DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wer „Mobility“ sagt, muss auch „Security“ sagen

Mit BYOD (Bring Your Own Device) wird gerade einem tot­ge­glaubten Trend unter dem Label Mobility-Stra­­tegie neues Leben ein­ge­haucht. Dabei sind die Argu­mente auf der Pro- und Kontra-Seite die­selben wie noch vor Jahren. Während sich mit Mobi­li­täts­stra­tegien und neuen -tech­no­logien Geschäfts­pro­zesse opti­mieren lassen, wie eine neue IDG-Studie belegt, bleibt das Thema Sicherheit der Geist, den man rief. 
 
Die Sicherheit von Daten in den Unter­neh­mens­netzen und auf mobilen Geräten bleibt die wich­tigste Aufgabe beim Thema BYOD. Davon hängt der Erfolg nahezu aller Mobi­li­täts­stra­tegien ab. Die mobile Sicherheit beginnt bei den Mit­ar­beitern, die die Geräte nutzen. Ein sen­sibler Umgang mit den Geräten vor allem im pri­vaten Umfeld, d.h. bei der Nutzung der Geräte für private Dinge, ist wichtig.

Man stelle sich fol­gende Situation vor: Ein mit­tel­stän­di­sches Unter­nehmen z.B. aus dem Maschinen- und Anla­genbau, das auf den Schutz der Unter­neh­mens­daten streng achtet, lässt Kinder – so ab drei Jahren – an die Rechner der Mit­ar­beiter für einige Stunden. Zum Spielen. Unvor­stellbar? Auf keinen Fall! Unmöglich? Natürlich wird das nicht pas­sieren, jeden­falls nicht unkon­trol­liert. Denn Kinder sollten aus Sicher­heits­gründen keinen Zugang zu Pro­duk­ti­ons­stätten und eben auch zu Büros bzw. Büro­rechnern haben. Das Argument „aus Sicher­heits­gründen“ zeigt dabei in beide Rich­tungen: auf die Kinder und auf das Unter­nehmen, denn beide könnten – je nach Blick­winkel – bedroht sein. 

 
Was soll diese Geschichte mit den Kindern? Nun, die Geschichte zeigt fol­gendes: Während Kinder sehr selten einen direkten Zugang zu den Rechnern in den Unter­nehmen haben, ist dennoch die Anzahl der Kinder an den Geräten der Unter­nehmen recht hoch. BYOD macht es möglich. Glaubt man der Umfrage eines Anti-Viren­her­stellers, so lassen 69 Prozent der Ange­stellten im Mit­tel­stand ihre Kinder mit mobilen Geräten spielen, die sie auch beruflich ein­setzen. Hinzu kommen noch aus­schließlich privat genutzte Geräte, die sich aber auch in das WLAN-Netz des Unter­nehmens ein­loggen. 52 Prozent dieser Geräte tun das. Private Geräte erhalten damit Zugang zur Unter­neh­mensin­fra­struktur.

In jedem Fall erhöht sich das Risiko für die Unter­nehmen, da Kinder, die unkon­trol­liert die mobilen Geräte ihrer Eltern nutzen dürfen, ein Sicher­heits­risiko für die Unter­­nehmens-IT dar­stellen. Auch wenn es den Kindern häufig nur darum geht, coole und kos­tenlose Spiele- und Lern-Apps her­un­ter­zu­laden, kann damit schon ein großes Sicher­heitsloch auf­ge­rissen werden. So greifen, wie eine aktuelle Analyse gezeigt hat, die meisten Apps unge­niert auf private Daten auf dem mobilen Gerät zu und ver­senden diese an irgend­welche Server im Internet. 

 
Trennung von Familie und Beruf 
 
Es ist paradox, dass der Vorteil, d.h. ein Gerät mit Anwen­dungen für Beruf und Pri­vat­leben, zugleich das Risiko dar­stellt. Die phy­sische Ver­ei­nigung in einem mobilen End­gerät will man aus Bequem­lich­keits­gründen nicht wieder auf­geben, deshalb müssen gute Schutz­maß­nahmen her, um die gewünschte Trennung durch tech­nische Maß­nahmen auf dem Gerät zu ermög­lichen. Die Trennung von Pri­vatem und Beruf­lichen – im Sinne der Work-Life-Balance erstre­benswert – ist auch für die Geräte wün­schenswert. Und es ist machbar, d.h. tech­nisch umsetzbar. So gibt es Kon­zepte und Lösungen für eine strikte Trennung der pri­vaten von geschäft­lichen Arbeits­um­ge­bungen, ohne dabei mehrere Geräte haben zu müssen. Die Trennung erfolgt vir­tuell auf einem Gerät. Geschäfts­an­wen­dungen und private Apps, private Mails, oder aber auch private Internet-Suchen, Down­loads, oder private Kon­takte können iso­liert von­ein­ander betrieben werden. Ver­trau­liche Unter­neh­mens­daten bleiben dadurch vor dem Zugriff Dritter geschützt. 
 
Sicher­heits­re­le­vante Daten wie PINs und Pass­wörter werden sicher abgelegt. Um hier einen hohen Schutz­level zu erreichen, ist die Ein­bindung eines sicheren Hardware-Tokens wün­schenswert, z.B. eine MicroSD-Karte, die in einen ent­spre­chenden Slot eines mobilen Geräts ein­zu­schieben ist. Aber auch ohne diese Erwei­terung kann man durch den Einsatz starker Ver­schlüs­se­lungs­ver­fahren, nicht umgeh­barer Zugriffs­kon­trollen und Iso­lie­rungs­kon­zepte auf der Betriebs­­­system-Ebene bereits ein sehr gutes Schutz­niveau erzielen. 
 
Niedere App­sichten? 
 
Erste Lösungen, die zumindest die Unter­scheidung zwi­schen pri­vatem und beruf­lichem Profil auf einem spe­zi­ellen Gerät erlauben, sind bereits kom­mer­ziell erhältlich. Bis sich deutlich fle­xi­blere Lösungen durch­setzen, die die Ein­richtung meh­rerer Profile auf einem Smart­phone oder Tablet erlauben, und die dann auch einfach auf neue Gerä­te­gen­ra­tionen über­tragbar sind, wird es aber noch etwas dauern. Dass an solchen Lösungen ein hoher Bedarf besteht, zeigt die hohe Anzahl an mobilen End­ge­räten, die bereits heute im Einsatz sind. 
 
Für Benutzer ist es derzeit schwer, das Sicher­heits­niveau einer App zu beur­teilen. Zwar werden vor Instal­lation der App die erfor­der­lichen Berech­ti­gungen ange­zeigt, doch bleibt unklar, wofür diese letztlich benötigt werden. Android bietet kei­nerlei Erklärung, für welchen Zweck bei­spiels­weise Zugriff auf das Internet oder das Kon­taktbuch erfor­derlich ist und dem Benutzer bleibt nichts anderes übrig, als die Instal­lation abzu­brechen oder die Risiken in Kauf zu nehmen.

Gerade im pro­fes­sio­nellen Umfeld ist dieses Vor­gehen häufig inak­zep­tabel. Als Kon­se­quenz wird von Admi­nis­tra­toren und IT-Ver­­an­t­wor­t­­lichen zunehmend gefordert, White­lists von Apps bereit­zu­stellen, die für eine Instal­lation im Unter­neh­mens­umfeld zuge­lassen sind und ver­wendet werden dürfen. 

 
Unter­nehmen benö­tigen Tools und Methoden, die einen genaueren Blick unter die Haube einer App erlauben, um poten­tielle Schwach­stellen auf­zu­decken. Von diesen Tools und Methoden wird es abhängen, wie sicher der Einsatz von mobilen Geräten im Unter­nehmen sein wird. Mobil, aber sicher! Das ist eine Her­aus­for­derung, der sich in Zukunft alle Unter­nehmen stellen müssen. Denn mobile Geräte haben schon längst auch Einzug in ver­netzte Pro­­­duk­­tions- und Auto­ma­ti­sie­rungs­an­lagen gehalten. 
 
Bild: ©  Andres Rodriguez / Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Claudia Eckert, Fraun­hofer AISEC

Prof. Dr. Claudia Eckert ist Lei­terin des Fraun­hofer AISEC in München und Pro­fes­sorin der Tech­ni­schen Uni­ver­sität München, wo sie den Lehr­stuhl für IT-Sicherheit am Infor­matik-Fach­be­reich inne hat. Als Mit­glied ver­schie­dener natio­naler und inter­na­tio­naler indus­tri­eller Beiräte und wis­sen­schaft­licher Gremien berät sie Unter­nehmen, Wirt­schafts­ver­bände sowie die öffent­liche Hand in allen Fragen der IT-Sicherheit.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare