Es gibt einen klaren Trend zu mehr Mobilität im Unternehmen: Bereits zum Umfragezeitpunkt (November 2008) der vom Marktforschungsunternehmen IDC durchgeführten Studie bewegte sich der Anteil von Mitarbeitern, die mit mobilen Arbeitsgeräten ausgestattet waren, bei 36,4 Prozent. Bereits für das kommende Jahr (2010) schätzen die befragten Unternehmen den Anteil auf knapp 50 Prozent ein.
Neben Laptops (100 Prozent) zählen auch USB-Sticks (97 Prozent), Mobiltelefone (95 Prozent) und Smartphones (82 Prozent) sowie mobile Festplatten (85 Prozent) zu den eingesetzten Geräten (Mehrfachnennung möglich).
Zu diesem Ergebnis kommt die IDC-Studie "Mobile Security, Status Quo und Trends in Deutschland 2008/09". Anhand einer Befragung von 150 deutschen Unternehmen, die mehr als 100 Mitarbeiter beschäftigen und mehr als 100 mobile Endgeräte im Einsatz haben, gibt IDC darin einen Überblick über den Einsatz von mobilen Geräten in Unternehmen. Neben der Motivitation zum mobilen Einsatz wurden auch Daten erfasst, die Aufschluss über aktuelle sowie geplante Sicherheitsmaßnahmen geben.
Die Motivation der Unternehmen, den Einsatz mobiler Endgeräte bei Mitarbeitern zu fördern, überrascht wenig: Die Erreichbarkeit der Mitarbeiter und standortunabhängige Datenverfügbarkeit sowie die damit verbundene Effizienzsteigerung werden als wichtig eingestuft.
Oft fehlen noch Mobile Security Policies für Smartphones
Bei der Betrachtung der genutzten Datenübertragungswege fällt auf, dass UMTS (67 Prozent) bereits direkt an zweiter Stelle nach WLAN (81 Prozent) zum Einsatz kommt (Mehrfachnennung möglich). Zum einen ist das sicherlich ein Indiz dafür, dass mit den sinkenden Preisen der Mobilfunkanbieter UMTS auch betriebswirtschaftlich attraktiv wird, zum anderen spricht diese Zahl auch für die zunehmende Verbreitung von Smartphones.
Kaspersky präsentierte hierzu im Umfeld der Studie aus internen Quellen eine Prognose, die für 2010 vorhersagt, dass dann doppelt so viele Smartphones abgesetzt werden wie Notebooks. Bereits 2007 lag der Anteil der weltweit verkauften Smartphones fast mit dem von Notebooks gleichauf. Problematisch ist jedoch laut Kaspersky, dass Policies für Smartphones derzeit kaum entwickelt und umgesetzt sind. So liegt der Anteil der Security-Ausgaben für Smartphones auch signifikant unter denen für Notebooks, wie die folgende Abbildung verdeutlicht.
Dabei spielt die Verbreitung von Viren und Malware bei Smartphones eine eher untergeordnete Rolle: TrendMicro zählte von der für das Betriebssystem SymbianOS geschriebenen Malware ComWAR.A einen Detection Count von 17.246 (Platz 1 der Top 10 Mobile Malware). Die Zahlen für andere Mobilfunkbetriebssysteme bewegen sich zudem nur im maximal dreistelligen Bereich. Im Vergleich dazu: Bei Computermalware liegen die Erkennungsraten der TrendMicro TrendLabs beim Spitzenplatz der Malware in Millionenhöhe.
Ein wesentlich höheres Sicherheitsrisiko bei Smartphones besteht darin, dass diese Geräte zunehmend Träger sensibler Daten werden, gleichzeitig aber zu den Produkten zählen, die am häufigsten liegen gelassen werden. Ein passendes Beispiel kommt ebenfalls von Andreas Lamm, Managing Director Europe von Kaspersky Lab: Etwa zwei Millionen Mobiltelefone gehen jährlich in Großbritannien verloren. Wer eins davon findet, kann sich meist schnell Zugriff verschaffen, indem er einfach seine eigene SIM-Karte einsetzt: Viel zu selten, wird das Gerät selber per Passwort geschützt - von Verschlüsselung des Inhalts mal ganz abgesehen.
