Mobile Security 2015

Grundlagen für die Enterprise-Mobility-Strategie

26.03.2015 von Maximilian Hille

Unternehmen stehen vor der Herausforderung, die mobile Datennutzung auch im Geschäftskontext sicher zu machen, dies wurde bislang vielfach vernachlässigt. Hersteller und Software-Anbieter arbeiten derzeit sehr intensiv daran, umfangreiche Schutzmaßnahmen zu entwickeln, die auf die aktuellen Herausforderungen passen.

Unternehmen müssen auf Basis der eigenen Anforderungen an die Sicherheit einen optimalen Mix finden. Ziel ist es dabei, ohne einen massiven Eingriff in die Flexibilität der Mitarbeiter ein ausreichendes Sicherheitsniveau zu gewährleisten, um von den Chancen der Enterprise Mobility profitieren zu können.

Mit dem Einzug von Smartphones und Tablets in den Geschäftsalltag hat sich die Art und Weise des Arbeitens massiv verändert. Mittlerweile spricht man immer häufiger vom mobilen und vernetzten Unternehmen. Die Auswirkungen und Abhängigkeiten liegen dabei nicht nur auf den Schultern der internen IT. Enterprise Mobility ist ein ganzheitliches Konzept, das von der Geschäftsführerebene bis in die Fachbereiche alle Beteiligten betrifft.

Die aktuelle Bedrohungslage

Da die Menschen am Arbeitsplatz oder privat immer häufiger über ein mobiles Endgerät auf relevante Daten zugreifen, haben sich auch die Bedrohungen und Risiken entsprechend verändert. Cyber-Kriminelle haben ihre Strategien längst an diesen Trend angepasst und neue Lücken in der mobilen Nutzung als Einfallstor für sich entdeckt. So wird die Schadsoftware mittlerweile vor allem über Werbebanner und auf ganz normalen Webseiten platziert. Letzteres ist beispielsweise im Februar auf der Webseite des bekannten TV-Kochs Jamie Oliver geschehen.

Durch Consumerization, BYOD und andere Trends gelangen viele Geräte weitgehend unkontrolliert in das Unternehmensnetzwerk. Die Folge ist, dass nicht nur der Mitarbeiter, sondern auch das gesamte Unternehmen zum Ziel der Datendiebe wird.

Es ist daher notwendig, sich zeitgleich mit der Einführung der Geräte inklusive ihrer mitgelieferten Software sowie weiteren adäquaten Anwendungen und Maßnahmen vor diesen Bedrohungen zu schützen.

App Security - die nützlichsten Artikel -

Tracking in Apps: Das geben Smartphone-Nutzer preis!
Surfen im Internet und Nutzung zahlreicher Apps erfolgt ständig auf dem Smartphone. Wie praktisch, dass auch der Standort und der Besitzer des Smartphones eindeutig identifizierbar sind. Lesen Sie, welche Daten von Ihnen erhoben werden und an welche Netzwerke sie fließen.

Android-Rooting: Vorzüge und Gefahren
Android-Anwender "rooten" oder "jailbreaken" oft ihr Android-Gerät. Anreize sind mehr Funktionalität, alternative Firmware und der Zugriff auf Apps von Quellen wie Cydia. Missbraucht wird dies häufig für die Verbreitung von Viren und Trojanern. Wir zeigen auf, was die Vorteile sind und worauf Sie achten sollten.

Produktivitäts-Apps im Security-Check
Dokumente auf dem Smartphone und Tablet verwalten und bearbeiten: kein Problem mit den richtigen Apps. Von Scanner-Apps über Textverarbeitung bis hin zu Zip-Programmen gibt es alles für iOS und Android. Die Apps greifen aber nicht nur auf Dokumente zu, sondern auch auf Ihre Daten.

Vorsicht: die raffinierten Geschäftsmodelle der Gratis-Apps
Viele Apps für Smartphones und Tablets werden kostenlos angeboten. Das ist jedoch nicht die ganze Wahrheit: Auch deren Anbieter wollen Geld verdienen. Wir blicken hinter die Kulissen der freien Apps und der damit verbundenen Geschäftsmodelle.

iOS und Android - was taugt die eingebaute Sicherheit?
Apps können Daten von Ihrem Smartphone oder Tablet auslesen und diese über das Internet versenden. Wie schützen uns die Hersteller vor diesem Risiko?

Schutz vor Spionage und Datenmissbrauch
Aufgrund mangelnder Schutzmechanismen sind Smartphones und Tablets die attraktivsten Ziele für Hacker- und Spionage-Attacken. Ein "Mobile Application Management" sorgt bei Unternehmen für eine sichere mobile Infrastruktur.

Mobiles Arbeiten sicherer gestalten
Sie sind praktisch. Sie sind effektiv. Aber wie ist es um die IT- Sicherheit in Unternehmen bestellt, wenn sich Smartphones, Tablets und Apps zu einem festen Bestandteil der IT-Infrastruktur entwickeln?

Auskunft-Apps im Security-Check
Schnell die Spritpreise checken, nach einer Apotheke in der Nähe suchen oder das Wetter abfragen: Auskunft-Apps helfen bei vielen Fragen schnell weiter. Aber Achtung, auch Sie geben Auskunft mit der Weitergabe Ihre Daten.

Reise-Apps im Security-Check
Flüge planen, Hotel suchen, Mietwagen reservieren: Für die Reiseplanung gibt es viele Apps für das iPhone und Android-Smartphones. Doch Vorsicht, bei vielen Apps gehen Ihre Daten gleich mit auf Reisen!

So unsicher sind Messenger
Egal ob Smartphone, Tablet, Notebook oder PC: Messenger zählen im privaten und beruflichen Umfeld zu den beliebtesten Apps. Bei der Verschlüsselung und dem Datenschutz gibt es aber teilweise erhebliche Mängel.

Die Stufen zurück zur inneren Ruhe

Da in den meisten Unternehmen bislang noch wenig konkrete Maßnahmen zur Absicherung der mobilen Endgeräte und des zugehörigen Datenverkehrs getroffen wurden, besteht häufig akuter Handlungsbedarf. Es geht für die Unternehmen in erster Linie darum, eine grundlegende technologische Absicherung zu schaffen und gleichzeitig die Mitarbeiter entsprechend dafür zu sensibilisieren, sich im Rahmen der eigenen Richtlinien in einer Form zu verhalten, die das Bedrohungspotenzial möglichst gering hält.

Eine damit einhergehende Voraussetzung ist, dass sich die entscheidenden Akteure, zum Beispiel das Management oder die IT-Abteilungen, wieder mehr Kontrolle über die Enterprise Mobility-Aktivitäten des eigenen Unternehmens verschaffen. Flexibilität ist ein wesentlicher Aspekt bei einer konstruktiven Enterprise Mobility-Strategie. Diese Flexibilität kommt aber genau dann an ihre Grenzen, wenn sie auf Kosten der notwendigen Sicherheitsmaßnahmen geht.

Die Basics für eine Enterprise Mobility Management-Strategie

Um die Sicherheit und ein ganzheitliches Enterprise Mobility Management-Konzept zu etablieren, sind folgende Faktoren wesentlich:

