht mehr." Um die Nutzer auf ihrem digitalen Weg zu begleiten und zu schützen, müsse es künftig viel mehr um digitale Identitäten gehen.

Dass dedizierte Security-Budgets das richtige Mittel sind, glaubt Balgheim nicht. Nach seiner Erfahrung werden nur fünf Prozent der einschlägigen Projekte aus einem Security-Budget finanziert, der Großteil der Gelder stamme aus dem Business: "Wenn Datensicherheit eine Business-Anforderung der Verantwortlichen ist, gibt es auch finanzielle Ressourcen dafür."

Mobile Security: der richtige Maßnahmen-Mix macht´s

Sebastian Wolters, mediaTest digital: Notwendig ist eine „ständige Sensibilisierung der Mitarbeiter“ in Sachen IT-Sicherheit.
Sebastian Wolters, mediaTest digital: Notwendig ist eine „ständige Sensibilisierung der Mitarbeiter“ in Sachen IT-Sicherheit.

Unterm Strich, so der Tenor in der Expertenrunde, komme es auf die richtige Kombination organisatorischer und technischer Maßnahmen an. "Es muss einen Mix geben aus klassischen Maßnahmen einerseits und Systemen und Tools andererseits", resümierte Wolters. Konkret bedeute das: "Eine Grundsensibilisierung lässt sich durch Schulungen und ähnliches erreichen." Daneben müssten aber auch die technischen Systeme soweit verbessert werden, dass eine ständige Sensibilisierung der Mitarbeiter möglich werde: "Immer wenn ich so eine Software nutze, muss mir bewusst gemacht werden: du bedienst hier ein System, das auch ein bestimmtes Sicherheitsniveau hat." (wh)

Die Studie "Mobile Security 2015" ist über den TecChannel-Shop beziehbar.