Die Verkaufszahlen von Laptops übersteigen schon seit längerem diejenigen der Desktops, und auch PDAs wurden noch nie so viele in einem zweiten Quartal verkauft wie in diesem Jahr. Die Vorteile des mobilen Arbeitens sind unumstritten. Trotzdem setzen über 60 Prozent aller Unternehmen die neuen Technologien nicht ein – aus Angst vor zusätzlichen Sicherheitsrisiken. Zu Recht?
Heute tragen viele Mitarbeiter eine Menge Geräte mit sich herum, die eine Gefahr für die IT-Sicherheit ihres Unternehmens darstellen können. Mobiltelefone oder PDAs, die synchronisiert werden oder gar den Zugriff auf die Mailbox oder das Unternehmensnetzwerk erlauben, können in den falschen Händen verheerende Schäden anrichten. Über USB-Speicher-Sticks können unbewusst Viren vom womöglich schlecht geschützten Heim-Computer auf den Geschäfts-PC und von dort auf das gesamte Unternehmensnetzwerk übertragen werden. Eine IDC-Studie zeigt zudem auf, dass 60 Prozent der unternehmenskritischen Daten auf den Desktops und Laptops der Mitarbeitenden gespeichert sind, wo sie oft schlecht geschützt sind und auch keine regelmässigen Backups ausgeführt werden.
Sicherheitsbedenken sind also zu Recht das grösste Hindernis bei der Einführung mobiler Technologien. Trotzdem greifen 39 Prozent der Mitarbeiter mobil auf Unternehmensnetzwerke zu, obwohl ihr mobiles Endgerät noch nicht vollständig in ein umfassendes Sicherheitskonzept integriert ist. Denn nur neun Prozent der Unternehmen verfügen über eine umfassende und integrierte IT-Sicherheitsarchitektur, die auch mobile Anwendungen beinhaltet, währenddem zehn Prozent aller weltweit befragten Firmen überhaupt keine Vorkehrungen für die Sicherheit mobiler Datenübertragung getroffen haben. Diese Ergebnisse resultieren aus einer weltweiten Studie zur Sicherheit mobiler Datenübertragung, die Symantec gemeinsam mit dem Wirtschaftsforschungsinstitut Economist Intelligence Unit durchgeführt hat.
Die mobile Datenübertragung bietet vielen Hackern eine Reihe neuer Angriffspunkte. So zeigt der Internet Security Threat Report von Symantec auf, dass die Zahl von Schadprogrammen, die gezielt für mobile Endgeräte wie Smartphones programmiert werden, kontinuierlich steigt. Schnellere und neue Übertragungstechnologien wie UMTS, EDGE oder Bluetooth erleichtern die Verbreitung von Viren und Würmern. Bluetooth gehört bei den Business-Mobiltelefonen zur Standardausrüstung, ermöglicht es aber Hackern, heimlich auf das Gerät zuzugreifen und von dort aus entweder Inhalte zu verbreiten («Bluejacking») oder aber Zugang zu sensiblen Daten zu erlangen («Bluesnarfing»). So wurde zum Beispiel ein systemunabhängiger Trojaner entdeckt, der nicht nur in der Lage ist, das Telefon zum Absturz zu bringen und Daten zu löschen, sondern der auch selbständig teure Verbindungen aufbauen sowie kostenpflichtige SMS-Dienste abonnieren kann.
Die Risiken der mobilen Geräte sind sowohl auf technische Sicherheitslücken wie auch auf die Unachtsamkeit der Benutzer zurückzuführen. Einige liessen sich durch ein erhöhtes Sicherheitsbewusstsein der Mitarbeitenden verringern. So gibt es immer wieder Fälle, in denen PDAs verkauft werden, ohne die darauf gespeicherten Namen und Telefonnummern vorher zu löschen. Auch die Vergesslichkeit spielt eine Rolle. So bedeutet ein verlorenes Mobiltelefon oder ein PDA mehr als nur den Verlust eines elektronischen Helfers. Es besteht immer die Gefahr, dass die Daten auf den Geräten ohne ein Backup für immer verloren sind und zudem in falsche Hände geraten.
Die Möglichkeiten, Sicherheit für mobile Technologie zu gewährleisten, sind vielfältig. Eine zentrale Bedeutung kommt dabei dem Zusammenspiel einer präzise auf die Bedürfnisse des Unternehmens abgestimmten Sicherheitsstrategie und der Mitarbeiterschulung zu. Diese soll die Mitarbeitenden für den Umgang – und den Wert – der mobilen Endgeräte und der sich darauf befindenden Daten sensibilisieren. Eine ganzheitliche Sicherheitsstrategie umfasst Komponenten wie Zugriffs- und Richtlinienmanagement, atenverschlüsselung, Client Security mit Virenschutz und Firewall sowie Intrusion Prevention. Aber auch die Daten- und Systemsicherung spielen eine wichtige, wenn auch im Bereich der Endgeräte bisher oft vernachlässigte Rolle.
