User installieren auch ungeprüfte Applikationen

Auch der Versuch, nicht geprüfte und freigegebene Applikationen von Firmen-Smartphones auszusperren, funktioniert in der Praxis nicht. Eine Firma oder Behörde mag zwar Richtlinien haben, die eine Installation von Applikationen verbieten, aber die User tun es trotzdem.

Smartphone-Anwender installieren häufig auf eigene Faust Software auf ihren Geräten. Nur mithilfe von Security-Policies lässt sich dieses Problem in den Griff bekommen.

Hinzu kommt, dass das Angebot an Apps für Mobiltelefone gar zu verlockend ist. Alleine der App Store von Apple enthielt Anfang November mehr als 100.000 Anwendungen für das iPhone. Für das Blackberry standen im Juni an die 2000 Apps zur Verfügung. Mittlerweile dürften es etwa 3000 sein. Android kommt auf 10.000 Applikationen. Microsoft dagegen hält mit den Zahlen bezüglich Windows Mobile hinter dem Berg. Schätzungen gehen von 30.000 Apps aus.

Und was ist mit den Daten, die auf der Micro-SD-Karte des Telefons gespeichert sind? Bleibt das Telefon, beispielsweise bei einem Gespräch an der Bar, einen kurzen Augenblick unbeaufsichtigt auf dem Tresen liegen, können die darauf gespeicherte Daten ruckzuck den Besitzer wechseln.

Der E-Mail-Eingangsordner enthält sicherlich interessante Nachrichten, das Kontakte-Verzeichnis Adressen von aktuellen und potenziellen Kunden, und die Kalendereinträge geben Hinweise auf Geschäftsbesprechungen. Da die meisten Smartphones nicht die Eingabe eines Passworts verlangen, wenn sie erst einmal eingeschaltet sind, könnte ein Fremder via VPN sogar Zugang zum Unternehmensnetzwerk erlangen.

Für Netzwerkverwalter und IT-Sicherheitsexperten im Unternehmen bedeutet das: Für Smartphones muss eine Sicherheitsrichtlinie erstellt und angewendet werden, und zwar umgehend.

Um Smartphones zu schützen, sind Datenschutz-Prinzipien anzuwenden. Sicher, es macht dem Systemverwalter mehr Spaß, sich sofort auf passende Sicherheitswerkzeuge zu stürzen. Aber das sind lediglich die Hilfsmittel, die eine Sicherheits-Policy durchsetzen sollen.

Geräte wie etwa das HTC Touch Pro werden zunehmend anstelle von Notebooks eingesetzt.

Richtlinien bilden das Rückgrat einer umfassenden Sicherheit. Konsistenz ist bei solchen Regeln ein zentraler Faktor. Denn falsch konfigurierte Geräte führen nicht nur zu teuren und zeitraubenden Helpdesk-Anrufen, sondern eröffnen auf den Systemen zudem Sicherheitslöcher.

Firmen, in denen nur wenige Smartphones im Einsatz sind, können Sicherheitsrichtlinien für mobile Rechner wie Notebooks auf die Mobiltelefone anwenden. Längerfristig sollten die Smartphones allerdings als eigenständige Kategorie in ein Sicherheits-Framework integriert werden.

Das lässt sich bewerkstelligen, indem man einige der Hauptsicherheitsrichtlinien erweitert. Diese Erweiterungen sollten auf die spezifischen Nuancen der mobilen Geräte zielen. Erforderlich sind folgende Dokumente:

• Sicherheitsrichtlinien definieren die Sicherheitsaufstellung der Organisation und sind typischerweise mit unterstützenden Dokumenten verknüpft. Anforderungen mobiler Geräte sind hier klar zu benennen.

• Datenklassifizierungsrichtlinien stufen Informationen in Kategorien ein. Jede Kategorie und die dazu gehörigen Daten sind auf separate Weise zu behandeln. Da Smartphones nicht immer alle Sicherheitskontrollverfahren unterstützen, sind einige Geräte nicht in der Lage, kritische Informationen ausreichend zu schützen. Das gilt besonders für lokale auf dem Gerät gespeicherte Daten sowie Dokumente, die via E-Mail in Dateianhängen übermittelt werden. Sie werden meist nicht verschlüsselt und sind somit jedem zugänglich, der ein Smartphone an sich nimmt.

• Mobile-Device-Richtlinien beschreiben die Details, wie mobile Geräte unterstützt, geschützt und genutzt werden sollen. Sie können die erforderliche Software aufführen, Leitfäden für Remote-Access enthalten und regeln, ob ausschließlich unternehmenseigene Smartphones eingesetzt werden dürfen.

• Eine WLAN-Richtlinie ist besonders wichtig, weil die meisten Smartphones WLAN-Zugriff unterstützen. Selbst mit 802.1X/EAP-Controls wie PEAP könnten mobile Geräte ungehinderten Zugriff auf ein Unternehmens-WLAN haben. Eine WLAN-Richtlinie regelt, ob und auf welche Weise ein Zugriff erlaubt ist. Sie definiert, ob ein spezielles Netzwerk für Smartphones existiert.

• Hinzu kommen Regeln für die Verwaltung und Wartung der mobilen Geräte. So muss sichergestellt sein, dass Sicherheitslöcher bei Anwendungen oder dem Betriebssystem umgehend geschlossen und die aktuellen Versionen von Applikationen auf das Mobilgerät überspielt werden.

Wer die Aufgabe hat, eine Sicherheitsrichtlinie zu erarbeiten, kann auf folgende Informationsquellen zurückgreifen:

NIST Special Publications: Die Dokumente umfassen die gesamte Skala von der Grundeinführung in die Computersicherheit bis hin zu speziellen Themen.

ISO: ISO 27001 und 27002 repräsentieren die Evolution des 17799-Security-Frameworks.

ISACA: Die Entwickler des hoch angesehenen CoBIT-Dokuments

SANS Security Policy Project: Nützliche Hinweise für die Dokumentation von Richtlinien