Die Sicherheitsrisiken von Smartphones

CIO.de: Sehen Sie Bewegung bei den Herstellern, mit den Sicherheitsbedenken von BSI und Unternehmen ernster umzugehen als früher?

Opfer: Wir sehen eine zunehmende Bedeutung der IT-Sicherheit, denn sie ist ja auch ein Verkaufsargument für die Geräte. Aber ob sich wirklich etwas bewegt und zunehmend sichere Produkte auf den Markt kommen, ist damit noch nicht gesagt. Der Weg von der Anforderung zu entsprechend sicheren Produkten ist in der Regel längerfristig. Im Moment gibt es aus unserer Sicht nur die drei genannten Produkte, die unsere Anforderungen erfüllen.

Private und geschäftliche Daten trennen

CIO.de: Ein anderes Sicherheitsproblem ist das Mischen privater und geschäftlicher Daten in einem Gerät. Wie beurteilt das BSI dieses Problem?

Opfer: Das ist letztendlich eine Entscheidung der Sicherheitsverantwortlichen in den Unternehmen. Wenn es konkrete Bedenken gibt, dass sich private und Firmendaten mischen, dann sollte man das durch entsprechende technische Vorkehrungen trennen.

CIO.de: Wie wichtig sind, neben technischen Vorkehrungen, Regelwerke, um den Verlust von Firmendaten oder Datenklau zu verhindern?

Opfer: Grundsätzlich sind IT-Sicherheitsrichtlinien in Unternehmen wichtig. Hier liefert das IT-Grundschutzhandbuch des BSI eine fundierte Unterstützungshilfe. Konkret sollten Sicherheits-Policies einerseits die konkreten Verhaltensregeln umfassen. Sie beziehen sich aber auch auf technische Vorkehrungen bei Endgeräten. Über Policies kann ich zum Beispiel einstellen, welche Dienste zugelassen oder gesperrt werden, welche Funktionen man öffnet, welche man verbirgt.

Wichtig wäre es, solche Policies durch technische Unterstützung direkt auf den Geräten um- und durchsetzen zu können. Es nützt nichts, wenn der Administrator Einschränkungen vornimmt, und der Benutzer sie nach Belieben wieder verändern kann.