Zum Inhalt springen

Sicher unterwegs

Wireless-Security – Nahezu grenzenlos mobil sind IT-Anwender heute. IT-Sicherheitsverantwortliche stellt dieser Trend vor neue Herausforderungen.

Autor:Redaktion connect-professional • 20.7.2006 • ca. 5:45 Min

Infrastrukturen, auf deren Basis Unternehmen ihre Geschäfte betreiben, verändern sich laufend. Nicht nur, dass Firmen sich über mehrere Lokationen verteilen, heute kann ein beliebiger Aufenthaltsort eines Mitarbeiters gleichzeitig sein Arbeitsplatz sein – ganz gleich, ob er sich im Büro, im Hotel, beim Kunden, auf dem Flughafen oder zu Hause befindet.

Möglich wird diese vielgepriesene Mobilität durch Technologien und Dienste, die den Austausch von Daten mit zentralen Systemen und anderen mobilen Nutzern erleichtern, flexibilisieren und beschleunigen. Darüber hinaus statten sie die »Mobile Devices« mit Funktionen aus, die der Anwender bisher nur von stationären Geräten kennt. Zunehmend wird jedoch deutlich, dass die Entwicklung der Chancen durch Mobilität nicht mit dem vernünftigen Umgang mit deren Risiken Schritt gehalten hat. Der Trend einer immer einfacheren Nutzung mobiler Endgeräte wird begleitet von zunehmenden Aufwänden, um technologie- und nutzungsbedingte Schwachstellen zu beseitigen.

Fast schon scheint Mobile-Security sich zu einer Art Geheimwissenschaft entwickelt zu haben, die den Nutzern verborgen bleibt und allenfalls in Live-Hacking-Shows auf zwar populäre, aber wenig hilfreiche Weise nahe gebracht wird. Doch nicht nur tragbare Rechner mit sensiblen Daten und deren Kommunikation gilt es abzusichern, auch das Unternehmensnetz muss Zugriffen von außen immer robuster standhalten. Mobiles Arbeiten bedeutet aber auch, sich bisweilen in einer Umgebung aufzuhalten, in welcher der Inhalt von Telefonaten oder des Laptop-Bildschirms nicht für jeden gedacht ist, der bewusst oder unfreiwillig davon erfährt.

Das notwendige Bewusstsein im Umgang mit mobilen Arbeitsgeräten und Methoden scheint sich allerdings noch nicht umfassend durchgesetzt zu haben: So sind gemäß einer Studie von Bluefire Security Technologies die Nutzer mobiler Telekommunikation eher zögerlich, wenn es darum geht, entsprechende Security-Tools zu verwenden.Nur 40 Prozent der befragten Teilnehmer haben solche aktuell installiert. Und das, obwohl sie sich um das Thema Sicherheit ernsthaft Gedanken machen.Mehr als die Hälfte meinte sogar, ihr Unternehmen würde verstärkt in mobile Technologien investieren, wenn diese Bedenken aus dem Weg geräumt würden, heißt es in der Studie.

Die Gefahren, mit denen sich IT-Leiter und Mitarbeiter auseinandersetzen müssen, liegen in verschiedenen Bereichen.Zum einen sind das organisatorische Aspekte.Vielfach fehlt eine zentrale Administration,die sich darum kümmert, dass Sicherheitspatches von Anwendungen, Betriebssystemen oder Firmware sowie Virenschutz-Updates zeitnah und bedarfsgerecht auf mobile Endgeräte verteilt werden. Auch macht der Variantenreichtum der im Unternehmen eingesetzten Endgeräte den Administratoren das Leben schwer.Denn je mehr Gerätetypen und Software-Versionen im Umlauf sind, desto höher ist die Chance, dass eine neue Sicherheitslücke ein Tor zum Unternehmensnetzwerk öffnet.

Ganz zu schweigen davon, dass Nutzer sich mit Themen wie Verschlüsselung, Virenschutz oder Datensicherung auf mobilen Geräten kaum beschäftigen. Dass hier ein Daten- und damit fast immer ein finanzieller Verlust vorprogrammiert ist, versteht sich beinahe von selbst. Denn nicht nur Laptops müssen in ein Sicherheitskonzept integriert werden, sondern auch PDAs, Smartphones, Blackberrys, USB-Speichermedien und sämtliche Systeme mit drahtloser Kommunikation, also auch Funktastaturen und Head-Sets. Gerade hier werden vermehrt sensible Daten gespeichert und übertragen oder Malicious-Code wie Viren, Trojaner oder Spyware in das Unternehmensnetzwerk eingeschleust.

Die Risiken von WLAN scheinen hinreichend oft kommuniziert.Dennoch spricht die Anzahl der in Ballungsgebieten identifizierbaren Access- Points ohne jegliche Schutzmaßnahme eine andere Sprache. Aber weder der finanzielle Schaden durch »Mitbenutzung« von Internet-Zugängen in Anbetracht der sich durchsetzenden Flat-Rates noch die oft minimale Bandbreitenreduktion stellen die eigentliche Gefahr dar.Die wirklich unangenehmen Folgen für ein Unternehmen oder eine Privatperson, nachdem eigene IP-Adressen als Ausgangspunkt für die Verteilung illegaler Inhalte – beispielsweise Aufrufe zu kriminellen Handlungen – genutzt wurden, treten erst auf,wenn man seine Ahnungslosigkeit gegenüber der Staatanwaltschaft verteidigen muss.

Benutzer von Bluetooth-unterstützten Geräten sehen sich der Gefahr des »Bluejacking« ausgesetzt, wenn sie nicht die geeigneten Sicherheitsmechanismen aktivieren. Dies bedeutet, dass sich andere Bluetooth-Benutzer anonym Zugriff auf ein Mobiltelefon verschaffen und dort Dateien und Telefonnummern ansehen oder beliebige Nachrichten versenden können. Auch der Anruf teurer 0900-Nummern ist möglich, ohne dass der Besitzer des Telefons dies rechtzeitig bemerkt.

Lösungen zum Schutz mobilen Arbeitens sind so vielfältig wie die Technologien selbst.Viele Maßnahmen sind jedoch von der Akzeptanz des Nutzers abhängig.Ein entsprechendes Bewusstsein zu schaffen,nimmt also einen hohen Stellenwert ein. Der Nutzer muss verstehen, dass die Informationen, die er mit sich führt, einen hohen Wert für sein Unternehmen darstellt und der Schutz vor Verlust und Ausspähen seine Mitwirkung erfordert. So gilt es zunächst einmal alle vorhandenen Möglichkeiten auszuschöpfen:

  •  Verwendung sicherer WLAN-Verschlüsselung, beispielsweise WPA, und regelmäßige Änderung des Schlüssels,
  •  Nutzung von Bluetooth nur dann, wenn notwendig und nach Möglichkeit nicht in der Öffentlichkeit,
  •  Erkennung des Gerätes bei WLAN und Bluetooth ausschalten,
  •  Nutzung von Dateiverschlüsselung auf Laptops und PDAs,
  •  sichere Authentifizierung beim Zugang zu mobilen Endgeräten durch Chipkarten, Token oder biometrische Erkennung,
  •  Kommunikation nur mit bekannten Access-Points oder Endgeräten,
  •  Vermeiden von Push-Diensten, die unbekannte Programme auf das Endgerät bringen,
  •  Vermeiden von vertraulichen Telefonaten oder der Bearbeitung vertraulicher Informationen in der Öffentlichkeit und
  •  Fixieren von Laptops mit Kabelschlössern in öffentlichen Umgebungen.

Wer auf sein Notebook auch in der Bahn, am Flughafen oder in der Hotellobby nicht verzichten kann, der sollte den Einsatz von Privacy- Sichtschutzfiltern in Erwägung ziehen. Damit wird zumindest verhindert, dass der unmittelbare Nachbar neugierige Blicke auf das Display wirft.

Location-based-Services sind Dienstleistungen und Informationen, die abhängig vom Benutzerstandort angeboten werden. Typische Beispiele sind Restaurant-Finder,Navigationsdienste oder Anwendungen in den Bereichen Mobile-Marketing,Mobile-Gaming und Instant-Messaging. Genutzt wird dabei die Erkennung der Position durch das Mobiltelefonnetz. Dennoch ist die Verwendung der anfallenden Daten oft kaum geregelt beziehungsweise wird trotz Datenschutzgesetz missachtet. Auf diese Weise können Ortsinformationen über unbedachte Nutzer ohne deren Wissen weitergegeben werden. Eine ungewollte Transparenz der Privatsphäre des Nutzers kann die Folge sein.

Notwendige Sicherheits-Software wie eine Personal-Firewall und Virenschutzprogramme sowie Programme zur verschlüsselten Ablage von Dateien sollten unternehmensseitig bereitgestellt und gewartet werden. Damit allein ist es jedoch nicht getan. Ohne eine Einweisung der Nutzer in die sinnvolle und zweckmäßige Verwendung dieser Werkzeuge greifen diese ins Leere.

Alle mobilen Geräte und deren Software-Stand zu standardisieren, verschafft zum einen den Überblick über die tatsächliche Gefährdungslage. Werden Sicherheitslücken bekannt, kann dies aber auch dabei helfen, sowohl Verhaltensregeln als auch notwendige Aktivitäten gezielt zu kommunizieren. Darüber hinaus existieren eine Reihe von Maßnahmen, die speziell am WLAN-Zugangspunkt zum Unternehmensnetzwerk getroffen werden können:

  • Eingehende Verbindungen sollten sowohl durch die MAC-Adresse als auch auf höheren Ebenen authentifiziert sein; zum Einsatz kommen Standardprotokolle wie IPSec oder Challenge-Response-Verfahren.
  • Auf Access-Points sollte das SSID-Broadcast unterdrückt werden und unabhängig davon die SSID keinen Rückschluss auf die Identität des Unternehmens zulassen.
  •  Der Verzicht auf DHCP beim Einsatz von WLAN kann mehr Sicherheit bringen, freilich mit dem Verlust von Flexibilität.
  • Zwischen dem Access-Point und dem Unternehmensnetzwerk sollte sich eine Firewall befinden.
  • Regelmäßige Penetrationstests geben Aufschluss, ob der Zugangspunkt ein angemessenes Sicherheitsniveau bietet. Daneben kann ein Penetrationstest auch feststellen, ob alle identifizierten Access-Points zum Unternehmensnetzwerk bekannt und autorisiert sind.

