DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Mobile Sicherheit

Sicherheit bei Smartphones - keine Frage des Betriebssystems

Die aktu­ellen Mel­dungen über Sicher­heits­lücken und „Steu­ercode“ erleichtern die Auswahl. Das Angebot bestimmt die Nach­frage: Usa­bility scheint wich­tiger zu sein als Sicherheit!

Durch die bei­der­seitig recht umfang­reichen Sicher­heits­lücken der beiden domi­nie­renden Smar­t­­phone-Betriebs­­­systeme bzw. deren Schwe­regrad fällt die Auswahl auf der einen Seite nicht leicht. Auf der anderen Seite wird so die Wahl zwi­schen den unter­schied­lichen Ange­boten an Smart­phones natürlich auch leichter. Ver­standen? Es gibt keine „sichere“ Alter­native! Wer also ernsthaft ver­sucht, eine Grund­ab­si­cherung seiner Smart­phones und Tablets zu imple­men­tieren, wird leider ent­täuscht. Die einen stopfen über hundert Lücken auf einmal (Quelle: heise.de), die anderen schieben zwi­schen Geräte- und Betriebs­sys­tem­her­steller erst einmal den schwarzen Peter hin und her, bevor fest­ge­stellt wird, dass fast  alle in einem Boot sitzen (Quelle: heise.de).

Manchmal möchte man meinen der Kunde darf zwar kaufen,  stört aber danach den Geschäfts­be­trieb. Schade, dass es anscheinend not­wendig ist, auf Sicherheit zu ver­zichten, um sich im Markt über­haupt behaupten zu können. Auf der anderen Seite ist der Druck mobil zu sein scheinbar so hoch, dass man selbst völlig unge­eignete Hard- und Software ins Unter­nehmen holt und alle tra­di­tio­nellen und eta­blierten Rege­lungen zur Sicherheit über Bord wirft.

Dabei sind die Gefähr­dungen alles andere als trivial, obwohl derzeit die Anzahl an Malware noch ver­schwindend gering ist.

Wer über schüt­zens­wertes Know-how verfügt, jemandem im Weg steht oder Schlüs­sel­funk­tionen in der wirt­schaft­lichen Infra­struktur eines Landes ein­nimmt, bekommt ja nicht Besuch von irgendwem. An solchen Bau­stellen arbeiten Spe­zia­listen mit Spe­zi­al­werkzeug! Also bitte nicht glauben, dass man als einer von vielen in der Menge untergeht.

Die Fre­quenz von Sicher­heits-Updates ent­scheidet über die Qua­lität
Um mehrere Hundert Sicher­heits­lücken auf einmal zu schließen, sind diese ja erstmal gesammelt worden. So schnell ist kurz­fristig kein Sicher­heits­ex­perte! Was aber nichts anderes bedeutet, als dass diese Lücken länger bekannt waren und sehr wohl aus­ge­nutzt werden konnten. Darüber hinaus zeugt es von außer­or­dent­lichem Enga­gement, wenn auf einem der Betriebs­systeme die „Ver­­­wal­­tungs- und Steu­er­software“ für die End­geräte eben­falls über 100 Lücken auf­weist, von denen etliche auf einem anderen Betriebs­system bereits seit län­gerem via Update geschlossen wurden (Quelle: heise.de).

Andere Anbieter von Smart­phones  schießen sich mit einem ange­passten Betriebs­system selbst ins Bein. Sicher­heits­up­dates dauern dort zum Teil deutlich länger als beim Her­steller des Betriebs­systems und manche Updates kommen über­haupt nicht. Besser kann man Angreifern gar nicht in die Tasche spielen: Ein kurzer Ver­gleich von Update und Ori­ginal legt die Details offen, so dass gezielte Angriffe möglich sind. Und dann noch dieser Lapsus: Steu­er­codes aus unter­schied­lichen Quellen führen zum Rück­setzen auf den Aus­lie­fe­rungs­zu­stand, auf gut deutsch „Löschen“ der Daten (Quelle: heise.de).

Gegen solche „Aktionen“ ist der Hype um die IE-Lücke schon fast wieder ein laues Lüftchen.  Auch wenn der IE in einem gewich­teten Ver­gleich meh­rerer Browser nicht besonders gut abschneidet (Quelle: heise.de).

Was bleibt ist ein fahler Nach­ge­schmack.
Welchen Weg man derzeit auch ein­schlägt, es wird wohl noch dauern, bis die tech­nische Sicherheit bei Smart­phone und Tablet aus­rei­chend für die Bedürf­nisse von Unter­nehmen ist.
Gerade mit „BYOD“ (Bring your own Device), also der Nutzung pri­vater Geräte im Unter­nehmen wird der Sicher­heits­an­spruch stark zurück­ge­drängt. Hierbei muss jeder Unter­nehmer ent­scheiden, ob tat­sächlich der so geschaffene Mehrwert durch Mobi­lität das deutlich höhere Risiko wert ist. Eines ist jeden­falls jetzt schon sicher: Das bisher gel­tende Sicher­heits­niveau wird gerade durch BYOD auf absehbare Zeit nicht mehr erreicht bzw. gehalten werden können.

Es bleibt also vorerst dabei: Der Unsi­cher­heits­faktor Mensch spielt derzeit die Schlüs­sel­rolle in der End­ge­rä­te­si­cherheit, er ent­scheidet über Daten­haltung, Apps und die Nutzung von Kom­mu­ni­ka­ti­ons­schnitt­stellen. Natürlich gibt es für Unter­nehmen auch die Mög­lichkeit  mit Pro­filen zu arbeiten (Quelle: heise.de), aber auch hier ist nicht alles Gold was glänzt.

Aber es besteht Hoffnung. Mit zuneh­mender Markt­durch­dringung der mobilen End­geräte eta­blieren sich Sicher­heits­an­bieter. Sei es durch Apps auf den Geräten, sei es durch Cloud-Fun­k­­tionen oder auch durch Managed Ser­vices. Gerade letztere gehen über einen rein tech­ni­schen Auto­ma­tismus hinaus und führen durch per­ma­nente Über­wa­chung und Opti­mierung zu bes­seren Ergeb­nissen.

Bild: © Harald Wanetschka / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.