Container-Bildung: Auf dem Mobilgerät werden private und geschäftliche Daten strikt getrennt. Das Betriebssystem sorgt dafür, dass die private Nutzung recht uneingeschränkt funktioniert und gleichzeitig keinen Einfluss auf den geschäftlichen Teil nimmt. Demgegenüber ist die Nutzung im Geschäftskontext an die Policies der Unternehmen angepasst und entsprechend gesichert.
Verschlüsselung: Die Betriebssysteme sind standardmäßig mit einer Verschlüsselung ausgestattet, die den gesamten Datenverkehr verschlüsselt. Dies kann auf technologischer Ebene auf unterschiedliche Weisen und in unterschiedlicher Intensität, je nach Kritikalität der bewegten Daten, erfolgen.
Mobile-Device-Management (MDM): Die Verwaltung aller mobilen Geräte läuft zentral über einen Service. Jedes Gerät wird einzeln erfasst und zusätzlich über Management-Tools, welche unter anderem den Software-Zugriff, die allgemeine Sicherheit, interne Policies sowie das Management des Inventars und der Services steuern, überwacht.
Mobile-Application-Management (MAM): Hier werden vor allem Anwendungen und Daten geschützt. Häufig knüpfen diese Tools an die Idee der Container-Bildung an und bieten unter Umständen noch weitere Funktionen zur zentralen Steuerung der Anwendungen.
Virtual-Private-Network (VPN): Die Verschlüsselung der Daten beim Versenden und die Überwachung über eine zentrale Stelle funktioniert am besten über VPN. So haben Unternehmen die Möglichkeit, ihre Mitarbeiter via VPN überall mit dem optimalen Sicherheitsniveau zu schützen.
Network-Access-Control (NAC): Um das eigene System auch im mobilen Zeitalter zu schützen ist es wichtig zu wissen wer welche Berechtigungen innerhalb des Netzwerks hat. NAC-Systeme dienen dazu, nur diejenigen Personen auf die Daten zugreifen zu lassen, die dazu berechtigt sind.

Diese Funktionen gehören aktuell zu den grundlegenden Disziplinen bei der Sicherung der mobilen Aktivitäten des Unternehmens. Sie können beliebig durch weitere Maßnahmen und Technologien ergänzt werden, um einen noch umfangreicheren Schutz zu gewähren oder bestimmte Verhaltensweisen und Bereiche gezielter abzusichern. Dazu zählen auch Lösungen, die noch gezielter vor Malware-Attacken schützen und besonders schnell auf neue Bedrohungsszenarien reagieren können. Grundsätzlich gilt aber auch, dass die Anwender immer mit einem Restrisiko leben müssen. Weder die Betriebssysteme noch die Lösungen der Lösungsanbieter sind fehlerlos. Hier ist man in der Regel davon abhängig, wie schnell das Patching bei den einzelnen Anbietern nach Bekanntwerden der Lücken ist.

Mobile Devices: Prognose -

PROGNOSE: Weltweite Stückzahlen für Mobile Devices nach Segment

PROGNOSE: Weltweite Stückzahlen für Mobile Devices nach Betriebssystem

Zusammenwirken von Betriebssystem und externen Anwendungen

In der Praxis ist es so, dass aber bereits diese grundlegenden Sicherheitsmaßnahmen keineswegs trivial bei der Implementierung sind.
Die Problematik fängt bereits bei der Auswahl der Geräte beziehungsweise des Betriebssystems an. Auf dieser Ebene verhalten sich die mitgelieferten Sicherheitskomponenten bereits sehr heterogen. Grundsätzlich hängt das mögliche Sicherheitsniveau im ersten Schritt von den Betriebssystemen ab.

Allerdings unterscheiden sich bei Googles Android-Betriebssystem die verfügbaren Versionen massiv voneinander. Einerseits werden Updates der Versionen nur stückweise nachgeschoben. Andererseits bringen Hersteller und Entwickler auch eigene Versionen, sogenannte Custom ROMs auf den Markt. Dies führt dazu, dass ein Stack aus mehreren Android-Versionen bereits starke Unterschiede bezüglich der Spezifikationen auf der Sicherheitsebene mit sich bringt.

Checkliste Mobile Security-Strategie
Foto: Crisp Research AG

So entsteht gewissermaßen ein Konkurrenzmodell innerhalb der Android-Versionen. Es gibt eine Reihe von Betriebssystemen, die beispielsweise eigene Container-Modelle für die private und berufliche Nutzung der Mobilgeräte mitbringen. Beispiele dafür sind der von Samsung mitgelieferte Service KNOX oder seit neuestem auch ein Kernelement der neuen Google Suite Android for Work. Android for Work ist Googles neuer Anlauf für das Enterprise-Geschäft. Es wurde in Zusammenarbeit mit einigen namhaften EMM-Anbietern wie SAP und VMware entwickelt und unterstreicht die Ernsthaftigkeit hinter Googles Bemühungen, auch in diesem Segment besser Fuß fassen zu können.

Darüber hinaus ist auch die Verschlüsselung bei den Betriebssystemen stark zu unterscheiden. Beispielsweise hat Google für die aktuellste Version des Android-Betriebssystems Lollipop angekündigt, standardmäßig die Verschlüsselung zu aktivieren. Aufgrund möglicher Performance-Einbußen wurde die automatische Verschlüsselung aber bereits abgeschaltet und der Nutzer muss diese erst aktivieren. Apple hingegen geht hier als sehr gutes Beispiel voran. Der Hersteller verschlüsselt bereits seit iOS-Version 7 sämtlichen Datenverkehr teils mehrstufig über die sogenannte Crypto-Box.

Auch insgesamt schneidet Apple hinsichtlich der Datensicherheit auf den eigenen Geräten recht gut ab. Dies liegt daran, dass iOS die grundlegenden Methoden bereits mitbringt und darüber hinaus eine Reihe an APIs bereitstellt, die sehr gut mit externen Services kompatibel sind. Dies ist womöglich ein entscheidender Faktor, der die Vormachtstellung von Apple im Enterprise-Geschäft erklären kann. Notwendigerweise verfügen aber auch alle anderen Anbieter über solche APIs.
Mithilfe dieser APIs können externe Anwendungen, auf einzelne Schnittstellen im Betriebssystem zugreifen, die für das Management, die Überwachung und die Rechtevergabe notwendig sind. Mittlerweile existieren bereits viele Anbieter, die einzelne Komponenten einer EMM-Strategie, wie beispielsweise Mobile Device Management, bereitstellen. Es ist allerdings so, dass die Entwickler hinter diesen Komponenten selten einen ganzheitlichen Ansatz bieten können.

Daraus resultiert häufig, dass sich Allianzen, beispielsweise aus Herstellern und Security-Experten, ergeben. Samsung hat für das eigene Angebot KNOX bereits mit zwei Partnern eine solche Allianz gegründet. Zum einen arbeitet der koreanische Konzern mit BlackBerry und ihrer MDM-Lösung "BES" zusammen, zum anderen wurde auch mit Good Technology, einem Anbieter für diverse Security-Lösungen im Mobility-Bereich, ein gemeinsames Angebot vorgestellt.

Diese Allianzen bieten somit oftmals einen umfänglicheren Schutz verglichen zu den Basis Funktionen, die mit den Betriebssystemen geliefert werden. Nichtsdestotrotz reicht es auch hier meistens nicht aus, sich auf die herstellereigenen Angebote zu verlassen. Um einen Überblick über die gesamten Funktionen zu behalten, bieten einzelne Anbieter auch einen integrativen Ansatz für das Enterprise Mobility Management an.

Hierbei handelt es sich dann um eine Aggregation verschiedener Services zu einem vereinheitlichten Tool. Der Vorteil ist, dass diese Lösungen mit hoher Wahrscheinlichkeit bereits aufeinander abgestimmt sind und somit bei der Beschaffung, Implementierung und beim Betrieb deutlich unkomplizierter verglichen mit einer eigenen Zusammenstellung der Services sind. (bw)

Checkliste für Mobile Office und Home Office -

Unternehmensweite Sicherheitsrichtlinien formulieren
Diese müssen auch den Umgang mit Daten und Informationen außerhalb des geschützten Firmennetzwerkes berücksichtigen. Die Richtlinien müssen einen vernünftigen und nachvollziehbaren Rahmen vorgeben. Sie dürfen nicht realitätsfern sein.

Security-Awareness-Maßnahmen
Geeignete Schulungen nicht nur für neue Mitarbeiter, sondern auch für „alte Hasen“ anbieten. Regelmäßig die Mitarbeiter für die Themen Sicherheit und mobiles Arbeiten sensibilisieren.

Durchsetzung der Sicherheitsrichtlinien prüfen und sicherstellen
Das kann zum einen technologisch (durch beispielsweise Erzwingen von Sperrrichtlinien bei mobilen Geräten), zum anderen durch Awareness-Maßnahmen und Schulungen realisiert werden, die regelmäßig – zum Beispiel durch interne Audits – überprüft werden. Wenn notwendig: Maßnahmen intensivieren.

Entscheidung für die passende Mobile-Office-Variante
Welche Art des Mobile Office ist für das Unternehmen und die Mitarbeiter die richtige? Natürlich ist auch ein Mix möglich. Den Mitarbeitern muss klar kommuniziert werden, welche Varianten für sie möglich sind. Dabei auch erklären, warum diese Varianten gewählt wurden, und worauf Mitarbeiter dabei besonders achten müssen.

Beim Planen von Mobile Offices noch eine Ecke weiter denken
Beispielsweise OTP-Lösungen einsetzen. Es muss keine teure Token-Access-Firewall sein; häufig gibt es auch einfache, aber nicht minder sichere Open-Source-Lösungen. Erfahrene Mitarbeiter einladen, mitzudenken und mitzuplanen. Vielleicht auch einmal einen neuen Weg mit ausgewählten Mitarbeitern ausprobieren.

Ressourcen bereitstellen
Ziel ist es, dass die gewünschten Mobile-Office-Varianten schnell und unproblematisch genutzt werden können. Wenn die Einrichtung zu lange dauert, der Zugriff zu langsam ist oder technisch nicht stabil funktioniert, dann funktioniert im besten Fall das mobile Arbeiten nicht. Im schlechtesten Fall suchen sich die Mitarbeiter andere, häufig deutlich unsichere Wege.

Flexibel sein
Ein einmaliger Kraftakt, um mobiles Arbeiten zu ermöglichen, genügt nicht. Mobile Offices müssen konstant begleitet werden. Neue Business-Anforderungen, neue Technologien und geänderte Rahmenbedingungen machen immer wieder eine Anpassung und Feinjustierung der Maßnahmen, Entscheidungen und Richtlinien notwendig.

Die Sicherheitsproblematik ist für das mobile Unternehmen lösbar

Es zeigt sich, dass die Unternehmen trotz eines geringen Planungsstands nicht alleine gelassen werden, wenn es um die Absicherung des Unternehmensnetzwerks im Kontext der Enterprise Mobility geht.

Die Anbieter arbeiten derzeit massiv daran, einen möglichst umfänglichen Schutz der Daten auch als Business-Standard gewährleisten zu können. Trotz einer stetigen Entwicklungsphase sind die meisten Angebote bereits mehr als ausreichend, um den Schutzbedarf der Unternehmensdaten zu gewährleisten.

Für die Unternehmen bedeutet dies, dass sie mit der Etablierung eines ganzheitlichen EMM-Konzepts richtig liegen. Im Zuge dieser bereits kurzfristig notwendigen Aktivitäten erlangen die relevanten Entscheider wieder die Kontrolle über die mobile Datennutzung innerhalb des Unternehmens, ohne die Mitarbeiter dabei zu stark einzuschränken oder ihre Arbeitsweisen maßgeblich zu verändern.

Unter der Voraussetzung, dass die Geschäftsprozesse der Unternehmen erfolgreich digitalisiert werden können, ist Enterprise Mobility damit nach wie vor die beste Chance, die Kommunikation mit Kunden und Partnern zu optimieren. Gleichzeitig wird auch das ortsunabhängige Arbeiten aller Mitarbeiter ermöglicht. Enterprise Mobility ist der Türöffner für dezentrales und optimiertes Arbeiten.