Sicheres Mobile Computing

Der mobile Zugriff auf Netzwerke und Daten ist einer der aktuellen großen technischen Trends. Dabei ist die Mobilität keine Modeerscheinung, die nach einer kurzen Hochphase wieder verschwinden wird. Mit der aktuellen Generation von Arbeitnehmern drängt sie unaufhaltsam in die Unternehmen. Aus diesem Wandel der Kommunikationskultur ergeben sich auch wirtschaftliche Vorteile, die Unternehmen gerne nutzen. Doch wo Licht ist, ist in der Regel auch Schatten. Und in diesem Schatten verbergen sich eine Reihe von Bedrohungen, gegen die sich Anwender mit entsprechenden Sicherheitsmaßnahmen wappnen müssen. Ermöglicht wird der Trend zum Mobile Computing von technischer Seite zum einen durch einen breitbandigen Zugang zum Internet, zum anderen durch immer leistungsstärker werdende Endgeräte. Bemerkenswert ist hier vor allem die Entwicklung der Smartphones, die keine Mobiltelefone im eigentlichen Sinne mehr sind, sondern handfeste kleine Computer. Als solche ermöglichen sie die Nutzung von Anwendungen, die entweder als Web-Applikationen oder als so genannte Apps – das Pendant zu Programmen auf dem klassischen PC – daherkommen. In Verbindung mit Zugriffen auf Unternehmensnetzwerke beziehungsweise auf Cloud-Anwendungen verdrängen die kleinen Alleskönner zunehmend die klassischen mobilen Endgeräte wie Notebook und Netbook.

Veränderung der Arbeitsprozesse

Dabei verändern Cloud Computing und Nutzung der Mobilgeräte – neben Smartphones fallen auch Tablet-PCs in diese Geräteklasse – nicht nur das Kommunikationsverhalten, sondern auch Arbeitsprozesse und entfalten eine ähnlich revolutionierende Wirkung wie seinerzeit die Erfindung der Dampfmaschine. Daten und Anwendungen, die bislang meist ausschließlich firmenintern zugänglich waren, werden flexibler nutzbar. Neben allen Vorteilen birgt der Datenzugriff von nahezu überall her aber auch Risiken. Die Chancen, die sich hierdurch für innovative Geschäftsmodelle bieten, geben auch Kriminellen neue Möglichkeiten an die Hand, ihre Opfer hinters Licht zu führen.

Hinzu kommt das immer noch mangelhafte Problem-Bewusstsein der Nutzer. Eine häufig zu hörende Überzeugung ist etwa, dass es für die Betriebssysteme von Smartphones und Tablets ja kaum Viren gebe und daher auch keine Vorkehrungen getroffen werden müssten. Dazu lässt sich nur entgegnen: Erstens ist „kaum“ nicht gleich „keine“ und zweitens sind gerade für Unternehmen nicht nur Viren ein Problem. Schadsoftware ist weiter zu fassen, hierzu gehört auch Software, die nicht zwingend von Antivirenprogrammen erkannt wird. Beispielsweise müssen Programme, die auf sensible oder personenbezogene Daten zugreifen, auf jeden Fall in die Sicherheitsbetrachtung einbezogen werden. Das bedeutet, dass der Anwender bereits beim Herunterladen von Apps Vorsicht walten lassen und sich Klarheit über die Vertrauenswürdigkeit der Quelle des Programms sowie der Informationen verschaffen sollte, auf die die App zugreifen will. Deshalb ist es immens wichtig, dass die Nutzer die Risiken kennen und ihr Verhalten entsprechend ausrichten, um Sicherheit zu gewährleisten.

Fünf Dimensionen der mobilen Sicherheit

Aufgrund ihrer nahezu ständigen Verbindung mit dem Internet sind mobile Endgeräte extrem angreifbar. Die etablierten Sicherheitskonzepte und -strategien für die Informationstechnik in Unternehmen greifen bei den neuen, sehr flexiblen Bedrohungsszenarien für Smartphones und Tablets ins Leere. Der funktionale Aufbau der Geräte ist für klassische Sicherheitsprinzipien schwer abzubilden, da er sich in erster Linie am privaten Nutzer orientiert. Dieser Umstand macht ihre Absicherung zu einer besonderen Herausforderung. Um einen wirkungsvollen Schutz zu etablieren, gilt es, gleich auf mehreren Sicherheitsebenen Lücken zu schließen.

Als erstes muss der Internet-Zugangspunkt im Unternehmen gesichert werden. Dabei geht es zunächst allgemein um den Schutz der Unternehmensinfrastruktur gegen Angriffe aus dem Internet. Die zweite Ebene bildet die Konfiguration des Endgeräts. Beim Einrichten des Zugriffs eines mobilen Geräts auf das Unternehmensnetzwerk muss sichergestellt werden, dass die gewählte Securitypolicy zwingend durchgesetzt wird. Selbst vom Anwender darf sie sich nicht mutwillig oder unbewusst umgehen lassen. Am wirkungsvollsten wird dies durch ein zentrales Mobile-Device-Managementsystem umgesetzt. So lässt sich das Gerät einfach einrichten und aktualisieren und im Notfall auch sperren.

Ein weiterer wesentlicher Punkt ist die eindeutige Authentifizierung des mobilen Nutzers. Der Zugriff auf Firmendaten darf nur gewährt werden, wenn der Anwender seine Identität definiert nachweisen kann. Dies geschieht über die Komponenten Wissen, Besitz, Biometrie oder bestenfalls durch eine Zwei-Faktor-Authentifizierung, also eine Kombination der Möglichkeiten. Daneben ist die Datensicherheit auf der Kommunikationsstrecke zu betrachten. Beim Austausch über das Internet sollten Daten grundsätzlich verschlüsselt werden.

Der letzte Aspekt betrifft die Datenspeicherung auf dem Endgerät. Lokal auf Smartphones und Tablet-PCs gespeicherte Daten sind grundsätzlich problematisch, da sie sich nur bedingt schützen und verschlüsseln lassen. Zudem spielt dabei das jeweilige Betriebssystem eine große Rolle, da sich die technischen Gegebenheiten hier stark unterscheiden. Ohne spezifische Vorkehrungen zum Schutz der Daten auf dem Endgerät ist deshalb maximale Datensparsamkeit zu empfehlen.

Für jede einzelne dieser Sicherheitsanforderungen gibt es im Markt Lösungen, die einen guten Schutz bieten. Während Großunternehmen davon profitieren, ist es mit den in kleinen und mittleren Betrieben vorhandenen Ressourcen kaum möglich, selbst für eine ausreichende Sicherheit der Mobilgeräte und ihres Zugriffs auf das Unternehmensnetzwerk zu sorgen. Über die Auslagerung dieser Verantwortung an Spezialisten lässt sich diese Lücke jedoch schließen.

Sicherheitsrisiko durch BYOD

Eine weitere Schwierigkeit, die Unternehmen im Zuge der mobilen Sicherheit meistern müssen, ist die Vielfalt der unterschiedlichen Geräte, die sicher ans Unternehmensnetz angeschlossen werden sollen. Im Zuge der mobilen Anforderungen, die gerade die Mitarbeiter an ihren Arbeitsplatz stellen, ist in etlichen Fällen gewissermaßen eine Konsumerisierung der Unternehmens-IT eingetreten. Viele Unternehmen, die ihren Mitarbeitern gestatten, mit privaten Smartphones zu arbeiten – das gängige Schlagwort dafür lautet „Bring your own Device“ – sehen vor allem die Vorteile und übersehen das Sicherheitsrisiko. Das vielfach propagierte Verschmelzen von Beruf und Privatleben scheint auf den ersten Blick sehr praktisch für die Betriebe zu sein. Es hat seine unbestreitbaren Vorteile, mobile, allzeit erreichbare Mitarbeiter zu haben.

Aus dem Blickwinkel der IT-Sicherheit erweist sich genau diese Konstellation allerdings schnell als Fiasko, denn zwei nahezu unvereinbare Welten treffen aufeinander: Auf der einen Seite stehen die IT-Abteilungen, die bislang auf sichere Lösungen gesetzt und Firmen-Notebooks und -Smartphones sorgfältig in das Unternehmensnetzwerk eingebunden haben, um Sicherheitslücken zu vermeiden. Auf der anderen Seite befinden sich die Anwender. Haben sie beim Firmengerät zwangsläufig die Kröte des eingeschränkten Komforts geschluckt, den die Sicherheitsmaßnahmen nun einmal mit sich bringen, sind ihnen derartige Beschränkungen für ihre auch dienstlich genutzten Privatgeräte kaum vermittelbar.

Zahl privater mobiler Geräte steigt unaufhörlich

Doch die Zahl privater Smartphones und Tablet-PCs mit Zugriff auf Unternehmensnetzwerke und -daten steigt unaufhörlich. Aus Nutzersicht ist es nur logisch, dass es ausreichen muss, ein einziges mobiles Endgerät mit sich zu führen, das sowohl private als auch berufliche Anforderungen abdeckt. Und die erste Wahl ist dann natürlich das Gerät, für das er sich privat entschieden hat, sei es, weil es benutzerfreundlich oder einfach trendy ist. Die IT-Verantwortlichen stellt diese Entwicklung jedoch vor ein Dilemma. Hatten bisher die IT-Abteilungen die Möglichkeit, die passenden Produkte für das Unternehmen sorgfältig auszuwählen, zu testen und in das Unternehmensnetzwerk einzubinden, bestimmen nun die Mitarbeiter den Takt.

Was aber bedeutet die „Bring-your-own-Device“- Mentalität der Mitarbeiter und Unternehmen in der Praxis? Urlaubsfotos und Lieblingssongs neben Kundendaten und Geschäftsterminen? Das Referat des Kindes neben der Präsentation für die wichtigsten Kunden? Eine solche Datenmischung ist auf jeden Fall zu vermeiden. Schon im Blick auf den Datenschutz müssen Kunden- und Vertragsdaten besonders gesichert sein.

Ein guter und praktikabler Weg ist es, geschäftliche Daten über virtuelle, mobile oder webbasierte Anwendungen auf zentralen Servern verfügbar zu machen. So sind keine geschäftlichen Informationen lokal auf privaten Geräten abgelegt. Der Zugriff auf die Anwendungen muss speziell abgesichert und von den sonstigen Diensten auf dem Smartphone isoliert werden, sodass selbst ein Virus, den sich der Nutzer etwa durch den Download einer App aus zweifelhafter Quelle auf sein Gerät geholt hat, keinen Weg ins Firmennetz finden kann. Eine solche Lösung bietet einen verhältnismäßig hohen Schutz vor Viren und unerlaubtem Zugriff durch Dritte.

Manuela Moretta, Referentin für Sicherheitsthemen im Unternehmensalltag bei der DATEV eG, Nürnberg.