SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Smartphone ArbeitViele Mitarbeiter würden ihr privates Smartphone auch gerne dienstlich nutzen. Für Unternehmen hat das jedoch zwei Gesichter: Einerseits sparen sie damit Hardware-Kosten und steigern die Mitarbeitermotivation. Andererseits stellt „Bring Your Own Device“ hohe Anforderungen an die IT-Sicherheit.

Wie wichtig Mobile Security mittlerweile geworden ist, zeigt eine aktuelle Studie von IDCi. 65 Prozent der befragten Unternehmen waren 2016 Opfer von Angriffen auf mobile Endgeräte. 26 Prozent erlitten durch solche Attacken einen finanziellen Schaden von mehr als 100.000 Euro. Ganz zu schweigen vom Reputationsverlust, der in Folge eines Sicherheitsvorfalls entstehen kann. Wenn Mitarbeiter private Smartphones und Tablets auch dienstlich nutzen, erschwert das die Absicherung sensibler Informationen. Viele Unternehmen zögern deshalb, Bring Your Own Device (BYOD) einzuführen. 

Zunehmend im Visier von Cyber-Kriminellen sind Geräte mit dem Betriebssystem Android, denn sie haben bei privaten Anwendern den größten Marktanteil. Anders als bei Apples restriktivem Betriebssystem iOS bieten Android-Smartphones den Freiraum, Apps von verschiedenen Quellen herunterzuladen. Das ist für die Nutzer attraktiv, eröffnet jedoch zahlreiche Angriffspunkte für Malware. Zudem bieten die meisten Hersteller kaum Sicherheits-Updates. Dadurch bleiben bekannte Sicherheitslücken oft über Jahre hinweg offen und laden Angreifer geradezu ein, sie auszunutzen. Private Smartphones und Tablets auch im Unternehmensumfeld einzusetzen, birgt also ein hohes Risiko. 

Es lohnt sich, über BYOD nachzudenken 

Unternehmen können durch BYOD jedoch viele Nutzeffekte generieren. So sparen sie zum Beispiel Hardwarekosten. Außerdem nutzen Angestellte meist lieber ihr privates Gerät, sind dadurch zufriedener, motivierter und auch am Wochenende erreichbar. Denn die Wahl des Smartphones ist für viele Menschen emotional belegt. Privat nutzen sie die neueste Technik und geben gerne auch einmal etwas mehr Geld für ein Gerät aus. Beruflich bekommen sie dagegen oft ein schlechter ausgestattetes Diensthandy aufoktroyiert. Zudem empfinden Mitarbeiter es als lästig, immer zwei Smartphones herumzutragen. Auch sicherheitstechnisch gibt es nicht nur Schattenseiten. Denn das eigene Gerät hütet man wie seinen Augapfel. Das dienstliche liegt dagegen gerne auch einmal achtlos in der Ecke, geht dadurch schneller verloren oder wird geklaut. Vielmehr können Unternehmen aus der Not eine Tugend machen und Mitarbeitern über BYOD anbieten ihre Privatgeräte über die firmeneigene Infrastruktur mit zu schützen. 

Was können Unternehmen also tun, um BYOD und Mobile Security unter einen Hut zu bringen? Dafür gibt es sowohl technische als auch organisatorische Maßnahmen. Nicht alle verfügbaren Lösungen sind jedoch sinnvoll. 

Mobile Device Management findet wenig Akzeptanz bei Mitarbeitern 

Ein Lösungsansatz, der sich auf dem Markt herauskristallisiert hat, ist Mobile Device Management (MDM). Unternehmen können damit die Nutzung des Smartphones so einschränken, dass nur Funktionen verfügbar sind, die mit einer zentral konfigurierten Policy im Einklang stehen und den Sicherheitsanforderungen entsprechen. Das zentrale MDM nutzt dafür entweder Enterprise-Funktionen, die auf dem Smartphone schon vorhanden sind, oder einen Agenten, den der Anwender installieren muss. Mitarbeiter geben damit jedoch die Hoheit über ihr Smartphone an das Unternehmen ab. Viele empfinden dies als starke Einschränkung ihres Freiraums. Gerade bei BYOD ist MDM daher schwer umsetzbar. 

Fernlöschung bietet keine echte Sicherheit 

Eine Funktion, mit der Hersteller von MDM-Lösungen gerne werben, ist die Möglichkeit, Daten auf verloren gegangenen oder gestohlenen Smartphones per Remote-Zugriff zu löschen. Echte Sicherheit bietet dies jedoch nicht, denn der Löschbefehl kann nur übermittelt und ausgeführt werden, wenn das Gerät eine Netzwerkverbindung via Mobilfunk oder WLAN hat. Schon mit einem einfachen Trick kann ein versierter Dieb dies jedoch verhindern: meist reicht es, das Smartphone in Alufolie zu wickeln, und schon ist es von jedem Netzempfang abgeschirmt. Anschließend kann er in einem abgeschirmten Raum auf dem System schalten und walten, wie er will. 

