5 Strategien für mobile Sicherheit

Mobile Endgeräte versprechen wunderbare Optionen für die Zukunft, sind in der Gegenwart aber noch arg offene Einfallstore für Kriminelle. „Wir befinden uns in einem Wettrennen zwischen bösartiger Ausnutzung und den Sicherheitsvorkehrungen“, charakterisiert William Boni, Chief Information Security Officer (CISO) bei T-Mobile USA, die aktuelle Lage. „Ähnlich wie bei PCs werden wir auch beim Mobile Computing sehen, wie sich ein Phänomen aus dem Consumer-Markt zu einem umfassenden Unternehmens-Framework weiterentwickelt, der eine ausreichende Datensicherheit gestattet.“

Boni ist einer von 19 Experten aus weltweit führenden Firmen, die im Security for Business Innovation Council (SBIC) von RSA sitzen. RSA wiederum ist eine Abteilung des Security-Anbieters EMC. Gemeinsam haben der Anbieter und die IT-Security-Verantwortlichen von Konzernen wie Coca-Cola, Ebay, JPMorgan Chase, SAP und Walmart nun die Lage der mobilen Sicherheit analysiert. Fünf Strategien für den Aufbau effizienter und flexibler Programme für den Einsatz mobiler Geräte stellt das SBIC in der Studie vor.

3 Trends treiben die Sicherheitsdiskussion

Ausgangspunkt der Analyse sind indes drei Faktoren, die den aktuellen Mobile-Trend nach Einschätzung der Experten kennzeichnen:

• Erstens sei es wie einst beim PC das Konsumenten-Verhalten, das den Umbruch vorantreibt.

• Zweitens wollen die Menschen persönliche und berufliche Dinge auf einem einzigen Endgeräte erledigen, was naturgemäß gegen den Einsatz strikt abgegrenzter Firmengeräte spricht.

• Drittens befinde man sich inmitten eines kulturellen Wandels. Mobile Endgeräte würden prägend für die Art und Weise, in der Menschen interagieren, kommunizieren, Lernen und überhaupt ihr Leben führen – egal ob zu Hause oder im Büro

Das SBIC kommt zu dem Schluss, dass es für Unternehmen aufgrund der wachsenden Sicherheitsprobleme durch mobile Geräte notwendig geworden ist, ihre Mobilstrategie in das Risikomanagement zu integrieren. Als mögliche positive Auswirkungen zählt das SBIC eine höhere Agilität und Produktivität, verbesserte Vertriebsprozesse und geringere Kosten auf.

Um von diesen Vorteilen zu profitieren, müssen Unternehmen jedoch die möglichen Risiken kennen und wissen, wie sie ihnen begegnen können. Folgende fünf Strategien sollen dabei helfen, die Probleme zu meisten:

Feste Regeln und kurzfristige Maßnahmen

1. Feste Regeln

Unternehmen sollten laut Studie abteilungsübergreifende Teams bilden, die klare Grundregeln formulieren. Jedes mobile Lösungen einschließende Projekt sollte von Anfang an klare Geschäftsziele vorgeben. Dazu gehören die erwarteten Kosteneinsparungen oder Umsatzziele ebenso wie die Definition des Risikos, das das Unternehmen zur Realisierung dieser Ziele bereit ist einzugehen.

2. Kurzfristige Maßnahmenpläne

Mobile Sicherheitstechnologien entwickelten sich schnell weiter und seien in vielen Fällen noch nicht ausreichend erprobt, so das Council. Unternehmen sollten daher von langfristigen Investitionen in mobile Sicherheitslösungen absehen. Das SBIC fokussiert sich stattdessen auf zahlreiche Sofortmaßnahmen und wichtige Schritte für die kommenden zwölf bis 18 Monate. Konkret geht es insbesondere um Mobile Device Management (MDM) und Containerisierung.

