Mobile Security passt sich der Arbeitswelt an
Die Sicherheit in der Hand des Anwenders
Wer zartbesaitet ist und Ordnung und Kontrolle liebt, blättere hier lieber weiter. Wir befassen uns auf den folgenden Seiten nämlich mit geradezu furchterregenden Zukunftsszenarien mobiler IT-Anwendungen: Da löst sich nicht nur die Netzwerkgrenze endgültig auf, sondern die Unternehmen binden auch noch die privaten Smartphones und PDAs ihrer Mitarbeiter ins Unternehmensnetz ein. Wie sollen da noch Sicherheit und Datenschutz möglich sein?
"Die Komplexität ist für die Sicherheit der mobilen IT die größte Herausforderung", weiß Markus
Bernhammer, Executive Vice President Central und Eastern Europe bei Utimaco Safeware, über die
aktuellen Probleme der Anwender zu berichten. "Sie geht einher mit wachsenden
Sicherheitsanforderungen, und genau das macht das Thema so komplex."
Verschlüsselung bei Notebooks setzt sich nach seiner Erfahrung inzwischen bei den meisten
Unternehmen durch, während man bei Desktop-PCs eher auf den Schutz durch verschlossene Türen und
physisch gut zu überwachende Umgebungen vertraut. Bei den Notebooks sei die Integration eingebauter
Hilfsmittel wie etwa der Fingerabdruck-Scanner problematisch, weil die Hersteller häufig die
Anbieter für das Zubehör wechseln und die Sicherheitssoftware dann immer wieder angepasst werden
müsse. Bernhammer hofft, dass Standardisierung und eine gute Zusammenarbeit der Notebook-Hersteller
mit den Sicherheitsspezialisten dieses Problem entschärfen werden.
"Conficker" hat wachgerüttelt
"Ein weiteres brisantes Thema sind Speichergeräte wie etwa die USB-Sticks. Die Tatsache, dass
die Conficker-Malware häufig über diese Devices in die Unternehmen eingeschleppt wurde, hat die
Wahrnehmung für die Problematik erhöht – und in der Folge auch das Interesse für die
Verschlüsselung und das Management der Speichergeräte", ergänzt Bernhammer. In Zukunft werde man
sich verstärkt auch um Compliance-Fragen und um die Nachweisbarkeit wirkungsvoller Maßnahmen
kümmern müssen.
Die professionelle Integration von PDAs und Smartphones kommt nach Bernhammers Erfahrung in den
Unternehmen erst langsam in Gang, weil die Plattformvielfalt so groß sei. Die dadurch entstehenden
technischen Hürden ließen noch viele Anwender zurückschrecken. Verärgert ist Bernhammer zurzeit
über Presseberichterstattung, die die Lobbyarbeit für Verschlüsselung in einen Topf mit tatsächlich
überzogenen Warnungen vor Cyber-Kriminalität wirft: "Ende Januar gab es einen Stern-Artikel,
demzufolge der Verband Bitkom die Politiker mittels Lobbyarbeit zu sehr beeinflusst habe, für die
IT-Sicherheitsindustrie Stellung zu beziehen. Nun schrecken die Politiker leider auch vor
sinnvollen Maßnahmen zurück."
Das Unternehmen Ubitexx befasst sich genau mit jenen Aspekten der mobilen Sicherheit, die man
bei Utimaco noch am Anfang sieht: Sicherheitssysteme für PDAs, Smartphones und andere Kleingeräte
stehen hier auf dem Programm. Das Münchner Softwarehaus hat seine Management-Lösung "Ubi-Suite"
gerade für vier mobile Plattformen fit gemacht: Iphone, Symbian, Blackberry und Windows Mobile. Das
System soll dazu dienen, auch bereits im Betrieb befindliche Geräte von Mitarbeitern schnell und
einfach in Unternehmensumgebungen einzubinden. Entsprechend der Unternehmensvorgaben lassen sie
sich dann mit einem Sicherheits-Setup und Schutz für E-Mail-Push und persönliche Daten ausstatten.
Die Ferninstallation mobiler Anwendungen von Herstellern wie NCP, Avira, Utimaco und Siebel wird
ebenfalls ermöglicht, und Firmenkunden können Konfigurationen für Standard-Setups von VPNs,
Virenschutz, Datenverschlüsselung oder Customer Relationship Management (CRM) aufsetzen.
Virenschutz ist noch zweitrangig
"Virenschutz ist nicht das zentrale Thema", meint Markus C. Müller, Gründer und Chief Executive
Officer von Ubitexx, "weil es bisher kaum noch kaum Malware für die mobilen Geräte gibt – für die
Virenschreiber ist die Vielzahl der Plattformen zum Glück ein ähnlich großes Ärgernis wie für die
Produzenten gutartiger Software." Deshalb sei es auch selten, dass über Mobilgeräte Viren in
Firmennetze eingeschleppt werden, und mit Bordmitteln lasse sich derzeit noch ein hinreichender
Schutz gewährleisten – vor allem, wenn die Systeme zentral verwaltet würden und grundsätzlich über
den Firmenperimeter ins Internet geleitet würden. Neben dem Top-Thema "Verschlüsselung" sieht
Müller das ferngesteuerte Löschen von mobilen Geräten als wichtiges Feature an, das immer mehr
Anwender interessiert. "Ideal ist, wenn man dabei in Stufen vorgehen kann", ergänzt der
Ubitexx-CEO, "erst einmal sensible Daten, wenn noch Hoffnung auf Wiedergewinnung besteht, und dann
das ganze Gerät, wenn es wirklich notwendig ist."
Privatgeräte verdrängen Firmen-PDAs
Müller ist außerdem überzeugt, dass sich in Zukunft ein für viele Administratoren sicher
furchterregender Trend aus den USA auch in Deutschland durchsetzen wird: "Unternehmen geben dort
nicht mehr selbst mobile Geräte aus, sondern integrieren die privaten Systeme der Anwender." Der
simple Hintergrund sei, dass man sich so um die 400 Euro pro Gerät sparen könne. Außerdem sei auf
diese Weise sichergestellt, dass jeder Mitarbeiter mit seinem Gerät auch zurechtkomme. "In den
Vorstandsetagen etwa liebt man das Iphone," weiß Müller, "weil es so intuitiv zu bedienen ist."
Überhaupt müsse man sich davon lösen, die Vielfalt der Geräte nur als Nachteil zu sehen: "Mit dem
Iphone kommen auch Gelegenheitsnutzer zurecht, der Blackberry ist ein gutes E-Mail-Gerät, und für
CRM und Ähnliches sind noch einmal ganz andere Produkte ideal." An den Problemen, die der Einsatz
von Privatgeräten im Unternehmensnetz mit sich bringe, arbeite man schon: "Man muss beispielsweise
selektiv löschen können, wenn ein Mitarbeiter ein Unternehmen verlässt, und man hat generell nicht
mehr den vollständigen Administrationszugriff."
Benutzerfreundlichkeit macht sicherer
Dass die Benutzerfreundlichkeit ein zentrales Thema bei der Nutzung von mobilen Devices ist, und
dass dieser Aspekt natürlich auch die Sicherheitsthematik entscheidend beeinflusst, bestätigt auch
Dagmar Schneider, Sales Manager DACH beim Anbieter Ipass, der einen einen weltweiten Remote- und
mobilen Breitbandzugang mit voller Management-Kontrolle für Unternehmen bietet. "Unser Client lässt
sich seit einiger Zeit auch für Verbindungen nutzen, die nicht direkt uns zugeordnet sind. Das wird
liebend gern genutzt – die Anwender sind es einfach leid, immer neue Einwahlmethoden zu erlernen."
Der Umkehrschluss lautet: Mit dem Angebot eines wirklich benutzerfreundlichen Web- und
Firmennetzzugangs kann man Mitarbeiter auch leicht dazu bringen, nur Verbindungen zu benutzen, die
der Kontrolle seines Unternehmens unterliegen.
Auch Outsourcing von Mobile Security ist möglich
Mobile Devices kann ein Unternehmen selbst verwalten, aber den Schutz natürlich auch outsourcen,
was sich aus Kostengründen gerade zu einem wichtigen Trend bei den IT-Anwendern entwickelt. Dieter
Steiner, Geschäftsführer des Regensburger Dienstleistungsunternehmens SSP Europe, kennt die
entsprechenden Möglichkeiten: "Selbstverständlich beherrschen wir als Dienstleistungsunternehmen
inzwischen beispielsweise die Fernverwaltung von Verschlüsselung auf Endgeräten und das
ferngesteuerte Löschen. Hinzu kommt zum Beispiel End-to-End-Verschlüsselung für E-Mail, auch für
Blackberrys und auch ohne die Notwendigkeit, Installationen auf dem Client vorzunehmen." Die
Rechner mobiler Mitarbeiter können überdies über die Schutzsysteme in den Rechenzentren des
Dienstleisters ans Internet angebunden werden.
Spannend ist insgesamt, wie unterschiedlich die Relevanz des Themas "Mobile Security" im Markt
gesehen wird. Wolfgang Straßer, Geschäftsführer des Sevice-Unternehmens At Yet, wundert sich über
den Mobile World Congress 2009 in Barcelona: "Nach einem ausführlichen Messerundgang und Gesprächen
mit den Anbietern lässt sich sagen, dass es immer noch kaum Anbieter mit speziellen Angeboten zum
Thema Sicherheit gibt. Mehr als ein Kennwortschutz wird nicht präsentiert. Wenn man zu den großen
Anbietern geht, sind die schlicht erstaunt, dass dies ein Thema sein soll – es scheint so, als
werde hier auf den professionellen Einsatz gezielt nicht abgehoben." Straßer sieht RIM, den
Blackberry-Anbieter, hier inzwischen als löbliche Ausnahme: "Dieses Unternehmen hat wirklich etwas
getan, es bietet eine umfassende Verschlüsselung – damit überholt es viele andere jetzt bei Weitem"
.
Klassifizierung stellt Unternehmen vor Probleme
Mit Blick auf das Thema "Data Loss Prevention", dem dieser Schwerpunkt noch einen
separaten Artikel widmet (Seite 58), verweist Sven
Gerlach, CISSP, Business-Development-Manager Secure-Content-Management bei Integralis, schließlich
noch auf ein Problem, dass die Anwender wohl nicht auf einfache Weise bewältigen können: "Die
Schwierigkeit bei DLP-Lösungen liegt darin, dass diese erkennen müssen, welche Daten vertraulich
sind, sodass sie Anwenderaktionen nur dann reglementieren, wenn es um vertrauliche Daten geht.
Sonst wird der Anwender zu stark behindert." Sicherheit bekommt also nur, wer Daten vorab
klassifiziert – entweder manuell oder zumindest teilweise anhand von Schlüsselwörtern, Mustern,
Kontexten, Speicherorten oder Zieladressen in E-Mails. "Diese Klassifizierung sollte sich auf die
wichtigsten Daten beschränken", meint Gerlach, sonst überfordere sie viele Unternehmen
komplett.
Hilfreich ist es hier, die Mitarbeiter der Fachabteilungen einzubeziehen. Wenn sie Dokumente
erstellen, können sie am besten einschätzen, wie vertraulich die jeweiligen Informationen behandelt
werden sollten. Ähnlich wichtig sind aufmerksame Mitarbeiter, wenn es um die Gefahr des
Datenverlusts durch liegengebliebene Datenträger oder Notebooks geht: Selbst wenn sich nicht jede
Panne dieser Art vemeiden lässt, so wissen die Endanwender der Geräte doch am besten, welche Daten
im Ernstfall verlorengegangen sind und welche Maßnahmen zur Risikobegrenzung deshalb getroffen
werden müssen.
Lesen Sie mehr zum Thema