Containerlösungen schotten sensible Daten ab 

Einen guten Grundschutz bieten dagegen Container-Lösungen. Dabei werden Unternehmensdaten innerhalb einer App auf dem Smartphone gekapselt und sind somit getrennt von privaten Daten und Anwendungen. Die Kommunikation zwischen der Applikation und den Unternehmenssystemen erfolgt sicher abgeschottet über einen integrierten VPN-Client. Um zum Beispiel geschäftliche E-Mails zu lesen oder Dokumente anzusehen, müssen sich Mitarbeiter erst authentifizieren. Sensible Daten sind dadurch vor Dritten geschützt, wenn das Smartphone in falsche Hände gelangt. Eine Container-Lösung schränkt Anwender deutlich weniger ein als ein Mobile Device Management und ist daher auch für private Endgeräte im Unternehmenseinsatz geeignet. 

Sandboxing schützt vor Malware 

Mit einer Sandboxing-Lösung können Unternehmen mobile Endgeräte vor Schadsoftware schützen, die per E-Mail verschickt wird. Dabei werden eingehende Dateien zunächst in virtuelle Umgebungen, sogenannte Sandboxen, geleitet und dort ausgeführt. Verhalten sie sich dort verdächtig, werden sie gar nicht erst an den Empfänger zugestellt. Sandboxing ist deutlich effektiver als Virenscanner, denn Letztere sind häufig nicht in der Lage, unbekannte Viren und Würmer zu erkennen. Diese Sicherheitstechnologie ist für private Anwender bisher nicht verfügbar. Unternehmen können sie für ihre Mitarbeiter über eine Unternehmens-Cloud bereitstellen. 

Geschulte Mitarbeiter sind aufmerksamer 

Technische Lösungen bieten einen Grundschutz, reichen alleine aber nie aus, um für umfassende Sicherheit zu sorgen. Ein gutes Mobile-Security-Konzept kalkuliert auch das Nutzerverhalten mit ein. 2016 gingen 45 Prozent der Sicherheitsvorfälle im Zusammenhang mit mobiler Technologie auf das Fehlverhalten von Mitarbeitern zurück, so die IDC-Studie. 52 Prozent der IT-Entscheider in Deutschland glauben sogar, dass von unternehmensinternen Anwendern eine größere Gefahr ausgeht als von Cyber-Kriminellen. Ganz entscheidend ist es daher, Mitarbeiter zu schulen und für Sicherheitsfragen zu sensibilisieren. Dabei sollten Unternehmen ruhig auch einmal kreative Wege gehen, um das Thema für Anwender interessant zu machen. IDC nennt als Anregung zum Beispiel Live-Hacks, gefakte Phishing-Mails oder Gutscheine für besonders sicherheitsbewusste Mitarbeiter. 

BYOD bringt viele Vorteile für Unternehmen, stellt sie aber auch vor Sicherheitsfragen. Die Angriffsquote auf mobile Geräte steigt von Jahr zu Jahr. Gerade die weit verbreiteten Android-Devices sind ein lohnendes Ziel für Hacker – und werden mit hoher Wahrscheinlichkeit zunehmend unter Beschuss geraten. Trotzdem müssen Unternehmen nicht auf BYOD verzichten. Entscheidend ist ein umfassendes Sicherheitskonzept, das sowohl technische als auch organisatorische Maßnahmen umfasst. Besonders wichtig ist dabei die Schulung und Sensibilisierung von Mitarbeitern für einen sicherheitsbewussten Umgang mit mobilen Endgeräten.  

Olaf Niemitz

 

 

Autor: Olaf Niemeitz, Geschäftsführer bei Axians IT Security und Leiter der Division Vertrieb bei Axians IT Solutions

GRID LIST
 Android-Malware

Bedrohungslage für Android verschärft sich

Die Gefahrenlage für Android-Mobilgeräte spitzt sich weiter zu: 810.965 neue Schaddateien…
Hacked Smartphone

Hybrid-Apps als Einfallstor für Angriffe

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf…
USB

Unternehmen kommen an ein USB-Device-Management nicht vorbei

Optische und magnetische Wechselmedien (beispielsweise CD, DVD, MO-Disk usw.) wurden in…
Mobile Mitarbeiter

Standortvernetzung und sichere Anbindung von mobilen Mitarbeitern | Case Study

Infotecs, Cyber Security und Threat Intelligence Anbieter realisiert ein Projekt zusammen…
Authentifizierung

App sichert Online-Transaktionen und digitale Zugriffe

HID Global, weltweiter Anbieter von vertrauenswürdigen Identitätslösungen, präsentiert…
Mobile Security Tablet

AV-TEST: Perfekter Schutz mit G DATA Mobile Internet Security

Das Test-Institut AV-TEST hat im neuen Vergleichstest 20 Sicherheitslösungen für das…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet