FAQ
Wie sichere ich mobile Endgeräte im Unternehmen ab?
Smartphones und Tablets erfreuen sich als mobile Endgeräte steigender Beliebtheit. Bei der Nutzung dieser mobilen Kommunikationstechniken kommen immer mehr Informations- und Kommunikationsdienste im privaten und im beruflichen Umfeld zum Einsatz. Mit dieser FAQ-Liste soll die Aufmerksamkeit erzeugt werden, die erforderlich ist, um den gängigen Schwachstellen und Bedrohungen begegnen zu können.
Was ist bei der Auswahl einer mobilen Geräteplattform zu beachten?
Bei der Auswahl einer mobile Plattform müssen neben funktionalen Anforderungen auch die Anforderungen an die Sicherheit der Geräte und der auf ihm befindlichen Daten in Betracht gezogen werden. Die vom Gerätehersteller ermöglichten Update-Strategien sind ebenfalls nicht zu vernachlässigen. Die Geräte müssen durch regelmäßige und automatisierbare Updates versorgt werden können. Sollte eine Plattform dies nicht anbieten, riskieren Unternehmen, auf eventuelle Sicherheitsbedrohungen nicht zeitnah reagieren zu können.
- Was Unternehmen erwarten
Einer Studie von IDC Deutschland zufolge erwarten sich deutsche Unternehmen vom Einsatz von Mobilsystemen handfeste wirtschaftliche Vorteile. Eine höhere Zufriedenheit von Mitarbeitern spielt eine untergeordnete Rolle. - Hürden in Sachen Mobility
Einer Umfrage von Citrix unter IT-Fachleuten zufolge sind potenzielle Sicherheitsrisiken ein Grund dafür, dass Mobility-Strategien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden. - Apple vor Android
Apples iOS knapp vor Android: In Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz waren nach einer Untersuchung der Beratungsfirma Pierre Audoin Consultants (PAC) im vergangenen Jahr im Schnitt 2,4 Mobilbetriebssysteme im Einsatz. Auch Blackberry hielt sich trotz der wirtschaftlichen Probleme des Herstellers RIM beachtlich. - Länderverteilung
Nach Angaben des Marktforschungsinstituts PAC setzen deutsche Firmen vor allem auf Mobilgeräte mit Apples Betriebs iOS und Android-Systeme. Immer noch stark vertreten ist RIM mit Blackberry. - Strikte Regeln
PAC zufolge bestehen vor allem deutsche Unternehmen auf strikten Regeln bei der Nutzung mobiler Geräte und dem Umfang mit entsprechenden Daten. - App-Regeln
Viele Firmen verzichten darauf, Regeln für die Nutzung von Apps auf Mobilgeräten zu definieren. Im Gegensatz dazu existieren in den meisten Organisationen Vorgaben, welche Mobilsysteme verwendet werden dürfen. - Private Apps
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen. - Der Citrix-Ansatz
Mit MDX von Citrix kann ein User von seinem Mobilgerät aus über ein Virtual Private Networks auf Daten und Anwendungen im Firmenrechenzentrum zugreifen. Die Apps und lokalen Daten auf dem Mobilsystem werden mithilfe von Wrapping und Containern geschützt. - Schutzwirkung
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend. - Zugriffs-Policies
Eine Beispiel für abgestufte Zugriffsregelungen für Nutzer von Mobilgeräten: Nutzer von Android-Geräten mit dem Original-Betriebssystem und MDM können auf weniger IT-Ressourcen zugreifen als User von Android-Systemen, deren Betriebssystem-Kernel für ein umfassendes Remote-Management modifiziert wurde. - Pro und Contra
Vor- und Nachteile unterschiedlicher Mobile-Security-Verfahren aus Sicht des amerikanischen Mobility-Spezialisten Mobile Spaces - Die Techniken
Unterschiedliche Ansätze: Um mobile Applikationen und Daten auf sichere Weise bereitzustellen, haben IT-Abteilungen die Wahl zwischen einer Vielzahl von Verfahren. Etliche, etwa das Wrapping von Anwendungen, erfordern teilweise den Einsatz von Software Development Kits (SDKs) und Eingriffe in den Programmcode von Applikationen. - Urteil des Fachmanns
Rüdiger Trost, Sicherheitsfachmann von F-Secure: "Zu einer Mobile-Security-Strategie gehören nicht nur Container für Apps und Daten, sondern auch die Absicherung der Verbindungen zwischen Mobilgerät und Firmennetz sowie speziell abgesicherte Online-Plattformen für den Datenaustausch zwischen Mitarbeitern."
Was ist bei der Nutzung von kostenfreien Diensten zu beachten?
Bei der Nutzung kostenfreier Dienste ist neben den Serives oder Anwendungen selbst auch auf die Vertrauenswürdigkeit des Herstellers zu achten. Gerade kostenlose Dienstangebote können das Risiko mit sich bringen, dass nicht der Dienst, sondern die Daten des Anwenders der eigentliche Preis des Produktes sind.
Welche Faktoren bestimmen die Sicherheit einer mobilen Plattform ?
Grundsätzlich stellt sich die Frage, ob eine Plattform kompromittiert werden kann beziehungsweise wurde (Jailbreak, Root). In einem solchen Fall greifen die Sicherheitsmechanismen der Hersteller nicht mehr. Abseits dieser Grundsatzfrage gibt es jedoch weitere Faktoren. Die Architektur einer mobilen Plattform ist ebenfalls für eine Sicherheitsbewertung wichtig.
Bietet beispielsweise die Entwicklungssprache der Plattform einem Angreifer die Möglichkeit, direkten Zugriff auf den Quellcode von Applikationen zu bekommen zum Beispiel Android allgemein oder Windows Phone bei inhouse-Apps), ist dies entsprechend anders zu bewerten als eine Plattform, bei der höchstens auf Assembler Code und Methodennamen etwa iOS) zugegriffen werden kann.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Weiter muss sich das Gerät in die bestehenden Ökosysteme des Anwenders beziehungsweise des Unternehmens einbinden lassen, ohne dass große Änderungen nötig sind. Jedes notwendige Zusatzprodukt kann potenziell ein zusätzliches Risiko darstellen. Im professionellen Umfeld muss zunehmend eine Trennung zwischen privaten und öffentlichen Vertrauensbereichen sichergestellt werden. Dabei ist es egal, ob es sich um ein eigenes Endgerät (ByoD - Bring your own Device) oder ein von der Firma bereitgestelltes und zur privaten Nutzung freigegebenes (CyoD - Chose your own Device) Endgerät handelt. Hier bieten sich Dual Persona Systeme (etwa BlackBerry, Android L) oder Architekturen zur Trennung auf App Ebene (zum Beispiel iOS) an.