Ratgeber Mobile Security

iPad und Co. fordern CIOs heraus

30.11.2011
Von Susanne Franke

Schritt 2: Aufsetzen von Richtlinien

Welche Tools lohnen sich?
Welche Tools lohnen sich?
Foto: IDC Worldwide

Die Entscheidungen innerhalb der ausgearbeiteten Sicherheitsstrategie sollten im nächsten Schritt in Form von Unternehmensrichtlinien festgehalten werden: Diese beziehen sich auf die Art der Nutzung privater Geräte und die Bereitstellung entsprechender Anwendungen. Weitere wichtige Aspekte sind die Trennung von privaten und geschäftlichen Daten auf den Geräten, das Festlegen der erlaubten NetzwerkeNetzwerke, Rechte und Pflichten der Anwender (etwa verpflichtende Installation von Updates), Level der Verwaltung und Kontrolle dieser Devices und die Haftung im Falle des Verlusts. Alles zu Netzwerke auf CIO.de

Eines der zu lösenden Grundprobleme bei der Nutzung eines Geräts sowohl für private als auch geschäftliche Zwecke stellt die notwendige Trennung der privaten von den Unternehmensdaten dar, warnt Schneider. Dies ist sowohl rechtlich als auch sicherheitstechnisch von Bedeutung. Es stellt sich unter anderem die Frage, inwieweit ein Unternehmen auf dem Arbeitnehmer-eigenen Gerät sicherheitstechnische Maßnahmen durchsetzen darf.

Geht ein Gerät verloren, so können die Daten mit einem so genannten "Remote Wipe" unter Umständen gelöscht werden - leider meist einschließlich der privaten. Das wiederum wäre ein Eingriff in die Privatsphäre des Besitzers. Die Lösung des Problems kann aber auch nicht immer in einem Verbot der Speicherung von Geschäftsdaten auf dem mobilen Gerät liegen, denn dann wäre es auch nicht möglich, offline zu arbeiten.

Der Business App-Store

Es gibt unterschiedliche Konzepte, um den Nutzern für den geschäftlichen Betrieb die benötigten Anwendungen zur Verfügung zu stellen und somit die Trennung von privaten und beruflichen Daten zu bewerkstelligen. Eine Lösung sind so genannte Business App Stores, die nach der gleichen Methode funktionieren wie die öffentlichen App Stores, die Inhalte, Anwendungen und Dienste zur Verfügung stellen. Über die Business App Stores können Unternehmen den Nutzern Firmenanwendungen auf den mobilen Geräten zur Verfügung stellen. Auf diese Weise ließen sich private von geschäftlichen Daten trennen. Die Kehrseite der Medaille ist die Vielfalt der mobilen Geräte, für die dieser Softwareverteilungskanal vorhanden sein müsste.

Virtualisierung stellt ebenfalls eine gute Möglichkeit dar, Anwendungen auf den mobilen Geräten genauso wie auf dem Desktop zugänglich zu machen. VMware beispielsweise stellt für Android-Plattformen einen Hypervisor zur Verfügung, sodass auf einem Gerät zwei Android-Instanzen - eine private und eine geschäftliche - laufen. Bei Verlust des Geräts lässt sich die Android-Umgebung auf einer Instanz löschen, während die andere davon unberührt bleibt.

Virtualisierte Desktops sollten als weitere Alternative in Betracht gezogen werden. Auch hier stellt sich sicherheitstechnisch die Frage, ob der Endbenutzer lediglich einen VDI-Client auf seinem Gerät erhält, ohne Daten lokal speichern zu können, oder ob er auch offline arbeiten darf, also Daten abspeichern muss.

Der Zugriff auf Web-Anwendungen wie E-Mail oder Dienste aus der Cloud wie Salesforce.com, Dropbox oder GoogleGoogle Office sollte in einer Sicherheitsstrategie ebenfalls geregelt sein, beispielsweise über Black- und Whitelists. Sollen auf den mobilen Geräten keine lokalen Daten gespeichert werden, so besteht noch die Möglichkeit, Firmenanwendungen mit einem Web-Interface zu versehen. Aber Vorsicht: Dies will sorgfältig entwickelt und abgesichert sein, denn die nach außen gerichtete Schnittstelle ist Bedrohungen wie SQL Injection ausgeliefert. Alles zu Google auf CIO.de

Zur Startseite