Sicherheitsrisiken von Smartphones, Tablets und Handys minimieren

Die mobilen Geräte wie Smartphones und Tablets sind aus dem Geschäftsprozess kaum mehr wegzudenken und werden immer häufiger in die IT-Infrastruktur fest integriert. Dabei werden diese Geräte zunehmend intelligenter und nähern sich den Einsatzmöglichkeiten eines PCs an. Doch bei der Vielfalt der Geräte, Betriebssysteme und Anwendungen kommt die Sicherheit dieser mobilen Systeme oft zu kurz.

Der Erfolg eines Unternehmens hängt heute oft von der Geschwindigkeit der Informationen ab, sodass es nicht verwunderlich ist, dass die kleinen mobilen Geräte auch gerne für geschäftskritische Anwendungen genutzt werden. Dies stellt jeden IT-Verantwortlichen vor eine große Herausforderung, wenn es darum geht, in diesem Umfeld eine angemessene Sicherheit auf diesen Geräten zu gewährleisten.

Der für die Unternehmens-IT Zuständige muss nicht nur eine entsprechender IT-Infrastruktur zur Verfügung stellen, sondern auch entsprechende funktionierende Prozesse aufsetzen. Dabei ist ein Spagat zwischen Sicherheit und Funktionalität gefragt, um den mobilen Vorteil nicht durch diverse Restriktionen aufzuheben. Aber auch wenn bereits etablierte Systemlösungen wie der BlackBerry zum Einsatz kommen, unterschätzen die IT-Verantwortlichen den Sicherheitsaspekt allzu oft. Wir geben Ratschläge und Tipps, wie Sie das Sicherheitsrisiko mobiler Geräte in Unternehmen minimieren.

Smartphone-Verlust mit fatalen Folgen

Der Einsatz von Smartphones und Tablets stellt Unternehmen vor die gleichen Herausforderungen, wie sie seinerzeit für die Absicherung von IT-Infrastrukturen, Desktop- und Server-Systemen bestanden. Es gibt so gut wie keine technischen Lösungen zur dauerhaften Absicherung von Smartphones und mobilen Endgeräten. Außerdem wächst durch die ständig steigende Kapazität dieser Geräte die Menge vertraulicher Daten, die sie aufnehmen können, kontinuierlich. Der Verlust eines einzigen Smartphones kann daher fatale Auswirkungen auf ein gesamtes Unternehmen haben. Diese können vom kleinen finanziellen Schaden bis hin zum Firmenbankrott reichen.

Kinderkrankheiten in Sachen Sicherheit

Hinzu kommt, dass es sich bei Smartphones um eine junge Technologie handelt, die mit zahlreichen Kinderkrankheiten in puncto Sicherheit zu kämpfen hat und mit hoher Wahrscheinlichkeit Angriffsvektoren bietet, die bisher noch nicht entdeckt wurden. Man braucht in diesem Zusammenhang nur an die bisher als sicher geltenden SMS-TAN-Verfahren der Internetbanken zu denken. Verwendet ein Benutzer sein Smartphone sowohl für Online-Banking als auch zum Empfang der TAN per SMS, ist die grundsätzliche Sicherheit des Verfahrens sofort hinfällig.

Smartphones sind lohnende Angriffsziele

Smartphones sind lohnende Angriffsziele, denn sie vereinen Eigenschaften von Serversystemen mit denen der mobilen Kommunikation. Permanente Internetanbindung, Erreichbarkeit rund um die Uhr, Geolokalisierung, private und dienstliche Daten wie E-Mail, Credentials, VPN-Zertifikate, Adressbücher und Dokumente lassen aus einem Smartphone für einen Angreifer das ideale Sprungbrett in gut gesicherte Infrastrukturen werden.

Mobile Endgeräte ungefährlicher machen

Neue Angriffsvektoren präventiv zu entschärfen ist kaum möglich. Daher empfiehlt sich beim Einsatz von Smartphones grundsätzlich eine konservative Einstellung. Mit geeigneten technischen und organisatorischen Maßnahmen lassen sich zumindest bekannte Risiken minimieren und Anwender so sensibilisieren, dass sie beim Umgang mit mobilen Endgeräten ausreichend Sorgfalt walten lassen.

Sicherheitsaspekte bei Endgeräteauswahl beachten

Die Auswahl von Smartphones und mobilen Endgeräten sollte nicht nur unter finanziellen und funktionalen Gesichtspunkten, sondern von Anfang an auch unter dem Aspekt der Sicherheit erfolgen. Neben gerätespezifischen Merkmalen - wie zum Beispiel der Verschlüsselung der Gerätedaten, Zugriffsschutz und Schnittstellen - ist beim Betrieb vieler mobiler Endgeräte die zentrale Verwaltung eine ganz wichtige Frage. Idealerweise sollten sich die Endgeräte in vorhandene Administrations- und Sicherheitsmechanismen eingliedern lassen beziehungsweise die Möglichkeit bieten, ihre eigenen Mechanismen mit den bereits vorhandenen zu koppeln. Nur durch die Aggregation und Auswertung von Gerätedaten an zentraler Stelle erhält der Betreiber einen Überblick über den Zustand der Geräte, über Verstöße gegen Richtlinien und ähnliche Informationen.

