Security-Checkliste für Firmen

Smartphones sicher im Unternehmen nutzen

26.09.2011
Von Klaus Rodewig

Zum sicheren Betrieb von Smartphones gehören vier Faktoren

  • die Sicherheit der Endgeräte,

  • die Sicherheit der Schnittstellen zur Unternehmens-IT,

  • die organisatorischen Prozesse und Richtlinien im Unternehmen sowie

  • das Gefahrenbewusstsein der Mitarbeiter.

Nach der Auswahl einer Plattform sollte als Erstes eine Sicherheitsrichtlinie zur Konfiguration der Smartphones aufgestellt werden. Diese Regeln sollten sich am Schutzbedarf der auf den Smartphones verfügbaren Daten orientieren sowie an unternehmensweit geltenden IT-Sicherheitsstandards. Wichtige Elemente einer solchen Richtlinie sind die Einrichtung automatischer Sperren, Vorgaben zur Stärke von Passwörtern, die Sicherheitskonfiguration des Internet-Browsers, eine Regelung der Verwendung externer Speichermedien am Smartphone und die Erlaubnis, respektive das Verbot der Installation von Programmen (Apps) durch den Benutzer. Nicht benötigte Schnittstellen sollten aus Sicherheitsgründen deaktiviert und nicht benötigte Software von den Geräten entfernt werden.

Der zweite Schritt in Richtung Sicherheit betrifft die Geräteanbindung an die Unternehmens-IT. Hier sind die Möglichkeiten so vielfältig wie die verfügbaren Endgeräte. Für die Verwendung von Blackberry ist die Integration eines Blackberry Enterprise ServerServer (BES) in die eigene IT notwendig. iPhone und iPad lassen sich direkt an Exchange- oder Notes-Umgebungen ankoppeln und darüber auch managen, so auch auf anderen Plattformen basierende Endgeräte. Eine Richtlinie zur Anbindung sollte Regelungen darüber enthalten, ob die Anbindung über VPN-Verbindungen erfolgt oder ob der Zugriff auf E-Mails über traditionelle Wege verläuft wie beispielsweise IMAP und SMTP. Alles zu Server auf CIO.de

Beim Thema E-Mail kommt in der Regel die Frage nach Verschlüsselungsmöglichkeiten auf. RIM bietet für den Blackberry verschiedene Möglichkeiten der E-Mail-Verschlüsselung. Auch ist die E-Mail-Kommunikation zwischen Geräten eines Unternehmens über den unternehmenseigenen BES als sicher zu betrachten. Anders sieht es bei iOS aus, also iPhone und iPad. AppleApple hat bis heute weder das Datenverschlüsselungsprogramm Pretty Good Privacy (PGP) noch Secure/Multipurpose Internet MailMail Extensions (S/MIME) in iOS integriert, so dass iOS-basierte Geräte keine Möglichkeit zur Verschlüsselung von E-Mails bieten. Alles zu Apple auf CIO.de Alles zu Mail auf CIO.de

Problematisch kann das Thema E-Mail-Verschlüsselung werden, wenn Mitarbeiter E-Mails parallel auf Smartphone und Desktop bearbeiten, was in der Regel der Fall ist. Verschlüsselt das Smartphone E-Mails mit einer eigenen Lösung, sind diese E-Mails auf dem Desktop nicht lesbar. Kommt umgekehrt eine Desktop-Lösung zum Verschlüsseln zum Einsatz, beispielsweise PGP oder das freie Kryptografiesystem GNU Privacy Guard (GPG), bleiben diese E-Mails auf dem Smartphone unlesbar. Abhilfe können Gateways bieten, die E-Mails beim Empfang oder Senden durch den zentralen Mail-Server transparent ent- oder verschlüsseln.

Zur Startseite