Unternehmen statten ihre Mitarbeiter zunehmend mit Smartphones oder Tablets aus. Die neuen Kommunikationswerkzeuge sind allerdings nur halb so effektiv und attraktiv, wenn aus Sicherheitsgründen die Nutzung von Apps untersagt wird. Vom technikfernen Ansatz "Mitarbeiter werden vertraglich verpflichtet, Sicherheitsregeln bei der Nutzung ihrer Smartphones einzuhalten" bis hin zur technisch aufwändigeren "Trennung des geschäftlichen und privaten Bereichs" gibt es ein breites Spektrum an Möglichkeiten in unterschiedlich restriktiven Ausprägungen.
Unternehmen bewegen hierbei Fragen zum Arbeitsrecht, der Einhaltung und Erweiterung von Gesetzen und Richtlinien, Corporate Governance Kompatibilität, der Haftung oder der Verwaltung und Synchronisation der Geräte und Daten.
Die erste Herausforderung für CIOs und IT-Security-Verantwortliche entsteht durch die große Vielfalt an Endgeräten für die gängigen Betriebssysteme Android, iOS, Windows Phone und BlackBerry. Sie kann durch moderne Mobile Device Management Systeme wie AirWatch, Mobile Iron, SAP Afaria oder 7P mittlerweile komfortabel gelöst werden. Im Bereich der genutzten Software, den Apps, herrscht allerdings in den meisten Unternehmen ein undurchschaubarer Wildwuchs. Das Mobile Application Management wird deshalb zum zentralen Bestandteil einer ganzheitlichen Enterprise Mobility Strategie. Standardisierte Regeln und Kontrollen sind unumgänglich.
Gefahren durch Apps auf Tablets und Smartphones im Unternehmen
Laut aktueller Zahlen verschiedener unabhängiger Testlabore steigt die Zahl der Sicherheitslücken und Schadsignaturen in Smartphone- und Tablet-Apps rasant. mediaTest digital und das Fraunhofer Institut haben kürzlich unabhängig voneinander Statistiken veröffentlicht, aus denen hervorgeht, dass jede zweite App über alle mobilen Betriebssysteme hinweg sicherheitskritisches Verhalten und Schadprofile aufweist.
Apps fehlt häufig die Transparenz im Umgang mit personenbezogenen Daten und erhobenem Nutzungsverhalten. Zudem wird Datensammlern und Spionen die Arbeit durch mangelnde Sensibilisierung der App-Nutzer sowie fehlenden Schutzmechanismen begünstigt. Für Unternehmen bedeutet die massenhafte und teils ungeschützte Übertragung sensibler Daten ein enormes Risiko, da unternehmensinterne Informationen in die falschen Hände gelangen. Aktuelle Enthüllungen rund um die NSA und andere Geheimdienste unterstreichen, in welchem Umfang Personen- oder Unternehmensbezogene Daten erhoben und ausgewertet werden.
Die typischen Schadprofile und Sicherheitslücken in öffentlich zugänglichen Apps sind breit gefächert. Sie beginnen bei der ungefragten Einräumung von Berechtigungen und Zugriffen auf sensible Informationen wie Kontaktdaten, E-Mails, Passwörter, Kreditkartendaten, Kalendereinträge oder Standortdaten. Hinzu kommen Sicherheitslecks wie der unverschlüsselte und ungefragte Versand von Daten.
In vielen Fällen werden die Daten an Werbenetzwerke und Trackinganbieter geleitet - ohne Zustimmung der Nutzer und somit auch ohne Wissen des Arbeitgebers. Hinzu kommen bekannte Schadsignaturen wie Malware und Viren, die insbesondere bei Android-Geräten weit verbreitet und schwer kontrollierbar sind.
Beispiele für Bedrohungen
Im Folgenden finden Sie einige beispielhafte Bedrohungen, die Unternehmen beim Einsatz von Smartphones und Apps bedenken sollten:
1. Datenspionage durch die Cloud
Neben der massenhaften Erhebung und Speicherung von Kommunikationsdaten durch die NSA und andere Geheimdienste sind insbesondere Cloud-Dienste anfällig für Spionageattacken. Die bekannten Cloud-Anbieter haben ihren Sitz in den USA und unterliegen somit dem Patriot Act. Sie müssen die Daten ihrer Nutzer auf Anfrage der Regierungsbehörden jederzeit herausgeben, auch ohne den konkreten Verdacht einer Straftat.
Dass diese Möglichkeiten in der Vergangenheit verstärkt missbraucht wurden, ist hinreichend bekannt. Cloud-Dienste sollten nur verwendet werden, wenn der Anbieter in Deutschland oder mindestens in Europa sitzt und die abgelegten Daten hochverschlüsselt sind, so dass selbst der Betreiber keine Möglichkeit der Einsicht hat.
2. Systematische Angriffe auf E-Mail-Accounts
Im Januar 2013 berichtete die New York Times, dass über den Zeitraum von vier Monaten ihre E-Mail-Accounts systematisch ausspioniert wurden. Seit Februar 2014 wird REWE mit Daten erpresst, die ein Hacker aus dem E-Mail-Account eines Vorstandmitglieds gestohlen hatte. Ob dies über einen stationären Zugriff oder den Zugang über sein Smartphone geschehen ist, ist bisher nicht bekannt. Es macht jedoch deutlich, wie wichtig eine vernünftige Absicherung der Smartphones und Email-Apps ist.
3. Übermittlung der Standortdaten (GPS)
Die unverschlüsselte Übermittlung von Geo-Daten ist eine der häufigsten, unbemerkten Sicherheitslücken in Smartphone Apps. Für Unternehmen ergibt sich daraus das Risiko der Überwachung von Mitarbeitern und somit der Verlust vertraulicher und schützenswerter Informationen.