Einzig Blackberry scheint hier eine Ausnahme zu sein: Sowohl Raimund Genes von TrendMicro als auch Malte Pollmann, Chief Product Officer Utimaco Safeware, bescheinigten im Rahmen der IDC-Veranstaltung Blackberry, dass "die einen guten Job machen", was das Thema Geräteschutz und Verschlüsselung anbelangt. Ein weiterer Grund ist sicherlich auch, dass Blackberrys in der Regel gut in IT-Sicherheitsrichtlinien eingebettet werden.
Bei einem Drittel der Unternehmen besteht dringender Handlungsbedarf
Das Thema Sicherheit mobiler Endgeräte bildet zwar einen Schwerpunkt der Studie von IDC. Doch durch die recht weite Definition des Begriffs "Mobile Endgeräte" vom Notebook bis zum USB-Stick und fehlender Differenzierungsmöglichkeiten lassen sich eher allgemeine Aussagen treffen. Diese sind zwar nicht weniger interessant, lassen aber nur bedingt Rückschlüsse auf die Besonderheiten hinsichtlich der Sicherheit beim Einsatz von Smartphones zu.
So gaben 65 Prozent der befragten Unternehmen an, dass die Sicherheit der mobilen Geräte Bestandteil einer umfassenden IT-Lösung ist. Inwiefern dies vor allen Dingen auf Notebooks und weniger auf Smartphones zutrifft, lässt die Studie leider offen. Im Umkehrschluss bedeutet dies aber, dass bei einem Drittel dringender Handlungsbedarf hinsichtlich der Mobile Security besteht.
Insbesondere wird dies deutlich, wenn man sich anschaut, dass die IT-Richtlinien bei 47 Prozent der befragten Unternehmen die wesentlichen und nur bei 19 Prozent alle mobilen Endgeräte berücksichtigen. Eine Einbettung ist zwar bei 22 Prozent der befragten Unternehmen innerhalb der nächsten 12 bis 24 Monate geplant, doch ist der Anteil der Unternehmen, die keine Mobile Security Policy planen, mit einem Anteil von 12 Prozent erschreckend hoch.
Erstaunlicherweise stufen dennoch nur 8 Prozent der Befragten ihr Sicherheitsniveau als schlecht ein. 38 Prozent bescheinigen sich hingegen eine durchschnittliche Sicherheit. Kurz vor einem optimalen Sicherheitsniveau sehen sich aber immerhin bereits 45 Prozent der befragten Unternehmen.
Manipulation von Daten bereitet das größte Kopfzerbrechen
Auf die Frage nach dem Bedrohungspotzenzial, wird der Manipulation von Daten die höchste Relevanz zugeordnet: Auf einer Skala von 1 (keine Bedrohung) bis 5 (existenzbedrohend) führt dieser Punkt die mit einem Wert von 3,6 an. Überraschend ist dieses Ergebnis insofern, dass gerade manipulierte Daten als existenzbedrohender eingestuft werden sollten.
Im Gegensatz zu einem Datenverlust werden diese erst nach Wochen oder Monaten und eher zufällig aufgedeckt - in diesem Zeitraum werden Geschäftsprozesse unter Umständen auf Basis falscher Daten abgewickelt. Das kann fatale Folgen haben, wenn man beispielsweise Preiskalkulationen auf Basis manipulierter Einkaufspreise denkt.
