Mobile Security und private Endgeräte

Consumerization der IT - ein wachsendes Sicherheitsrisiko

03.01.2012 von Karin Quack
Dass Mitarbeiter von unterwegs auf elementare Unternehmensdaten zugreifen, wird immer mehr zur Selbstverständlichkeit und Notwendigkeit. Das birgt aber auch Risiken. Fast ein Drittel der europäischen Unternehmen haben keine Richtlinien für die Nutzung ortsunabhängiger Endgeräte.

Der zunehmende Einsatz mobiler Endgeräte durch Mitarbeiter ist für die Unternehmen zwar in vielen Fällen von Vorteil, birgt aber auch ein erhebliches Sicherheitsrisiko. Um es zu verringern, sollten sie den Einsatz der mobilen Endgeräte kontrollieren. Das tun allerdings beileibe nicht alle.

Einer Studie des Dortmunder IT-System-Management-Spezialisten Kaseya zufolge setzen durchschnittlich 29 Prozent der Unternehmen in Deutschland, Frankreich, Großbritannien und den Niederlanden Mobilgeräte für den Datenzugriff ein, ohne dass sie Richtlinien für deren Nutzung formuliert und vereinbart hätten. Aber auch wo solche Richtlinien existieren, ist längst nicht alles in Butter.

Allein in Deutschland suchen, so Kaseya, 40 Prozent der Studienteilnehmer nach einer Lösung, wie sie die Einhaltung bestehender Richtlinien zur Nutzung von Mobilgeräten konsequent überwachen können - ein Problem, bei dem die Dortmunder vermutlich gern behilflich sind.

Mobile Security und BYOD
Consumerization - Spiel mit dem Feuer
Resultate der Mobilstudie 2011, die im Auftrag von Kaseya unter großen und kleinen Unternehmen in Deutschland (DE), Frankreich (FR), Großbritannien (UK) und den Niederlanden (NL) zum Thema Bring your own Device durchgeführt wurde.
Wie viel Prozent der Arbeitnehmer gebrauchen mobile Geräte?
Welche Mobilgeräte werden in Deutschland eingesetzt?
Wer im Unternehmen benutzt mobile Geräte?
Welche Daten sind via Mobilgerät verfügbar?
Gibt es Richtlinien für den gebrauch mobiler Geräte?
Wie unternehmenskritisch sind die Daten, die via Mobilgerät versandt werden?
Bitte geben Sie auf einer Skala von 1 bis 5 an, wie groß die Auswirkungen für Ihr Geschäft sind, wenn auf Daten eines Mobilgerätes unberechtigt zugegriffen wird oder das Geräte verloren geht? (1 = nicht relevant / 5 = sehr kritisch)
Haben Sie aktuell Kontrolle über die Daten, die zwischen mobilen Geräten und lokalen Systemen ausgetauscht werden?
Wie werden mobile Geräte im Unternehmen im Moment verwaltet?
Welche Funktionen erscheinen Ihnen wichtig zur Verwaltung Ihrer Mobilgeräte?

Im Durchschnitt etwa zwei Drittel der insgesamt 546 befragten IT-Verantwortlichen befinden den mobilen Zugang zu Unternehmensdaten als "sehr wichtig" oder "ziemlich wichtig" für das Geschäft des - in diesem Fall vorwiegend kleinen oder mittelständischen - Unternehmens. In Deutschland liegt dieser Anteil sogar bei 75 Prozent. Folglich werden nicht nur E-Mail-Daten und Adresslisten, sondern vielfach auch Büro- und Enterprise-Anwendungen für den externen Zugriff bereitgestellt.

Die große Mehrheit der Befragten bewertete die mobil zugänglichen Daten denn auch als mehr oder weniger "unternehmenskritisch". Da sollte man annehmen, die die meisten Unternehmen auch in der Lage wären, den mobilen Zugang zu ihren Daten effektiv zu verwalten.

Keine Richtlinien - Hausaufgaben nicht gemacht

Immerhin gibt es in beinahe jedem zweiten Unternehmen Richtlinien für den Zugang aller Mobilgeräte zum Unternehmensnetz. Aber etwa jeder fünfte Befragte räumte ein, die Einführung solcher Regeln nicht einmal zu planen. Die deutschen Betriebe bilden hier leider keine Ausnahme: 30 Prozent von ihnen haben ihre Hausaufgaben überhaupt noch nicht gemacht, und nur 45 Prozent haben Richtlinien für alle mobilen Geräte formuliert.

30 Prozent der deutschen Firmen sind offenbar zu sorglos.
Foto: Kaseya

Zudem haben sechs von zehn IT-Verantwortlichen offenbar keinen Einfluss auf die Art der verschickten Daten oder auf die Wahl des jeweiligen Netzwerks. Und das, obwohl sie sich der Gefahren durchaus bewusst sind: Insbesondere sorgen sie sich um den Verlust beziehungsweise den gezielten Diebstahl kritischer Daten. In Deutschland ist die Furcht vor der Entwendung von Kontaktdaten mit 32 Prozent der Nennungen besonders ausgeprägt, während Informationslecks in den Albträumen der Verantwortlichen relativ selten vorkommen.

Sicherheitsrisiko Smartphone
Security-Checkliste: Smartphone im Business
Der Smartphone-Einsatz in Unternehmen birgt hohe Sicherheitsrisiken. Lesen Sie hier, was Sie beachten sollten.
Punkt 1:
Sicherheit zum zentralen Kriterium bei der Produktauswahl machen
Punkt 2:
Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln.
Punkt 3:
Sichere Konfiguration der Endgeräte berücksichtigen.
Punkt 4:
Sichere Integration in Unternehmens-IT umsetzen.
Punkt 5:
Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden
Punkt 6:
Benutzerrichtlinien für den Umgang mit Endgeräten definieren.

Die Sicherheitsmaßnahmen beschränken sich zumeist darauf, keine dezentrale Speicherung zu erlauben und die Anwender zu zwingen, ihre Kennworte regelmäßig zu erneuern. Eine Security-Software setzen etwas mehr als 20 Prozent der Studienteilnehmer ein.

Wipe-out-Funktionen sind eher die Ausnahme

Einige Unternehmen haben auch eine Wipe-out-Funktion installiert, mit der sie die Informationen auf verloren gegangenen Geräten umgehend löschen können. In den deutschen Betrieben ist diese Praxis allerdings kaum verbreitet; nur ein Fünftel der Befragten nutzt sie. In den Niederlanden und in Großbritannien ist dieser Anteil fast doppelt so hoch.

Der Fernzugriff auf die mobilen Geräte hat sich noch längst nicht als Standard etabliert, wenn man der Studie glauben mag. Werden die ortsunabhängigen Devices überhaupt verwaltet, dann geschieht das meist manuell. In Ausnahmefällen kommt der BlackBerry Enterprise Server zum Einsatz.

Wie Kaseya schlussfolgert, sind die wenigsten Unternehmen bislang auf das Trendthema "Bring Your Own Device" (Byod) vorbereitet. Viele hätten noch keine klare Vorstellung davon, welche Richtlinien dafür erforderlich seien. In manchen mangele es sogar an den notwendigsten Informationen, beispielsweise darüber, welche unternehmenskritischen Daten überhaupt von außen angezapft werden. Die mobilen Systeme in ein reguläres IT-Management einzubeziehen sei vielerorts noch Zukunftsmusik. (mje)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.