Anzeige

Anzeige

VERANSTALTUNGEN

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

Anzeige

Anzeige

Mobile Geräte

Mitarbeiter nutzen sie wie selbstverständlich jederzeit für geschäftliche Zwecke: Private Mobilgeräte bieten Hackern vielfältige Möglichkeiten für Datendiebstahl. Das Risikopotential haben viele Unternehmen bereits erkannt, jedoch ist die Sicherung der mobilen Endgeräte mit einigen Hürden verbunden. 

In den vergangenen zehn Jahren sind private Mobilgeräte wie Smartphones und Tablets ein fester Bestandteil des Unternehmensalltags geworden. Dies zeigt durchaus positive Auswirkungen: Die Zufriedenheit der Mitarbeiter, die dadurch Arbeitsprozesse stärker nach ihren Präferenzen gestalten können, kann gesteigert werden und auch die Effizienz kann sich im Zuge dessen verbessern.

Für böswillige Akteure hingegen eröffnet sich mit Mobilgeräten im Unternehmensumfeld eine ganze Fülle von Wegen, um in die IT-Infrastruktur eines Unternehmens vorzudringen und sensible Daten zu erbeuten. In einer Umfrage von Bitglass unter Black Hat-Hackern im Jahr 2017 gaben 61 Prozent von ihnen nicht-verwaltete Geräte als die Top-Schwachstelle in Unternehmen an. Vereinfacht dargestellt, birgt jedes Endgerät ein individuelles Risikopotential. Dieses setzt sich zusammen aus Faktoren wie der Version des Betriebssystems, den darauf installierten Apps und nicht zuletzt aus dem Grad der Sorglosigkeit des Nutzers. Hacker, die gezielt in die IT-Umgebung eines Unternehmens eindringen wollen, müssen lediglich das Gerät mit dem niedrigsten Sicherheitsniveau als Einfallstor nutzen.

Trotz der offensichtlichen Notwendigkeit, Mobilgeräte von Mitarbeitern zu sichern, sieht die Realität häufig anders aus. In vielen Unternehmen werden private Endgeräte in der Hoffnung, dass schon nichts passieren wird, sozusagen als stille Teilnehmer in der Unternehmens-IT hingenommen. Dies hat vielfältige Gründe.

BYOD: Ein Aufwand, der häufig unterschätzt wird

So ist „Bring Your Own Device“ (BYOD) tatsächlich mit deutlich mehr Aufwand verbunden, als der Wortlaut zunächst vermuten lässt. Vor allem die rechtliche Seite sorgt bei deutschen Unternehmen für Kopfzerbrechen. Datenschutzrechtliche Auflagen verlangen die strikte Trennung von privaten und Unternehmensdaten auf den Endgeräten der Arbeitnehmer. Es muss gewährleistet werden, dass die Daten des Unternehmens problemlos gesichert werden können, darüber hinaus sollen private Daten von jeglicher Unternehmensnutzung unbeeinträchtigt bleiben. Neben den Daten ist auch die Nutzung der Unternehmenssoftware eine entscheidende Frage: Softwareanbieter unterscheiden zwischen privatem und gewerblichem Gebrauch. Für Unternehmen bedeutet dies, sie müssen prüfen, inwieweit die Nutzung auf privaten Geräten mit ihrer erworbenen Lizenz abgedeckt ist. Auch können im Zuge dessen steuerrechtliche Fragen auftreten. Und schließlich müssen auch personelle interne Bestimmungen sowie Haftungsfragen gelöst werden. Ein hoher Aufwand, den viele Betriebe scheuen, da sich dieser für sie nicht lohnt.

MDM und MAM: Gut gedacht, aber schlecht gemacht

Als geeignete Lösung, die Datensicherheit auch auf privaten Geräten mit vertretbarem Aufwand zu gewährleisten, erscheint vielen Unternehmen der Einsatz von Mobile Device Management (MDM). Dies ermöglicht die Mobilgerätnutzung im Einklang mit den Sicherheitsrichtlinien des Unternehmens. Auf den Geräten wird eine Software installiert, die dafür sorgt, dass der Nutzer das Gerät nur mit eingeschränkten Befugnissen und einige Anwendungen nur mit begrenztem Funktionsumfang nutzen kann. Im Falle eines Verlusts oder Diebstahls hat die IT-Verwaltung die Möglichkeit, sämtliche Unternehmensdaten auf dem Gerät aus der Ferne zu löschen. Wenn es um den Einsatz im BYOD-Kontext geht, gerät MDM-Software jedoch schnell an ihre Grenzen. Ursprünglich wurde diese entwickelt für die Nutzung in regulierten Branchen, in denen Mitarbeitern meist vom Unternehmen Mobilgeräte zur geschäftlichen Nutzung zur Verfügung gestellt werden. Handelt es sich hingegen um zahlreiche verschiedene Gerätemodelle mit entsprechend unterschiedlichen Betriebssystemen, können Schwierigkeiten bei der Kompatibilität auftreten. Bei den Nutzern macht sich dies mit Funktionsstörungen, wie zum Beispiel App-Abstürzen bemerkbar. Zudem sind nicht alle Verwaltungsfunktionen der Software für jeden Gerätetyp verfügbar.

Neben den Risiken in Bezug auf die Funktionalität hat MDM auch sehr häufig mit der Zurückweisung seitens der Mitarbeiter zu kämpfen – und dies nicht nur auf Grund der verringerten Performance. Die Software räumt der IT-Verwaltung weitreichende Zugriffsrechte ein. Diese können theoretisch auch in böser Absicht missbraucht werden – mit Hilfe von MDM wäre es für berechtigte Nutzer wie die IT-Abteilung kein Problem, das Surfverhalten zu beobachten, in den E-Mailverkehr einzugreifen und Dateien auf dem Gerät löschen oder dieses auf Werkseinstellungen zurückzusetzen. Wie aus der Umfrage zum aktuellen BYOD Security-Report von Bitglass hervorgeht, ist die Hälfte der Befragten (51 Prozent) davon überzeugt, dass die Akzeptanz von MDM-Software deutlich höher wäre, wenn die IT-Verwaltung nicht die Möglichkeit zu einem derart tiefen Einblick in die Privatsphäre hätte.

Ähnlich verhält es sich mit Mobile Application Management (MAM)-Lösungen, die im Vergleich zu MDM etwas weniger invasiv sind. Damit können unternehmenseigene Apps auf den Endgeräten der Mitarbeiter sicher bereit gestellt und unternehmenseigene Daten notfalls aus der Ferne gelöscht werden. Allerdings übernehmen Mobile Application Manager auch die Kontrolle über den Austausch von Daten zwischen den mobilen Apps auf dem Gerät, was zu Funktionseinbußen des Geräts und anderer Anwendungen führen kann. So benannten die 400 der für den BYOD Security Report Befragten „Bedenken über die Einhaltung der Privatsphäre“ mit 36 Prozent als die größten Vorbehalte, die Mitarbeiter gegen MAM hegen. Nachteile durch MDM und MAM entstehen außerdem auch der IT-Abteilung: Für sie ist es mit einem erhöhten Aufwand verbunden, zunächst jedes einzelne Gerät mit der Software auszustatten und anschließend trotz vereinzelter technischer Schwierigkeiten sicherzustellen, dass die Datensicherheit auf allen Installationen in ausreichendem Maße gegeben ist.

Datensicherheit muss die Geräte ignorieren

Das Vorhaben, private Mobilgeräte zu sichern, scheint im Unternehmenskontext stets mit Verlusten verbunden. Mit MDM- und MAM-Lösungen können Datensicherheit, Benutzerkomfort, Effizienz und Vertrauen nur suboptimal miteinander in Einklang gebracht werden, was schließlich für Frust auf Unternehmens- als auch Mitarbeiterseite sorgt. Geräte sichern zu wollen, wirkt letztendlich wie ein Selbstzweck, der im Zeitalter der Daten längst überholt ist.

Der Ausweg aus dem Dilemma führt über den Blick auf das Wesentliche: Der unmittelbare Schutz von Daten. Auf dieser Ebene setzen Lösungen an, die aus dem Mobile Information Management (MIM) hervorgegangen sind. Sie verschlüsseln alle Daten, die sich im Umlauf befinden und kommen ohne Installation auf den Endgeräten aus. Der IT-Abteilung bieten sie ohne Einschränkung die Funktionen, die auch MDM mit sich bringt, wie Data Loss Prevention und das Datenlöschen via Fernzugriff. Für die Nutzer bleibt der Bedienkomfort erhalten und ihre Privatsphäre ist keinem Risiko ausgesetzt. Auf diese Weise kann Datensicherheit auf eine für alle Beteiligten zufriedenstellende Weise erzielt werden.

Michael Scheffler, Regional Director Central and Eastern Europe
Michael Scheffler
Regional Director Central and Eastern Europe, Bitglass, Inc.
Michael Scheffler blickt auf mehr als 20 Jahre Erfahrung in leitenden Positionen im Bereich Security zurück: Vor seinem Wechsel zu Bitglass war Scheffler für den Netzwerksecurityanbieter A10 Networks als Area Vice President Central Europe tätig. Davor hatte er Positionen als Regional Director bei den Websecurity-Unternehmen Proofpoint und Websense inne, wo er jeweils für die CEMEA- und DACH-Region verantwortlich war. Beruflicher Ausgangspunkt war für ihn das Unternehmen Clearswift, das er als Leiter der DACH-Vertriebsregion sowie als Geschäftsführer von 1999 bis 2009 entscheidend mitgeprägt hatte.
Insider
Jun 06, 2019

Hohe Risiken durch Insider-Sicherheitsverletzungen

64 Prozent der Unternehmen gehen davon aus, dass eigene Mitarbeiter eine direkte oder…
mobile security
Mär 12, 2019

Fünf Best Practices für sicheres mobiles Arbeiten

Viele Unternehmen wollen ihren Mitarbeitern ein sicheres mobiles Arbeiten mit Smartphones…
Diensthandy
Feb 04, 2019

Das Smartphone ist der neue Dienstwagen

Der Dienstwagen war immer eines der wichtigsten Statussymbole. Wollen Unternehmen die…
GRID LIST
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…
Tb W190 H80 Crop Int Bb8485f1c597c774a4cc7876b0d0f3ff

Inkrafttreten der KRITIS-Verordnung im Gesundheitsbereich

Am 30. Juni dieses Jahres ist es soweit: Zahlreiche deutsche Kliniken müssen die…
Mann mit Lupe

Schwachstellen‑Hypes: Security‑Teams und die richtige Kommunikation

Einige Schwachstellen des vergangenen Jahres schafften es bis in die Schlagzeilen der…
Schach

Ein Antiphishing-Konzept für die letzte Verteidigungslinie

Social Engineering ist mit Abstand die Bedrohung Nummer eins, gefolgt von ungepatchter…
ICS Security

Proof of Concept für industrielle IT-Security-Lösungen

Es gibt viele gute Gründe für einen Proof of Concept (PoC), bevor man neue Technologien…