Mobil? Aber sicher!
Die richtige Strategie für Mobile Security
Ob Smartphones, Tablets oder Laptops, ob privat oder geschäftlich erworben: Mobile Geräte sind längst im Unternehmensalltag angekommen. Die Kehrseite der Medaille: Sie sind zum neuen Einfallstor für den Zugriff auf Unternehmensdaten geworden. Technische Punktlösungen, heute weit verbreitet, reichen nicht aus, um dieses zu schließen. Ein holistischer Ansatz ist notwendig - einerseits mit technischen Lösungen für den Schutz von Geräten, Anwendungen und Inhalten, andererseits mit entsprechenden Prozessen und dem richtigen Verhalten von Mitarbeitern.
195 Millionen Tablets und fast eine Milliarde Smartphones sind nach Angaben von Gartner 2013 weltweit verkauft worden. Gegenüber dem Vorjahr waren dies 68 beziehungsweise 36 % mehr. Für 2014 prognostizieren die Marktforscher ein weiteres Wachstum für mobile Geräte - einschließlich Notebooks und anderen Hardwarekategorien. Wie viele dieser Geräte heute auf Daten im Unternehmen zugreifen, ist in den Organisationen selbst oft unklar. Denn die Grenzen zwischen dem Einsatz im Arbeits- und persönlichen Umfeld lösen sich gerade in der mobilen Welt zunehmend auf. Verstärkt durch Konzepte wie Bring your own Device (BYOD), Choose your own Device (CYOD) oder Corporate Owned Personally Enabled (COPE), die das traditionelle Modell "Unternehmen stellt seinen Mitarbeitern Geräte zur Verfügung" ergänzen.
Ganz gleich, welches Konzept Unternehmen in Bezug auf mobile Geräte verfolgen: Die Zahl der Hardware- und Softwareplattformen, die sie unterstützen müssen, ist groß. Dies erhöht die Komplexität für die dringlichste Herausforderung in diesem Umfeld: Die IT-Sicherheit.
Hacker haben leichtes Spiel bei Smartphones
Geschäftlich genutzte Smartphones sind eine wahre Fundgrube für Angreifer: 79 % der User greifen nach einer Untersuchung von Dimensional Research damit auf ihre Unternehmens-E-Mails zu, 65 % auf ihre Geschäftskontakte, 47 % auf sensitive Kundendaten, 38 % auf gespeicherte PINs und Passwörter und 32 % auf Unternehmensinformationen über Business-Anwendungen.
Das Risiko, dass neben den internen Mitarbeitern auch Externe unbefugt auf Unternehmensdaten zugreifen, ist groß:
Viele Mitarbeiter nutzen ungesicherte WLAN-Netze wie etwa an Flughäfen oder Bahnhöfen anstatt über gesicherte VPN-Zugänge ins Unternehmensnetz zu gelangen. Nach einer Umfrage von Motorola unter 1000 Anwendern haben dies in der Vergangenheit bereits 48 % getan - und sich damit der Gefahr eines Man-in-the-Middle-Angriffs ausgesetzt.
Nur 7 % der Unternehmen gehen nach Erhebungen von Citrix davon aus, dass ihre Mitarbeiter keine private Apps auf ihren beruflich eingesetzten Smartphones und Tablets nutzen. Dabei ist die Sicherheit mobiler Apps als kritisch einzustufen, wie der HP Cyber Risk Report 2013 aufdeckt: Über die Third-Party-Apps erhalten Unberechtigte durch zu lax gehandhabte Berechtigungen Zugriff auf sensible Unternehmensdaten
Viele Unternehmen sind sich der Gefahren zwar bewusst. Doch nur ein Drittel nutzt nach Erhebungen von Forrester Research aktuell Technologien für die mobile Sicherheit. Die Mehrzahl dieser Unternehmen setzt aktuell auf Lösungen für das Mobile Device Management (MDM). Sie stellen zum Beispiel Funktionalitäten für die Administration und Steuerung von Geräteeinstellungen oder für den Echtzeit-Blick auf installierte Anwendungen und Sicherheitskonfigurationen zur Verfügung. Doch traditionelle MDM-Lösungen greifen zu kurz angesichts der Komplexität und der sich ständig verändernden Rahmenbedingungen für Mobile Security.
MDM-Lösungen schützen nur Geräte, nicht Anwendungen und Daten
MDM-Lösungen wurden für Geräte im Unternehmensbesitz konzipiert und ignorieren etwa Ansätze wie BYOD. Außerdem fokussieren sie sich auf die Sicherheit von Geräten; wesentlich zielführender ist jedoch der Schutz der darunter liegenden Unternehmensdaten.
Um den Mitarbeitern von überall den sicheren Zugriff auf Unternehmensdaten zu ermöglichen - und dabei gleichzeitig deren Produktivität zu garantieren und die Kosten im Griff zu haben, bedarf es mehr als technischer Punktlösungen wie MDM - oder die zweifellos positiv zu bewertende Entwicklung hin zu Mobile Application Management. Enterprise Mobility Management tritt daher an die Stelle von MDM: ein ganzheitlicher und granularer Ansatz, um mobile Geräte, Applikationen und Inhalte zu managen und zu schützen.