Insgesamt 94 Prozent der IT-Verantwortlichen stufen mobile Endgeräte wie das iPhone, iPad oder Android-Systeme als Sicherheitsrisiko ein, doch 59 Prozent der Befragten haben keine oder nur mäßig effektive Maßnahmen zum Schutz ihrer Smartphones im Einsatz. Zu diesem Ergebnis kommt eine Studie von IDG Research Services im Auftrag des Security-Softwareanbieters Symantec. Zwischen den Bedenken der IT-Manager und der tatsächlichen Umsetzung der Smartphone-Sicherheit klafft demnach eine große Lücke.
Abhilfe gegen mangelnde IT-Sicherheit
Die Hemmnisse bei der Umsetzung der IT-Sicherheit sind nicht etwa rein finanzieller Natur. Wie das Ponemon Institute im Auftrag von Lumension herausfand, scheitert die IT-Sicherheit oftmals an der Vielzahl der zu schützenden Endpunkte und an den unwirksamen Strategien in der technologischen Umsetzung.
Viele Unternehmen suchen deshalb nach möglichst einfachen, aber effektiven Lösungen zur Verbesserung ihrer IT-Sicherheit. Mittelfristig werde jedes vierte Unternehmen aus diesem Grund eine Sicherheitslösung aus der Cloud wählen und Teile der IT-Sicherheit im Outsourcing-Modell betreiben lassen. Laut Bitkom bezieht schon heute jedes sechste Unternehmen Sicherheitsservices wie Virenbekämpfung oder Benutzerauthentifizierung aus der Cloud.
Vorteile von Cloud-Security-Lösungen
Die wesentlichen Vorteile einer Sicherheitslösung aus der Cloud ähneln denen anderer Anwendungen im Cloud Computing. Hohe Anfangsinvestitionen in eine eigene Sicherheitsinfrastruktur werden vermieden, die eigene IT-Abteilung wird entlastet, die Cloud-Lösungen lassen sich flexibel nutzen und dem Bedarf entsprechend anpassen. Die Einführung einer neuen Sicherheitslösung wird beschleunigt, die Aktualität wird durch den Dienstleister gewährleistet.
Die Sicherheitslösung ist überall dort verfügbar, wo es einen Internetzugang gibt, und benötigt nur geringe eigene IT-Ressourcen beim Anwender. Damit ergeben sich ideale Voraussetzungen für die Nutzung von Cloud Security auf Smartphones und anderen mobilen Endgeräten.
Geringe Anforderungen, einfache Administration
Bei der Vielzahl an betrieblich genutzten Smartphones und den Einschränkungen bei Rechenleistung und Akkulaufzeit der meisten mobilen Endgeräte bieten sich Sicherheitslösungen aus der Cloud geradezu an. Das Unternehmen braucht sich nicht um den Schutz jedes einzelnen Smartphones zu kümmern, Client-Installationen werden überflüssig und die Smartphone-Leistung kann für die eigentlichen Business-Anwendungen eingesetzt werden.
Gleichzeitig wird der einzelne Nutzer entlastet, der sich nicht um die Konfiguration und Aktualisierung der Sicherheitsanwendung auf seinem Smartphone kümmern muss. Die Administratoren erhalten über die Cloud einen zentralen, einheitlichen Überblick über die zu schützenden mobilen Endgeräte und können die Einhaltung der Sicherheitsrichtlinien in nur einer Oberfläche überwachen, unabhängig davon, wo sich der Smartphone-Nutzer gerade befindet.
Alle Sicherheitsaufgaben werden abgedeckt
Cloud-basierte Sicherheitslösungen für Smartphones werden zweifellos in Zukunft an Bedeutung gewinnen, sie sind aber auch schon heute in großer Zahl auf dem Markt verfügbar. Unternehmen können sich dabei für Cloud-Lösungen entscheiden, die eine Vielzahl der erforderlichen Sicherheitsfunktionen für Smartphones in sich vereinen. Daneben sind auch verschiedene Speziallösungen verfügbar, die sich der mobilen Verschlüsselung, den mobilen Backups, der mobilen Datenlöschung, der App-Kontrolle, dem Device Management oder der mobilen Malware- und Spam-Erkennung verschrieben haben.