Das Dilemma dabei: Perfekte Lösungen auf lange Sicht erscheinen derzeit utopisch. „Die Anbieter für mobile Sicherheit hängen von der Gnade der großen Plattform-Vendoren ab“, formuliert Robert Rodger, Head of Infrastructure Security bei HSBC. „Ein neues Betriebssystem kommt heraus – und andere Dinge gehen in die Brüche.“ Der Markt sei sehr dynamisch, die Security-Provider zwangsläufig unreif, so Rodger weiter. „Das macht einen großen Teil des fortbestehenden Risikos aus.“

MDM und Containerisierung können kurzfristig Abhilfe schaffen, aber das jeweils nicht ohne konzeptuelle Schwächen. MDM-Lösungen seien ein guter Weg für firmeneigene Endgeräte, heißt es in der Studie. Aber das damit verbundene Niveau an Kontrolle sei womöglich nicht geeignet für die privaten Smartphones und Tablets, die im Rahmen von Bring-your-own-Device (BYOD) im Unternehmen eingesetzt werden. Container wiederum schafften zwar eine steuerbare Verbindung zwischen den darin befindlichen Apps und dem Firmennetzwerk. „Aber die Herausforderung ist, dass die Apps auf den Container zugeschnitten werden müssen – was Innovationen hemmen kann“, heißt es in der Studie. Zudem sei mit Widerständen von Anbieterseite zu rechnen.

Alternativen seien individuelle Apps, wie sie dank HTML5 zeitnah entwickelt werden können. Digitale Wrapper seien eine Option für die BYOD-Umsetzung, allerdings auch einhergehend mit einigem Aufwand für jede einzelne App. Weil die Experten aber kein perspektivisches Rezept für alle Lagen sehen, formulieren sie allgemeine Tipps:

1. In der Mobile Application Security sollten Best Practices etabliert werden.

2. Lokales Speichern sensibler Daten ist grundsätzlich zu vermeiden.

3. Für notwendig auf dem Endgeräte befindliche Daten geht es nicht ohne Verschlüsselung und Remote-Löschfunktion.

Funktionen und Architektur der Anwendungen betrachten

3. Erfahrungen sammeln

Es ist wichtig zu wissen, wie mobile Anwendungen aufgebaut sein müssen, damit Unternehmensdaten geschützt sind. Trotzdem verfügen viele Sicherheitsteams in Unternehmen noch nicht über das notwendige Wissen. Das SBIC stellt fest, dass es nicht nur auf die reine Analyse von Sicherheitsfragen ankommt. Ebenso sei es notwendig, die gesamte Funktionalität und Architektur der Anwendung zu betrachten. Das SBIC erläutert hierzu wichtige Designkriterien und Methoden.

4. Langfristig planen

Der Aufbau eines Risikomanagements wird von vielen Aspekten beeinflusst. Unternehmen müssen ihre Sicherheitsansätze dementsprechend aktualisieren. Mögliche Ansatzpunkte sind die Nutzung risikobasierter, adaptiver Authentifizierung, Netzwerksegmentierung, datenorientierte Kontrollmaßnahmen oder Cloud-basierte Gateways.

5. Kenntnisse erweitern

Unternehmensinterne Sicherheitsteams sollten ihre Kenntnisse des mobilen Ökosystems vertiefen und kontinuierlich auffrischen. Das SBIC meint in diesem Zusammenhang Wissen über Bedrohungen und Gegenmaßnahmen – also den Umgang mit alltäglicher Malware. Ebenso erforderlich sei aber auch Wissen über die Evolution von Hardware und Betriebssystemen sowie ein Verständnis der Rolle von mobilen Service-Providern.

„Durch die Verbreitung mobiler Geräte und Anwendungen bieten sich für Unternehmen enorme Möglichkeiten, Geschäftsvorteile zu erzielen“, lautet das Fazit von Art Coviello, Executive Chairman von RSA. „Aber die damit einhergehenden Risiken sind ebenso groß.“