Bereits KMU verfügen meist über eine Vielzahl an Geräten, welche mobil auf das Firmennetzwerk zugreifen. Lösungen, die sicherstellen, dass sämtliche PC-Arbeitsplätze, Notebooks, PDAs und Server, die auf ein Netzwerk zugreifen wollen, richtig konfiguriert und mit aktuellen Virenscannern ausgestattet sind sowie alle wichtigen Patches enthalten, können den Sicherheitsstandard deutlich erhöhen. Solche Lösungen blockieren automatisch den Netzwerkzugriff, wenn ein bestimmtes Pattern oder Update fehlt, und veranlassen gegebenenfalls automatisch den Download und die Installation der fehlenden Programme. Die Endpunkte der Netzwerke können so gesichert und auf ihre Richtlinienkonformität überprüft werden. Zudem ist eine leistungsfähige Netzwerkzugangskontrolle notwendig, bei der die Einwahl mobiler Geräte ins Unternehmensnetzwerk zum Beispiel ausschliesslich über
einen verschlüsselten VPN-Tunnel erfolgt.
Da aber wie erwähnt 60 Prozent der unternehmenskritischen Daten auf den Desktops und Laptops der Mitarbeitenden gespeichert sind, ist es unerlässlich, diese ebenfalls in den Backup-Prozess miteinzubeziehen, insbesondere auch im Hinblick auf die zunehmende Bedeutung einer richtlinienkonformen IT. Ist zur Endpoint-Sicherheit auch die Informationsverfügbarkeit auf Client-Ebene geregelt, ergibt sich ein umfassendes Lösungskonzept für Endgeräte, genannt Endpoint Compliance. Denn gerade für Daten auf Endgeräten gilt: Sichere Information, die nicht verfügbar ist, ist ebenso wertlos wie verfügbare Information, die nicht sicher beziehungsweise vertrauenswürdig ist.
Die Entwicklung vom stationären zum mobilen Arbeiten schreitet stetig fort und lässt sich nicht mehr aufhalten, auch wenn die Risiken genauso kontinuierlich zunehmen. Übertriebene Zurückhaltung bei der Verbreitung mobiler Anwendungen in Unternehmen hat zur Folge, dass die Mitarbeitenden die Vorteile der mobilen Technologien wie verbesserte Produktivität und steigende Flexibilität der Geschäftsprozesse nicht konsequent nutzen können. Es ist also unerlässlich, die mobilen Endgeräte in ein ganzheitliches Sicherheitskonzept einzubeziehen, das die Sicherheit und Verfügbarkeit der Daten umfasst. Nur so kann der Schutz der gesamten Infrastruktur vom Netzwerk bis hin zum Endgerät und eine unternehmensweite Richtlinienkonformität gewährleistet werden.
Schulen Sie die Mitarbeitenden in praktischen Sicherheitsmassnahmen. Sie sollen die Gefahren beim privaten Einsatz von Geräten mit geschäftlichen Daten und das Szenario beim Verlust der elektronischen Helfer kennen.
- Auch wenn die grösste Gefahr auf die Fahrlässigkeit der Mitarbeitenden zurückzuführen ist, werden Geräte oder Daten immer wieder vorsätzlich gestohlen. Stellen Sie deshalb sicher, dass das Thema Datendiebstahl via iPods, USB-Speicher-Sticks und Smartphones Teil Ihres Sicherheitskonzepts ist.
- Beobachten Sie die Nutzung der mobilen Geräte und erstellen Sie Richtlinien, die maximale Sicherheit bei grösstmöglicher Flexibilität bieten.
- Führen Sie Applikationen ein, die es Ihnen erlauben zu beobachten, welche Personen und Geräte auf das Netzwerk zugreifen. Ideal sind Applikationen, die bei jedem Netzwerkzugriff die Rechte überprüfen und die neusten Sicherheits-Updates gleich installieren.
- Installieren Sie auf allen Laptops einen Virenschutz und eine Firewall und lassen Sie nur Verbindungen über VPN zu.
- Sichern Sie die Daten auf den Endgeräten, insbesondere den Desktops und Laptops, durch regelmässiges, automatisiertes Backup, um im Verlustfall weiterhin auf unternehmenskritische Informationen zugreifen zu können.
