Hotspots und Social Media

9 Sicherheitstipps für mobiles Arbeiten

31.03.2011 von Thomas Pelkmann
Im Café oder am Flughafen zu arbeiten, setzt Firmendaten Gefahren aus. BIOS-Passwort, Festplattenverschlüsselung und Fernlösch-Option sind Pflicht, so Experten.
Angestellte neuen Typs sind immer online, und immer häufiger heißt der Arbeitsraum "Café", "Flughafen" oder "Sofa".
Foto: Vodafone D2 GmbH

Mit der zunehmenden Flexibilität kommen neue Gefahren für die Daten auf mobilen Geräten auf. Sicherheitsexperte Hugh Thomson nennt im amerikanischen CSO-Magazin die neun wichtigsten Sicherheitsvorkehrungen.

Tipp 1: Nutzen Sie Festplattenverschlüsselung auf dem Laptop.

Eine der ersten Maßnahmen für den Schutz von Daten auf mobilen Geräten gilt der Verschlüsselung von Daten, die sich auf der Festplatte dieser Geräte befinden. Das Ziel ist, es Hackern so schwer zu machen, an die Daten von Geräten zu kommen, dass sie die Lust verlieren. Festplattenverschlüsselung (Disk Encryption) wird mit der wachsenden Zahl mobiler Rechner immer wichtiger, meint Hugh Thomson. Ohne eine wirkungsvolle Verschlüsselung sei ein passwortgeschützter Laptop nicht mehr als der fromme Wunsch an einen Hacker, die Daten doch bitte in Ruhe zu lassen.

Tipp 2: Legen Sie für Laptops eine Boot-Reihenfolge und ein BIOS-Passwort fest.

Viele Menschen haben Ihren Windows-Account geschützt, nicht aber den Zugriff auf die unterste Systemebene, das BIOS. Genau hier wird ein erfahrener Hacker aber ansetzen und versuchen, von irgend einem anderen Gerät als der Festplatte zu booten, um dann in den Daten herumzustöbern.

Es gibt ein paar Techniken, um das wenigstens ein bisschen schwerer zu machen: Die erste ist, die Festplatte in der Bootreihenfolge auf Platz 1 zu setzen und anschließend das BIOS gegen Änderungen dieser Reihenfolge mit einem Passwort zu schützen. Wenn ein Angreifer einen Laptop stiehlt, kann er mit rabiateren Methoden versuchen, an die Daten zu kommen, zum Beispiel die (hoffentlich verschlüsselte) Festplatte ausbauen. Aber die Änderung der Boot-Reihenfolge macht immerhin den schnellen Zugriff auf sensible Daten schwerer.

Tipp 3: Erklären Sie Ihren Mitarbeitern, dass ihre Passwörter nicht sicher sind.

Die Option, Passwörter über die Abfrage biografischer Daten zurückzusetzen, ist nach Meinung von Hugh Thomson zu unsicher. Der Name des Haustiers, der Beruf des Großvaters oder der Mädchenname der Mutter lassen sich mittlerweile relativ leicht über soziale Netzwerke recherchieren, so Thomson. Daher sei es eine wichtige Übung, den Mitarbeiter zu zeigen, wie ungeschützt sie beim Zurücksetzen von Passwörtern sind.

Stellen Sie sich vor, Sie hätten all Ihre Passwörter für Desktop-PC, Notebook und den E-Mail-Account vergessen. Wie würden Sie das zurücksetzen? Könnte auch jemand von außen die Antworten auf diese Fragen geben? Wenn das so ist, ist es Zeit, die Fragen und Antworten zu ändern. Das gilt auch für den Fall, dass ein geschützter Account einfach eine E-Mail verschickt, über die man einen Passwort-Reset durchführen kann. Denn was wäre, wenn - was vorkommt - sich jemand dieses Accounts bemächtigt? Dann hat er freie Bahn, um die Daten zu ändern und einen Account auf Dauer für sich zu nutzen.

Tipp 4: Klären Sie Ihre Mitarbeiter über die Gefahren öffentlicher Hotspots auf.

Im Internet wimmelt es von Tools für das Ausspähen des Verkehrs in öffentlichen Netzwerken. Wenn man das im Hinterkopf hat, kann man Sicherheitsvorkehrungen treffen, die das Mitlesen verhindern, wenn Ihre Mitarbeiter E-Mails versenden oder vertrauliche Suchanfragen starten. So sollten sie Mails nur über verschlüsselte VPN- oder SSL-Kanäle verschicken und empfangen. Für geschäftliche Mails sollte das gar der einzige Weg sein, um zu kommunizieren.

Öffentliche Hotspots sind unsicher

Klingt einfach, ist es aber nicht immer: Oft genug werden in der Praxis solche umständlichen Wege umgangen, weil das die Produktivität begünstigt - etwa beim Versand von Office-Dokumenten an persönliche Mail-Accounts. Wenn Sie es akzeptieren, dass Ihre Mitarbeiter auch außerhalb geschützter Netze und Verbindungen für das Unternehmen tätig sind, müssen Sie sie über die Gefahren des ungeschützten Verkehrs aufklären.

Tipp 5: Ermöglichen Sie das automatische Patchen mobiler Geräte.

Die automatischen Updates für Office haben Sie schon eingeschaltet, aber was ist mit dem Rest des Systems? Angreifer erweisen sich oft flexibler als Administratoren beim Versuch, über Standard-Anwendungen in Rechner einzudringen. Daher ist es wichtig, den Rechner durch regelmäßige Updates der Software vor Angriffen zu schützen. Früher einmal war es riskanter, sich mit einem Patch Malware einzufangen, als den Rechner so lange ungeschützt zu lassen, bis der Patch auf Sicherheit getestet war. Angesichts der größeren Gefahr bei mobilen Mitarbeitern sollte diese Sichtweise aber mindestens bei den wichtigsten Applikationen überprüft werden, fordert Thomson.