Auch der Datendiebstahl wird mit einem Wert von 3,4 nur als moderat existenzbedrohend eingestuft. Auch dieser Wert könnte als höher erwartet werden, wenn man beispielsweise den Diebstahl von Daten über den gezielten Kauf von gebrauchten Geräten berücksichtigt: Gebrauchte Festplatten werden beispielsweise auf eBay vergleichsweise teuer gehandelt, da einige Käufer auf "verwertbare" Informationen setzen, die sie über den Kauf der oftmals nur unsicher gelöschten HDDs erhalten.
Ebenso unter diesen Punkt fallen Daten, die "per Zufall" in falsche Hände geraten und missbraucht werden, beispielsweise weil Geräte verloren oder vergessen wurden. So wurden zum Beispiel mehr als 1.500 Notebooks in 2007 im Fundbüro des Frankfurter Flughafens abgegeben. Rund 1.000 Mobilrechner sammelte die Deutsche Bundesbahn in ihren Zügen im gleichen Zeitraum ein. Die Zahl der Geräte, die nicht abgegeben wurde, dürfte ebenfalls immens sein.
Das Potenzial von Datenverlust auf diesem Wege wird häufig unterschätzt, denn die „scheinbare“ Sicherheit beruht vermutlich nicht darauf, dass bereits alle Notebooks, mobilen Festplatten und Smartphones in Unternehmen mit einer wirkungsvollen Verschlüsselungstechnologie ausgestattet sind. Auch das lässt sich der Studie entnehmen, betrachtet man die Einsatzhäufigkeit von Festplattenverschlüsselung in der folgenden Grafik.
Schwachstelle im Innern: Der Anwender
Im Vergleich zu vorangegangenen Studien wird das mangelnde Sicherheitsbewußtsein der Mitarbeiter stärker als Bedrohung empfunden (Wert 3,4 auf einer Skala von 1 bis 5), direkt gefolgt vom unabsichtlichen und vorsätzlichem Verhalten des Anwenders (Wert: 3,1). Erstaunlich in diesem Zusammenhang ist, dass bei neun Prozent der befragten Unternehmen die Absicherung der mobilen Endgeräte dem Anwender selber überlassen wird.
In der Sensiblisierung der Mitarbeiter für das Thema Sicherheit liegt daher großes Potenzial, denn letztenendes ist ein System nur so gut wie sein schwächstes Element. Schulungsmaßnahmen, die Mitarbeiter für das Thema Sicherheit sensibilisieren, sind sicherlich ein effizientes Mittel in vielen Unternehmen, um allgemein das Sicherheitsniveau anzuheben.
Noch bedrohlicher erscheinen den Unternehmen aber Bedrohungen von Außen: Hacker und Malware erscheinen den Befragten am bedrohlichsten (Wert: 3,6 bzw. 3,5), Spam hingegen wird als nicht so bedrohlich empfungen.
Positiv zu bewerten ist, dass die meisten Unternehmen jedoch weiterhin in die Sicherheit investieren wollen: Lediglich fünf Prozent der Befragten wollen oder können zukünftig weniger für Sicherheit ausgeben. Zu berücksichtigen ist allerdings, dass die Umfrage im November 2008 durchgeführt wurde und sich daher die Finanzkrise noch nicht auf diese Einschätzung ausgewirkt haben dürfte. Vermeidung von finanziellem Schaden und die Vermeidung von Datenverlust sind die Hauptgründe für Investitionen in Mobile Security. Mangelndes Budget sowie fehlende personelle Ressourcen für die Umsetzung hingegen hemmen die Umsetzung einer Mobile Security im gewünschten Maße.
Zusammenfassend lässt sich sagen, dass die meisten Unternehmen das Thema Mobile Security bereits auf der Agenda haben und bereits an der Umsetzung arbeiten, das Optimum ist aber noch nicht erreicht. Nicht zuletzt die Bereitschaft, weiterhin in Mobile Security zu investieren, ist ein Zeichen dafür, dass die Entwicklungen bei der Absicherung mobiler Endgeräte im Unternehmen noch nicht abgeschlossen sind.