Für die Datenschutzveranwortlichen im Unternehmen und für CIOs ist es ein Albtraum, wenn mobile Geräte mit wichtigen und vertraulichen Firmendaten irgendwo liegen bleiben und in die falschen Hände geraten. Dass Handlungsbedarf besteht, bestätigt eine Umfrage des Sicherheitsdienstleisters Pointsec Mobile Technologies: 55.000 Handys, 5.000 Handhelds, 3.000 Laptops und 900 USB-Sticks haben Londoner Taxifahrer in einem halben Jahr in ihren Autos gefunden. Fast jeder (92 Prozent) hatte darauf vertrauliche Geschäftsinformationen und -dokumente gespeichert. Nicht einmal jeder Zweite verschlüsselt seine Mails. In London wurden dazu etwa 250 Taxifahrer befragt und die Ergebnisse anhand der Anzahl der Taxis hochgerechnet. Auf eine Anfrage der FDP gab die Bundesregierung kürzlich zu, dass in den vergangenen drei Jahren aus Behörden in Deutschland rund 500 Notebooks und PCs gestohlen wurden - oder anderweitig verloren gingen. Betroffen sind demnach "die meisten Bundesbehörden". Klar ist: Das Problem ist kein ur-englisches.
Bundesbehörden: 500 Laptops futsch
Die Behörden arbeiten zwar an Sicherheitskonzepten, wie die Antwort auf eine Anfrage von CIO aus dem Niedersächsischen Justizministerium belegt: "Das Mobile-Devices-Konzept ist noch im Entstehen begriffen, sodass ich dem Endergebnis an dieser Stelle auch im Hinblick auf sicherheitstechnische Erkenntnisse nicht vorgreifen möchte", lässt Ralph Guise-Rübe, Referatsleiter IT, ausrichten. Aber noch gibt es das nicht.
Eine kleine Umfrage unter deutschen CIO ergibt, dass gar nicht so viele Geräte verloren gingen, wie befürchtet und von Firmen, die von Sicherheitslösungen leben, behauptet wird. Und natürlich haben die Firmenverantwortlichen rechtzeitig Vorsorge getroffen.
Josef van Kisfeld, Datenschutzbeauftragter von TUI Infotec zählt auf, mit welchen Sicherheitslösungen die sensiblen Firmendaten der mobilen Endgeräte geschützt werden: Festplattenverschlüsselung, E-Mail-Verschlüsselung, qualifizierte Zugangsberechtigung für Blackberry und PDA, Remote Access über VPN-Tunnel (Token-basiert). "Die Verlustrate solcher Systeme ist sehr gering", sagt van Kisfeld. Grund dafür: eine Sensibilisierung der Mitarbeiter für den Umgang mit mobilen Geräten. "Das Problem der noch ungeschützten USB-Ports und der unreglementierten Nutzung von USB-Sticks haben wir noch nicht zufrieden stellend gelöst. Das gehen wir aber jetzt im Rahmen unseres Projektes Device-Control-Mangement an."
Ein gutes Geräte-Management ist dabei das A und O, denn wenn Mitarbeiter damit beginnen, ihre privat erworbenen mobilen Geräte ins Unternehmen mitzubringen und an die Firmen-PCs anzuschließen, geht leicht die Übersicht verloren. Und mit der Sicherheit ist es dann natürlich auch nicht mehr weit her. Beim TÜV Nord achtet IT-Leiter Gunnar Thaden darauf, "die Geräte in den Griff zu kriegen". 6.000 Mobile Devices sind im Einsatz. Thaden: "Wir sind ein mobiles Unternehmen. Bei uns dreht sich alles darum, wie wir unsere Systeme noch besser administrieren können."
Daten zentral verteilen und löschen
Thaden setzt bei seinen Laptops auf neue Sicherheits-Features von Windows Vista sowie auf Software von Symantec und Bitlocker. Dank der Homogenisierung von Hard- und Software meint Thaden, bei der Durchsetzung seiner Mobilitätsstrategie leichtes Spiel zu haben. Symbian und Mac OS gibt es hier nicht, nur Windows 2000, XP, Vista und Windows Mobile. Anwendungen und Daten kann die IT nicht nur zentral verteilen, sondern bei Verlust auch wieder zentral löschen. Dazu kommt: Der Vista-Referenzkunde TÜV Nord wird als eines der ersten Unternehmen den "System Center Mobile Device Manager 2008" (Codename Yona) von Microsoft testen. Dabei dreht sich alles um Sicherheit, Geräte-Management und VPNs. Und gegen bewussten Datendiebstahl setzt Thaden auf menschliche Vorsorge: "Wenn sich Mitarbeiter im Unternehmen wohlfühlen, dann passiert das auch nicht", sagt er.
Bei Banken stehen Datendiebstahl und mobile Sicherheit nach Bekundungen der IT-Verantwortlichen ganz oben auf der Tagesordnung. "Bei der Hypo Vereinsbank (HVB) werden nicht öffentliche Daten auf mobilen Devices grundsätzlich geschützt und verschlüsselt", sagt Klaus Rausch, Sprecher der Geschäftsführung von HVB Information Services. Bei der HVB sind Handys, Blackberrys und Laptops im Einsatz. "Bei Blackberrys und Laptops wird der Zugriff auf unser Netz und unsere Daten nur über definierte Kanäle zugelassen. Es gibt immer eine Zwei-Faktor-Autorisierung, das heißt zusätzlich zum Passwort einen Token, der eine Ziffernfolge für die Laptop-Anmeldung generiert", so Rausch. Bei firmeneigenen Blackberrys erlaubt die HVB ihren mobilen Mitarbeitern nur eine sehr rigide Konfiguration mit einem genau definierten Applikations-Set.
Beim Einsatz von externen Festplatten oder USB-Sticks wird ebenfalls restriktiv verfahren. Im Profil der Laptops wird der Zugriff auf die USB-Schnittstelle meistens eingeschränkt. "Den Zugriff auf das Internet von unterwegs erlauben wir nicht über Hotspots, sondern nur geschützt über die HVB-Infrastruktur, also über gesicherte VPNs, über Proxy-Verbindungen mit Content-Filter und Virenscanner", so IT-Leiter Rausch.
"Die Zahl der verlorenen Devices ist in unserem Unternehmen aber vernachlässigbar. Uns ist kein Fall bekannt, in dem irgendwelche Daten abhandengekommen sind", behauptet Rausch. Dennoch wird die Sicherheitsproblematik ernst genommen: "Das Thema ist für uns wichtig. Denn die Bedrohungen nehmen weiter zu. Und wenn sie sich verschärfen, werden wir reagieren. Doch im Moment glauben wir, dass wir hier gut aufgestellt sind", so Rausch weiter. Fragt sich nur, wem die täglich gefundenen Handys, Laptops und Blackberrys gehören.