Mobile Security 2015
Grundlagen für die Enterprise-Mobility-Strategie
Zusammenwirken von Betriebssystem und externen Anwendungen
In der Praxis ist es so, dass aber bereits diese grundlegenden Sicherheitsmaßnahmen keineswegs trivial bei der Implementierung sind.
Die Problematik fängt bereits bei der Auswahl der Geräte beziehungsweise des Betriebssystems an. Auf dieser Ebene verhalten sich die mitgelieferten Sicherheitskomponenten bereits sehr heterogen. Grundsätzlich hängt das mögliche Sicherheitsniveau im ersten Schritt von den Betriebssystemen ab.
Allerdings unterscheiden sich bei Googles Android-Betriebssystem die verfügbaren Versionen massiv voneinander. Einerseits werden Updates der Versionen nur stückweise nachgeschoben. Andererseits bringen Hersteller und Entwickler auch eigene Versionen, sogenannte Custom ROMs auf den Markt. Dies führt dazu, dass ein Stack aus mehreren Android-Versionen bereits starke Unterschiede bezüglich der Spezifikationen auf der Sicherheitsebene mit sich bringt.
So entsteht gewissermaßen ein Konkurrenzmodell innerhalb der Android-Versionen. Es gibt eine Reihe von Betriebssystemen, die beispielsweise eigene Container-Modelle für die private und berufliche Nutzung der Mobilgeräte mitbringen. Beispiele dafür sind der von Samsung mitgelieferte Service KNOX oder seit neuestem auch ein Kernelement der neuen Google Suite Android for Work. Android for Work ist Googles neuer Anlauf für das Enterprise-Geschäft. Es wurde in Zusammenarbeit mit einigen namhaften EMM-Anbietern wie SAP und VMware entwickelt und unterstreicht die Ernsthaftigkeit hinter Googles Bemühungen, auch in diesem Segment besser Fuß fassen zu können.
Darüber hinaus ist auch die Verschlüsselung bei den Betriebssystemen stark zu unterscheiden. Beispielsweise hat Google für die aktuellste Version des Android-Betriebssystems Lollipop angekündigt, standardmäßig die Verschlüsselung zu aktivieren. Aufgrund möglicher Performance-Einbußen wurde die automatische Verschlüsselung aber bereits abgeschaltet und der Nutzer muss diese erst aktivieren. Apple hingegen geht hier als sehr gutes Beispiel voran. Der Hersteller verschlüsselt bereits seit iOS-Version 7 sämtlichen Datenverkehr teils mehrstufig über die sogenannte Crypto-Box.
Auch insgesamt schneidet Apple hinsichtlich der Datensicherheit auf den eigenen Geräten recht gut ab. Dies liegt daran, dass iOS die grundlegenden Methoden bereits mitbringt und darüber hinaus eine Reihe an APIs bereitstellt, die sehr gut mit externen Services kompatibel sind. Dies ist womöglich ein entscheidender Faktor, der die Vormachtstellung von Apple im Enterprise-Geschäft erklären kann. Notwendigerweise verfügen aber auch alle anderen Anbieter über solche APIs.
Mithilfe dieser APIs können externe Anwendungen, auf einzelne Schnittstellen im Betriebssystem zugreifen, die für das Management, die Überwachung und die Rechtevergabe notwendig sind. Mittlerweile existieren bereits viele Anbieter, die einzelne Komponenten einer EMM-Strategie, wie beispielsweise Mobile Device Management, bereitstellen. Es ist allerdings so, dass die Entwickler hinter diesen Komponenten selten einen ganzheitlichen Ansatz bieten können.
Daraus resultiert häufig, dass sich Allianzen, beispielsweise aus Herstellern und Security-Experten, ergeben. Samsung hat für das eigene Angebot KNOX bereits mit zwei Partnern eine solche Allianz gegründet. Zum einen arbeitet der koreanische Konzern mit BlackBerry und ihrer MDM-Lösung "BES" zusammen, zum anderen wurde auch mit Good Technology, einem Anbieter für diverse Security-Lösungen im Mobility-Bereich, ein gemeinsames Angebot vorgestellt.
Diese Allianzen bieten somit oftmals einen umfänglicheren Schutz verglichen zu den Basis Funktionen, die mit den Betriebssystemen geliefert werden. Nichtsdestotrotz reicht es auch hier meistens nicht aus, sich auf die herstellereigenen Angebote zu verlassen. Um einen Überblick über die gesamten Funktionen zu behalten, bieten einzelne Anbieter auch einen integrativen Ansatz für das Enterprise Mobility Management an.
Hierbei handelt es sich dann um eine Aggregation verschiedener Services zu einem vereinheitlichten Tool. Der Vorteil ist, dass diese Lösungen mit hoher Wahrscheinlichkeit bereits aufeinander abgestimmt sind und somit bei der Beschaffung, Implementierung und beim Betrieb deutlich unkomplizierter verglichen mit einer eigenen Zusammenstellung der Services sind. (bw)
- Unternehmensweite Sicherheitsrichtlinien formulieren
Diese müssen auch den Umgang mit Daten und Informationen außerhalb des geschützten Firmennetzwerkes berücksichtigen. Die Richtlinien müssen einen vernünftigen und nachvollziehbaren Rahmen vorgeben. Sie dürfen nicht realitätsfern sein. - Security-Awareness-Maßnahmen
Geeignete Schulungen nicht nur für neue Mitarbeiter, sondern auch für „alte Hasen“ anbieten. Regelmäßig die Mitarbeiter für die Themen Sicherheit und mobiles Arbeiten sensibilisieren. - Durchsetzung der Sicherheitsrichtlinien prüfen und sicherstellen
Das kann zum einen technologisch (durch beispielsweise Erzwingen von Sperrrichtlinien bei mobilen Geräten), zum anderen durch Awareness-Maßnahmen und Schulungen realisiert werden, die regelmäßig – zum Beispiel durch interne Audits – überprüft werden. Wenn notwendig: Maßnahmen intensivieren. - Entscheidung für die passende Mobile-Office-Variante
Welche Art des Mobile Office ist für das Unternehmen und die Mitarbeiter die richtige? Natürlich ist auch ein Mix möglich. Den Mitarbeitern muss klar kommuniziert werden, welche Varianten für sie möglich sind. Dabei auch erklären, warum diese Varianten gewählt wurden, und worauf Mitarbeiter dabei besonders achten müssen. - Beim Planen von Mobile Offices noch eine Ecke weiter denken
Beispielsweise OTP-Lösungen einsetzen. Es muss keine teure Token-Access-Firewall sein; häufig gibt es auch einfache, aber nicht minder sichere Open-Source-Lösungen. Erfahrene Mitarbeiter einladen, mitzudenken und mitzuplanen. Vielleicht auch einmal einen neuen Weg mit ausgewählten Mitarbeitern ausprobieren. - Ressourcen bereitstellen
Ziel ist es, dass die gewünschten Mobile-Office-Varianten schnell und unproblematisch genutzt werden können. Wenn die Einrichtung zu lange dauert, der Zugriff zu langsam ist oder technisch nicht stabil funktioniert, dann funktioniert im besten Fall das mobile Arbeiten nicht. Im schlechtesten Fall suchen sich die Mitarbeiter andere, häufig deutlich unsichere Wege. - Flexibel sein
Ein einmaliger Kraftakt, um mobiles Arbeiten zu ermöglichen, genügt nicht. Mobile Offices müssen konstant begleitet werden. Neue Business-Anforderungen, neue Technologien und geänderte Rahmenbedingungen machen immer wieder eine Anpassung und Feinjustierung der Maßnahmen, Entscheidungen und Richtlinien notwendig.
Die Sicherheitsproblematik ist für das mobile Unternehmen lösbar
Es zeigt sich, dass die Unternehmen trotz eines geringen Planungsstands nicht alleine gelassen werden, wenn es um die Absicherung des Unternehmensnetzwerks im Kontext der Enterprise Mobility geht.
Die Anbieter arbeiten derzeit massiv daran, einen möglichst umfänglichen Schutz der Daten auch als Business-Standard gewährleisten zu können. Trotz einer stetigen Entwicklungsphase sind die meisten Angebote bereits mehr als ausreichend, um den Schutzbedarf der Unternehmensdaten zu gewährleisten.
Für die Unternehmen bedeutet dies, dass sie mit der Etablierung eines ganzheitlichen EMM-Konzepts richtig liegen. Im Zuge dieser bereits kurzfristig notwendigen Aktivitäten erlangen die relevanten Entscheider wieder die Kontrolle über die mobile Datennutzung innerhalb des Unternehmens, ohne die Mitarbeiter dabei zu stark einzuschränken oder ihre Arbeitsweisen maßgeblich zu verändern.
Unter der Voraussetzung, dass die Geschäftsprozesse der Unternehmen erfolgreich digitalisiert werden können, ist Enterprise Mobility damit nach wie vor die beste Chance, die Kommunikation mit Kunden und Partnern zu optimieren. Gleichzeitig wird auch das ortsunabhängige Arbeiten aller Mitarbeiter ermöglicht. Enterprise Mobility ist der Türöffner für dezentrales und optimiertes Arbeiten.