<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=798965790221670&amp;ev=PageView&amp;noscript=1">
108x92_business_blog_logo_speechbubble.png

Was Sie über mobile Security wissen müssen

Autor Marcel Henrich am 31.8.2017

In Mobiles Arbeiten, IT Sicherheit

Mobile Security

Mit dem zunehmenden Einsatz von Smartphones und Tablets in Unternehmen wird die Frage nach dem Schutz von Unternehmens- und Kundendaten immer drängender. Insbesondere mit der Verschärfung der EU-Datenschutz-Grundverordnung (DSGVO), deren Übergangsfrist zum 25. Mai 2018 endet.

Die Verantwortung für eine wirksame Mobile-Security-Strategie liegt letztendlich bei der Geschäftsführung. Die wichtigsten Aspekte, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können, haben wir Ihnen hier zusammengestellt.

Erst die Strategie, dann die Investition

Im Smartphone-Markt gibt es momentan nur zwei relevante Betriebssysteme: iOS von Apple, das nur auf den Geräten des Herstellers aus Cupertino läuft. Und Android von Google, das sowohl auf der Hardware des Suchmaschinenspezialisten läuft als auch auf den Modellen zahlreicher anderer Geräteproduzenten. Hier sind die zur Verfügung stehenden Sicherheitsfunktionen eng an die Hardware geknüpft. Leistungsfähigkeit, verfügbare Android-Version und spezifische Anpassungen des Geräteherstellers sind zu beachten. Dementsprechend muss zunächst die Sicherheitsstrategie entwickelt werden, um Klarheit über die Anforderungen zu schaffen. Erst danach kann eine Entscheidung über die Hardware getroffen werden. Der umgekehrte Weg – erst „schicke“ Geräte anzuschaffen, dann zu schauen, wie diese abgesichert werden können – führt schnell in eine Sackgasse, wenn es keine Sicherheitslösung für diese Hardware gibt. Dann bleibt nur ein vollständiger Neukauf geeigneter Geräte.

Ziele definieren

Zunächst sollte geklärt werden, wofür die mobilen Helferlein verwendet werden sollen: Welche Tätigkeiten und Unternehmensprozesse sollen auch mobil zur Verfügung stehen? Dies ist keine rein betriebswirtschaftliche Frage, bei der es nur um die verbesserte Effizienz unternehmerischer Abläufe geht. Sondern hier können sich bereits Änderungen der bisherigen Tätigkeiten bis hin zu einem Wandel des Geschäftsmodells ergeben – die digitale Transformation ist eben nicht nur eine Fortsetzung des Alten mit neuen Mitteln. Zumindest die Optionen für eine Weiterentwicklung der Geschäftsabläufe sollten geprüft und in die Konzeption mobiler Arbeitsprozesse integriert werden. Zugleich ergeben sich hier bereits Hinweise auf benötigte Datenschutz-, Management- und Security-Funktionen. Enterprise-Mobility- beziehungsweise Mobile-Device-Management-Lösungen (EMM/MDM) decken ein breites Spektrum solcher Anforderungen ab.

Die Hardware: Apple…

Apple bietet mit iOS eine geschlossene Gerätewelt an. Hier kommen Hard- und Software aus einer Hand. Applikationen werden nur aus dem Apple-eigenen iTunes-Shop erlaubt. Der Hersteller von iPhones und iPads hat allerdings erkannt, dass die bisherige Strategie – Standardgeräte mit einem MDM-Profil nachzurüsten – keine ausreichende Funktionalität bietet.

Webinar Aufzeichnung: Datenschutz auf mobilen Endgeräten -  jetzt ansehen!

Das Device Enrollment Program (DEP) soll diese Mängel beheben. Unternehmenskunden müssen aber am Apple Deployment Program (ADP) teilnehmen, DEP-taugliche Geräte direkt bei Apple oder einem lizenzierten Partner beziehen und eine geeignete MDM-Lösung nutzen. Dann können die iOS-Devices jederzeit vollständig administriert werden, ohne dass die Unternehmens-IT physischen Zugriff auf das Gerät benötigt. Der Nutzer wiederum kann sich diesem Management nicht entziehen.

…und Android-basierende Geräte

Google nutzt das Android-Betriebssystem nicht nur für die eigenen Geräte der Marke Nexus, sondern ist auch OS-Zulieferer für zahlreiche Hardware-Hersteller. Diese können das Betriebssystem in gewissen Grenzen für die eigenen Ansprüche modifizieren. Das heißt jedoch auch, dass jedes Android-Update vom Gerätehersteller speziell auf die eigene Hardware angepasst werden muss – das sparen sich viele Anbieter. So ist noch offen, für welche Geräte die jüngste Version, Android Oreo (V.8), mit seinen erweiterten Sicherheitsfunktionen zur Verfügung gestellt wird. Speziell die Gefahr durch infizierte Apps aus dem Google Play Store soll durch Android 8 gebannt werden.

Auf der anderen Seite arbeiten einzelne Geräte-Hersteller daran, mit eigenen Erweiterungen das Google-Betriebssystem für den Unternehmenseinsatz sicher zu machen. Neben HTC und Huawei verdient vor allem Samsung mit seiner Lösung Knox Mobile Enrollment (KME) besondere Aufmerksamkeit. KME ermöglicht es, das Gerät automatisiert mit einem MDM-Profil des Unternehmens auszustatten und die MDM-Anwendung zu starten, so dass Kunden- und Unternehmensdaten abgesichert sind.

