Strategien und Technologien zur Mobile Security

Mobile Daten in der Praxis effizient schützen

Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.
Smartphone, Notebook und Tablet-Rechner sind heute für viele Mitarbeiter ebenso unverzichtbar wie früher wie Festnetztelefon und der PC. Doch dieser Trend wirft Fragen bezüglich der Absicherung von Geschäftsdaten und Anwendungen auf den mobilen Endgeräten auf. Zur Wahl stehen unterschiedliche Konzepte, von rigiden Vorgaben bezüglich der Endgeräte über verschlüsselte Container bis hin zum Einsatz von virtualisierten Desktops.

IT-Abteilungen, aber auch Compliance-Fachleute und Chief SecuritySecurity Officers von Unternehmen müssen sich in immer stärkerem Maße damit auseinandersetzen, wie sich SmartphonesSmartphones, TabletsTablets und Ultrabooks in Geschäftsabläufe integrieren lassen. Und dies, ohne dass Sicherheitsprobleme entstehen oder Geschäftsdaten in falsche Hände geraten. Laut einer Studie von IDC Deutschland zum Thema "Enterprise Mobility" vom Juli 2013 arbeiten 57 Prozent der Beschäftigten in Deutschland zumindest teilweise mit Mobilgeräten. Mehr als die Hälfte der befragten Unternehmen (54 Prozent) hat daher bereits eine Mobility-Strategie implementiert. Weitere 25 Prozent wollen das innerhalb der nächsten zwei Jahre zu tun. Alles zu Security auf CIO.de Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de

Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen.
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen.
Foto: Citrix

Zu denken gibt, dass 16 Prozent der befragten IT- und Fachbereichsleiter einräumten, dass ihnen in den vergangenen Jahren mindestens einmal ein Mobilgerät mit Firmendaten an Bord abhanden kam. Um die Risiken durch gestohlene oder unzureichend abgesicherte Mobilsysteme zu minimieren, sehen 52 Prozent der Entscheider ein Mobile Device Management (MDM) und eine Mobile-Security-Strategie als unverzichtbar an.

Fehlerhafte Mobile-Security-Strategien

In der Praxis werden bei der Umsetzung einer Mobile-Security-Strategie laut einer Untersuchung der Beratungsgesellschaft Deloitte allerdings häufig Fehler gemacht. Folgende Vorgehensweisen seitens der IT-Abteilung seien besonders oft zu beobachten:

Die Nein-Sager

Die IT-Verantwortlichen sagen schlichtweg "Nein": Der Einsatz von Smartphones, Notebooks und Tablet-Rechnern wird weitgehend unterbunden. Dies gilt insbesondere für private Geräte, die Beschäftige im Unternehmen einsetzen wollen. Als Gründe führen IT-Fachleute Sicherheitsrisiken und mögliche Verstöße gegen Compliance-Regeln an. Es liegt auf der Hand, dass eine solche rigide Haltung kaum durchzuhalten ist. Zum einen deshalb, weil dadurch die Produktivität der Mitarbeiter leidet, zum anderen weil moderne Geschäftsprozesse kürzere Reaktionszeiten erfordern.

Diese können nur dann erreicht werden, wenn Mitarbeiter auch auf einer Dienstreise oder vom Home-Office aus ihre Aufgabe erledigen können. Hinzu kommt, dass die IT-Abteilung spätestens dann klein beigeben muss, wenn Führungskräfte darauf bestehen, dass sie selbst und ihre Abteilungen mit Mobilsystemen ausgestattet werden.

Einfach mal ein MDM-System kaufen

Die IT-Abteilung beschafft das erstbeste Mobile-Device-Management-System (MDM) und glaubt sich damit auf der sicheren Seite: Dies ist alleine deshalb fahrlässig, weil es derzeit etwa über 100 unterschiedliche MDM-Lösungen auf dem Markt gibt. Sie unterscheiden sich erheblich in Bezug auf den Funktionsumfang, die Bereitstellungsmodelle (Cloud, Installation im Firmenrechenzentrum) und die Einbindung in die vorhandene IT-Management-Landschaft. IT-Fachleute sollten daher zunächst prüfen, welche mobilen Endgeräte im Unternehmen verwendet werden, welche Sicherheitsforderungen im Bereich "Mobility" bestehen und welche Anforderungen die Anwender an Mobilsysteme und darauf abgestimmte Arbeitsabläufe haben, bevor sie ein MDM-System anschaffen.

Alle dicht

Die IT-Abteilung macht "die Schotten" dicht: Dies bedeutet, dass alle potenziell gefährlichen Funktionen des Mobilsystems deaktiviert werden. Dies kann beispielsweise die Installation oder Nutzung bestimmter Anwendungen betreffen, etwa WhatsApp, FacebookFacebook et cetera, aber auch den Zugriff auf bestimmte Web-Services wie Musikdienste. Die Folge: Anwender suchen nach Wegen, solche Restriktionen zu unterlaufen. Sie greifen beispielsweise verbotener Weise zu nicht "kastrierten" privaten Systemen oder sie weigern sich, an einem "Bring-Your-Own-Device"-Programm des Unternehmens teilzunehmen. Ein weiteres Problemfeld: Cloud-basierte Storage- und File-Sharing-Dienste werden ohne Wissen der IT-Abteilung verwendet, wenn diese keine Alternativen bereitstellt. Alles zu Facebook auf CIO.de

Private Endgeräte

Der Einsatz privater Endgeräte wird unzureichend geregelt: Umgekehrt sind manche Unternehmen allzu liberal, wenn es um BYODBYOD geht. Wenn überhaupt, werden nur wenige Grundregeln eingeführt, etwa dass Systeme mit einem bestimmten Betriebssystem nicht verwendet werden dürfen, weil dieses überholt ist. Das kann dazu führen, dass im Unternehmen viele unterschiedliche Systemplattformen unterstützt werden müssen. Dies wiederum erhöht den Support-Aufwand und führt zu Sicherheitsrisiken. Alles zu BYOD auf CIO.de

Problemfall IT-Abteilung

Die IT-Abteilung ist paralysiert: Angesichts der Komplexität, die mit dem Management und der Absicherung mobiler Geräte verbunden ist, sind laut Deloitte manche IT-Abteilungen überfordert. Sie wissen nicht, welche Maßnahmen sie treffen sollen und "ducken" sich gewissermaßen weg. Diese Strategie ist naturgemäß mit hohen Risiken verbunden und in hohem Maße kontraproduktiv.

Zur Startseite