Praxis-Tipps zur Mobile Security

So sichern Sie mobile Systeme richtig ab

Regelwerke (Policies) sind ein Mittel, Mobilsysteme, Anwendungen und Unternehmensdaten abzusichern. Doch welche Punkte sollte eine Policy enthalten?

Nach Angaben der IT-Security-Firma Sophos lassen sich unter anderem folgende Einzelregelungen in eine Policy integrieren:

Betriebssysteme

Festgelegt wird, dass Mobilsysteme beispielsweise unter aktuellen Betriebssystemen laufen müssen, etwa unter iOS ab Version 6.x oder Android 4.x. Dies minimiert die Gefahren, die von Geräten mit veralteter Systemsoftware ausgehen, weil für sie eventuell keine Sicherheits-Updates mehr verfügbar sind.

Passwortverwaltung

Alle vom User gespeicherten Passwörter müssen in einem besonders geschützten und verschlüsselten Passworttresor auf dem System abgelegt werden.

Passwortstärke

Der Zugriff auf das System wird mithilfe eines starken Passworts abgesichert, das den firmenweiten Regelungen für das Passwortmanagement entsprechen muss. Das heißt beispielsweise, dass nur Passcodes mit mindestens acht Ziffern, Buchstaben und Sonderzeichen verwendet werden dürfen, dass mindestens eine Ziffer und ein Sonderzeichen vorhanden sind und dass das Passwort nach einem bestimmten Zeitraum gegen ein neues getauscht werden muss.

Zugriff auf das Firmennetzwerk

Nur Endgeräte, die von der IT-Abteilung verwaltet werden, dürfen direkt mit dem Corporate Network verbunden werden. Zudem werden für einzelne User-Gruppen Zugriffsrechte definiert. Sie beziehen sich auf beispielsweise auf Anwendungen, Daten oder Netzwerklaufwerke.

Regeln für User

Ob solche Regeln eingehalten werden, kann die IT-Abteilung kontrollieren, wenn ein Mobile Device Management (MDM) implementiert ist. Gleiches gilt für weitere Vorgaben, die seitens der Nutzer einzuhalten sind. Diese betreffen beispielsweise folgende Punkte:

Verbot des "Rootens"

Der User darf sein System weder "rooten" (Android) noch "jailbreaken" (iOS), also Nutzungsbeschränkungen seitens des Systemanbieters (Apple) entfernen oder sich zum "Super-User" aufschwingen. Jailbreaking beziehungsweise Rooten erleichtert es Angreifern, die Kontrolle über ein Endgerät zu übernehmen und sich in ein Firmennetzwerk vorzuarbeiten.

Bitte nicht: Rooten und Jailbreaken ist für Geräte im Business-Einsatz tabu.
Bitte nicht: Rooten und Jailbreaken ist für Geräte im Business-Einsatz tabu.

Softwareinstallation

Es dürfen keine Programme aus dubiosen Quellen installiert werden, auch nicht auf privaten Geräten, die geschäftlich genutzt werden. Notfalls kann die IT-Abteilung eine "White List" oder eine "Black Liste" mit erlaubten beziehungsweise verbotenen Apps erstellen.