Foto: UBS
Smartphones, Tablets und Co. sind Einfallstore für Malware, Trojaner und Wi-Fi-Hacker - das bestätigen viele IT-Leiter und zahlreiche Studien. Auch die Umfrage des US-amerikanischen Netzwerk-Spezialisten Juniper verzeichnet zwischen Mitte 2009 und 2011 ein Anstieg von Malware- und Wi-Fi-Attacken auf Android-Geräte um 400 Prozent. Dennoch sind die deutschen Unternehmen von der Qualität ihrer Sicherheitsmaßnahmen überzeugt: Der aktuellen IT-Security-Studie des Marktforscher IDC zufolge stufen sich 60 Prozent der befragten Unternehmen als sicher ein, 21 Prozent attestieren sich sogar absolute Sicherheit. Als das schwächste Glied ihrer Security-Kette benennen die Teilnehmer der Studie ihre Mitarbeiter.
So betrachtet entpuppt sich mobile Sicherheit weniger als technisches denn vielmehr als ein Problem durchdachter und konsequent umgesetzter Compliance-Vorgaben, wie Christian Göckenjan, Head IT Risk & Security bei der Schweizer Bank UBS bestätigt. Die Schweizer Bank betrachtet sich als aktiven Player im mobilen Zeitalter. "Die Zeiten sind vorbei, als mobile Technologie als etwas Spezielles und Eigenartiges separat behandelt wurde", sagt Göckenjan. Schon heute kommen bei der UBS rund 20.000 Blackberry-Smartphones von RIM zum Einsatz, Nutznießer sind überwiegend die Mitarbeiter des Managements.
Zuverlässige Sicherheitskonzepte hinfällig
Foto: IDC
Dennoch sieht er sich gezwungen, das Verhältnis zwischen Vertrauen in die Mitarbeiter einerseits und Kontrolle andererseits neu zu bewerten: "Im herkömmlichen Unternehmensmodell haben wir die Kontrolle über alle Datenflüsse, mit dem Vorteil, dass wir der ganzen Informationsverarbeitungskette durchgängig trauen können", erklärt Göckenjan.
Mittlerweile bringen Mitarbeiter ihre mobilen Devices einfach mit zur Arbeit und nutzen sie dort auch beruflich. Den meisten Firmen bereitet diese Bring-your-own-Device (ByoD)-Welle ernstzunehmende Sicherheitsprobleme. Sie spült ein Privatgerät nach dem anderen in die Betriebe und verwässert bislang als zuverlässig geltende Sicherheitskonzepte. "Unternehmen glichen früher sicherheitstechnisch einer Burg mit festen Ein- und Ausgängen", sagt Lynn-Kristin Thorenz, Director Research and Consulting bei IDC. "Diese Zeiten sind mit dem Aufkommen des Cloud Computings und der Nutzung von Mobilgeräten endgültig vorbei." Die CIOs stünden nun vor dem Problem, die Vielfalt an Geräten in die Sicherheitsstruktur zu integrieren, so Thorenz weiter. "Dafür bedarf es nicht nur neuer Software-Management-Tools, sondern auch verbindlicher Richtlinien für den Umgang mit den Geräten und Anwendungen."
Bring your own Device begrenzt die Kontrolle
Foto: IDC 2011
"Bring-your-own-Device begrenzt auch unsere bisherigen Kontrollmechanismen", meint Göckenjan. "Unser Ansatz ist es, auf Security Control Level - anstatt auf dem Endgerät selbst - begrenzte Nischen zu definieren, in denen das Vertrauen gegeben ist", so Göckenjan. Dabei stützt sich die Schweizer Bank zum einen stark auf die Architektur bereits existierender Systeme für Remote Access, die Mitarbeitern im Home-Office sowie auf Reisen zur Verfügung stehen. Zum anderen wendet die UBS die komplexen Authentifizierungsrichtlinien des "Level of Assurance"-Framework an, das vom US-amerikanischen National Institute of Standard and Technology (NIST) entwickelt wurde. Das Richtlinienpapier der obersten amerikanischen Bundesbehörde für technische Standards ist für alle US-Bundesbehörden im elektronischen Datenverkehr zwischen den Behörden und Bürgern oder anderen Organisationen bindend. Es definiert abhängig vom Sicherheitsgrad vier Sicherheitsstufen, denen Personen und Service Provider, aber auch technische Geräte zugeordnet werden.
Obwohl die UBS die Authentifizierungsrichtlinien der NIST für ihre Daten und die mobilen Endgeräte anwendet, haben die Mitarbeiter mobil nur beschränkten Zugriff auf die Finanzdaten - die Situation am Endgerätemarkt erfordert es. Um die Vielfalt der Geräte etwas einzugrenzen, richtet sich der Fokus des Finanzhauses auf die Plattformen, die bei den Konsumenten beliebt sind und die entsprechenden Sicherheitskontrollen aufweisen. "Zurzeit unterstützen jedoch keine der im Markt erhältlichen Geräte den höchsten `Level of Assurance´. Deshalb halten wir unsere sensitivsten Daten nach wie vor in einer rigoros verwalteten und stark kontrollierten Umgebung."
Apps als Sicherheitsmechanismus
Foto: IDC 2011
Auch wenn datentechnische Hochsicherheitsbereiche weiterhin ein fester Bestandteil der Rechenzentrums-Architektur in Unternehmen bleiben dürften, sind diese künftig einem Wandel unterworfen. Das traditionelle Perimeternetzwerk, das als eine Art Pufferzone das interne Netzwerk einer Organisation vor unberechtigten Zugriffen aus dem Internet schützt, hat aus Sicht des des Security-Chefs ausgedient: "Die Richtung geht von einem Netzwerk-Perimeter-Modell hin zu einem Modell, bei dem die Daten verstärkt im Zentrum stehen", prognostiziert Göckenjan die künftige Entwicklung. Dabei verlagert sich die Sicherheitszone vom Netzwerk auf das Endgerät. "Der neue Perimeter ist nicht mehr durch die Netzwerkgeräte festgelegt, sondern könnte vielmehr eine einzelne Applikation sein, die auf mobilen Telefongeräten oder Tablets installiert ist und Zugriffskontrollen und Verschlüsselungen nutzt, um die Sicherheits-Sphäre zu definieren", skizziert Göckenjan die Zukunft.
Wohin die Reise des mobilen Unternehmens technisch und organisatorisch auch gehen mag - der Titel "Mobile Enterprise" wird schon in wenigen Jahren seinen Nimbus als Novität verloren haben: Mobile Anwendungen werden selbstverständlich zum Unternehmensalltag gehören, den damit verbundenen Sicherheitsaspekten werden einer Reihe von Best-Breed-Lösungen und Best-Practice-Erfahrungen gegenüberstehen. Erst dann ist mit einer Sättigung am Markt für Mobile Security-Software zu rechnen, für den IDC bis zum Jahr 2015 noch Zuwachsraten von durchschnittlich 38 Prozent prognostiziert.