Nutzer mögen es als Vorteil ansehen, wenn Firmen den Einsatz privater Smartphones oder Tablets zulassen. IT-Sicherheitsexperten sehen in der IT-Consumerization allerdings nicht nur Vorteile, sondern auch konkrete Sicherheitsprobleme. Sobald sich ein Smartphone oder ein Tablet mit der Firmeninfrastruktur verbindet, speichert es zwangsläufig Informationen, die für Diebe durchaus interessant sind. Die Kontakte lassen sich beispielsweise nutzen, um gezielte Phishing-E-Mails zu versenden, die den Empfänger auf eine bösartige Seite locken, den Rechner infizieren und so Angreifern den Zugang ins Unternehmen ermöglichen können.
Das ist natürlich nur ein Szenario, zeigt aber, wie selbst vermeintlich unwichtige Informationen in den falschen Händen schnell zu Werkzeugen von Angreifern werden können. IT-Verantwortlichen muss klar sein, dass sie auch bei "Bring your own device" nicht auf die Verwaltung von Geräten verzichten können. Dabei sollten sie nicht nur Diebstahl im Hinterkopf behalten, sondern auch den Verlust von Smartphones einplanen.
Wie also kann man die Geräte am einfachsten in den Griff bekommen? BlackBerry Smartphones machen es Admins und IT-Abteilungen leicht, schließlich lassen sich diese direkt über den BlackBerry Enterprise Server verwalten. Lösungen wie BlackBerry Balance erlauben es zudem, dass private Daten und Firmeninformationen getrennt werden können . Wer andere Geräte zulässt, der muss einen gemeinsamen Nenner finden. Oftmals eignet sich beispielsweise der Exchange-Server von Microsoft. Verbindet sich ein Smartphone oder Tablet über ActiveSync, ein Protokoll, das sowohl Android wie auch Apple-Geräte unterstützen, mit dem Server, lassen sich die Smartphones über Outlook Web Access löschen. Dabei werden alle Daten auf dem Smartphone entfernt, wozu das Gerät aber mit dem Internet verbunden sein muss. Der Server erlaubt zudem, dass Administratoren starke Passwörter auf den Smartphones oder Tablets erzwingen.
5 Tipps für den Alltag
Ein weiterer Faktor, der oftmals übersehen wird, ist das umgehen von Sicherheitsmaßnahmen. Nur wenigen Benutzern mag dies klar sein, aber Vorgänge wie Jailbreaking oder Rooting erlauben nicht nur mehr Funktionen, sondern hebeln auch zahlreiche Sicherheitsfunktionen der Hersteller aus. Vor allem das Jailbreaking eines iPhones wird oftmals mehr als Sport denn als tiefschürfender Eingriff in die Sicherheitsarchitektur von iOS angesehen. So konnte die erste iOS-Malware beispielsweise nur iPhones attackieren, auf denen der Nutzer einen Jailbreak ausgeführt hat.
Das Problem hierbei: Für Firmen ist es kaum möglich, einen Jailbreak oder ein Android-Smartphone mit Root-Zugriff zu erkennen. Hier ist es wichtig, von Anfang an klare Regeln aufzustellen und sich diese vom künftigen Nutzer schriftlich bestätigen zu lassen.
1.Passwort erzwingen
Der einfachste Schutz ist ein Passwort - dieses wehrt einen Großteil von Gelegenheitsattacken ab. Verpflichten Sie ihre Nutzer zum Setzen von starken Passwörtern und erzwingen Sie diese über die Server-Systeme, etwa per Exchange. Nahezu jede Plattform kann ein Passwort setzen, um Inhalte zu schützen, lassen Sie keine Ausreden gelten.
2. Speicherkarten verschlüsseln wenn möglich
Selbst wenn das eigentliche Gerät durch ein Passwort geschützt ist, was ist mit der Speicherkarte? BlackBerry Smartphones und einige andere Smartphones können Speicherkarten verschlüsseln - machen Sie davon Gebrauch. Der Nutzer merkt im Alltag nichts von der Verschlüsselung, wird das Gerät gestohlen sind die privaten und Firmen-Daten aber deutlich besser geschützt.
3. Remote-Löschung einrichten und zusichern
Verschwindet das Smartphone, entweder durch Diebstahl oder weil der Besitzer das Unternehmen verlässt, dann können sich darauf noch immer sensible Informationen befinden. Bevor ein Unternehmen private IT erlaubt, sollte es sicherstellen, dass sich die Geräte per Fernzugriff zumindest komplett löschen lassen - und dieses Recht auch im Rahmen einer Betriebsvereinbarung einfordern.
4. Updates schnellstmöglich einspielen
Neue Versionen der Betriebssysteme oder von installierten Apps bringen nicht nur neue Funktionen sondern beheben auch gefundene Schwachstellen. Leider unterstützen nur wenige Systeme eine zentrale Update-Prozedur, IT-Abteilungen müssen die Nutzer stets daran erinnern, Updates durchzuführen.
5. Nutzer erziehen
Hat ein Nutzer eine gewisse positive Grundeinstellung zum Thema Sicherheit, wird es für CIOs und IT-Abteilungen deutlich leichter. Versuchen Sie also, ihre Nutzer zur IT-Sicherheit zu erziehen. Dazu gehört auch, dass man Sicherheitshinweise von Nutzern ernst nimmt - ein falscher Alarm ist schnell aussortiert, aber dank der Mithilfe aufmerksamer Benutzer kann man tatsächliche Attacken oftmals erkennen und Gegenmaßnahmen einleiten.