Foto: Steria Mummert Consulting
Wirksame Konzepte für eine mobile Datensicherheit sind dringend gefragt: Denn das Arbeiten außerhalb des Büros hat in großem Umfang zugenommen. Unternehmen öffnen sich für Home-Office-Konzepte, Fach- und Führungskräfte arbeiten auf Geschäftsreisen auch ihre Routinearbeiten ab, die Mehrheit nimmt Smartphone, Tablet oder Notebook sogar mit in den Urlaub. Insbesondere Entscheidungsträger, die am häufigsten mit sensiblen unternehmensstrategischen Daten umgehen, sind viel unterwegs und tragen diese Daten auf ihren Geräten bei sich.
Die Bedrohungen, die von Smartphones und Tablets ausgehen, stecken oft in Alltagssituationen. Sie sind beispielsweise in der Regel dauerhaft eingeschaltet und damit meistens auch kontinuierlich online. Die vielen Zusatz-Funktionen, wie die eingebaute Kamera, GPS sowie Mikrofon stellen ebenfalls besondere Sicherheitsrisiken dar, die es bei Laptops nicht gibt. Sie verbreitern das Spektrum an Informationen, die über das Smartphone ausspioniert werden können. Die immense Speicherkapazität im Vergleich zur Größe bedeutet zudem, dass bereits durch eine kleine Sicherheitslücke enorme Datenmengen in falsche Hände geraten können.
Darüber hinaus besteht für die IT-Sicherheitsverantwortlichen häufig kein ausreichender Zugang zum Betriebssystem für Schutzmaßnahmen. Das ist speziell bei Anbietern der Fall, die auf eine geschlossene Hard- und Software-Philosophie setzen. Dies macht es zwar auch Hackern schwieriger, Schadsoftware einzuschleusen. Wenn es allerdings zu Angriffen kommt, sind Gegenmaßnahmen ebenfalls erschwert.
Unternehmen fehlt der Überblick über mobilen Gerätepark
Umfassende Managementsysteme für mobile Endgeräte im Business-Alltag sind noch selten zu finden. Denn die im stationären Unternehmensnetzwerk gängigen und bewährten IT-Sicherheitsmethoden lassen sich nicht einfach eins zu eins auf die mobile Welt übertragen. Das fängt schon bei der Inventarisierung der Endgeräte an, dem sogenannten Asset Management. Die Auswahl und Verwaltung der kleinen Wegbegleiter, inklusive Software, ist deutlich komplexer als beim Management der stationären Büro-IT. Die Unternehmen werden beispielsweise von einer wahren Flut mobiler Technik überschwemmt. Die Zahl der Anbieter von Hard- und Software steigt rasant.
Und nach den Smartphones, die immer mehr können, treten als nächstes die Tablet Computer ihren Weg in die Geschäftswelt an. In den meisten IT-Abteilungen gibt es aktuell kein genaues Bild darüber, welche Geräte im Unternehmen existieren, wie die Smartphones und Pocketcomputer konfiguriert sind, welche Sicherheitslücken die einzelnen Geräte aufweisen sowie welche Schutzmaßnahmen auf den Geräten installiert sind und gepflegt werden.
Diffuse Sicherheitslage wegen privater Smartphones kaum zu ändern
Diese diffuse Sicherheitslage lässt sich schwer ändern: Denn die geschäftliche und private Nutzung der mobilen IT verschwimmt. Anders als bei der Ausstattung mit Büro-PCs kauft sich der Mitarbeiter das Gerät oft selbst und nutzt es sowohl privat und geschäftlich. Das ist von vielen Unternehmen auch so akzeptiert. Fast jeder zweite Smartphone-Besitzer nutzt das eigene Gerät nicht nur privat, sondern auch für geschäftliche Zwecke. 2015 werden acht von zehn Geräten, die geschäftlich genutzt werden, privat angeschafft und nicht vom Arbeitgeber zur Verfügung gestellt, prognostiziert der Marktforscher Gartner. Und die Kaufentscheidung ist vielfach von der Marke des Herstellers und weniger von der Funktionalität und der möglichen Anfälligkeit für Cyberattacken geprägt.
