Mobile Security fordert CIOs

Bring your own Device begrenzt die Kontrolle

"Bring-your-own-Device begrenzt auch unsere bisherigen Kontrollmechanismen", meint Göckenjan. "Unser Ansatz ist es, auf Security Control Level - anstatt auf dem Endgerät selbst - begrenzte Nischen zu definieren, in denen das Vertrauen gegeben ist", so Göckenjan. Dabei stützt sich die Schweizer Bank zum einen stark auf die Architektur bereits existierender Systeme für Remote Access, die Mitarbeitern im Home-Office sowie auf Reisen zur Verfügung stehen. Zum anderen wendet die UBS die komplexen Authentifizierungsrichtlinien des "Level of Assurance"-Framework an, das vom US-amerikanischen National Institute of Standard and Technology (NIST) entwickelt wurde. Das Richtlinienpapier der obersten amerikanischen Bundesbehörde für technische Standards ist für alle US-Bundesbehörden im elektronischen Datenverkehr zwischen den Behörden und Bürgern oder anderen Organisationen bindend. Es definiert abhängig vom Sicherheitsgrad vier Sicherheitsstufen, denen Personen und Service Provider, aber auch technische Geräte zugeordnet werden.

Obwohl die UBS die Authentifizierungsrichtlinien der NIST für ihre Daten und die mobilen Endgeräte anwendet, haben die Mitarbeiter mobil nur beschränkten Zugriff auf die Finanzdaten - die Situation am Endgerätemarkt erfordert es. Um die Vielfalt der Geräte etwas einzugrenzen, richtet sich der Fokus des Finanzhauses auf die Plattformen, die bei den Konsumenten beliebt sind und die entsprechenden Sicherheitskontrollen aufweisen. "Zurzeit unterstützen jedoch keine der im Markt erhältlichen Geräte den höchsten `Level of Assurance´. Deshalb halten wir unsere sensitivsten Daten nach wie vor in einer rigoros verwalteten und stark kontrollierten Umgebung."