Sämtliche Verhaltensregeln, Sicherheitseinstellungen und Schulungsmaßnahmen werden in einer Mobile-Security-Policy zusammengefasst. Dieses regelmäßig zu überarbeitende Dokument gibt dem Nutzer und dem Administrator gleichermaßen Auskunft darüber, welche Abwägung zwischen Risiko und Maßnahmen im Unternehmen als angemessen gesehen wird. Gleichzeitig trägt eine ausgewogene Policy dazu bei, den Vorteil neuer Technologien zu erhalten, anstatt die Geschäftsprozesse durch überzogene Sicherheitsmaßnahmen zu behindern.

Mobile-Devices werden immer kleiner, leistungsstärker und in Alltagsgegenstände integriert – der Trend setzt sich fort bis hin zum »Ubiquitous Computing«, nachdem der Computer als Gerät verschwinden und durch »intelligente Gegenstände« ersetzt werden wird. Daher dürfen die kommerziellen Nutznießer zunehmender Mobilität – nämlich Produkthersteller, Händler, Service-Provider und Beratungshäuser – nicht aus ihrer Pflicht entlassen werden, ihren Beitrag zur Minderung von Risiken dieses Trends zu leisten. So sollten beispielsweise Produkthersteller einem verbindlichen »Design for (Mobile) Security« verpflichtet werden. Dass Händler eine Komponente nur dann verkaufen dürfen, wenn der Kunde einen produktspezifischen Risikohinweis nachweislich zur Kenntnis genommen hat, ist heute auch nicht mehr abwegig. Schließlich haben die Betreiber von mobilen Dienstzugängen auch noch nicht alle Möglichkeiten ausgeschöpft, Kommunikationswege gegenüber Missbrauch abzusichern.

Gerald Spiegel,
Senior Architect Security & Privacy,
IBM Business Consulting Services, E-Mail: gspiegel@de.ibm.com

Das könnte Sie auch interessieren
Thomas-Hruby-Geschäftsführer-Sysob-16_9.jpg
Ausbau des IT-Security-Angebots Sysob nimmt Lösungen von Zimperium ins Portfolio auf
GravityZone Security for Mobile
Bitdefender präsentiert GravityZone Security for Mobile Unified Security auf Android, iOS und Chromebooks
LL2018-10-web
Security-Hersteller zeigt sein Portfolio auf der It-sa Sophos: Sicherheit für mobile Endgeräte und die Public Cloud
converged_diagram_chips
Security-Chip kombiniert SIM-Funktion mit Diensten wie Mobile Payment G+D bringt SIM-Funktion und Sicherheitstechnik auf einen Chip
180720_Kaspersky
Kaspersky Security for Mobile in neuer Version Angriffsabwehr für mobile Endgeräte
160915_infotecs_vipnet_connect_android
Infotecs: Mobile Apps "Vipnet Client for Android" und "Vipnet Connect" für Unternehmenslösung "Vipnet Mobile Security" in Google Play verfügbar Sichere Unternehmenskommunikation auf Android-Geräten
160718_stormshield_SDS_Cloud_and_Mobility_IOS
Stormshield präsentiert neue Version seiner "Data Security for Cloud and Mobility":Ab sofort auch für IOS erhältlich Erweiterte Datensicherheit für mobile Endgeräte
Infotecs veröffentlicht Vipnet Mobile Security: Mehr Sicherheit und Flexibilität in der Unternehmenskommunikation Mobile Unternehmenskommunikation sicher und einfach integrieren
Mehr passende Artikel
IFA 2024
CE-Messe öffnet morgen die Türen Auch auf der IFA dreht sich alles um KI
PayPal Omaha
Deutsche Banken stoppen Zahlungen Sicherheits-Panne bei Paypal
Online-Shopping_schlechte_Laune_Bild_fizkes_shutterstock_2144529603.jpg
Widerruf bei Online-Käufen wird erleichtert Der Widerrufbutton kommt
Jörg Hartmann
Konica-Minolta- und Fujitsu-Manager IT-Branche trauert um Jörg Hartmann
GfK-Distributionsexpertin Tatjana Wismeth
NIQ/GfK-Analystin im Interview „Distribution bleibt letztendlich ein People Business“
Weiter zur Startseite