Startseite > Markt > Smartphones - Sicherheitsaspekte im Unternehmenseinsatz

Mobile-Security

Smartphones - Sicherheitsaspekte im Unternehmenseinsatz

9. Dezember 2013, 10:49 Uhr | Marco Gocht, CEO und CIO der ISEC7 Group

Fortsetzung des Artikels von Teil 1

Übermittlung vertraulicher Daten

Welche Daten werden überhaupt mobil übermittelt? Diese grundsätzliche Frage sollten sich Unternehmen unbedingt stellen. Wie verhält es sich beispielsweise mit Patentanmeldungen oder mit vertraulichen Konstruktionsplänen? Jede Branche hat ihre spezifischen Anforderungen und ihre eigenen Regularien. So müssen beispielsweise in der Pharmaindustrie, Finanzindustrie und im Gesundheitswesen zusätzlich gesetzliche Vorgaben und Richtlinien erfüllt werden.

Am Beispiel Patentanmeldung lässt sich der mögliche Schaden ungesicherter Datenkommunikation eindrucksvoll zeigen: Ein deutsches oder europäisches Unternehmen, das zehn Jahre ein neues Produkt entwickelt hat, möchte sein Patent nun international anmelden. Um es im US-Patentamt anzumelden, müssen die Daten an einen amerikanischen Anwalt übermittelt werden. Dies geschieht in die USA mit der bekannten TAT-14-Leitung. An dieser Stelle wird mitgehört. Die Patentmeldung wird einer Universität zugespielt und diese veröffentlicht darüber umgehend einen Bericht. Damit gilt das Thema als allge-mein bekannt. Und schon sind die Forschungsergebnisse kein schützenswertes Gut mehr – das Patent ist hinfällig und damit zehn Jahre Entwicklungsarbeit umsonst.

Wenn Daten innerhalb des Unternehmens versendet und dabei gleich automatisch an die mobilen Endgeräte weitergeleitet werden, ist dies ein großes Problem. Die meisten Geräte sind aber heute genauso eingestellt: Jede E-Mail landet automatisch auf dem mobilen Gerät, so dann auch die Patentanmeldung. Je nach eingesetzter Smartphone-Technologie können bestimmte regulatorische Sicherheitsanforderungen nicht erfüllt werden, weil die Technologie dazu nicht in der Lage ist.

Idealerweise bieten mobile Technologien eine Klassifizierung an. Was klassifiziert ist, wird nicht synchronisiert. Damit können Unternehmen ein Risiko ausblenden. Eine Patentanmeldung würde entsprechend klassifiziert und nicht an mobile Geräte weitergeleitet werden.

Bedrohungspotenzial von Voice

Verschlüsselungstechnologien dienen der Minimierung von Sicherheitsrisiken bei der Sprachübertragung und sollten in der mobilen Kommunikation eingesetzt werden. Die Bundesregierung hat aus diesem Grunde Secusmart mit Sprachverschlüsselung eingeführt. Mobilität heute bieten nur die Synchronisationsmechanismen und nativen Verschlüsselungen. Darin liegt ein großes Sicherheitsrisiko. Das zeigt sich auch an folgendem Beispiel: Standardgeräte wie Android oder I-Phone dürfen in Russland ohne Weiteres verwendet werden, wohingegen die Verwendung von Blackberry einer Freigabe bedarf. Hintergrund: Ein I-Phone- oder Android-Gerät lässt sich leicht abhören und entschlüsseln – nahezu in Echtzeit. Etwa 60 Sekunden werden für ein I-Phone benötigt. Black-berry hingegen ist wesentlich sicherer. Der Blackberry-Einsatz wird in Russland darum nur genehmigt, wenn man den russischen Behörden Zugriff auf den Mail-Server gibt, oder sie eine Blackbox zwischen den Blackberry-Server und den Mailserver stellen dürfen. Dabei ist zu bedenken, dass sich ein internationaler Konzern in hoheitlichen Bereichen gesetzeskonform bewegen muss. Er darf in Russland also kein Blackberry 10 installieren, da er sich sonst strafbar macht.

Bewertung von Sicherheitsrisiken

Einige Branchen sind mittlerweile per Gesetz verpflichtet, für Sicherheitsrisiken, die durch ungesicherte Daten und Geräte entstehen, Rückstände zu bilden. Besonders Unternehmen der Finanz-Branche sind davon betroffen. Dazu werden entsprechende Sicherheitsanalysen im Unternehmen durchgeführt, die auch von ISEC7 angeboten werden. Es wird unter anderem bewertet, wie viel der Einsatz eines I-Pads, eines I-Phones oder der Einsatz von Android kostet, und welche Rückstellungen für das damit einhergehende Sicherheitsrisiko nötig sind. Die Zahlen sind erschreckend. So müssen für ungesicherte I-Phones, die nur mit Activesync betrieben werden und über keine MDM-Lösung oder weitere Sicherheitssoftware verfügen, je nach Nutzungsart bis zu 250.000 Euro je aktivem Gerät in Rückstellung gebracht werden. Ist eine Sicherheitslösung installiert, verringert sich die Höhe der Rückstellung auf nur noch 30.000 Euro. Je nach Stückzahl gibt es unterschiedliche Versicherungsprämien, die rückgestellt werden müssen.

Heute ist es Standard, dass Unternehmen mobil kommunizieren. Die zwingend notwendige erweiterte Sicherheit – Transportverschlüsselung, Geräteverschlüsselung und Sprachverschlüsselung – ist aber noch weit davon entfernt, Standard zu sein. Mit Zusatz-Tools kann ein viel höheres Sicherheitsniveau erreicht werden – das müssen Unternehmen begreifen.

Was sollen Unternehmen also tun?

Unternehmen sollten zunächst eine allumfassende und ganzheitliche Betrachtung ihres Bedrohungspotenzials erstellen. Die Risiken der mobilen Kommunikation von Sprache und Daten müssen analysiert und nach den unternehmensrelevanten Aspekten geclustert werden. Auch die Information über den Echtzeitstand der mobilen Endgeräte ist unerlässlich: Wer hat das Gerät gerade in Besitz, ist es verloren, ist es gestohlen? Darauf basierend sollte ein Masterplan, eine mobile Sicherheitsstrategie, entwickelt werden.

Um die Sicherheitsrisiken in den Griff zu bekommen und ihre mobile Infrastruktur zu managen, sollten Unternehmen Sicherheitstechnologien einsetzen und ein Enterprise-Mobility-Management-Konzept entwickeln – denn so können Sicherheitsrisiken enorm reduziert werden.