Mobile Geräte sicher eingesetzt

Mobile Geräte sicher eingesetzt

Artikel erschienen in IT Magazine 2011/06

Sicherheitsaspekte

Aufgrund der bereits erwähnten und einer Vielzahl weiterer Problemstellungen können Mobile Devices, wenn sie nicht entsprechend geschützt sind, auf unterschiedliche Weise missbraucht werden. Dabei steht in erster Linie der Datendiebstahl respektive die Wirtschaftsspionage im Vordergrund. Weitere Angriffsvektoren sind jedoch der Identitätsmissbrauch, Zugriff auf die Unternehmensinfrastruktur oder der einfache Missbrauch der Telefonfunktionen, was beispielsweise die Kompromittierung von Zwei-Faktor-Authentisierungslösungen basierend auf mTAN miteinschliesst. Um einen umfassenden Schutz zu gewährleisten, müssen deshalb unterschiedliche Aspekte berücksichtigt werden:

- Datensicherheit: Schutz der Daten, die auf dem Mobile Device permanent oder temporär gespeichert sind. Dabei muss der Schutz stets, das heisst unabhängig vom aktuellen Zustand des Gerätes (ein- oder ausgeschaltet) gewährleistet sein. Ebenso gilt es, neben dem internen Speicher auch allfällige externe Speichererweiterungen (z.B. SD-Karten) zu berücksichtigen.

- Kommunikationssicherheit: Schutz jeder Datenverbindung, unabhängig von der gewählten Übertragungstechnologie (UMTS, WLAN, Bluetooth etc.), sowie der verfügbaren Schnittstellen (USB etc.).

- Sicherheit der Unternehmensinfrastruktur: Schutz vor unberechtigtem Zugriff auf die Unternehmensinfrastruktur über die Schnittstellen und Verbindungen, die durch die Mobile Devices etabliert sind.

- Plattformsicherheit: Schutz des Gerätes und seines Betriebssystems, sowie jeglicher installierter Software vor Angriffen aller Art. Besonders hervorzuheben sind hierbei mutwillige Modifikationen des Betriebssystems durch den Benutzer (beispielsweise Jailbreaking), sowie Gefahren ausgehend von einer sehr hohen Anzahl verfügbarer Dritthersteller-Applikationen (Apps) verschiedenster offizieller und inoffizieller Quellen (App Stores). Ebenso können standardmässig vom Hersteller installierte Software-Komponenten wie Browser, E-Mail, SMS/MMS, Multimedia-Player sowie Synchronisationsdienste Ziele von Angriffen sein.

- Missbrauch des Gerätes: Schutz des Gerätes vor unberechtigter Verwendung der Gerätefunktionen wie beispielsweise des Telefonmoduls durch Malware. Im Fokus stehen dabei sogenannte Dialer-Programme, die ohne Wissen des Benutzers kostenintensive Mehrwert-Dienste abrufen. Gefahren lauern zusätzlich durch in Dritthersteller-Applikationen integrierte Werbebanner, die über die Internetschnittstelle ebenso kostenintensive Services beziehen und abbuchen.

Organisatorische Lösungsansätze

Da Mobile Devices in der Regel überall zum Einsatz kommen, also auch in potentiell unsicheren Umgebungen, müssen sie ebenso wie andere portable Geräte umfassend geschützt werden. Um diesen Schutz zu gewährleisten, ist eine Verankerung der Mobile Devices in der Sicherheitsorganisation eines Unternehmens mindestens so wichtig, wie die technische Implementierung von Sicherheitsmassnahmen, auf die in den kommenden Schwerpunkt-Artikeln – zum Beispiel in der Marktübersicht über Mobile-Device-Management-Lösungen (ab S. 40) – genauer eingegangen wird. Aus organisatorischer Sicht ist das Augenmerk insbesondere auf folgende Aspekte zu legen:

- Zentrales Device Management: Die Unternehmensinfrastruktur wird üblicherweise von zentraler Stelle verwaltet. Dies gilt sinngemäss auch für das Management von Mobile Devices. Erschwerend dabei wirkt der Umstand, dass in der Regel eine grosse Zahl verschiedener Geräte mit unterschiedlichem Funktionsumfang parallel im Einsatz steht. Darüber hinaus befinden sich unter Umständen viele der mobilen Geräte in Privatbesitz, weshalb eine zentrale Verwaltung und Kontrolle aus Sicht der Besitzer stets im Verdacht steht, in deren Privatsphäre einzugreifen. Wie geht man damit um?

- Device Lifecycle Management: Das Device Lifecycle Management umfasst die Koordination des gesamten Lebenszyklus von Mobile Devices, das heisst von der Beschaffung und Inventarisierung, über die Provisionierung und Bereitstellung, die Aktualisierung und Reparatur, bis hin zur Entsorgung der Geräte, und ist damit ein wichtiges Thema. Dazu gehört auch die Planung von Massnahmen, falls Geräte verloren gehen oder gestohlen werden.

- Data Lifecycle Management: Auch der Umgang mit Unternehmensdaten auf Mobile Devices muss geplant und koordiniert werden. Dies umfasst neben dem Speichern dieser Daten auf den Geräten auch eine allfällige Synchronisierung mit anderen Geräten, das Sichern gegen Datenverlust (Backup), sowie das unwiderrufliche Löschen von lokal gespeicherten Informationen.

- Compliance-Vorgaben und Security-Guidelines: Mobile Geräte unterliegen, wie die gesamte Infrastruktur einer Unternehmung, gewissen Compliance-Vorgaben und Security-Richtlinien. Die Etablierung und das Erzwingen von gerätespezifischen Security-Policies, gepaart mit der Bewusstseinsförderung beim Endbenutzer hinsichtlich realer Gefahren im Umgang mit Mobile Devices (Stichwort «User-Awareness»), unterstützt eine Unternehmung in der Einhaltung entsprechender Vorgaben.

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER