Der „Fall Blackberry“ hat in den vergangenen Monaten viele CIOs beunruhigt. Die Debatte über die Abhörsicherheit des E-Mail-Systems hat in einigen deutschen Unternehmen und Behörden dazu geführt, dass mobile E-Mail-Projekte auf Eis gelegt wurden. Dabei stellt das Thema Blackberry nur die Spitze des Eisbergs dar, denn der Einsatz mobiler Endgeräte wie Smartphones und PDAs birgt noch eine Reihe weiterer Risiken.
Wolf Kunert, Marketingdirektor des auf mobile Lösungen spezialisierten Münchener Beratungsunternehmens Pica, weist auf mehrere Arten von Gefahren hin. „Beim Verlust eines Gerätes ist das Risiko des Missbrauchs noch relativ gering, doch oft gibt es auch Fälle von gezieltem Gerätediebstahl zur Datenbeschaffung.“ Weitere Gefahren entstünden durch die zunehmende Vernetzung der Geräte, weil hierbei verstärkt Viren auf Smartphones gelangen und auf diesem Weg auch Schädlinge in das Firmennetz eingeschleust werden können.
Zwar wurde die Gefahr mobiler Viren von Industriekreisen in den vergangenen Jahren etwas übertrieben dargestellt – erste echte Schädlinge für Smartphones und PDAs gibt es erst seit kurzem.Doch insgesamt wächst die Gefahr von Angriffen und Datendiebstahl, wie etwa die Studie „PDA- und Smartphone-Security“ von Ubitexx zeigt. Das auf mobile Lösungen spezialisierte Münchener Unternehmen hat 826 deutsche Firmen befragt, 14 Prozent davon konnten einen schwer wiegenden Sicherheitsvorfall in den vergangenen zwölf Monaten nicht ausschließen. Große Unternehmen sind laut der Befragung noch stärker bedroht: In der Gruppe mit 500 bis 2000 Mitarbeitern konnten 20 Prozent einen Vorfall nicht ausschließen, bei jenen mit über 2000 Mitarbeitern gingen sogar 31 Prozent von kompromittierenden Ereignissen aus.
Software ist oft zu umständlich
Softwarehersteller und Systemhäuser haben auf diesen Trend reagiert und bieten mittlerweile eine Fülle an Lösungen an, um den Einsatz von mobilen Geräten abzusichern. Im Vergleich zur klassischen IT gelten auf dem Gebiet der Minicomputer jedoch andere Regeln. Eines der zentralen Themen dabei ist die Usability – also die einfache, intuitive Bedienung der Geräte. Laut Kunert bestehe hier ein klassischer Konflikt zwischen dem Schutzbedürfnis bestimmter Anwendergruppen und der Komplexität der eingesetzten Technik: „Manager benötigen naturgemäß Datenschutz auf höchstem Niveau, doch möchte die IT dieser Zielgruppe komplizierte Bedienschritte oft nicht zumuten.“ Im Klartext heißt das: So mancher Geschäftsführer verzichtet auf eine Verschlüsselung seiner tragbaren Daten, weil die Sicherheitssoftware zu umständlich ist.
Doch nicht nur die Bedienbarkeit stellt ein Problem dar. Als weiterer limitierender Faktor kommt die Hardware ins Spiel: PDAs und Smartphones verfügen im Vergleich zu PCs über sehr langsame Prozessoren, geringen Speicherplatz und knappe Akkulaufzeiten. Aus diesen Gründen lassen sich die von Desktop- und Serversystemen her bekannten Security-Strategien nur begrenzt übertragen, wie Ubitexx-Geschäftsführer Manuel Sosna erläutert: „Virenscanner sind auf mobilen Geräten sehr problematisch und nur in bestimmten Fällen zu empfehlen. Die CPUs sind zu schwachbrüstig; zudem belasten solche Systemprüfungen die Akkus sehr stark.“
Selbst die Verschlüsselung von Daten auf dem Gerät ist nicht unkritisch. Das derzeit am meisten verbreitete Konzept ist die Containerverschlüsselung. Mit dem Prinzip gibt das System den abgeschotteten Bereich des Dateisystems erst 10 bis 60 Sekunden nach Eingabe eines Passworts frei, erst dann kann der Anwender mit seiner Arbeit beginnen, so Sosna. Bei unvorbereiteten Benutzern stößt diese lange Wartezeit nicht selten auf Kritik oder Ablehnung.
Deshalb empfehlen die Sicherheitsexperten ein planvolles Vorgehen, bei dem die Bedürfnisse des Unternehmens Unternehmens und die Anforderungen der Benutzer unter einen Hut gebracht werden. Grundvoraussetzung dafür sind einheitliche Richtlinien und Endgeräte sowie eine serverbasierende Software für eine zentrale Verwaltung. Der Einstieg ist bereits mit recht einfachen Mitteln zu bewältigen,wie Kunert erläutert: „Werden Windows-Mobile-Geräte in Verbindung mit einem Exchange-Server und Active Directory eingesetzt, dann stehen grundlegende Schutzfunktionen bereit. Die brauchen nur noch aktiviert zu werden.“ Exchange von Microsoft mit dem Messaging und Security Feature Pack beispielsweise ermögliche das Erzwingen einiger grundlegender Sicherheitsrichtlinien wie der PIN-Authentifizierung am Endgerät.
Lösungen für fast alle Probleme
Für umfangreichere Sicherheitsmaßnahmen bieten sich zusätzliche Managementwerkzeuge wie Intellisync oder iAnywhere an. Diese Lösungen verfügen über einen erweiterten Funktionsumfang und unterstützen neben der Microsoft-Plattform auch andere marktübliche Messaging- Produkte wie Lotus Notes. Außerdem decken solche Lösungen alle gängigen mobilen Betriebssysteme ab – also auch Palm OS und Symbian OS.
Neben den mehr auf Verwaltung und Integration fokussierten Werkzeugen gibt es auch etliche Produktsuiten, die ausgefeilte und ressourcensparende Sicherheitsmechanismen auf den Endgeräten implementieren; so machen es beispielsweise die Lösung Utimaco Safeguard oder von die von Ubitexx Ubicontrol. Je nach Bedürfnis der Anwender lässt sich hier die gesamte Bandbreite heute möglicher Sicherheitsfunktionen installieren. Dazu zählen Authentifizierung, Überwachung aller Funk- und Speicherschnittstellen, Beschränkung von Benutzerrechten, Verschlüsselung von gespeicherten Daten, Verschlüsselung des E-Mail-Verkehrs oder Unterbinden von Anwendungsinstallationen.
Trotz oder gerade wegen der Komplexität der Thematik sollten Manager in den Unternehmen die Integration mobiler Endgeräte nicht auf die leichte Schulter nehmen, rät Kunert: „Wenn die IT die Unterstützung von PDAs und Smartphones kategorisch verweigert, nutzen die Mitarbeiter auf ihren privat angeschafften Geräten nicht einmal so einfache Maßnahmen wie Geräte-PIN – und tragen meist dennoch firmeninterne Datenbestände mit sich herum.“