Smartphones auf Sicherheitsrichtlinien prüfen

Ein wichtiger Aspekt ist auch, ob bereits Richtlinien zum Umgang mit mobilen Endgeräten (zum Beispiel für Notebooks) und der damit einhergehenden Verarbeitung von Daten außerhalb der eigenen IT-Infrastruktur im Unternehmen existieren. Ist dies der Fall, sollte ein weiteres Entscheidungskriterium bei der Auswahl einer Smartphone-Plattform die Frage sein, ob sich die vorhandenen Richtlinien auch auf dem neuen Gerät umsetzen lassen. Dürfen Daten beispielsweise nur auf verschlüsselten Datenträgern und Endgeräten das Unternehmen verlassen, scheiden Geräte ohne eine angemessene Möglichkeit zur Verschlüsselung bereits im Vorfeld aus der Betrachtung aus.

Wie bei der Verwaltung von Desktop-Systemen gilt auch bei Smartphones: Je fragmentierter die Geräte- und Betriebssystembasis, desto höher der Administrationsaufwand. Weniger ist also auch hier mehr, denn je unterschiedlicher die eingesetzten Geräte sind, desto schwieriger wird es, einheitliche Sicherheitsrichtlinien auf allen Geräten umzusetzen.

Vier Faktoren für den sicheren Betrieb

Zum sicheren Betrieb von Smartphones gehören vier Faktoren:

• die Sicherheit der Endgeräte,

• die Sicherheit der Schnittstellen zur Unternehmens-IT,

• die organisatorischen Prozesse und Richtlinien im Unternehmen sowie

• das Gefahrenbewusstsein der Mitarbeiter.

1. Sicherheit der Endgeräte

Nach der Auswahl einer Plattform sollte als Erstes eine Sicherheitsrichtlinie zur Konfiguration der Smartphones aufgestellt werden. Diese Regeln sollten sich am Schutzbedarf der auf den Smartphones verfügbaren Daten orientieren sowie an unternehmensweit geltenden IT-Sicherheitsstandards. Wichtige Elemente einer solchen Richtlinie sind die Einrichtung automatischer Sperren, Vorgaben zur Stärke von Passwörtern, die Sicherheitskonfiguration des Internet-Browsers, eine Regelung der Verwendung externer Speichermedien am Smartphone und die Erlaubnis respektive das Verbot der Installation von Programmen (Apps) durch den Benutzer. Nicht benötigte Schnittstellen sollten aus Sicherheitsgründen deaktiviert und nicht benötigte Software von den Geräten entfernt werden.

2. Anbindung an die Unternehmens-IT

Der zweite Schritt in Richtung Sicherheit betrifft die Geräteanbindung an die Unternehmens-IT. Hier sind die Möglichkeiten so vielfältig wie die verfügbaren Endgeräte. Für die Verwendung von BlackBerry ist die Integration eines BlackBerry Enterprise Servers (BES) in die eigene IT notwendig. iPhone und iPad lassen sich direkt an Exchange- oder Notes-Umgebungen ankoppeln und darüber auch managen, so auch auf anderen Plattformen basierende Endgeräte. Eine Richtlinie zur Anbindung sollte Regelungen darüber enthalten, ob die Anbindung über VPN-Verbindungen erfolgt oder ob der Zugriff auf E-Mails über traditionelle Wege verläuft wie beispielsweise IMAP und SMTP.

Beim Thema E-Mail kommt in der Regel die Frage nach Verschlüsselungsmöglichkeiten auf. RIM bietet für den BlackBerry verschiedene Möglichkeiten der E-Mail-Verschlüsselung. Auch ist die E-Mail-Kommunikation zwischen Geräten eines Unternehmens über den unternehmenseigenen BES als sicher zu betrachten. Anders sieht es bei iOS aus, also bei iPhone und iPad. Apple hat bis heute weder das Datenverschlüsselungsprogramm Pretty Good Privacy (PGP) noch Secure/Multipurpose Internet Mail Extensions (S/MIME) in iOS integriert, sodass iOS-basierte Geräte keine Möglichkeit zur Verschlüsselung von E-Mails bieten.

Problematisch kann das Thema E-Mail-Verschlüsselung werden, wenn Mitarbeiter E-Mails parallel auf Smartphone und Desktop bearbeiten, was in der Regel der Fall ist. Verschlüsselt das Smartphone E-Mails mit einer eigenen Lösung, sind diese E-Mails auf dem Desktop nicht lesbar. Kommt umgekehrt eine Desktop-Lösung zum Verschlüsseln zum Einsatz, beispielsweise PGP oder das freie Kryptografiesystem GNU Privacy Guard (GPG), bleiben diese E-Mails auf dem Smartphone unlesbar. Abhilfe können Gateways schaffen, die E-Mails beim Empfang oder Senden durch den zentralen Mail-Server transparent ent- oder verschlüsseln.

Bei Diebstahl Daten remote löschen

3. Management und Richtlinien im Unternehmen

Wichtiges Merkmal des zentralen Managements ist die regelmäßige Aktualisierung der Smartphones inklusive der installierten Programme. Ohne eine zentrale Kontrollinstanz gibt es keinen Überblick über die Softwarestände, und Mitarbeiter arbeiten unter Umständen jahrelang mit veralteter Software, die entsprechend viele Sicherheitslücken aufweist. Smartphones sollten daher zwingend in den normalen Patch-Management-Zyklus eingebunden werden, so wie alle Systeme eines Unternehmens.

Die Richtlinie zum Anbinden und Managen der Smartphones sollte vorsehen, verlorene oder gestohlene Geräte aus der Ferne löschen zu können, um zu verhindern, dass Unternehmensdaten in unbefugte Hände gelangen. Hierzu müssen die technischen Voraussetzungen geschaffen und die mobilen Endgeräte entsprechend konfiguriert werden. Neben dem Löschen bieten moderne Smartphones auch die Möglichkeit der Lokalisierung über die Managementschnittstelle. Für die Nutzung dieser Funktionalität nach Diebstahl und Verlust sollte die Richtlinie Vorgaben machen, nicht zuletzt, weil diese Funktion ein enormes Missbrauchspotenzial bietet (Stichwort Mitarbeiterüberwachung).

Sinnvoll kann ebenfalls sein, Geräte mit einem Hinweis über den Eigentümer zu versehen, entweder über eine Anzeige auf dem Bildschirm oder über einen Aufkleber. Das erhöht nachweislich die Chance, dass ehrliche Finder das Gerät an das Unternehmen zurückschicken.

Ein wichtiger Aspekt der organisatorischen Sicherheit - gerade wenn Endgeräte verwendet werden, die vom Provider gemietet wurden - ist das sichere Löschen im Schadens- oder Rückgabefall. Die Richtlinien sollten diese Fälle vorsehen und entsprechende Maßnahmen definieren. Dasselbe gilt für die Entsorgung von Geräten: Auch dann müssen im Vorfeld alle sensiblen Daten sicher gelöscht werden.

4. Mitarbeiter für Sicherheit sensibilisieren

Der Umgang mit dem Gefahrenbewusstsein der Mitarbeiter ist beim Einsatz von Smartphones eine Gratwanderung. Auf der einen Seite berauben zu restriktiv konfigurierte Smartphones diese häufig zentraler Funktionen, womit die Akzeptanz durch die Mitarbeiter schwindet und der ursprünglich erhoffte Vorteil ausbleibt. Auf der anderen Seite können zu laxe Regeln Angreifern Tür und Tor öffnen. Das unkontrollierte Installieren von Apps durch die Mitarbeiter ist beispielsweise ein klassisches Sicherheitsrisiko. Wollen Unternehmen in diesem Punkt ganz auf Nummer sicher gehen, bleibt ihnen häufig keine andere Wahl, als ein komplettes App-Verbot auszusprechen. Hier müssen Unternehmen sorgfältig abwägen. Viele wählen eine Zwischenlösung und entwickeln einen Corporate App Store, der auf Sicherheit geprüfte Apps für die Mitarbeiter bereitstellt. So können die Mitarbeiter innerhalb bestimmter Grenzen selber Apps installieren.

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.

Sicherheit ist die Summe vieler Einzelaspekte

Sicherheit beim Einsatz von Smartphones in Unternehmen ist nicht allein eine technische Frage. Neben der sicheren Konfiguration von Endgeräten sind deren Integration in die Unternehmens-IT und das Management der Geräte wichtige Bausteine der Gesamtsicherheit. Richtlinien sind allerdings nur dann sinnvoll, wenn sie angemessen und umsetzbar sind. Die ISO-Norm 27001 definiert zahlreiche Vorgaben und Prozesse, aus denen sich Richtlinien für den Einsatz mobiler Endgeräte ableiten lassen. Ein Unternehmen, das nach ISO 27001 aufgestellt ist, sollte daher zumindest mit den organisatorischen Aufgaben keine Probleme haben.

Hingegen lassen sich die Auswahl einer sicheren Plattform sowie die sichere Konfiguration der Endgeräte aus keinem Standard ableiten. Hier ist Erfahrung gefragt. Denn wie bereits gesagt: Die Geschichte wiederholt sich. Man muss nur zehn Jahre zurückdenken und die im zurückliegenden Jahrzehnt gewonnenen Erkenntnisse über die Sicherheit von Systemen und Infrastrukturen auf mobile Lösungen übertragen. Das ist einfacher, als es auf den ersten Blick aussieht. Denn eines ist gleich geblieben: Der Angreifer will immer noch an die Unternehmensdaten kommen. Er benutzt jetzt nur einen anderen Weg.

Checkliste

• Sicherheit zum zentralen Kriterium bei der Produktauswahl machen.

• Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln.

• Sichere Konfiguration der Endgeräte berücksichtigen.

• Sichere Integration in Unternehmens-IT umsetzen.

• Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden.

• Benutzerrichtlinien für den Umgang mit Endgeräten definieren. (hal)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.