Mobile Security

Mobilgeräte sind eine der bahnbrechendsten Entwicklungen im IT-Bereich seit der Umstellung von Großrechnern auf PCs vor 20 Jahren. Sie überzeugen durch Konnektivität an fast jedem Ort für ununterbrochenen Zugriff auf das Internet und bieten mehr Rechenleistung als die Steuerzentrale der NASA bei der ersten Mondlandung.

Mobilgeräte und ihre rasend schnelle Entwicklung geben bereits heute vielbeschäftigten Berufstätigen die Möglichkeit, ihr Berufs- und Privatleben mobil zu managen. In Sekundenschnelle können wir die Vorzüge der digitalen Welt im realen Leben nutzen und beispielsweise Tickets buchen, Geschäftsdaten austauschen oder uns mit Freunden treffen, die gerade in der Nähe sind. Ihr Mobilgerät – oder wer es kontrolliert – weiß aber auch, wo Sie sind und wo Sie sein sollten. Es kennt Ihre Konversationen im Detail und weiß über Ihr Berufs- und Privatleben bestens Bescheid.

Viele von uns befürchten (zu Recht) traditionelle Übergriffe, wie Malware oder Phishing, auf den neuen Geräten. Jedoch bringen auch gerade die neuen Funktionen bisher unbekannte Gefahren mit sich. Neue Features wie Augmented Reality, Gesichtserkennung und integrierte soziale Medien setzen die Benutzer ganz neuen Risiken aus. Malware-Angriffe auf Mobilgeräte sind zwar weitaus seltener als Angriffe auf herkömmliche PCs, aber es gibt sie. Insbesondere Android wurde aufgrund seines relativ offenen AppStores vermehrt zum Angriffsziel. Selbst BlackBerrys, die als extrem sicher gelten, wurden bereits Opfer von Malware-Angriffen. iPhones mit Jailbreak sind ein hervorragendes Beispiel für „vom Benutzer gewünschte Malware“ mit Sicherheitslücken als Folge. Mit Hilfe von Jailbreaks können Benutzer ihre Geräte in einem von Apple nicht vorgesehenen Maße personalisieren und illegal erworbene Anwendungen ausführen. Hierbei handelt es sich um eine durchaus gängige Praxis, die jedoch die Geräte für Malware-Angriffe anfällig macht.

Die oberste Priorität Ihrer Sicherheitsstrategie für Mobilgeräte sollte darin bestehen, die Basisfunktionen unter Kontrolle zu bekommen. Die meisten Sicherheitslecks sind nämlich darauf zurückzuführen, dass die Grundlagen missachtet werden: schwache Passwörter, keine Verschlüsselung, fehlende Patches und Social Engineering.

Die Bedeutung von BYOD für Ihr Unternehmen

BYOD gilt nicht nur für PCs. Mitarbeiter verwenden für ihre Tätigkeit u. a. auch Smartphones, Tablet-PCs, BlackBerrys und Ultraleicht-Notebooks. Das BYOD-Konzept wird auch immer mehr auf Software und Services ausgeweitet, da Mitarbeiter internetbasierte Cloud-Dienste und andere Tools verwenden.

Egal, was Sie von BYOD halten, und wie auch immer Sie es implementieren – IT-Manager sollten dabei vorgehen wie bei der Einführung jeder neuen Technologie: mit einer kontrollierten, planbaren Bereitstellung.

Stellen Sie sich folgende Fragen:

Wer ist Eigentümer des Geräts?

Dies hat sich im Laufe der Zeit geändert. Früher gehörten die Geräte dem Unternehmen. Beim BYOD-Konzept sind die Benutzer Eigentümer der Geräte.

Wer verwaltet das Gerät?

Diese Frage war früher einfach zu beantworten. Heute kann es der Benutzer oder das Unternehmen sein.

Wer sichert das Gerät?

Diese Verantwortung übernimmt der Benutzer nicht automatisch, nur weil das Gerät ihm gehört. Schließlich sind die auf dem Gerät gespeicherten Daten Unternehmenseigentum.

Um BYOD-Geräte zuverlässig zu sichern, benötigen Sie ebenso klare Sicherheitsmaßnahmen wie für alle anderen Geräte, die sich bereits in Ihrem Netzwerk befinden. Folgendes zählt zu diesen Sicherheitsmaßnahmen:

Durchsetzung strenger Passwörter auf allen Geräten

Virenschutz und Data Loss Prevention (DLP)

Vollständige Verschlüsselung von Festplatten, Wechseldatenträgern und Cloud Storage

Mobile Device Management (MDM) zum Löschen vertraulicher Daten, falls ein Gerät verloren gegangen ist oder gestohlen wurde

Application Control

Die 7 Schritte zu einem BYOD-Sicherheitsplan

BYOD-Programme und Sicherheit schließen sich nicht aus. Es kommt nur auf die richtige Planung an. Die könnte z.B. wie folgt aussehen:

Finden Sie heraus, welche Risiken BYOD mit sich bringt.

Ermitteln Sie, wie diese Risiken Ihr Unternehmen beeinträchtigen könnten.
Ordnen Sie, wo es geht, jedem Risiko eine Richtlinie zu.
Stellen Sie für die Implementierung von BYOD ein Experten-Gremium aus folgenden Mitgliedern zusammen:

Interessensvertreter des Unternehmens

Interessensvertreter der IT

Interessensvertreter des Datenschutzes

Entscheiden Sie, wie die Richtlinien für Geräte, die auf Ihr Netzwerk zugreifen, durchgesetzt werden sollen:

Für Mobilgeräte (Smartphones)

Für Tablet-PCs (iPad)

Für Mobilcomputer (Laptops, Netbooks, Ultrabooks)

Planen Sie ein Projekt, das folgende Punkte gewährleisten kann:

Remote-Geräteverwaltung

Application Control, um unerwünschte Anwendungen zu blockieren

Richtlinieneinhaltung und Prüfungsberichte

Daten- und Geräteverschlüsselung

Erhöhung der Sicherheit von Cloud-Storage

Bereinigung der Geräte, wenn sie nicht mehr verwendet werden

Entzug des Gerätezugriffs, wenn der Mitarbeiter das Unternehmen verlässt

Vergleichen Sie die Lösungen.

Berücksichtigen Sie den Einfluss verschiedener Lösungen auf Ihr bestehendes
Netzwerk.Überlegen Sie sich, wie Sie das bestehende System verbessern können, bevor Sie den nächsten Schritt gehen.

Implementieren Sie die Lösungen.

Beginnen Sie mit einer Pilotgruppe, deren Mitglieder aus den betroffenen Fachabteilungen stammen.
Erweitern Sie das Pilotprojekt dann nach und nach auf ganze Abteilungen.
Machen Sie das BYOD-Programm schließlich für alle Mitarbeiter zugänglich.

Reevaluieren Sie die Lösungen in regelmäßigen Abständen.

Berücksichtigen Sie dabei Anbieter und vertrauenswürdige Berater.
Nutzen Sie Roadmaps, um die nächsten Prüfschritte zu planen.
Denken Sie an kostensparende Gruppentarife.