Security-Checkliste für Firmen: Sicherheitsrisiko Smartphone Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


03.04.2011 Klaus Rodewig*

Security-Checkliste für Firmen: Sicherheitsrisiko Smartphone

Der Smartphone-Einsatz in Unternehmen birgt hohe Sicherheitsrisiken. Lesen Sie hier, wie sich Firmen schützen.

Erfolg im Business ist heutzutage nicht zuletzt eine Frage der Geschwindigkeit. E-Mails, Termine und Dokumente müssen überall und zu jeder Zeit zugänglich sein. Mit mobilen Geräten wie dem iPhone und iPad haben neben etablierten Business-Lösungen ausgewiesene Consumer-Endgeräte Einzug in geschäftskritische Infrastrukturen gehalten. Dies stellt IT-Betreiber vor die Herausforderung, angemessene Sicherheit auf diesen Geräten zu gewährleisten. Neben entsprechender Infrastruktur sind dabei Detailwissen und funktionierende Prozesse gefragt, um die grundsätzlichen Designprobleme in Bezug auf Sicherheit zu umschiffen, ohne dabei jedoch die Usability und damit die Akzeptanz zu beeinträchtigen. Aber auch beim Betrieb etablierter Business-Lösungen wie dem Blackberry spielt die Sicherheit eine häufig unterschätzte Rolle.

Smartphone-Verlust mit fatalen Folgen Der Einsatz von Smartphones stellt Unternehmen vor dieselben Herausforderungen, wie sie seinerzeit für die Absicherung von IT-Infrastrukturen, Desktop- und Server-Systemen bestanden haben. Es gibt so gut wie keine technischen Lösungen zur nachhaltigen Absicherung von Smartphones und mobile Endgeräten. Außerdem wächst durch die ständig steigende Kapazität dieser Geräte die Menge vertraulicher Daten, die sie aufnehmen können, kontinuierlich. Der Verlust eines einzigen Smartphones kann daher fatale Auswirkungen auf ein gesamtes Unternehmen haben.

Kinderkrankheiten in Sachen Sicherheit Hinzu kommt, dass es sich bei Smartphones um eine junge Technologie handelt, die mit zahlreichen Kinderkrankheiten in puncto Sicherheit zu kämpfen hat und mit hoher Wahrscheinlichkeit Angriffsvektoren bietet, die bisher noch nicht entdeckt worden sind. Man braucht in diesem Zusammenhang nur an die bisher als sicher geltenden SMS-TAN-Verfahren der Online-Banken zu denken. Verwendet ein Benutzer sein Smartphone sowohl für Online-Banking als auch zum Empfang der TAN per SMS, ist die grundsätzliche Sicherheit des Verfahrens sofort hinfällig.

Smartphones sind lohnende Angriffsziele Smartphones sind lohnende Angriffsziele, denn sie vereinen Eigenschaften von Server-Systemen mit denen der mobilen Kommunikation. Permanente Internet-Anbindung, Erreichbarkeit rund um die Uhr, Geo-Lokalisierung, private und dienstliche Daten wie E-Mail, Credentials, VPN-Zertifikate, Adressbücher und Dokumente lassen aus einem Smartphone für einen Angreifer das ideale Sprungbrett in gut gesicherte Infrastrukturen werden.

Mobile Endgeräte ungefährlicher machen Neue Angriffsvektoren präventiv zu entschärfen ist kaum möglich. Daher empfiehlt sich beim Einsatz von Smartphones grundsätzlich eine hinreichend konservative Einstellung. Mit geeigneten technischen und organisatorischen Maßnahmen lassen sich zumindest bekannte Risiken minimieren und Anwender so sensibilisieren, dass sie beim Umgang mit mobilen Endgeräten ausreichend Sorgfalt walten lassen.

