Zugriffsregeln, Zertifikate, Kill Pill
Security-Konzepte für Smartphone, Tablet und Co.
Große Analystenhäuser sehen Mobile IT als einen der maßgeblichen Trends des Jahres. Experton zählt vor allem Security und Datenschutz in den Bereichen Cloud, Mobility und BYOD zu den wichtigsten Themen, PAC sieht hingegen Mobile Collaboration weit vorne. Der Grund: Beschäftigte erledigen ihre Aufgaben zunehmend unabhängig von einem festen Büroplatz, beantworten unterwegs ihre E-Mails, prüfen Termine und greifen auf geschäftskritische Daten wie Finanzzahlen zu.
Laut der IDC-Studie "Managing Mobile Enterprises" vom September 2012 arbeiten durchschnittlich 54 Prozent der Belegschaft in Unternehmen zumindest hin und wieder mobil. Disruptive Technologien wie die Cloud schaffen die nötigen Voraussetzungen für mobile Infrastrukturen und Zusammenarbeit. Sie ermöglichen Reaktionen in Echtzeit, was insbesondere in den Bereichen Service und Vertrieb Vorteile bringt. So können mobile Mitarbeiter unterwegs auf das Unternehmensnetzwerk zugreifen, um für ihre Kunden Produkt- oder Preisinformationen abzurufen.
Wenngleich der Einsatz mobiler Lösungen die Flexibilität und Produktivität erhöht, stellt vor allem die steigende Nutzung privater Endgeräte eine Herausforderung für Unternehmen dar: Diese müssen ihren Mitarbeitern eine möglichst hohe Mobilität bieten, benutzerfreundliche Anwendungen bereitstellen und gleichzeitig die IT-Sicherheit und Compliance-Vorschriften im Blick behalten. Denn die Gefahren sind vielfältig und reichen von Diebstahl über Spionage bis hin zu Datenmissbrauch.
Foto: IDC
Die IT für den mobilen Zugriff fit machen
Eine durch Datenschutztechnologien gesicherte IT-Umgebung stellt die Basis für die Integration mobiler Endgeräte in die firmeneigene Infrastruktur dar. So schützen Firewalls und Anti-Malware vor Manipulationen der Systeme, beispielsweise durch Viren, Trojaner, Spyware und Phishing. Außerdem hilft eine Intrusion-Detection-Lösung, Angriffe zu entdecken und abzuwehren, während Intrusion-Prevention-Systeme potenzielle Sicherheitslücken frühzeitig aufdecken und die Beseitigung von Schwachstellen ermöglichen. Eine solche Absicherung der Infrastruktur muss als Grundvoraussetzung gegeben sein - sonst entwickelt sich der mobile Zugang schnell zur Achillesferse der Unternehmens-IT.
- Check Point Anti Bot Malware Report
Speziallösungen wie Check Points Anti-Bot-Software Blade durchsuchen den Datenverkehr nach Anzeichen für Botnet-Kommunikation. - G Data Mobile Samples
Die Zahl mobiler Schadprogramme für Android nimmt stetig zu, darunter auch Malware, die Smartphones in mobile Botnets verwandelt. G Data SecurityLabs verzeichnete in der zweiten Jahreshälfte 2012 fast 140.000 neue Schaddateien. - McAfee Botsteuerung
Smartphones als Teil eines mobilen Botnets werden ferngesteuert und zu kriminellen Zwecken missbraucht. Die Befehle können per SMS, aber auch zum Beispiel über Nachrichten in sozialen Netzwerken wie LinkedIn oder Twitter kommen, wie McAfee berichtete. - Kaspersky Mobile Security
Mobile Sicherheitslösungen auf Smartphones können nicht nur zur Malware-Erkennung, sondern auch zur Blockade von SMS unbekannter Absender genutzt werden. Mobile Botnets können allerdings zum Teil Adressbücher auslesen und bekannte Absender vortäuschen. - Fortinet Übersicht Botnets
Verschiedene Sicherheitsanbieter, darunter Fortinet, informieren im Internet über aktuelle Botnet-Aktivitäten.
Autorisierte Nutzung durch Zugriffskonzepte
Auch die Bestimmung von Richtlinien für Endgeräte und Nutzergruppen ist ein wichtiger Bestandteil des Mobile-Security-Konzepts. Denn: Ein umfassendes Identity-Access-Management (IAM) mit entsprechenden Zugriffskonzepten ist entscheidend, um in Zeiten von BYOD und Online-Collaboration eine kontrollierte Nutzung der ICT-Ressourcen zu gewährleisten. Innerhalb der Identitätsarchitektur können Unternehmen festlegen, wer mit welchem Endgerät und in welchem Umfang auf welche Daten zugreifen darf. Mit dieser Autorisierung erhält jeder Mitarbeiter Nutzungsberechtigungen gemäß seiner Rolle im Unternehmen. Durch die Einteilung in verschiedene Gruppen ist es möglich, die Vergabe der Governance-Richtlinien zu vereinfachen und die jeweiligen Sicherheitsstufen sowie Nutzungsrechte gebündelt zu vergeben.
Network-Access-Control-Systeme (NAC) erlauben zudem eine objektbasierte Kontrolle, indem sie nichtautorisierte Geräte als solche sichtbar machen und deren Zugriff auf das Netzwerk ausschließen. Hierzu müssen Unternehmen zunächst alle mobilen Endgeräte mit Zugriffsrecht erfassen und zertifizieren. Dabei sollten sie darauf achten, dass die Konfiguration anerkannte Sicherheitsstandards erfüllt.