Volle Kontrolle für die IT-Abteilung

Das wichtigste Element des Datenschutzes in einem Unternehmen ist nicht etwa die Firewall, die den Zugang zum Internet überwacht, oder die Schutzsoftware, die auf den einzelnen Geräten installiert ist. Sondern das Sicherheitskonzept mit seinen Ge- und Verboten, Standards und Richtlinien – den IT-Security-Policies.

Sie legen fest, wie sich Mitarbeiter zu verhalten haben, um die Gefahr von Cyberattacken und Datendiebstahl zu minimieren. Das Mittel der Wahl zur Durchsetzung der Security-Policies auf mobilen Geräten ist das Mobile Device Management. Dieses sichert der IT-Abteilung die volle Kontrolle über Smartphone und Tablets in allen sicherheitsrelevanten Fragen. Beispiele sind:

  • Kontrolle über Inbetriebnahme und Passworterstellung, so dass die Regeln zur Erstellung eines sicheren Passworts eingehalten werden;
  • Kontrolle über App-Verwendung per Black-/White-Listing, also Zulassen und Ausschließen bestimmter Anwendungen;
  • Kontrolle über das App-Verhalten, beispielsweise dass außerhalb des Unternehmensnetzwerkes VPN-Verbindungen Pflicht sind;
  • Kontrolle über den Datenzugang, bis hin zum Aussperren unsicherer Geräte aus dem Unternehmensnetzwerk;
  • Kontrolle über Schutzmaßnahmen, wie automatisierte Updates oder Installation neuer Schutzsoftware per Fernzugriff.

 

Container – die Sicherheitslösung für BYOD

In vielen Unternehmen ist es zulässig, das eigene Smartphone oder das persönliche Tablet auch dienstlich zu gebrauchen. Dieses BYOD-Konzept (Bring Your Own Device) erfordert es, private und unternehmenseigene Daten streng voneinander abzuschotten. Dies ermöglichen Applikations- und Daten-Container. Sie stellen sicher, dass die Anwendungen in einem geschützten Umfeld laufen und Unternehmensdaten diese Umgebung weder verlassen noch von außen manipuliert werden können.

In der Praxis verhält sich ein Container zunächst wie eine App, die nur über ein separates Passwort zugänglich ist. Je nach Charakteristik stellt sie selbst bestimmte Funktionen dar, oder sie präsentiert sich wie eine eigene Bedienoberfläche, die den Zugriff auf weitere – sichere – Unternehmens-Apps ermöglicht.

Um eine sichere Installation und kontinuierliche Pflege der Container zu ermöglichen, bedarf es einer EMM-Lösung (Enterprise Mobility Management). Nur so kann gewährleistet werden, dass einerseits die Privatsphäre des Nutzers geschützt und andererseits die Integrität der davon abgeschotteten Umgebung gesichert ist. Beispiele für EMM-Lösungen sind Samsung Knox, SecurePIM Enterprise / 7P EMM, Android im Unternehmen (vormals Android for Work) oder Blackberry Unified Endpoint Manager (UEM).

Was tun im Notfall?

70 Prozent der Nutzer von mobilen Geräten haben eines ihrer Devices bereits einmal verloren, und nicht einmal die Hälfte der Geräte taucht wieder auf. Hier greift das Mobile Device Management: Per Lock-Wipe lässt sich ein unternehmenseigenes Gerät von der IT-Abteilung komplett löschen, bei BYOD-Geräten hilft der Selective Wipe, der nur Unternehmensdaten und -zugänge löscht, aber die privaten Daten nicht antastet. Mittels MDM sind Smartphones und Tablets ebenso leicht wiederherzustellen, wenn sie sich wieder einfinden, oder bei einer Neuanschaffung auf die neue Hardware zu klonen. Daher gibt es im Falle des Geräteverlustes nur eines: Die Löschfunktion so schnell wie möglich auslösen, um die Daten vor Diebstahl und Missbrauch zu schützen, statt abzuwarten, ob das Mobilgeräte zurückgegeben wird.

Fazit Mobile Security

Mobile Security hat zahlreiche Facetten, mit denen sich die Verantwortlichen auseinandersetzen müssen. Dabei drängt die Zeit: mit zunehmender Nutzung mobiler Geräte für Unternehmensaufgaben steigt das Risiko für Datenverluste und Angriffe über die mobilen Geräte. Zudem endet im Mai 2018 die Übergangsfrist der neuen EU-Datenschutzverordnung – dann ist sie vollständig einzuhalten. 

Und wenn die Aspekte der mobilen Sicherheit noch so zahlreich sind, so gibt es doch umfassende Lösungen, die nicht nur das Schutzniveau deutlich erhöhen, sondern auch das Handling der mobilen Geräte für die IT-Administration deutlich vereinfachen. Voraussetzung ist, dass Geschäftsführer und IT-Abteilungen ihren rechtlichen Pflichten nachkommen und sich aktiv um den Datenschutz kümmern – gegebenenfalls auch mit externer Unterstützung.

Webinar Aufzeichnung Mobiler Datenschutz