Sicherheitsaspekte bei Endgeräteauswahl beachten Die Auswahl von Smartphones und mobilen Endgeräten sollte nicht nur unter finanziellen und funktionalen Gesichtspunkten, sondern von Anfang an auch unter dem Aspekt der Sicherheit erfolgen. Neben gerätespezifischen Merkmalen - wie zum Beispiel der Verschlüsselung der Gerätedaten, Zugriffsschutz und Schnittstellen - ist beim Betrieb vieler mobiler Endgeräte die der zentralen Verwaltung eine ganz wichtige Frage. Idealerweise sollten sich die Endgeräte in vorhandene Administrations- und Sicherheitsmechanismen eingliedern lassen beziehungsweise die Möglichkeit bieten, ihre eigenen Mechanismen mit den bereits vorhandenen zu koppeln. Nur durch die Aggregation und Auswertung von Gerätedaten an zentraler Stelle erhält der Betreiber einen Überblick über den Zustand der Geräte, über Verstöße gegen Richtlinien und ähnliche Informationen.

Smartphones auf Sicherheitsrichtlinien prüfen Ein wichtiger Aspekt ist auch, ob bereits Richtlinien zum Umgang mit mobilen Endgeräten (zum Beispiel für Notebooks) und der damit einhergehenden Verarbeitung von Daten außerhalb der eigenen IT-Infrastruktur im Unternehmen existieren. Ist dies der Fall, sollte ein weiteres Entscheidungskriterium bei der Auswahl einer Smartphone-Plattform die Frage sein, ob sich die vorhandenen Richtlinien auch auf dem neuen Gerät umsetzen lassen. Dürfen Daten beispielsweise nur auf verschlüsselten Datenträgern und Endgeräten das Unternehmen verlassen, scheiden Geräte ohne eine angemessene Möglichkeit zur Verschlüsselung bereits im Vorfeld aus der Betrachtung aus.

Wie bei der Verwaltung von Desktop-Systemen gilt auch bei Smartphones: Je fragmentierter die Geräte- und Betriebssystem-Basis, desto höher der Administrationsaufwand. Weniger ist also auch hier mehr, denn je unterschiedlicher die eingesetzten Geräte sind, desto schwieriger wird es, einheitliche Sicherheitsrichtlinien auf allen Geräten umzusetzen.

VIER FAKTOREN FÜR DEN SICHEREN BETRIEB Zum sicheren Betrieb von Smartphones gehören vier Faktoren:

• die Sicherheit der Endgeräte, • die Sicherheit der Schnittstellen zur Unternehmens-IT, • die organisatorischen Prozesse und Richtlinien im Unternehmen sowie • das Gefahrenbewusstsein der Mitarbeiter.

1. Sicherheit der Endgeräte Nach der Auswahl einer Plattform sollte als Erstes eine Sicherheitsrichtlinie zur Konfiguration der Smartphones aufgestellt werden. Diese Regeln sollten sich am Schutzbedarf der auf den Smartphones verfügbaren Daten orientieren sowie an unternehmensweit geltenden IT-Sicherheitsstandards. Wichtige Elemente einer solchen Richtlinie sind die Einrichtung automatischer Sperren, Vorgaben zur Stärke von Passwörtern, die Sicherheitskonfiguration des Internet-Browsers, eine Regelung der Verwendung externer Speichermedien am Smartphone und die Erlaubnis, respektive das Verbot der Installation von Programmen (Apps) durch den Benutzer. Nicht benötigte Schnittstellen sollten aus Sicherheitsgründen deaktiviert und nicht benötigte Software von den Geräten entfernt werden.

2. Anbindung an die Unternehmens-IT Der zweite Schritt in Richtung Sicherheit betrifft die Geräteanbindung an die Unternehmens-IT. Hier sind die Möglichkeiten so vielfältig wie die verfügbaren Endgeräte. Für die Verwendung von Blackberry ist die Integration eines Blackberry Enterprise Server (BES) in die eigene IT notwendig. iPhone und iPad lassen sich direkt an Exchange- oder Notes-Umgebungen ankoppeln und darüber auch managen, so auch auf anderen Plattformen basierende Endgeräte. Eine Richtlinie zur Anbindung sollte Regelungen darüber enthalten, ob die Anbindung über VPN-Verbindungen erfolgt oder ob der Zugriff auf E-Mails über traditionelle Wege verläuft wie beispielsweise IMAP und SMTP.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: