Dank der stetig fortschreitenden Miniaturisierung der Computer stehen heute leistungsfähige Geräte in der Grösse einer Zigarettenschachtel zur Verfügung. Mithilfe von kabellosen Technologien können diese Geräte jederzeit und beinahe an jedem Ort mit anderen Systemen verbunden werden. Dadurch sind der Mobilität beinahe keine Grenzen mehr gesetzt, und es eröffnen sich viele neue Einsatzgebiete, beispielsweise in der Logistik (Mobile Datenerfassungsgeräte zur Bestandeskontrolle oder Kommissioniersysteme im Lager). Ein weiteres bedeutungsvolles Einsatzgebiet liegt im Bereich des Managements, welches gerne überall und jederzeit auf aktuelle Daten zugreifen möchte. Das Hauptaugenmerk liegt dabei auf Terminen, Adressen und E-Mails, wobei sich jedoch bereits weitere Bedürfnisse abzuzeichnen beginnen!
Die Effizienzsteigerungen, welche die neuen Technologien ermöglichen, führen zu einem hohen Einführungsdruck, der noch durch Image-Aspekte verstärkt wird: In verschiedenen Kreisen gilt es heute als schick, ein möglichst leistungsstarkes «Mobile Device» auf sich zu tragen (Manager-Spielzeug, ich selber besitze auch eines!).
Der Variantenvielfalt sind keine Grenzen gesetzt. Die Speicherkapazitäten liegen im Bereich von Gigabytes, was einigen zehntausend Seiten Text entspricht. Die eingesetzten Betriebsysteme leisten Ähnliches wie moderne PCs. Zu den gängigsten Geräten gehören zurzeit die so genannten Personal Digital Assistants (PDAs), auch Palm genannt und die SmartPhones (Mobiletelefone mit PDA-Funktionen). Zu diesen beiden Gerätekategorien gesellen sich mobile Abspielgeräte für Musik- und Videodateien, die sich durch besonders grosse Speicherkapazitäten auszeichnen (zum Beispiel der iPod). Zu guter Letzt sollten hier auch noch die immer leistungsfähigeren Digitalkameras erwähnt werden, welche ebenfalls für sehr grosse Speicherkapazitäten verfügen.
Neben Chancen bringt der Einsatz von mobilen Computern auch Gefahren mit sich.
•
Fehlende Software-Upgrades aufgrund kurzer Lebenszyklen: Da die Entwicklung rasant voranschreitet, sind auch die Lebenszyklen der Geräte sehr kurz. Der bei PC oder Notebook übliche Software-Upgrade (Weiterentwicklung einer Software) erfolgt nur teilweise, oft nur über die Ablösung des ganzen Geräts.
•
Hoheit: Private Computer sind in Unternehmen heute kaum mehr anzutreffen. Bei den mobilen Geräten sieht das anders aus. SmartPhones oder PDAs, welche aus der eigenen Tasche bezahlt wurden, sind keine Seltenheit. Damit stellt sich sofort die Frage der Gerätehoheit. Wer ist verantwortlich
für die Sicherheit?
•
Software-Update: Mittlerweile ist bekannt, dass Software regelmässig gewartet werden muss. So genannte Software-Updates oder Software-Patches beheben Fehler oder Schwachstellen der ursprünglich installierten Software. Die Prozedere zur Verteilung der Software haben sich bei PC und Notebook seit einiger Zeit eingespielt und sind zum grossen Teil automatisiert. Bei den mobilen Computern funktioniert dies aber noch gar nicht oder nur teilweise.
Für die Unternehmen ergeben sich aus dem Einsatz von mobilen Computern verschiedene zusätzliche Risiken, welche unbedingt berücksichtigt werden müssen:
•
Trojaner: Ein mobiler Computer bildet die ideale Plattform für «Trojanische Pferde». Dank der grossen Leistungsfähigkeit kann auf einem solchen Gerät ausserhalb des Unternehmensnetzwerks unbemerkt ein Trojaner installiert werden (z.B. wenn zu Hause eine neue Applikation eingespielt wird). Später wird das Gerät ohne Überprüfung und unter Umgehung aller Perimeter-Schutzmassnahmen (wie z.B. Firewall oder Contentfilter) in das Unternehmen hineingetragen und hinter den Schutzmauern mit dem Netzwerk verbunden. (Troja lässt Grüssen!)
