Hotspots und Social Media: 9 Sicherheitstipps für mobiles Arbeiten Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


03.04.2011 Thomas Pelkmann*

Hotspots und Social Media: 9 Sicherheitstipps für mobiles Arbeiten

Im Café oder am Flughafen zu arbeiten, setzt Firmendaten Gefahren aus. BIOS-Passwort, Festplattenverschlüsselung und Fernlösch-Option sind Pflicht, so Experten.

Mit der zunehmenden Flexibilität kommen neue Gefahren für die Daten auf mobilen Geräten auf. Sicherheitsexperte Hugh Thomson nennt im amerikanischen CSO-Magazin die neun wichtigsten Sicherheitsvorkehrungen.

Tipp 1: Nutzen Sie Festplattenverschlüsselung auf dem Laptop. Eine der ersten Maßnahmen für den Schutz von Daten auf mobilen Geräten gilt der Verschlüsselung von Daten, die sich auf der Festplatte dieser Geräte befinden. Das Ziel ist, es Hackern so schwer zu machen, an die Daten von Geräten zu kommen, dass sie die Lust verlieren. Festplattenverschlüsselung (Disk Encryption) wird mit der wachsenden Zahl mobiler Rechner immer wichtiger, meint Hugh Thomson. Ohne eine wirkungsvolle Verschlüsselung sei ein passwortgeschützter Laptop nicht mehr als der fromme Wunsch an einen Hacker, die Daten doch bitte in Ruhe zu lassen.

Tipp 2: Legen Sie für Laptops eine Boot-Reihenfolge und ein BIOS-Passwort fest. Viele Menschen haben Ihren Windows-Account geschützt, nicht aber den Zugriff auf die unterste Systemebene, das BIOS. Genau hier wird ein erfahrener Hacker aber ansetzen und versuchen, von irgend einem anderen Gerät als der Festplatte zu booten, um dann in den Daten herumzustöbern.

Es gibt ein paar Techniken, um das wenigstens ein bisschen schwerer zu machen: Die erste ist, die Festplatte in der Bootreihenfolge auf Platz 1 zu setzen und anschließend das BIOS gegen Änderungen dieser Reihenfolge mit einem Passwort zu schützen. Wenn ein Angreifer einen Laptop stiehlt, kann er mit rabiateren Methoden versuchen, an die Daten zu kommen, zum Beispiel die (hoffentlich verschlüsselte) Festplatte ausbauen. Aber die Änderung der Boot-Reihenfolge macht immerhin den schnellen Zugriff auf sensible Daten schwerer.

Tipp 3: Erklären Sie Ihren Mitarbeitern, dass ihre Passwörter nicht sicher sind. Die Option, Passwörter über die Abfrage biografischer Daten zurückzusetzen, ist nach Meinung von Hugh Thomson zu unsicher. Der Name des Haustiers, der Beruf des Großvaters oder der Mädchenname der Mutter lassen sich mittlerweile relativ leicht über soziale Netzwerke recherchieren, so Thomson. Daher sei es eine wichtige Übung, den Mitarbeiter zu zeigen, wie ungeschützt sie beim Zurücksetzen von Passwörtern sind.

Stellen Sie sich vor, Sie hätten all Ihre Passwörter für Desktop-PC, Notebook und den E-Mail-Account vergessen. Wie würden Sie das zurücksetzen? Könnte auch jemand von außen die Antworten auf diese Fragen geben? Wenn das so ist, ist es Zeit, die Fragen und Antworten zu ändern. Das gilt auch für den Fall, dass ein geschützter Account einfach eine E-Mail verschickt, über die man einen Passwort-Reset durchführen kann. Denn was wäre, wenn - was vorkommt - sich jemand dieses Accounts bemächtigt? Dann hat er freie Bahn, um die Daten zu ändern und einen Account auf Dauer für sich zu nutzen.

Tipp 4: Klären Sie Ihre Mitarbeiter über die Gefahren öffentlicher Hotspots auf. Im Internet wimmelt es von Tools für das Ausspähen des Verkehrs in öffentlichen Netzwerken. Wenn man das im Hinterkopf hat, kann man Sicherheitsvorkehrungen treffen, die das Mitlesen verhindern, wenn Ihre Mitarbeiter E-Mails versenden oder vertrauliche Suchanfragen starten. So sollten sie Mails nur über verschlüsselte VPN- oder SSL-Kanäle verschicken und empfangen. Für geschäftliche Mails sollte das gar der einzige Weg sein, um zu kommunizieren.

Klingt einfach, ist es aber nicht immer: Oft genug werden in der Praxis solche umständlichen Wege umgangen, weil das die Produktivität begünstigt - etwa beim Versand von Office-Dokumenten an persönliche Mail-Accounts. Wenn Sie es akzeptieren, dass Ihre Mitarbeiter auch außerhalb geschützter Netze und Verbindungen für das Unternehmen tätig sind, müssen Sie sie über die Gefahren des ungeschützten Verkehrs aufklären.

Tipp 5: Ermöglichen Sie das automatische Patchen mobiler Geräte. Die automatischen Updates für Office haben Sie schon eingeschaltet, aber was ist mit dem Rest des Systems? Angreifer erweisen sich oft flexibler als Administratoren beim Versuch, über Standard-Anwendungen in Rechner einzudringen. Daher ist es wichtig, den Rechner durch regelmäßige Updates der Software vor Angriffen zu schützen. Früher einmal war es riskanter, sich mit einem Patch Malware einzufangen, als den Rechner so lange ungeschützt zu lassen, bis der Patch auf Sicherheit getestet war. Angesichts der größeren Gefahr bei mobilen Mitarbeitern sollte diese Sichtweise aber mindestens bei den wichtigsten Applikationen überprüft werden, fordert Thomson.

Tipp 6: Schützen Sie die sichtbare Privatsphäre. Es kommt häufig vor, dass Laptops zwar im System geschützt sind, aber sensible Daten dennoch offensichtlich sind: Wer an öffentlichen Plätzen mit Firmendaten arbeitet, präsentiert sie schlicht der Allgemeinheit. Mit der wachsenden Zahl und Qualität von Smartphone-Kameras ist es für Datendiebe nicht gerade schwer, auch aus der Distanz lesbare Fotos von Bildschirminhalten zu schießen.

Auch davor müssen sich Ihre mobilen Mitarbeiter schützen, etwa, indem sie den Bildschirm aus der Sichtachse anderer Personen entfernen oder spezielle Folien verwenden, die den Monitor vor fremden Blicken schützen. Wichtiger ist es aber, das Bewusstsein der Mitarbeiter für diese Form von Angriffen zu schärfen. Dann passen sie beim nächsten Mal hoffentlich einfach besser auf. Das gilt zum Beispiel speziell auf Seminaren oder Konferenzen, wo oft Menschen aus denselben Branchen sehr eng beieinander sitzen.

Tipp 7: Schützen Sie sich vor Lecks in sozialen Netzen. Wer unterwegs ist, gibt leicht mehr von sich preis, als opportun wäre. Der einfachste Fehler ist die Bekanntgabe von aktuellen Aufenthaltsdaten. Es mag banal sein, wenn ersichtlich ist, dass Sie sich gerade in Clausthal-Zellerfeld oder Olpe aufhalten; für Ihre Mitbewerber kann aber genau diese Information bereits wichtig sein. Über Facebook oder Twitter lassen sich solche Daten schneller verbreiten, als manch einem lieb sein wird. Raten Sie Ihren mobilen Mitarbeitern also dringend, auf diese Positionsangaben zu verzichten.

Auch die Kontaktpflege in den sozialen Netzen ist nicht immer harmlos. Oder was würden Sie dahinter vermuten, wenn einer Ihrer Mitbewerber plötzlich intensive Kontakte mit den Führungskräften eines potenziellen Übernahmekandidaten pflegt? Was wie eine Verschwörungstheorie dunkler Mächte klingt, wird jedoch tatsächlich systematisch praktiziert. Und es geht nicht darum, unbestimmte Ängste zu erzeugen. Es geht vielmehr einfach darum, das Bewusstsein für mögliche Angriffe zu erhöhen und damit die Vorsicht zu vergrößern.

Schließlich ist es ebenfalls möglich, dass alles, was Sie in öffentlich zugänglichen sozialen Netzen posten, bei Phishing-Versuchen gegen Sie verwendet wird. Wer in einer Mail mit scheinbarem Insider-Wissen punktet, gelangt möglicherweise leichter an Zugangsdaten und Kontakte. Für ein potenzielles Opfer aber ist es so wesentlich schwieriger zu erkennen, ob die Mail eines bekannten Absenders echt oder gefälscht ist. Auch hier ist es Aufgabe der IT-Abteilung, die Mitarbeiter über diese potenziellen Gefahren aufzuklären. Alle sozialen Netzwerke erlauben es, den Empfängerkreis vertraulicher Mitteilungen zu beschränken. Man sollte diese Funktionen unbedingt nutzen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr

Hosted by:    Security Monitoring by: