Auch wenn in vielen Unternehmen der Trend vom Desktop zum Notebook anhält, für Sicherheitsbeauftragte wie Administratoren sind die mobilen Systeme in unterschiedlicher Hinsicht unliebsame Clients. Die Geräte verlassen ständig das Unternehmen, verbinden sich womöglich mit unbekannten Netzwerken oder sind zu wichtigen Patch-Zeitpunkten gar nicht erreichbar. Nicht umsonst wird in den mobilen Systemen eine der wesentlichen Gefahren für Informationslecks gesehen.
Schließlich befinden sich auf vielen Notebooks geschäftsrelevante Daten, häufig immer noch unverschlüsselt. Auch wenn Hersteller wie Medien dies beinahe gebetsmühlenartig anmahnen, ist dies in der Praxis häufig immer noch nicht die Regel. Gleiches gilt für den sicheren Zugang zum Notebook etwa über Fingerprintsensoren oder Smartcards. Meist entstehen entsprechende Security-Richtlinien erst, wenn bereits einmal Daten abhanden gekommen sind. Häufig scheitert die Einführung auch nicht am Fehlen entsprechender Lösungen, sondern schlicht an der Umsetzung. Experten wie beispielsweise die Sicherheitsspezialisten von Utimaco raten Firmen daher, auf folgende Punkte zu achten.
1. Security-Richtlinien definieren
Statt blind in Technik zu investieren, sollten Firmen als Erstes ein unternehmensweites Sicherheitskonzept definieren, das neben der internen IT-Infrastruktur auch die mobilen Rechner einschließt. Dabei gilt es folgende Fragen zu überlegen: Wie häufig und wo werden die Rechner außerhalb der Firmengrenzen eingesetzt? Wie groß sind die daraus resultierenden Gefahren und wie stark müssen deshalb die Sicherheitsmaßnahmen sein? Wie sensibel und kritisch sind die Daten, die auf den Notebooks transportiert werden? Soll das Security-Management lokal auf den Clients oder zentral über eine Management-Konsole erfolgen?
Tipp: Das beste Security-Konzept nützt nichts, wenn Sie nicht prüfen, ob es eingehalten wird, beziehungsweise darauf achten, ob es noch aktuell ist. Stellen Sie deshalb regelmäßig Ihre Security-Regeln auf den Prüfstand und kontrollieren Sie, ob die Policies noch zutreffen und Ihren Anforderungen genügen.
2. Mitarbeiter sensibilisieren
Die Technik ist nur eine Seite der Sicherheitsmedaille. Darüber hinaus müssen die Verantwortlichen in den Unternehmen daran arbeiten, die eigenen Mitarbeiter für das Thema Security stärker zu sensibilisieren. Viele Nutzer sind sich der Gefahren nicht bewusst, die von ungeschützten Daten auf Mobilrechnern ausgehen. Auch über die Höhe der möglichen Schäden durch einen Datenverlust machen sich die wenigsten Mitarbeiter Gedanken. Die Kosten des verlorenen beziehungsweise gestohlenen Rechners decken in aller Regel nur einen Bruchteil des Gesamtschadens ab.
Experten empfehlen Firmen daher, die eigenen Mitarbeiter kontinuierlich über das Thema aufzuklären. Schulungen und Tipps für den sicheren Umgang mit mobilen Endgeräten und Speichermedien dürften in keinem Unternehmen fehlen.
3. Trau, schau, wem auf der Reise
Auch wenn es beim Check-in auf dem Flugplatz schnell gehen muss, sollten Sie Ihr Notebook nie aus den Augen verlieren. Bitten Sie niemanden, auf den Mobilrechner aufzupassen, selbst wenn der Mitreisende vertrauenswürdig wirkt. Auch im Hotel gilt es, einige Vorsichtsmaßnahmen zu beachten. So gehört der Rechner in den Safe, sobald Sie nicht im Zimmer sind. Schließlich würden Sie dem Servicepersonal Ihre Brieftasche auch nicht auf dem Nachtkästchen präsentieren.
Sollte der Rechner trotz aller Vorsicht abhandenkommen, informieren Sie so schnell wie möglich Polizei und Arbeitgeber: Geht es darum, das gestohlene Gerät wiederzubeschaffen beziehungsweise vertrauliche Daten zu schützen, zählt jede Minute.
Tipp: Transportieren Sie Ihren Mobilrechner in einer Tasche, die nicht sofort als Notebook-Tasche ins Auge fällt. Es muss nicht gleich eine Pizzaschachtel sein, eine einfache Aktentasche reicht oft schon zur Tarnung.
4. Sichere Passwörter verwenden
Um den Zugriff auf die Mobilrechner abzusichern, gilt es als erste Maßnahme, sichere Passwörter einzurichten. Nach wie vor passieren Kardinalfehler wie auf Klebezetteln notierte Passwörter an der Unterseite der Rechner beziehungsweise zu schwache Passwörter - beispielsweise der Name von Ehegattin, Kind oder Hund. Experten empfehlen einen Mix aus Ziffern, Buchstaben - groß und klein geschrieben - sowie Sonderzeichen.
Außerdem sollte das Passwort mindestens acht Zeichen lang sein. Unternehmen sollten diese Regeln für die eigenen Mitarbeiter verbindlich und transparent machen. Zum Teil lassen sich die Richtlinien auch technisch erzwingen, indem die Systeme zu einfache Passwörter nicht akzeptieren. Um die Sicherheit weiter zu erhöhen, sollten Passwörter in regelmäßigen Abständen erneuert werden.
Tipp: Zugegebenermaßen sind sichere Passwörter schwer zu merken. Dabei helfen Eselsbrücken - zum Beispiel der letzte Urlaub im Juli 2008 in Thailand, der 50 Dollar pro Tag gekostet hat: Thai0708$50.
5. Passwort vor dem Booten abfragen
Um den Zugriff auf den Rechner wirklich effizient abzusichern, sollte bereits vor dem Booten ein Passwort abgefragt werden. Damit lässt sich verhindern, dass Unbefugte bis an die Tore des Betriebssystems gelangen. Von dort aus sind sensible Informationen nicht mehr weit.
6. Schutz über das Passwort hinaus
Wer unternehmenskritische Informationen auf seinem Notebook mit sich herumträgt, sollte sich nicht allein auf Passwörter verlassen. Mittlerweile gibt es eine Reihe weiterer Techniken, mit deren Hilfe sich der Zugang zum Rechner zusätzlich absichern lässt. Dazu zählen beispielsweise hardwarebasierende Schlüssel wie Smartcards oder Tokens, die im Zusammenspiel mit Passwörtern den Security-Level deutlich erhöhen.
Außerdem integrieren Notebook-Hersteller zunehmend Instrumente in ihren Rechnern, die den Zugriff auf das System beziehungsweise bestimmte Daten durch biometrische Mittel schützen. Dazu zählen beispielsweise Fingerabdruck-Scanner sowie Gesichtserkennung per im Rechner integrierte Webcam.
7. Ruhemodus absichern
Bleibt das Notebook beispielsweise auf Messen oder anderen Veranstaltungen den einen oder anderen Moment unbeaufsichtigt, ist es für Datendiebe ein Leichtes, sensible Informationen abzugreifen. Aus diesem Grund empfiehlt es sich, den Wechsel vom Screensaver- beziehungsweise Ruhemodus durch eine erneute Abfrage des Passworts abzusichern. Damit lässt sich verhindern, dass sich Unbefugte in Pausen schnell Zugriff auf Ihren Mobilrechner verschaffen.
8. Schnittstellen absichern
USB-Sticks und externe Festplatten werden per Plug-and-Play automatisch vom Betriebssystem erkannt und bieten Datendieben damit das perfekte Werkzeug, um Informationen vom Notebook abzuziehen. Administratoren sollten die firmeneigenen Mobilrechner daher so konfigurieren, dass die USB-Schnittstellen entweder deaktiviert sind oder die Rechner nur vom Unternehmen autorisierte Wechselspeicher erkennen. Diese Beschränkung hat einen weiteren Vorteil: Mit vielen verschiedenen Wechselspeichern, die der User an den USB-Port anschließt, steigt auch die Gefahr, dass Schädlinge wie Viren oder Trojaner auf den Rechner übertragen werden.
Diese Gefahr lässt sich einschränken, wenn nur spezielle Datenträger zugelassen sind. Um sensible Firmendaten noch besser zu schützen, können Administratoren zusätzlich den Lese- und Schreibzugriff auf bestimmte Applikationen beziehungsweise Verzeichnisse reglementieren. Damit lässt sich der Datenexport kontrollieren und verhindern, dass Unbefugte Daten aus zuvor definierten Verzeichnissen auf der Festplatte herausholen.
9. Daten verschlüsseln
Um sensible Firmeninformationen auf dem Notebook wirksam zu schützen, müssen sämtliche Daten verschlüsselt werden. Das gilt auch für externe Datenträger wie USB-Sticks oder Wechselfestplatten, die an den Mobilrechner angeschlossen werden. Effektiv sind Techniken, die eine dateibasierende Verschlüsselung bieten, aber Daten auch sektorbasierend verschlüsseln können. Damit lassen sich auch Boot-Dateien, temporäre Files und Verzeichnisinformationen wie die Windows-Registry chiffrieren. Unternehmen sollten standardisierte öffentliche Algorithmen verwenden.
Aktuell für symmetrische Verschlüsselungsalgorithmen ist der Advanced Encryption Standard (AES) mit einer Schlüssellänge von 128 beziehungsweise 256 Bit. International agierende Firmen sollten darüber hinaus darauf achten, dass die eingesetzte Verschlüsselungslösung landesspezifische kryptografische Vorgaben erfüllt und verschiedene standardisierte Verschlüsselungsalgorithmen unterstützt wie beispielsweise den in den USA weit verbreiteten 3DES-Standard.
Tipp: Um die Daten auf den Notebooks wirksam zu schützen, muss die Verschlüsselung automatisch funktionieren. Die Administratoren dürfen die Entscheidung, wann welche Informationen verschlüsselt werden, nicht dem User überlassen. Zu oft passiert es, dass Anwender Sicherheitsmaßnahmen schlichtweg vergessen beziehungsweise nicht über das notwendige technische Know-how verfügen. Die Folge: Sensible Firmeninformationen liegen möglicherweise ungeschützt auf dem Notebook.
Diese Regel sollten die Sicherheitsverantwortlichen grundsätzlich bei allen Sicherheitsmaßnahmen wie beispielsweise einem Backup beherzigen. Security muss auf dem Notebook weitgehend automatisch funktionieren. Der User darf sie nicht beabsichtigt oder versehentlich außer Kraft setzen können. Umgekehrt dürfen die Security-Tools den Nutzerkomfort und die Produktivität nicht einschränken. Sonst sinkt die Akzeptanz seitens der User. Das ist der schmale Grat, auf dem die Sicherheitsadministratoren die richtige Balance finden müssen.
Sicherheit in Gefahr
In vielen Unternehmen steht die Sicherheit sensibler Firmeninformationen auf dem Spiel. Die Gründe sind vielfältig: Angesichts der Krise sparen die Verantwortlichen beim Security-Budget. Außerdem finden die Firmen oft nicht das richtige Personal, um freie Stellen im Bereich IT-Security zu besetzen.
Einer Untersuchung von Deloitte zufolge haben 32 Prozent der Firmen aus den Branchen Technologie, Medien und Telekommunikation (TMT) in den vergangenen zwölf Monaten ihr Security-Budget gekürzt. Mittlerweile investieren über die Hälfte der 200 befragten Firmen (55 Prozent) weniger als sechs Prozent ihres IT-Budgets in Sicherheitstechniken.
Da die Angriffe auf IT-Infrastrukturen laut einer Umfrage der Zertifizierungsorganisation (ISC)2 weiter zunehmen, suchen etliche Unternehmen nach Security-Spezialisten. 44 Prozent der 775 befragten Personalverantwortlichen gaben an, zusätzliche Fachkräfte einstellen zu wollen. Das ist offenbar alles andere als einfach. 80 Prozent der Unternehmen beklagen Probleme, die richtigen Leute zu finden. Haupthindernisse seien fehlende fachliche Qualifikationen sowie auseinanderklaffende Gehaltsvorstellungen. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.