Cloud Security: Mobile Verschlüsselung
Vier von zehn Unternehmen berichten von verlorengegangenen oder gestohlenen Mobilgeräten, wobei sich auf der Hälfte der betroffenen Geräte geschäftswichtige Daten befanden, so eine Studie von McAfee und der Carnegie-Mellon-Universität. Trotzdem halten nur 38 Prozent der deutschen Smartphone-Nutzer eine Verschlüsselung auf Smartphones für notwendig, wie eine Umfrage von Steria Mummert ergab.
Foto: McAfee
Mit einer Cloud-Lösung wie Proofpoint Mobile Encryption lässt sich die Verschlüsselung auf Smartphones automatisieren. Nach der Einrichtung lassen sich E-Mails mit einem Klick entschlüsseln. Für BlackBerry-Geräte gibt es auch ein Plug-In zur Verschlüsselung von E-Mails. Mit Zscaler E-Mail Security Cloud können Administratoren die E-Mails von und an Smartphone-Nutzer abhängig von Absender, Empfänger und Inhalt auf einen verschlüsselten Übertragungsweg lenken.
Cloud Security: Mobile Backups
Mehr als 37.000 US-Dollar kann der Verlust eines Smartphones kosten, wenn die darauf befindlichen Daten nicht gesichert werden. Trotzdem sichert mehr als die Hälfte der Smartphone-Nutzer die Daten höchstens wöchentlich. Die Datensicherung bei Smartphones kann jedoch ohne großen Aufwand automatisiert werden. Dabei helfen Cloud-Lösungen wie Proofpoint Mobile Archive speziell für die Sicherung von E-Mails von iPhones und iPads. F-Secure Mobile Backup erledigt die Sicherung und Wiederherstellung der Daten unabhängig vom Gerätetyp oder mobilen Betriebssystem - besonders nützlich, wenn das ursprüngliche Gerät verloren gegangen ist.
Cloud Security: Mobile Datenlöschung
Foto: Apple
Geht ein Smartphone verloren oder wird es gestohlen, kann die Fernlöschung (Remote Wipe) der letzte Ausweg sein, um einen Datenmissbrauch zu verhindern. Entsprechende Funktionen bieten bereits viele mobile Betriebssysteme, aber auch spezielle Cloud-Sicherheitslösungen. So kann ein verlorenes iPhone über die iCloud geortet, gesperrt und die Daten darauf gelöscht werden. Geräte- und betriebssystemunabhängig sind Cloud-Lösungen wie die Security and Compliance Console von Syncplicity oder McAfee WaveSecure. Alle diese Lösungen bieten zudem weitere Sicherheitsfunktionen wie etwa mobile Backups.
Cloud Security: App-Kontrolle
Foto: MobileIron
17 Mini-Applikationen (Apps) sind durchschnittlich auf einem Smartphone installiert, und der App-Boom geht weiter, da ist sich der Branchenverband BITKOM sicher. Sicher sind allerdings die Apps selbst nicht unbedingt. Wie Lookout im Mobile Threat Report berichtet, hat sich die Zahl der schädlichen Apps bei Android innerhalb von sechs Monaten verfünffacht.
Auch bei der Überwachung der App-Installationen und bei der Prüfung der genutzten Apps kann die Cloud helfen, zum Beispiel mit den MobileIron-Lösungen Mobile Application Distribution zur kontrollierten Verteilung der Apps, Mobile Application Inventory für ein zentrales App-Management und Mobile App Security zur Durchsetzung der internen App-Richtlinien.
Cloud Security: Device Management
Foto: MobileIron
Vielen Unternehmen ist der aktuelle Sicherheitsstatus der Smartphones unbekannt, selbst wenn damit auf das Firmennetzwerk zugegriffen wird. Gleichzeitig fürchten fast 60 Prozent der Firmen, dass über Smartphones Schadprogramme eingeschleust werden könnten, wie die bereits erwähnte McAfee-Studie zeigt.
Mit einer Device-Management-Lösung erhalten Unternehmen den notwendigen Überblick über den Status der mobilen Geräte und können zentral die Sicherheitsvorgaben durchsetzen, zum Beispiel indem als unsicher eingestufte Geräte vom Netzwerkzugang ausgeschlossen werden.
Solche Sicherheitslösungen müssen nicht selbst installiert und betrieben werden. Zencloud von Zenprise, MobileIron Connected Cloud und Fiberlink MaaS360 zum Beispiel bieten eine vollständige Managementlösung für Smartphones und setzen die internen Regeln durch, sei es die Passwortrichtlinie, die Vorgabe einer Zwei-Faktor-Authentifizierung oder die regelmäßige Aktualisierung der Sicherheitssoftware auf dem Smartphone. Auch die Fernlöschung von Daten und die Kontrolle der installierten Smartphone-Apps sind damit über das Internet möglich.
Cloud Security: Spam- und Malware-Erkennung
Foto: Lookout
Seit Sommer 2010 hat die Zahl an Android-Schädlingen um 400 Prozent zugenommen. Dieses Ergebnis des Malicious Mobile Threats Reports von Juniper Networks zeigt mehr als deutlich, dass Malware auf Smartphones ein ernstzunehmendes Problem ist. Der Malware-Schutz auf Smartphones hinkt allerdings deutlich hinterher: Während laut einer Kaspersky-Umfrage 84 Prozent der PC-Nutzer einen Anti-Viren-Schutz verwenden, sind es bei den Smartphone-Nutzern nur zehn Prozent.
Cloud-Lösungen zur Abwehr von Malware und Spam schonen nicht nur die begrenzten Smartphone-Ressourcen, sie benötigen auch keine Updates auf dem Smartphone. Die Malwareerkennung und die Spamfilter in der Cloud werden durch den Betreiber aktualisiert. Cloud-basierten Virenschutz bietet zum Beispiel das Lookout-App, Bitdefender Mobile Security und Zcaler Mobile. Installiert werden muss jeweils nur eine kleine App. Der eigentliche, rechenintensive Scan-Prozess findet in der Cloud statt.
Cloud Security: Datenschutz nicht vergessen!
So vorteilhaft die Verwendung von Sicherheitslösungen aus der Cloud auch sein mag, die hohen Anforderungen an Cloud Computing gelten auch für eine Cloud-basierte Sicherheitslösung. Vergessen werden sollte nicht die mögliche Abhängigkeit vom Sicherheitsanbieter, die sich insbesondere bei einem Ausfall der Cloud-Lösung zeigen kann.
Aus Sicht der Datenschützer handelt es sich bei Cloud Computing grundsätzlich um eine Auftragsdatenverarbeitung, wenn personenbezogene Daten im Spiel sind. Dies kann zum Beispiel bei der zentralen Verwaltung der Smartphones, der Überwachung der Sicherheitsrichtlinien und beim Reporting zu sicherheitsrelevanten Ereignissen und Nutzeraktivitäten der Fall sein.
Eine besondere Herausforderung besteht, wenn private Smartphones betrieblich genutzt werden (Bring Your Own Device, ByoD) oder betriebliche Smartphones für die Privatnutzung freigegeben sind. Dann könnten private Nutzerdaten von den Sicherheitsanalysen in der Cloud betroffen sein. Ein besonderes Augenmerk auf ByoD legen zum Beispiel die Cloud-Lösungen von MobileIron und der IBM Hosted Mobile Device Security Management Service. Mit solchen Lösungen können auch private Smartphones entsprechend der internen Sicherheitsrichtlinien des Unternehmens abgesichert werden.
Voraussetzung ist jedoch, dass geeignete interne Sicherheitsrichtlinien für mobile Endgeräte tatsächlich vorhanden sind. Laut einer Umfrage von Courion fehlen solche Richtlinien für mobile Endgeräte in 20 Prozent der Unternehmen. Diese sollten die Nutzung von Smartphones dringend regeln. Alles kann eben auch die Cloud nicht abnehmen. (Computerwoche)