•
Datendiebstahl: Aufgrund der enormen Datenkapazitäten können unbemerkt ganze Datensammlungen (z.B. Kundendaten, Konditionen, Entwicklungen, Forschungsresultate) auf einen mobilen Computer kopiert werden. Auch Memory-Sticks lassen sich aufgrund ihrer kleinen Abmessungen ideal zum illegalen Abtransport von Unternehmensdaten missbrauchen.
•
Liegenlassen: Jährlich werden Zehntausende von Mobiltelefonen und auch PDAs liegen gelassen. Die darauf gespeicherten Daten sind in den meisten Fällen unverschlüsselt und somit für den Finder leicht einsehbar.
•
Entsorgung: Werden die Daten auf einem mobilen Computer nicht professionell gelöscht, so können diese durch frei verfügbare Software einfach wieder hergestellt werden. Vor allem bei privaten Geräten,
bei welchen die Hoheit nicht beim Unternehmen liegt, können auf diesem Weg auf dem Gerät gespeicherte Daten durch die Weitergabe in die Hände unberechtigter Dritter gelangen.
•
Datensicherung: Mobile Computer sind naturgemäss viel unterwegs. Somit wird eine regelässige Datensicherung schwieriger. Dennoch befinden sich je
nach Einsatzgebiet wichtige Daten auf dem Gerät, welche zuverlässig vor Datenverlust geschützt werden müssen.
Wie vorgängig erklärt, stellen mobile Computer zusehends ein beträchtliches Risiko für das Unternehmen dar und müssen somit angemessen geschützt werden. Die wichtigsten Sicherheitsmassnahmen, welche auch für PCs gelten, müssen auch bei mobilen Computern angewendet werden:
•
Verantwortlichkeiten: Wer hat die Hoheit über den mobilen Computer? Wer ist verantwortlich für die Umsetzung der notwendigen Sicherheitsmassnahmen? Diese Aufgabe per Weisung dem Besitzer aufzuzwingen, wird in vielen Fällen das Problem nicht lösen. Folgendes Vorgehen ist erfolgsversprechender:
•
Die Verantwortung für die Sicherheitsmassnahmen muss beim Unternehmen liegen (Datensicherung, Software-Update, etc.).
•
Die zugelassenen Gerätemodelle sind zu definieren und der dazu nötige Support ist zu garantieren.
•
Regeln zur Nutzung der Geräte sind durch das Unternehmen aufzustellen und durchzusetzen.
•
Einsatz von Anti-Malware resp. Anti-Spyware: Die bei PCs üblichen Schutzprogramme müssen auch bei mobilen Computern zum Einsatz kommen. Der regelmässige Update und die Überwachung der Log-Files zur Erkennung von Vorfällen muss durch das Unternehmen sichergestellt werden.
•
Sensibilisierung: Anwender von mobilen Computern müssen bezüglich der Risiken, die aus dem Einsatz der Geräte hervorgehen, sensibilisiert werden. Ein vernünftiges Mass an Eigenverantwortung muss vorausgesetzt werden können.
•
Protokollierung: Beim Bearbeiten von besonders schützenswerten Daten ist der Datentransfer zwischen mobilen Computern zu protokollieren. Allfälliger Missbrauch kann so zumindest nachträglich erkannt werden, was eine strafrechtliche Verfolgung der Täter möglich macht. Selbstverständlich müssen die Anwender über die stattfindende Protokollierung informiert werden! Dies kann z.B. über Benutzerrichtlinien erfolgen, welche nach der Einsicht visiert werden.
•
Sperrung der USB-Schnittstellen: Die Verwendung der USB-Schnittstellen eines PCs resp. Notebooks kann mithilfe von Zusatzsoftware eingeschränkt oder sogar gänzlich verunmöglicht werden. Dadurch kann ein heimliches Anschliessen eines mobilen Computers oder Memory-Sticks verhindert werden.
•
Quarantäne-Netzwerk: Zukünftig kommen wohl vermehrt Quarantäne-Netzwerke zum Einsatz. Bei diesem Konzept wird ein mobiler Computer zuerst mit dem Quarantäne-Netzwerk verbunden. Erst nach erfolgreicher Sicherheitsüberprüfung wird dann der Zugang ins eigentliche Unternehmensnetzwerk freigeschaltet. Ansonsten erfolgt zuerst das notwendige Sicherheitsupdate.
Mobile Computer bieten interessante Chancen, welche genutzt werden sollen und müssen. Jedoch nicht um jeden Preis. Den Risiken, die sich aus dem Einsatz dieser Geräte ergeben, muss angemessen begegnet werden, idealerweise vor dem ersten Sicherheitsvorfall!
