Thought Leadership
Smartphones und Tablets sind längst ganz selbstverständliche Begleiter im Arbeitsalltag. Damit rückt eine Frage in den Mittelpunkt: Wie lässt sich die Kommunikation so absichern, dass sie einem potenziellen Abhören durch Dritte oder sonstigen Bedrohungen standhält?
Smartphone-Sicherheit unterschätzt
Dass Kommunikation abgehört wird, ist keine theoretische Gefahr, sondern Realität. Spätestens seit der Enthüllung des NSA-Skandals ist klar: Selbst hochrangige Politiker sind davor nicht gefeit. Auf der anderen Seite zeigt die Taurus-Affäre, wie brisant es ist, wenn sicherheitsrelevante Inhalte über nicht geschützte Wege kommuniziert werden. In diesem Fall war es nicht die Arbeit von (staatlichen) Hackern, sondern die Unachtsamkeit eines Teilnehmers, die zu einer peinlichen Indiskretion führte. Er hatte einen offenen, nicht autorisierten Kanal genutzt, um an einer Schaltung der deutschen Bundeswehr teilzunehmen.
Nun stehen nicht alle Nutzer unter Beobachtung internationaler Geheimdienste – doch Unternehmen und Behörden sollten die Risiken nicht unterschätzen. Denn in einer Welt, in der orts- und zeitunabhängiges Arbeiten zur Norm geworden ist, werden Smartphones und Tablets zu beliebten Einfallstoren. Unternehmen mit forschungsintensiven Geschäftsmodellen, internationaler Tätigkeit oder politischer Nähe sind generell einem erhöhten Risiko ausgesetzt, aber auch alle anderen sind längst ins Visier von Kriminellen jeder Couleur geraten. Und diese haben es heute einfacher als je zuvor: Kommunikationsinhalte, die früher in geschützten Räumen hinter verschlossenen Türen besprochen oder ausgetauscht wurden, laufen heute über Mobilgeräte, Messaging-Apps oder Videokonferenzen und damit potenziell auch über Server in anderen Jurisdiktionen. Selbst vermeintlich harmlose Gesprächsinhalte können für Dritte von strategischem Interesse sein.
Ein grundlegender Schutz beim mobilen Arbeiten
Die Frage lautet also: Wie lässt sich verhindern, dass aus Bequemlichkeit ein Sicherheitsrisiko entsteht? Und wie lässt sich die digitale Kommunikation so schützen, dass sie einem potenziellen Abhören durch Dritte nachhaltig standhält? Im Zentrum steht zunächst einmal die Ende-zu-Ende-Verschlüsselung. Nur wenn Nachrichten, Anrufe oder Videokonferenzen vom Sender bis zum Empfänger vollständig verschlüsselt sind und keine Zwischeninstanz Zugriff auf den Schlüssel hat, kann ein Höchstmaß an Vertraulichkeit gewährleistet werden.
Die Frage nach der Art des Kryptomechanismus ist hier entscheidend: Setzen Messenger beispielsweise auf offene Schlüssel, können mögliche Schwachstellen durch CVE-Listen identifiziert werden. Mindestens genauso wichtig sind der Umgang mit „Data at Rest“, also die Verschlüsselung lokal gespeicherter Daten, sowie Cloud-gestützten Backups. In beiden Bereichen muss die gleiche Verschlüsselungsqualität wie bei der Kommunikation selbst gewährleistet sein, damit Daten nicht abgegriffen werden können.
Bei den Geräten selbst sind sogenannte Container-Lösungen sicherlich eine der effektivsten Maßnahmen. Die Grundidee dahinter: Auf den mobilen Geräten wird ein geschützter Bereich geschaffen, auf den keine andere Anwendung Zugriff erhält und der ein ungewolltes Abfließen von Daten verhindert. Die Lösung synchronisiert sich über ein speziell geschütztes Gateway mit dem Unternehmensnetzwerk, sodass Mitarbeiterinnen und Mitarbeiter jederzeit alle Ressourcen abrufen können, die sie für ihre tägliche Arbeit benötigen. Das bedeutet auch, dass sie ihre privaten Geräte gemäß BYOD (Bring Your Own Device) nutzen oder ihre beruflichen Devices gemäß COPE (Corporate Owned, Personally Enabled) privat verwenden können.
Da Unternehmensdaten nicht aus dem Container gelangen können und privat genutzte Anwendungen wie WhatsApp keinen Zugriff auf berufliche Kontaktlisten oder sonstige Informationen haben, sind keinerlei Sicherheitsprobleme zu befürchten. Damit auch wirklich nur befugte Personen Zugang zu Geräten und Daten innerhalb des Containers haben, stehen benutzerfreundliche biometrische Authentifizierungsmerkmale wie Gesichtserkennung oder Fingerabdruck zur Verfügung. Die Konfiguration der Container erfolgt über ein zentrales Management-Portal. Über dieses lassen sich auch die Verwaltung von Zugriffsrechten oder die Sperrung des Gerätes bei Verlust oder Diebstahl aus der Ferne verwalten.
Die öffentliche Hand ist nicht außen vor
Auch die öffentliche Verwaltung hat das Potenzial mobiler Arbeitsweisen erkannt. Gleichzeitig gelten hier besonders hohe Sicherheitsanforderungen, insbesondere bei der Verarbeitung von Daten der Schutzstufe „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD). Nach umfassender Prüfung hat das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kooperation mit Apple die Lösung indigo (iOS Native Device in Government Operation) und in Kooperation mit Samsung die Lösung Knox Native Solution für den behördlichen Einsatz freigegeben.
Bei der sicherheitstechnischen Betrachtung kam es zu einem Paradigmenwechsel: Die Absicherung der Daten erfolgt nicht mehr ausschließlich über die Sicherheitsarchitektur der mobilen Lösung des Applikationsherstellers, sondern über die Sicherheitsmechanismen der gelieferten Hardware, des Betriebssystems und des Mobile Device Managements. Im Zuge dessen werden mobile Applikationen von Apple respektive Samsung selbst zur Verfügung gestellt und darüber hinaus ein App-Ökosystem von Drittanbietern aufgebaut. Die Anwender wiederum profitieren von der ihnen aus dem Alltag bekannten Benutzeroberfläche, den damit verbundenen Abläufen und der hohen Nutzerfreundlichkeit.
Durch den Verzicht auf eine vollständige Abschottung, wie sie bei diesen Lösungen der Fall ist, besteht jedoch ein höheres Risiko für „Vertraulichkeitsverletzungen“ durch die Mitarbeitenden. Daher fordert das BSI die Einhaltung von Handlungsanweisungen (sogenannte VSA), was wiederum die Schulung der Anwender voraussetzt. Grundsätzlich gilt: Eine höhere Interoperabilität zwischen Applikationen unterschiedlicher Hersteller bedingt ein gesteigertes Maß an Datenaustausch, was wiederum zu Fehlverhalten bei den Nutzenden führen kann. Dadurch rücken Sicherheits- und Awareness-Trainings für die Mitarbeiterinnen und Mitarbeiter umso mehr in den Fokus. Sie gelten als „First Line of Defense“.
Digitale Souveränität ist wichtiger denn je
Abhörsichere Geräte sind wichtig, aber es bringt wenig, wenn Fremde per Dekret ein Zugriffsrecht auf sensible Daten und Informationen haben. Viele Anbieter mit Sitz in Drittstaaten, insbesondere in den USA, unterliegen extraterritorialen Gesetzen wie dem Patriot Act. Diese erlauben es den Behörden, auf gespeicherte Daten zuzugreifen, selbst wenn diese sich physisch in Europa befinden.
Dies ist ein schwerwiegendes Risiko für eine vertrauliche Unternehmenskommunikation und einer der Hauptgründe, warum immer mehr Organisationen auf europäische Lösungen umsteigen. In einer zunehmend vernetzten und konfliktgeladenen Welt sollte eine (abhör)sichere Kommunikation jedenfalls keine Ausnahme mehr sein, sondern eine betriebliche Notwendigkeit. Die Investitionen in technische, organisatorische und personelle Maßnahmen zahlen sich nicht nur in Form von Compliance aus, sondern sichern auch Wettbewerbsvorteile und das Vertrauen der Stakeholder. Wer Kommunikationssicherheit ganzheitlich denkt, behält nicht nur die Kontrolle, sondern auch die Souveränität über seine Informationen.
