Praxis-Tipps zur Mobile Security
So sichern Sie mobile Systeme richtig ab
Nach Angaben der IT-Security-Firma Sophos lassen sich unter anderem folgende Einzelregelungen in eine Policy integrieren:
Betriebssysteme
Festgelegt wird, dass Mobilsysteme beispielsweise unter aktuellen Betriebssystemen laufen müssen, etwa unter iOS ab Version 6.x oder Android 4.x. Dies minimiert die Gefahren, die von Geräten mit veralteter Systemsoftware ausgehen, weil für sie eventuell keine Sicherheits-Updates mehr verfügbar sind.
Passwortverwaltung
Alle vom User gespeicherten Passwörter müssen in einem besonders geschützten und verschlüsselten Passworttresor auf dem System abgelegt werden.
Passwortstärke
Der Zugriff auf das System wird mithilfe eines starken Passworts abgesichert, das den firmenweiten Regelungen für das Passwortmanagement entsprechen muss. Das heißt beispielsweise, dass nur Passcodes mit mindestens acht Ziffern, Buchstaben und Sonderzeichen verwendet werden dürfen, dass mindestens eine Ziffer und ein Sonderzeichen vorhanden sind und dass das Passwort nach einem bestimmten Zeitraum gegen ein neues getauscht werden muss.
Zugriff auf das Firmennetzwerk
Nur Endgeräte, die von der IT-Abteilung verwaltet werden, dürfen direkt mit dem Corporate Network verbunden werden. Zudem werden für einzelne User-Gruppen Zugriffsrechte definiert. Sie beziehen sich auf beispielsweise auf Anwendungen, Daten oder Netzwerklaufwerke.
Regeln für User
Ob solche Regeln eingehalten werden, kann die IT-Abteilung kontrollieren, wenn ein Mobile Device Management (MDM) implementiert ist. Gleiches gilt für weitere Vorgaben, die seitens der Nutzer einzuhalten sind. Diese betreffen beispielsweise folgende Punkte:
Verbot des "Rootens"
Der User darf sein System weder "rooten" (Android) noch "jailbreaken" (iOS), also Nutzungsbeschränkungen seitens des Systemanbieters (Apple) entfernen oder sich zum "Super-User" aufschwingen. Jailbreaking beziehungsweise Rooten erleichtert es Angreifern, die Kontrolle über ein Endgerät zu übernehmen und sich in ein Firmennetzwerk vorzuarbeiten.
Softwareinstallation
Es dürfen keine Programme aus dubiosen Quellen installiert werden, auch nicht auf privaten Geräten, die geschäftlich genutzt werden. Notfalls kann die IT-Abteilung eine "White List" oder eine "Black Liste" mit erlaubten beziehungsweise verbotenen Apps erstellen.