Tipp 6: Schützen Sie die sichtbare Privatsphäre.

Es kommt häufig vor, dass Laptops zwar im System geschützt sind, aber sensible Daten dennoch offensichtlich sind: Wer an öffentlichen Plätzen mit Firmendaten arbeitet, präsentiert sie schlicht der Allgemeinheit. Mit der wachsenden Zahl und Qualität von Smartphone-Kameras ist es für Datendiebe nicht gerade schwer, auch aus der Distanz lesbare Fotos von Bildschirminhalten zu schießen.

Auch davor müssen sich Ihre mobilen Mitarbeiter schützen, etwa, indem sie den Bildschirm aus der Sichtachse anderer Personen entfernen oder spezielle Folien verwenden, die den Monitor vor fremden Blicken schützen. Wichtiger ist es aber, das Bewusstsein der Mitarbeiter für diese Form von Angriffen zu schärfen. Dann passen sie beim nächsten Mal hoffentlich einfach besser auf. Das gilt zum Beispiel speziell auf Seminaren oder Konferenzen, wo oft Menschen aus denselben Branchen sehr eng beieinander sitzen.

Tipp 7: Schützen Sie sich vor Lecks in sozialen Netzen.

Wer unterwegs ist, gibt leicht mehr von sich preis, als opportun wäre. Der einfachste Fehler ist die Bekanntgabe von aktuellen Aufenthaltsdaten. Es mag banal sein, wenn ersichtlich ist, dass Sie sich gerade in Clausthal-Zellerfeld oder Olpe aufhalten; für Ihre Mitbewerber kann aber genau diese Information bereits wichtig sein. Über Facebook oder Twitter lassen sich solche Daten schneller verbreiten, als manch einem lieb sein wird. Raten Sie Ihren mobilen Mitarbeitern also dringend, auf diese Positionsangaben zu verzichten.

Auch Soziale Netzwerke können systematisch abgehört werden

Auch die Kontaktpflege in den sozialen Netzen ist nicht immer harmlos. Oder was würden Sie dahinter vermuten, wenn einer Ihrer Mitbewerber plötzlich intensive Kontakte mit den Führungskräften eines potenziellen Übernahmekandidaten pflegt? Was wie eine Verschwörungstheorie dunkler Mächte klingt, wird jedoch tatsächlich systematisch praktiziert. Und es geht nicht darum, unbestimmte Ängste zu erzeugen. Es geht vielmehr einfach darum, das Bewusstsein für mögliche Angriffe zu erhöhen und damit die Vorsicht zu vergrößern.

Schließlich ist es ebenfalls möglich, dass alles, was Sie in öffentlich zugänglichen sozialen Netzen posten, bei Phishing-Versuchen gegen Sie verwendet wird. Wer in einer Mail mit scheinbarem Insider-Wissen punktet, gelangt möglicherweise leichter an Zugangsdaten und Kontakte. Für ein potenzielles Opfer aber ist es so wesentlich schwieriger zu erkennen, ob die Mail eines bekannten Absenders echt oder gefälscht ist. Auch hier ist es Aufgabe der IT-Abteilung, die Mitarbeiter über diese potenziellen Gefahren aufzuklären. Alle sozialen Netzwerke erlauben es, den Empfängerkreis vertraulicher Mitteilungen zu beschränken. Man sollte diese Funktionen unbedingt nutzen.

Tipp 8: Stellen Sie mobile Geräte so ein, dass man sie von außen löschen kann.

Was passiert, wenn Ihnen einer Ihrer Mitarbeiter den Diebstahl seines Mobilgeräts beichtet? In der Regel übersteigt der Wert der Daten im Gerät den Wert des Gerätes selber. Die meisten Smartphones unterstützen das ferngesteuerte Löschen der Geräte. Nutzen Sie diese Option bei allen firmeneigenen, aber nach Möglichkeit auch bei den Geräten, die Ihre Mitarbeiter ins Unternehmen mitbringen. Ansonsten haben Diebe freien Zugriff auf die Daten und können nach dem Download auch die Fernlöschung deaktivieren. Dieser Fakt führt direkt zu Tipp 9.

Tipp 9: Verriegeln Sie mobile Geräte.

Im Kampf zwischen Bequemlichkeit und Sicherheit ist der Schutz vor möglichen Gefahren meist nur zweiter Sieger. Umso wichtiger ist es, die mobilen Mitarbeiter dazu zu erziehen, ihre Geräte vor unbefugtem Zugriff zu schützen. Passwörter sind ein Verzögerungsmechanismus im Fall von Diebstahl oder Verlust von Geräten. Dadurch gewinnen Sie Zeit, um Daten zu löschen oder gar über GPS ein Gerät wiederzufinden, bevor jemand sich an den Daten gelabt hat. Viele Geräte löschen sogar ihren Inhalt, wenn mehrmals ein falsches Passwort eingegeben wird. Aber selbst Geräte, die sich von außen löschen lassen, sollte man niemals unbeaufsichtigt lassen. Diebe hätten sonst die Chance, diese Mechanismen auszuschalten, bevor der Löschbefehl eintrifft.

Hugh Thomson ist Sicherheitsstratege bei People Security und außerordentlicher Professor an der Columbia Universität. Das CSO-Magazin erreichen Sie unter www.csoonline.com.