iPhone, Android, Blackberry & Co.

Smartphones ins Firmennetz integrieren

Verschiedene Sicherheitsstufen

Da die Plattformen unterschiedlich Business-tauglich sind, ergibt es Sinn, verschiedene Sicherheitsstufen zu definieren und die Eignung dafür detailliert zu betrachten. Denn trotz einiger Horrorgeschichten über den mangelnden Schutz von Smartphone-Daten, benötigen Unternehmen nicht immer das höchste Sicherheitsniveau, da nicht jeder Mitarbeiter auf geschäftskritische Daten zugreifen kann. Nebenbei bemerkt sollten die Sicherheitsanforderungen natürlich auch für die Mitarbeiternutzung von privaten oder bereitgestellten PCs gelten.

Kategorie 1: Sicherer Zugriff auf normale Geschäftsinformationen

Unkritisch: Geht es nur um die sicheren Zugriff auf unkritische Geschäftsinformationen, eignen sich auch WebOS- oder Android-Geräte.
Unkritisch: Geht es nur um die sicheren Zugriff auf unkritische Geschäftsinformationen, eignen sich auch WebOS- oder Android-Geräte.

Beispiele: Diese Kategorie betrifft unter anderem Lastwagenfahrer, einfache Vertriebsmitarbeiter, Reparatur- oder Wartungspersonal - sie alle haben in der Regel mit normalen Geschäftsinformationen zu tun, die weder sehr persönlich noch sensibel sind. Geht das Smartphone eines solchen Mitarbeiters verloren oder wird es gestohlen, hält sich der daraus resultierende Aufwand entsprechend in Grenzen. Es genügt in der Regel, einige Daten zu rekonstruieren und dafür zu sorgen, dass die SIM-Karte gesperrt wird. Anschließend muss ein Ersatzgerät gekauft und eingerichtet werden. Wegen des Risikos, dass ein Dieb auf die E-Mails zugreift, sollten außerdem Passwörter auf dem Server geändert werden.

Erforderliche Sicherheits-Features: Die erforderlichen Maßnahmen zur Absicherung beschränken sich auf eine PIN, die man kennen muss, um das Gerät zu benutzen.

Empfehlenswert: Zu den empfehlenswerten, aber nicht unbedingt erforderlichen Sicherheits- und Management-Funktionen gehört die Möglichkeit, dem Anwender die Verwendung eines zeitlich begrenzten und komplexen Passworts vorzuschreiben, das Gerät remote zu löschen sowie E-Mails und andere Daten bei der Übertragung via SSL zu verschlüsseln. Um hartnäckige Datendiebe auszubremsen, sollten die Inhalte des Smartphones auch nach einer bestimmten Zahl von fehlgeschlagenen Anmeldeversuchen automatisch gelöscht werden.

Geeignete Plattformen: Nutzer, die überwiegend mit dieser Art von Informationen zu tun haben, müssen nicht unbedingt mit einem Blackberry oder Windows-Mobile-Gerät ausgestattet werden.

Apple iPhone: Das Apple iPhone unterstützt die Forderung nach einer PIN, aber auch sämtliche nice-to have-Features (dabei ist die SSL-Verschlüsselung der Mail- und PIM-Daten nativ, Device Encryption wurde bisher jedoch nur vom iPhone 3GS, dem iPod Touch der dritten Generation sowie dem iPad unterstützt).

Sicherheit auf Raten: Erst iPhone OS 4.0 erlaubt Policy-Profile von Drittanbietern.
Sicherheit auf Raten: Erst iPhone OS 4.0 erlaubt Policy-Profile von Drittanbietern.

Etwas problematisch ist jedoch die Durchsetzung dieser Anforderungen: Falls Sie sich nicht darauf verlassen können (oder wollen), dass die Benutzer die in der Policy festgelegten Einstellungen selbst vornehmen, können Sie entsprechende Profile mit dem kostenlosen iPhone-Konfigurationsprogramm erstellen. Wer Zweifel hat, dass diese anschließend auch wirklich installiert werden, muss dies selbst tun - manuell via USB-Kabel und PC oder Mac. Einfacher ist es, wenn Sie Ihren Mitarbeitern in diesem Punkt vertrauen. Dann reicht es, ihnen die Profile zuzuschicken oder über einen Web-Link zum Installieren bereitzustellen (mit iPhone OS 4.0 können die Profile auch über Tools von Drittanbietern installiert werden).

Wenn Sie Microsoft Exchange 2007 verwenden, können Sie PIN und Passwort-Anforderungen über die in Exchange ActiveSync (EAS) enthaltenen Policies erzwingen. Sie können das Gerät außerdem via EAS remote löschen. Außerdem gibt es Tools von Drittanbietern wie Good Technology, Mobile Iron, Sybase oder - hierzulande - Ubitexx, die die Bereitstellung des Konfigurationsprofils und andere Verwaltungsaufgaben über die Luftschnittstelle übernehmen.

Unternehmen, die Domino/Lotus Notes (Domino 8.5.1) nutzen, können über die kostenlose Anwendung "Lotus Notes Traveler" Passwort-geschützte Mails versenden. Die App unterstützt außerdem das remote Löschen von E-Mail-, Kontakt- und Kalenderdaten, kann jedoch außerhalb des Notes-Umfelds nicht die Einhaltung von Policies auf dem iPhone erzwingen. Wenn eine solche Funktion benötigt wird, werden die Tools von den oben genannten Mobile-Device-Management-Anbietern benötigt.

Google Android: Auch Android-Geräte können so konfiguriert werden, dass eine PIN oder ein benutzerdefiniertes Muster zur Nutzung erforderlich sind. Es gibt jedoch keine Möglichkeit, diese Schutzmaßnahmen über einen Server vorzuschreiben. Auch die meisten zusätzlichen Features in dieser Kategorie werden von Google-Handys nicht unterstützt, da das Betriebssystem Dienste wie eine grundsätzliche Verschlüsselung nicht bietet.