Smartphones – Sicherheitsaspekte im Unternehmenseinsatz
Mobile-Security ist ein gern verwendeter Begriff – doch was bedeutet mobile Sicherheit eigentlich? Wer oder was soll geschützt werden? Und wie gehe ich als Unternehmen dabei vor?
Befassen sich Unternehmen heute mit Mobile-Security stehen überwiegend Mobile-Device-Management-Systeme (MDM) oder Enterprise-Mobility-Management-Systeme (EMM) in der Betrachtung. Doch MDM/EMM ist kein Allheilmittel bei der Absicherung von Smartphones und Tablets, sondern bildet nur eine von mehreren Komponenten einer Sicherheitsstrategie, die heute jedes Unternehmen haben sollte. Zur Erweiterung der hoffentlich existierenden Sicherheitsstrategie des Mobile-Computings müssen sich Unternehmen mit weiteren Themen befassen.
Feinde aus Bedrohungssicht
Die fünf typischen „Feinde“ sind Geheimdienste fremder Nationen, eigene nationale Dienste, Wettbewerber, organisierte Kriminalität und Kleinkriminelle (Hobby-Hacker). Die Spionage zur Stärkung der eigenen Wirtschaft ist der Auftrag zahlreicher fremder Geheimdienste. Darüber muss sich heute jedes Unternehmen bewusst sein. Sicherheitsmaßnahmen zur Abwehr von Spionageversuchen können dabei zerstörerische Ausmaße annehmen. So vernichten beispielsweise einige Unternehmen ihre Endgeräte nach Besuchen in Ländern wie Russland, Korea oder China, indem Notebooks nach Auslandsreisen einfach geschreddert werden.
Grundsätzliche Aspekte
Die Betrachtung der mobilen Sicherheit in der Kommunikation von Unternehmen muss die Bereiche Personen, Daten, Technologie und Organisation umfassen. Um die eigenen Sicherheitsrisiken einschätzen zu können, sollte jedes Unternehmen eine Bedrohungsanalyse durchführen. Hierbei wird erhoben, wie die verschiedenen Benutzergruppen im Unternehmen bedroht sind. Eine typische Klassifizierung erfolgt nach Organisationslevel, Funktion, oder Projektteam. Zum Beispiel sind Mitarbeiter von Forschungs- und Entwicklungsteams einer anderen Bedrohung ausgesetzt als der Kurierdienst des Unternehmens. Aus der Bedrohungsanalyse ergibt sich das Bedrohungsprofil einer Person im Unternehmen. Diese Profil wird dann herunterberechnet auf Personalien und Aufenthaltsorte – Daten, die für den Wettbewerb oder Geheimdienste interessant sein könnten. Die Absicherung des Vorstands ist je nach Unternehmensgröße enorm wichtig, denn er ist unter Umständen starken Bedrohungen ausgesetzt.
Hinzu kommt eine Vielzahl von Sicherheitsaspekten, die zu beachten sind. Spricht man von der Datensicherheit, ist damit die Sicherheit von Unternehmens-, Lieferanten- und Kundendaten gemeint. Um diese zu gewährleisten, werden Daten und Sprache in der Kommunikation verschlüsselt. Auch wird hierzu der Zugang zu den Daten auf den Endgeräten durch Dritte mit Hilfe von Maßnahmen wie Passwortschutz erschwert. Unter organisatorische Sicherheit fallen Abläufe, Prozesse und Richtlinien im Unternehmen. Last but not least muss ein Mitarbeiter das Verständnis für sicherheitsrelevante Aspekte haben. Alle Sicherheitsrichtlinien nutzen nichts, wenn sie nicht befolgt werden.
Herausforderung Mobilität
Eine große Herausforderung für die Sicherheit entsteht durch die Mobilität: Mobilität hat keine feste Infrastruktur, die sich gut absichern lässt. Mobile Geräte sind nicht an der Leine, sie schwirren frei herum. Die zentrale Frage für Unternehmen lautet daher: Wie kann ich meine Endgeräte und die darauf enthaltenen Daten absichern? Ein generelles Verbot von Unternehmensdaten auf den Geräten ist eine Möglichkeit, mobile Sicherheitsrisiken zu minimieren. Es gibt aber insbesondere im Vertrieb bestimmte Daten, die immer vorgehalten werden müssen. Darum scheidet ein generelles Verbot für viele Unternehmen aus.
Übermittlung vertraulicher Daten
Welche Daten werden überhaupt mobil übermittelt? Diese grundsätzliche Frage sollten sich Unternehmen unbedingt stellen. Wie verhält es sich beispielsweise mit Patentanmeldungen oder mit vertraulichen Konstruktionsplänen? Jede Branche hat ihre spezifischen Anforderungen und ihre eigenen Regularien. So müssen beispielsweise in der Pharmaindustrie, Finanzindustrie und im Gesundheitswesen zusätzliche gesetzliche Vorgaben und Richtlinien erfüllt werden.
Am Beispiel Patentanmeldung lässt sich der mögliche Schaden ungesicherter Datenkommunikation eindrucksvoll zeigen: Ein deutsches oder europäisches Unternehmen, das zehn Jahre ein neues Produkt entwickelt hat, möchte nun sein Patent international anmelden. Um es im US-Patentamt anzumelden, müssen die Daten an einen amerikanischen Anwalt übermittelt werden. Dies geschieht in die USA mit der bekannten TAT-14-Leitung. An dieser Stelle wird mitgehört. Die Patentanmeldung wird einer Universität zugespielt und diese veröffentlicht darüber umgehend einen Bericht. Damit gilt das Thema als allgemein bekannt. Und schon sind die Forschungsergebnisse kein schützenswertes Gut mehr – das Patent ist hinfällig und damit zehn Jahre Entwicklungsarbeit umsonst.
Wenn Daten innerhalb des Unternehmens versendet und dabei gleich automatisch an die mobilen Endgeräte weitergeleitet werden, ist dies ein großes Problem. Die meisten Geräte sind aber heute genauso eingestellt: Jede E-Mail landet automatisch auf dem mobilen Gerät, so dann auch die Patentanmeldung. Je nach eingesetzter Smartphone-Technologie können bestimmte regulatorische Sicherheitsanforderungen nicht erfüllt werden, weil die Technologie dazu nicht in der Lage ist. Idealerweise bieten mobile Technologien ein Klassifizierung an. Was klassifiziert ist, wird nicht synchronisiert. Damit können Unternehmen ein Risiko ausblenden. Eine Patentanmeldung würde entsprechend klassifiziert und nicht an mobile Geräte weitergeleitet werden.
Übermittlung vertraulicher Daten
Verschlüsselungstechnologien dienen der Minimierung von Sicherheitsrisiken bei der Sprachübertragung und sollten in der mobilen Kommunikation eingesetzt werden. Die Bundesregierung hat aus diesem Grunde Secusmart mit Sprachverschlüsselung eingeführt. Mobilität heute bieten nur die Synchronisationsmechanismen und nativen Verschlüsselungen. Darin liegt ein großes Sicherheitsrisiko. Das zeigt sich auch an folgendem Beispiel: Standardgeräte wie Android oder iPhone dürfen Russland ohne Weiteres verwendet werden, wohingegen die Verwendung von Blackberry einer Freigabe bedarf. Hintergrund: Ein iPhone oder Android-Gerät lässt sich leicht abhören und entschlüsseln – nahezu in Echtzeit. Etwa 60 Sekunden werden für ein iPhone benötigt. Blackberry hingegen ist wesentlich sicherer. Der Blackberry-Einsatz wird in Russland darum nur genehmigt, wenn man den russischen Behörden Zugriff auf den Mail-Server gibt, oder sie eine Blackbox zwischen Blackberry-Server und den Mailserver stellen dürfen. Dabei ist zu bedenken, dass sich ein internationaler Konzern in hoheitlichen Bereichen gesetzeskonform bewegen muss. Er darf in Russland also kein Blackberry 10 installieren, da er sich sonst strafbar macht.
Bewertung von Sicherheitsrisiken
Einige Branchen sind mittlerweile per Gesetz verpflichtet, für Sicherheitsrisiken, die durch ungesicherte Daten und Geräte entstehen, Rückstände zu bilden. Besonders Unternehmen der Finanz-Branche sind davon betroffen. Dazu werden entsprechende Sicherheitsanalysen im Unternehmen durchgeführt, die auch von ISEC7 angeboten werden. Es wird unter anderem bewertet, wie viel der Einsatz eines iPads, eines iPhones oder der Einsatz von Android kostet, und welche Rückstellungen für das damit einhergehende Sicherheitsrisiko nötig sind. Die Zahlen sind erschreckend. So müssen für ungesicherte iPhones, die nur mit Activesync betrieben werden und über keine MDM-Lösung oder weitere Sicherheitssoftware verfügen, je nach Nutzungsart bis zu 250.000 Euro je aktivem Gerät in Rückstellung gebracht werden. Ist eine Sicherheitslösung installiert, verringert sich die Höhe der Rückstellung auf nur noch 30.000 Euro. Je nach Stückzahl gibt es unterschiedliche Versicherungsprämien, die rückgestellt werden müssen.
Heute ist es Standard, dass Unternehmen mobil kommunizieren. Die zwingend notwendige erweiterte Sicherheit – Transportverschlüsselung, Geräteverschlüsselung und Sprachverschlüsselung – ist aber noch weit davon entfernt, Standard zu sein. Mit Zusatz-Tools kann ein viel höheres Sicherheitsniveau erreicht werden – das müssen Unternehmen begreifen.
Was sollen Unternehmen also tun?
Unternehmen sollten zunächst eine allumfassende ganzheitliche Betrachtung ihres Bedrohungspotenzials erstellen. Die Risiken der mobilen Kommunikation von Sprache und Daten müssen analysiert und nach den unternehmensrelevanten Aspekten geclustert werden. Auch die Information über den Echtzeitstand der mobilen Endgeräte ist unerlässlich: Wer hat das Gerät gerade in Besitz, ist es verloren oder gestohlen? Darauf basierend sollte ein Masterplan, eine mobile Sicherheitsstrategie, entwickelt werden.
Um die Sicherheitsrisiken in den Griff zu bekommen und ihre mobile Infrastruktur zu managen, sollten Unternehmen Sicherheitstechnologien einsetzen und ein Enterprise-Mobillity-Management-Konzept entwickeln – denn so können Sicherheitsrisiken enorm reduziert werden.
Quelle: funkschau.de
