Erfolg im Business ist heutzutage nicht zuletzt eine Frage der Geschwindigkeit. E-Mails, Termine und Dokumente müssen überall und zu jeder Zeit zugänglich sein. Mit mobilen Geräten wie dem iPhone und iPad haben neben etablierten Business-Lösungen ausgewiesene Consumer-Endgeräte Einzug in geschäftskritische Infrastrukturen gehalten. Dies stellt IT-Betreiber vor die Herausforderung, angemessene Sicherheit auf diesen Geräten zu gewährleisten.
Neben entsprechender Infrastruktur sind dabei Detailwissen und funktionierende Prozesse gefragt, um die grundsätzlichen Designprobleme in Bezug auf Sicherheit zu umschiffen, ohne dabei jedoch die Usability und damit die Akzeptanz zu beeinträchtigen. Aber auch beim Betrieb etablierter Business-Lösungen wie dem Blackberry spielt die Sicherheit eine häufig unterschätzte Rolle.
Der Einsatz von Smartphones stellt Unternehmen vor dieselben Herausforderungen, wie sie seinerzeit für die Absicherung von IT-Infrastrukturen, Desktop- und Server-Systemen bestanden haben. Es gibt so gut wie keine technischen Lösungen zur nachhaltigen Absicherung von Smartphones und mobile Endgeräten. Außerdem wächst durch die ständig steigende Kapazität dieser Geräte die Menge vertraulicher Daten, die sie aufnehmen können, kontinuierlich. Der Verlust eines einzigen Smartphones kann daher fatale Auswirkungen auf ein gesamtes Unternehmen haben.
Hinzu kommt, dass es sich bei Smartphones um eine junge Technologie handelt, die mit zahlreichen Kinderkrankheiten in puncto Sicherheit zu kämpfen hat und mit hoher Wahrscheinlichkeit Angriffsvektoren bietet, die bisher noch nicht entdeckt worden sind.
Man braucht in diesem Zusammenhang nur an die bisher als sicher geltenden SMS-TAN-Verfahren der Online-Banken zu denken. Verwendet ein Benutzer sein Smartphone sowohl für Online-Banking als auch zum Empfang der TAN per SMS, ist die grundsätzliche Sicherheit des Verfahrens sofort hinfällig.
Smartphones sind lohnende Angriffsziele
Smartphones sind lohnende Angriffsziele, denn sie vereinen Eigenschaften von Server-Systemen mit denen der mobilen Kommunikation. Permanente Internet-Anbindung, Erreichbarkeit rund um die Uhr, Geo-Lokalisierung, private und dienstliche Daten wie E-Mail, Credentials, VPN-Zertifikate, Adressbücher und Dokumente lassen aus einem Smartphone für einen Angreifer das ideale Sprungbrett in gut gesicherte Infrastrukturen werden.
Neue Angriffsvektoren präventiv zu entschärfen ist kaum möglich. Daher empfiehlt sich beim Einsatz von Smartphones grundsätzlich eine hinreichend konservative Einstellung. Mit geeigneten technischen und organisatorischen Maßnahmen lassen sich zumindest bekannte Risiken minimieren und Anwender so sensibilisieren, dass sie beim Umgang mit mobilen Endgeräten ausreichend Sorgfalt walten lassen.
Die Auswahl von Smartphones und mobilen Endgeräten sollte nicht nur unter finanziellen und funktionalen Gesichtspunkten, sondern von Anfang an auch unter dem Aspekt der Sicherheit erfolgen. Neben gerätespezifischen Merkmalen - wie zum Beispiel der Verschlüsselung der Gerätedaten, Zugriffsschutz und Schnittstellen - ist beim Betrieb vieler mobiler Endgeräte die der zentralen Verwaltung eine ganz wichtige Frage.
Idealerweise sollten sich die Endgeräte in vorhandene Administrations- und Sicherheitsmechanismen eingliedern lassen beziehungsweise die Möglichkeit bieten, ihre eigenen Mechanismen mit den bereits vorhandenen zu koppeln. Nur durch die Aggregation und Auswertung von Gerätedaten an zentraler Stelle erhält der Betreiber einen Überblick über den Zustand der Geräte, über Verstöße gegen Richtlinien und ähnliche Informationen.
Die Sicherheitsaspekte bei Smartphones
Ein wichtiger Aspekt ist auch, ob bereits Richtlinien zum Umgang mit mobilen Endgeräten (zum Beispiel für Notebooks) und der damit einhergehenden Verarbeitung von Daten außerhalb der eigenen IT-Infrastruktur im Unternehmen existieren. Ist dies der Fall, sollte ein weiteres Entscheidungskriterium bei der Auswahl einer Smartphone-Plattform die Frage sein, ob sich die vorhandenen Richtlinien auch auf dem neuen Gerät umsetzen lassen. Dürfen Daten beispielsweise nur auf verschlüsselten Datenträgern und Endgeräten das Unternehmen verlassen, scheiden Geräte ohne eine angemessene Möglichkeit zur Verschlüsselung bereits im Vorfeld aus der Betrachtung aus.
Wie bei der Verwaltung von Desktop-Systemen gilt auch bei Smartphones: Je fragmentierter die Geräte- und Betriebssystem-Basis, desto höher der Administrationsaufwand. Weniger ist also auch hier mehr, denn je unterschiedlicher die eingesetzten Geräte sind, desto schwieriger wird es, einheitliche Sicherheitsrichtlinien auf allen Geräten umzusetzen.
Zum sicheren Betrieb von Smartphones gehören vier Faktoren
-
die Sicherheit der Endgeräte,
-
die Sicherheit der Schnittstellen zur Unternehmens-IT,
-
die organisatorischen Prozesse und Richtlinien im Unternehmen sowie
-
das Gefahrenbewusstsein der Mitarbeiter.
Nach der Auswahl einer Plattform sollte als Erstes eine Sicherheitsrichtlinie zur Konfiguration der Smartphones aufgestellt werden. Diese Regeln sollten sich am Schutzbedarf der auf den Smartphones verfügbaren Daten orientieren sowie an unternehmensweit geltenden IT-Sicherheitsstandards. Wichtige Elemente einer solchen Richtlinie sind die Einrichtung automatischer Sperren, Vorgaben zur Stärke von Passwörtern, die Sicherheitskonfiguration des Internet-Browsers, eine Regelung der Verwendung externer Speichermedien am Smartphone und die Erlaubnis, respektive das Verbot der Installation von Programmen (Apps) durch den Benutzer. Nicht benötigte Schnittstellen sollten aus Sicherheitsgründen deaktiviert und nicht benötigte Software von den Geräten entfernt werden.
Der zweite Schritt in Richtung Sicherheit betrifft die Geräteanbindung an die Unternehmens-IT. Hier sind die Möglichkeiten so vielfältig wie die verfügbaren Endgeräte. Für die Verwendung von Blackberry ist die Integration eines Blackberry Enterprise Server (BES) in die eigene IT notwendig. iPhone und iPad lassen sich direkt an Exchange- oder Notes-Umgebungen ankoppeln und darüber auch managen, so auch auf anderen Plattformen basierende Endgeräte. Eine Richtlinie zur Anbindung sollte Regelungen darüber enthalten, ob die Anbindung über VPN-Verbindungen erfolgt oder ob der Zugriff auf E-Mails über traditionelle Wege verläuft wie beispielsweise IMAP und SMTP.
Beim Thema E-Mail kommt in der Regel die Frage nach Verschlüsselungsmöglichkeiten auf. RIM bietet für den Blackberry verschiedene Möglichkeiten der E-Mail-Verschlüsselung. Auch ist die E-Mail-Kommunikation zwischen Geräten eines Unternehmens über den unternehmenseigenen BES als sicher zu betrachten. Anders sieht es bei iOS aus, also iPhone und iPad. Apple hat bis heute weder das Datenverschlüsselungsprogramm Pretty Good Privacy (PGP) noch Secure/Multipurpose Internet Mail Extensions (S/MIME) in iOS integriert, so dass iOS-basierte Geräte keine Möglichkeit zur Verschlüsselung von E-Mails bieten.
Problematisch kann das Thema E-Mail-Verschlüsselung werden, wenn Mitarbeiter E-Mails parallel auf Smartphone und Desktop bearbeiten, was in der Regel der Fall ist. Verschlüsselt das Smartphone E-Mails mit einer eigenen Lösung, sind diese E-Mails auf dem Desktop nicht lesbar. Kommt umgekehrt eine Desktop-Lösung zum Verschlüsseln zum Einsatz, beispielsweise PGP oder das freie Kryptografiesystem GNU Privacy Guard (GPG), bleiben diese E-Mails auf dem Smartphone unlesbar. Abhilfe können Gateways bieten, die E-Mails beim Empfang oder Senden durch den zentralen Mail-Server transparent ent- oder verschlüsseln.
Wichtiges Merkmal des zentralen Managements ist die regelmäßige Aktualisierung der Smartphones inklusive der installierten Programme. Ohne eine zentrale Kontrollinstanz gibt es keinen Überblick über die Softwarestände, und Mitarbeiter arbeiten unter Umständen jahrelang mit veralteter Software, die entsprechend viele Sicherheitslücken aufweist. Smartphones sollten daher zwingend in den normalen Patch-Management-Zyklus eingebunden werden, so wie alle Systeme eines Unternehmens.
Die Richtlinie zu Anbindung und Management der Smartphones sollte vorsehen, verlorene oder gestohlene Geräte aus der Ferne löschen zu können, um zu verhindern, dass Unternehmensdaten in unbefugte Hände gelangen. Hierzu müssen die technischen Voraussetzungen geschaffen und die mobilen Endgeräte entsprechend konfiguriert werden. Neben dem Löschen bieten moderne Smartphones auch die Möglichkeit der Lokalisierung über die Management-Schnittstelle. Für die Nutzung dieser Funktionalität nach Diebstahl und Verlust sollte die Richtlinie Vorgaben treffen, nicht zuletzt, weil diese Funktion enormes Missbrauchspotenzial bietet (Stichwort Mitarbeiterüberwachung).
Bei Diebstahl Daten remote löschen
Sinnvoll kann ebenfalls sein, Geräte mit einem Hinweis über den Eigentümer zu versehen, entweder über eine Anzeige auf dem Bildschirm oder über einen Aufkleber. Das erhöht nachweislich die Chance, dass ehrliche Finder das Gerät an das Unternehmen zurückschicken.
Ein wichtiger Aspekt organisatorischer Sicherheit - gerade wenn Endgeräte verwendet werden, die vom Provider gemietet wurden - ist das sichere Löschen im Schadens- oder Rückgabefall. Die Richtlinien sollten diese Fälle vorsehen und entsprechende Maßnahmen definieren. Dasselbe gilt für die Entsorgung von Geräten: Auch dann müssen im Vorfeld alle sensiblen Daten sicher gelöscht werden.
Der Umgang mit dem Gefahrenbewusstsein der Mitarbeiter ist beim Einsatz von Smartphones eine Gratwanderung. Zu restriktiv konfigurierte Smartphones berauben diese häufig zentraler Funktionen, womit die Akzeptanz durch die Mitarbeiter schwindet und der ursprünglich erhoffte Vorteil ausbleibt. Auf der anderen Seite können zu laxe Regeln Angreifern Tür und Tor öffnen. Das unkontrollierte Installieren von Apps durch die Mitarbeiter ist beispielsweise ein klassisches Sicherheitsrisiko. Wollen Unternehmen in diesem Punkt ganz auf Nummer sicher gehen, bleibt ihnen häufig keine andere Wahl, als ein komplettes App-Verbot auszusprechen. Hier müssen Unternehmen sorgfältig abwägen. Viele wählen eine Zwischenlösung und entwickeln einen Corporate App Store, der auf Sicherheit geprüfte Apps für die Mitarbeiter bereitstellt. So können die Mitarbeiter innerhalb gewisser Grenzen selber Apps installieren.
Sicherheit beim Einsatz von Smartphones in Unternehmen ist nicht allein eine technische Frage. Neben der sicheren Konfiguration von Endgeräten sind deren Integration in die Unternehmens-IT und das Management der Geräte wichtige Bausteine der Gesamtsicherheit. Richtlinien sind allerdings nur dann sinnvoll, wenn sie angemessen und umsetzbar sind. Die ISO-Norm 27001 definiert zahlreiche Vorgaben und Prozesse, aus denen sich Richtlinien für den Einsatz mobiler Endgeräte ableiten lassen. Ein Unternehmen, das nach ISO 27001 aufgestellt ist, sollte daher zumindest mit den organisatorischen Aufgaben keine Probleme haben.
Checkliste für Smartphone-Sicherheit
Hingegen lassen sich die Auswahl einer sicheren Plattform sowie die sichere Konfiguration der Endgeräte aus keinem Standard ableiten. Hier ist Erfahrung gefragt. Denn wie bereits gesagt: Die Geschichte wiederholt sich. Man muss nur zehn Jahre zurückdenken und die im letzten Jahrzehnt gewonnen Erkenntnisse über die Sicherheit von Systemen und Infrastrukturen auf mobile Lösungen übertragen. Das ist einfacher, als es auf den ersten Blick aussieht. Denn eines ist gleich geblieben: Der Angreifer will immer noch an die Unternehmensdaten kommen. Er benutzt jetzt nur einen anderen Weg.
-
Sicherheit zum zentralen Kriterium bei der Produktauswahl machen.
-
Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln.
-
Sichere Konfiguration der Endgeräte berücksichtigen.
-
Sichere Integration in Unternehmens-IT umsetzen.
-
Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden
-
Benutzerrichtlinien für den Umgang mit Endgeräten definieren. (PC-Welt)