Foto: Robert Lehmann, Fotolia.de
In drei Jahren nutzen 80 Prozent der Mitarbeiter mindestens zwei mobile Geräte bei der Arbeit, prognostiziert Gartner. Höchste Zeit also, dass die IT sie in ihre Sicherheits-Architektur einbindet - ob die Smartphones und iPads nun von der Firma bezahlt werden oder ob die Kollegen ihre Privat-IT mit ins Büro nehmen. Im ihrem Webinar "Emerging Technologies for Mobile Security" gaben Ant Allan und John Girard, beide Vice Presidents im Hause Gartner, Anfang September Ratschläge zum Umgang mit den neuen Geräten.
Indirekte Empfehlung für iPhone und iPad
Auf vier Pferde sollten CIOs setzen, rät Gartner: Diese Techniken würden sich in den nächsten fünf Jahren als die wichtigsten Sicherheits-Lösungen für mobile IT herauskristallisieren. Ein funktionierendes Mobile Device Management müsse her, Secure Web Gateways und Wege für die User Authentication (mehr zu den einzelnen Punkten auf der nächsten Seite).
Und Gartner rät als vierten Punkt zur Nutzung von geschlossenen, überwachten App Stores. Indirekt spricht der unabhängige Berater damit eine Empfehlung für das Apple-Ökosystem aus und gegen den Android Market.
Ohne Akzeptanz der User sind alle Bemühungen allerdings vergeblich: Damit IT und Anwender die gleiche Sprache sprechen, sollten sie die Spielregeln für die Nutzung privater Geräte klären. Als Gegenleistung für die Erlaubnis, ihre Privat-IT für die Arbeit zu nutzen, sollten Angestellte der IT eine Einverständniserklärung unterschreiben, dass sie zu Sicherheitszwecken auf die Geräte zugreifen kann.
Fingerabdrücke und Security aus der Cloud
-
User Authentication: Es ist entscheidend, dass nur berechtigte Personen Zugriff auf Firmendaten erhalten. Also müssen Anwender sich gesichert zu erkennen geben. Dass Passwörter aus vier Zeichen nur begrenzten Schutz bieten, ist klar. Kurze Zeitfenster zum Eintippen und wenige Freischüsse erhöhen die Sicherheit. IT-Abteilungen könnte zudem über den Eintipp-Rhythmus als weiteres Kriterium nachdenken, über Iris- und Gesichterkennung und Fingerabdruck-Scanner. Eine weitere Möglichkeit ist, die User bestimmte Muster oder Bilder merken zu lassen.
-
Mobile Device Management: Auf drei Säulen ruht diese Methode, die auch von Tools überwacht werden kann: den Anwendungen, der Hardware und der Sicherheit. Die IT muss sich also um das Hosting der Applikation kümmern, um Patches und Updates, um Synchronisierung im Hintergrund und regelmäßige Backups. Die Hardware-Säule umfasst zum Beispiel, Akkulaufzeiten und Speicherkapazitäten im Auge zu halten, die Lieferung genau wie Aktivierung und Deaktivierung. Bei der Security sind die üblichen Hausaufgaben wie Firewall und Viren-Software und das Graben von VPN-Tunneln zu erledigen, genau wie die richtige Verschlüsselung oder eben eine sichere User Authentisierung.
-
Secure Web Gateways: Ob die User am Flughafen, daheim oder gar im Büro ins Netz gehen: Sie sollten einen kleinen Umweg über eine Secure Web Gateway nehmen. Dieser Cloud-Dienst überwacht den ein- und ausgehenden Traffic und scannt zum Beispiel Email-Anhänge. Der Vorteil: Es funktioniert unabhängig vom Gerät oder Betriebssystem. Es wäre schließlich fatal, wenn ein Schadcode harmlos für Tablets ist und deren Security-Software sie deswegen durchwinkt - die Malware aber den Windows-PC nach der Synchronisierung attackiert.
-
App Stores: Diese Programm-Kioske können laut Gartner ein hilfreicher Partner für die eigene Sicherheit sind - solange sie betreut werden und überwacht werden sowie die Software gestestet und zertifiziert wird. Ein offenes Modell wie bei Google, RIM und Microsoft fällt bei diesen Anforderungen allerdings aus dem Raster - und übrig bleibt der Apple App Store. Eine offene Plattform wie Android sei zwar förderlich für Innovationen, so die Dozenten Allan und Girard - aber keine Hilfe für die Sicherheit.