Hinzu kommt, dass durch die Erhebung von Standortdaten nicht nur der aktuelle Aufenthaltsort ermittelt, sondern auch der zukünftige vorhergesagt werden kann, was kürzlich Britischen Studenten eindrucksvoll geglückt ist. Sie konnten auf Basis von Telefonnummern, GPS-Verläufen, Anrufen, versendeten SMS, Adressbüchern sowie Bluetooth- und WLAN-Verbindungen bei 200 freiwilligen Smartphone-Nutzern in einer Genauigkeit von bis zu drei Metern vorhersagen, wo sich der Nutzer zukünftig befinden wird.
4. Internationale Spionage
Immer häufiger finden Sicherheitsexperten chinesische Schadsoftware auf Geräten mittelständischer Unternehmen. In diesem Fall steht das Ziel der Industriespionage im Vordergrund, was sich nicht zuletzt in der Marktüberschwemmung mit Plagiaten manifestiert. Vertrauliche Konstruktionszeichnungen und Fotos aus Forschungsabteilungen stehen hoch im Kurs.
Diese Bedrohung ist eins von vielen Beispielen, bei denen die Gefahr aus dem stationären PC-Bereich auf die mobile Infrastruktur übergeht. Einige Unternehmen schützen sich bereits vor diesen Gefahren, indem sie die Smartphone-Kameras deaktivieren. Da jedoch sensible Daten wie Fotos und Zeichnungen nicht nur per Kamera sondern über E-Mails, Cloud-Dienste oder Messenger-Apps auf die Geräte gelangen, sollte die Software-Seite ebenso gewissenhaft überprüft werden.
MAM: Für eine sichere mobile Infrastruktur
Die oben genannten Beispiele zeigen das breite Spektrum an Bedrohungen für die mobile IT-Infrastruktur und sensible Unternehmensdaten. Das Mobile Application Management (MAM) gibt Unternehmen als Teil der Enterprise Mobility Strategie die notwendigen Werkzeuge an die Hand, um dem Datenkontrollverlust entgegen zu wirken.
Mobile Application Management beinhaltet Software- und Service-Lösungen, die die Nutzung von Apps auf betrieblich genutzten Smartphones und Tablets nach Unternehmensrichtlinien gewährleisten und absichern. Berücksichtigt werden dabei sowohl eigens entwickelte, interne Apps als auch Apps aus öffentlich zugänglichen App Stores wie iTunes von Apple oder Google Play für Android.
Eine skalierbare Sicherheitsprüfung von Apps wird von einigen unabhängigen Testinstituten angeboten. Es sollte darauf geachtet werden, deutsche Anbieter zu wählen, da diese einen entsprechend hohen Anspruch an Datenschutz- und Datensicherheitsmerkmale der Apps stellen und bei Ihren Prüfungen die Vorgaben aus dem Bundesdatenschutzgesetz berücksichtigen. Darüber hinaus ist es sinnvoll einen Anbieter zu wählen, der weitestgehend auf das Prüfen von Apps spezialisiert ist. Durch die hohe Dynamik des App-Marktes und die hohe Update-Frequenz haben nur wenige Anbieter bisher die Möglichkeit und die technologischen Voraussetzungen, standardisiert, skalierbar und trotzdem tiefgreifend und zuverlässig zu prüfen.
Im Anschluss an das Testing bieten vereinzelte Institute schon die Möglichkeit, die Testergebnisse in Form von White- und Blacklisting-Katalogen zu bündeln und sie über die App Stores der Mobile Device Management Systeme (MDM) automatisiert auf die Geräte der Mitarbeiter auszurollen. Dieses integrierte Vorgehen bildet das Herzstück des Mobile Application Managements und schützt Unternehmen zunehmend vor aufwändigen Recherchen, händischen App-Freigaben und kostspieligen Datenverlusten. Das MAM arbeitet eng verzahnt mit dem Mobile Device Management und schafft im Zusammenspiel eine integrierte und standardisierte Umgebung.
Weitere Disziplinen des Enterprise Mobility Managements
Um eine sichere und nachhaltige Enterprise Mobility Strategie zu verfolgen, sollte neben den beiden beschriebenen Bereichen (Mobile Application Management und Mobile Device Management) auch die dritte Disziplin, das Mobile Information Management (MIM), berücksichtigt werden.
Beim Mobile Information Management stehen Cloud-basierte Services im Hinblick auf den geräteübergreifenden Austausch, die Speicherung, die Synchronisation und die Kontrolle von Daten, Medien und Dokumenten im Mittelpunkt. Eine der wichtigsten Funktionen des MIM ist die sichere Kontrolle der Daten. Sie ermöglicht das Vorhalten verschlüsselter Daten und gewährt ausschließlich vertrauenswürdigen Anwendungen der Zugriff auf diese Daten.
Die drei Kern-Disziplinen des Enterprise Mobility Managements werden durch das Enterprise Mobility Consulting (EMC) vervollständigt. Das EMC beantwortet alle Fragen, mit denen sich Unternehmen bei der Einführung von Enterprise Mobility Konzepten konfrontiert sehen. Beim EMC wird ein 5-Stufen-Prozess durchlaufen, an dessen Ende eine individuelle Enterprise Mobility Strategie steht.
Die drei wichtigsten Praxistipps für eine ganzheitliche MAM-Strategie im Unternehmen sind:
-
Absichern der im Unternehmen verwendeten Apps
-
Absichern der eigenen Apps durch Audits und Zertifikate
-
Einführen von Sicherheitsrichtlinien (für App-Entwicklung und Nutzung von Apps im Unternehmen)