Das erschwert das IT-Sicherheitsmanagement erheblich. Denn die IT-Sicherheitskräfte haben es mit einem ganzen Sammelsurium an Endgeräten und Betriebssystemen zu tun. Alle haben ihre ganz individuellen Sicherheitslücken, gegen die sich die Unternehmen schützen müssen. Gleichzeitig behindert die Mischung aus geschäftlicher und privater Nutzung das Durchführen von Sicherheitsmaßnahmen. Wenn Mitarbeiter beispielsweise private Applikationen auf ihr Geschäftshandy herunterladen oder auf Geschäftsreisen mit dem Handy privat fotografieren, wird es für die IT-Sicherheit zum Problem.
Im Falle einer Virenattacke können sie nicht einfach eine Standardkonfiguration wiederherstellen, um so das Gerät von Schadsoftware zu säubern. Denn dadurch werden gleichzeitig private Anwendungen und Daten unter Umständen gelöscht. Konflikte mit den Mitarbeitern sind programmiert, was zu Lasten der Akzeptanz von IT-Sicherheitsmaßnahmen geht.
Erhöhte Wachsamkeit und schnelle Prozesse sind gefragt
Die reduzierte Einflussnahme der Unternehmen auf die Auswahl der mobilen Endgeräte ihres Personals sowie die technische Dynamik zwingen die Unternehmen damit zu verstärkter Wachsamkeit und schnellem Reagieren. Die zuständigen IT-Mitarbeiter müssen sich rasch auf neueste Entwicklungen einstellen. Denn mobile Technik entwickelt sich in viel engeren Zeitfenstern weiter als stationäre IT.
Klassische Betriebssysteme wie Windows sowie Endgeräte haben selbst in Unternehmen einen Lebenszyklus zwischen fünf bis sieben Jahren. Eine Migration einer dieser Komponenten nimmt typischerweise von der ersten Planung bis zum Abschluss des Rollouts mindestens zwölf Monate in Anspruch. In derselben Zeitspanne ist ein mobiles Endgerät zum Teil gar nicht mehr über den Anbieter oder Provider erhältlich - oder es steht bereits die nächste oder gar übernächste Generation eines Betriebssystems zur Verfügung.
Nur Kommunikation mit Nutzern verbessert die Sicherheit
Im Zeitalter von Mobile Business erfordert der Schutz von Firmendaten damit einen Mix aus bekannten und zusätzlichen Maßnahmen. Auch zur mobilen Sicherheitsstrategie gehören Sicherheitsrichtlinien, Datensicherung, Virenschutz, Personal Firewall, Patch Management, das Verschlüsseln von Daten, ein Screen Lock, ein regelmäßiger Routine-Check der Sicherheitseinstellungen sowie ein Policy Exception Management. Im Vordergrund steht allerdings die Grundsatzentscheidung, ob nur vom Unternehmen beschaffte oder auch private Smartphones im Unternehmensnetzwerk zugelassen sind.
Fällt die Entscheidung zugunsten privater Geräte, sind die Aufklärung der Mitarbeiter und die Zusammenarbeit die zentralen Bestandteile von Mobile Security. Der Mitarbeiter muss noch intensiver über mögliche Risiken informiert werden. Gleichzeitig sind die Kommunikation und die Kooperation mit den Nutzern wichtig. Ein Weg ist, dass der Nutzer selbst Vorschläge einreicht, welche mobilen Apps für ihn im geschäftlichen Alltag unverzichtbar sind und ihm das Arbeiten unterwegs erleichtern. Es macht beispielsweise keinen Sinn, Vielfliegern die Nutzung des Smartphones als Boardkarte zu untersagen oder GPS-Navigationsfunktionen beim nächsten Sicherheitspatch wieder zu auszuschalten.
Mobile Geräte sind nicht nur riskant
Um das Bewusstsein für Mobile Security zusätzlich zu steigern, können Unternehmen die kleinen Wegbegleiter gezielt in die firmeninterne Sicherheitsstrategie einbauen. Denn Smartphones und Tablet PCs bedeuten nicht nur ein Sicherheitsrisiko. Sie tragen auch zu einem größeren Schutz sensibler Daten bei. Wenn Unternehmen Smartphones beispielsweise als Identitätsnachweis für den Zutritt zu Räumen und Gebäuden sowie für die Benutzeranmeldung an stationären IT-Systemen einsetzen, steigt bei den Mitarbeitern das Verantwortungsgefühl, vorsichtig mit der Technik umzugehen. Denn der Verlust eines Schlüssels oder eine Chipkarte ist folgenschwerer als wenn bloß ein Kommunikations-Tool abhandenkommt.
Gerald Spiegel ist Experte für Informationssicherheit bei SteriaMummert Consulting.