Risiko Mobilgeräte

Essentielle Bausteine für die Datensicherheit

Die neuen Regelungen der EU-DSGVO dürften das Sicherheitsbewusstsein der Unternehmen zuletzt stark verändert haben. Das ist auch gut so – schließlich sind Verlust, Diebstahl und Infiltrierung nicht die einzigen Gefahren für mobile Endgeräte und deren Daten im Unternehmenseinsatz.

  • Bei einem Wackelturm-Geschicklichkeitsspiel werden Bausteine entfernt

    Geräteverlust, Diebstahl und Infiltrierung: Wer den Einsatz mobiler Endgeräte im Arbeitsalltag zulässt, sollte sich in jedem Fall sämtlicher Gefahren bewusst sein, die zu einem Datenverlust führen könnten. ((Bildquelle: Thinkstock/iStock))

  • Tim Williams, Filewave

    „Die Fragmentierung hat das Android-Betriebssystem von Anfang an belastet und erschwert es IT-Abteilungen, die Geräte zu sichern.“ Tim Williams, Filewave ((Bildquelle: Filewave))

  • Sascha Lekic, Samsung

    „Nach unserer Einschätzung treffen insbesondere mittelständische und kleine Unternehmen eher selten besondere Sicherheitsvorkehrungen im Umgang mit mobilen Endgeräten.“ Sascha Lekic, Samsung ((Bildquelle: Samsung))

  • Thomas Uhlemann, Eset

    „Gerätehersteller sind aufgefordert, das Prinzip ‚Security by Design‘ endlich in die Tat umzusetzen und/oder Sicherheits-Updates schnell und langfristig anzubieten.“ Thomas Uhlemann, Eset ((Bildquelle: Eset))

  • Hendrik Flierman, G Data

    „Wir begrüßen den Schritt von Google, mit ‚Project Treble‘ und strengeren Richtlinien Hersteller zu einer längeren und besseren Pflege ihrer Geräte zu zwingen.“ Hendrik Flierman, G Data ((Bildquelle: G Data))

  • Liviu Arsene, Bitdefender

    „Oftmals ist der Mitarbeiter das schwächste Glied in der Sicherheitskette. Wenn Mitarbeiter Social-Engineering-Techniken zum Opfer fallen oder über unzureichendes Training und Wissen verfügen, können sie, wenn auch unbeabsichtigt, große Sicherheitsvorfälle verursachen.“ Liviu Arsene, Bitdefender ((Bildquelle: Bitdefender))

Fakt ist, dass Schäden durch Cyberkriminalität erheblich sein können. Allein in Deutschland sollen der Wirtschaft im vergangenen Jahr Kosten in Höhe von fast 72 Mio. Euro entstanden sein – so eine Statistik des Bundeskriminalamts (BKA). „Das sind über 130 Prozent mehr als noch zehn Jahre zuvor“, meint Sascha Lekic, Director IT & Mobile Communication B2B bei Samsung Electronics. Und in dem Maße, wie der Einsatz mobiler Endgeräte im Arbeitsalltag Einzug hält, rücken natürlich auch jene Geräte in das Fadenkreuz der Cyberkriminellen. Laut einer IDC-Studie aus dem vergangenen Jahr sollen immerhin schon 65 Prozent der befragten Unternehmen bereits Erfahrungen mit Angriffen auf mobile Endgeräte gemacht haben. „Dabei gehen wir davon aus, dass die Dunkelziffer noch um einiges höher liegt“, so Lekic. Doch die positive Botschaft laute, dass immer mehr Unternehmen reagieren würden.

Dies ist ein Artikel aus unserer Print-Ausgabe 11-12/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Hier haben wohl nicht zuletzt die seit Mai 2018 geltenden neuen Regelungen der europäischen Datenschutz-Grundverordnung (EU-DSGVO) einen großen Einfluss auf das Sicherheitsbewusstsein der Unternehmen und ihrer Mitarbeiter hinsichtlich des Einsatzes von Mobilgeräten ausgeübt. Schließlich müssen Unternehmen sicherstellen, dass die von ihnen erhobenen Daten vor unberechtigtem Zugriff durch Dritte geschützt sind. Dazu gehören eben nicht nur die Daten auf Desktop-PCs und Servern, sondern auch auf Mobilgeräten. Die EU-DSGVO habe hier dazu beigetragen, „dass Unternehmen die eigene Sicherheit kritisch bewerten und dass das Bewusstsein für Datenschutz gestärkt wurde“, bekräftigt Hendrik Flierman, Global Sales Director bei der G Data Software AG.

Viele Schädlinge unterwegs

Laut Tim Williams von Filewave bestand der größte Effekt darin, dass die DSGVO Unternehmen dazu gezwungen hat, Security als eine einzige, unternehmensweite Herausforderung zu sehen. „Vorher wurde sie oft isoliert innerhalb einzelner Abteilungen und Technologiesilos betrachtet“, so der Vice President Global Marketing & Product Strategy.

Geräteverlust, Diebstahl und Infiltrierung: Wer den Einsatz mobiler Endgeräte im Arbeitsalltag zulässt, sollte sich in jedem Fall sämtlicher Gefahren bewusst sein, die zu einem Datenverlust führen könnten. Unter Experten soll der Verlust von Smartphones und Tablets als die mit Abstand größte und wahrscheinlichste Gefahr für die Unternehmenssicherheit gelten. „Wer möchte noch klobige und schwere Notebooks mitschleppen, wenn die vergleichsweise kleinen digitalen Allrounder die gestellten Aufgaben genauso gut erledigen?“, fragt Thomas Uhlemann, Sicherheitsspezialist DACH bei der Eset Deutschland GmbH. „Dummerweise gehen diese Geräte massenhaft verloren oder werden gestohlen.“ Und damit wechseln sämtliche gespeicherten Daten, E-Mails und vor allem Zugänge zu Konten und Netzwerken den Besitzer.

Ferner gehört leider auch Malware zum täglichen digitalen Leben dazu. „Die Kriminellen setzen auf Schad-Apps, in denen die schädliche Funktion gut versteckt ist“, weiß Hendrik Flierman zu berichten. So werde diese nicht entdeckt und die Anwendung sei möglichst lange auf dem Smartphone oder Tablet aktiv. „Darüber hinaus sehen wir eine wachsende Beliebtheit von Malware-Bausätzen, die auch von eher unerfahrenen Cyberdieben leicht eingesetzt werden können“, so Flierman.

„Selbst im Google Play Store oder auch im App Store von Apple befinden sich immer wieder schädliche Apps“, weiß Thomas Uhlemann. Und das trotz „großer Anstrengungen der Betreiber“. Vorrangig sollen diese Schädlinge aus gefälschten Banking- oder Trading-Apps, Krypto-Wallets oder auch Cryptominern bestehen, die die Hardware zum Schürfen von Kryptowährungen missbrauchen.

Security-Updates spielen wichtige Rolle

„Zieht man in Betracht, dass aktuell mehr als 835 Millionen Malware-Samples im Internet im Umlauf sind, ist eine Sicherheitslösung natürlich sinnvoll“, empfiehlt Liviu Arsene, Senior-E-Threat-Analyst bei Bitdefender. Eine solche Lösung müsse allerdings mehr tun, als Endpunkte gegen bekannte Malware-Varianten zu schützen. Sie sollte in der Lage sein, IT- und Sicherheitsverantwortlichen einen ganzheitlichen Blick über die gesamte Infrastruktur hinweg zu ermöglichen. Dieser Überblick sollte auch die verschiedenen Arten von Endpoints – physikalisch oder virtuell – miteinbeziehen und darüber hinaus auch das Remote-Management derselben ermöglichen. „Antiviren- oder besser Anti-Malware-Apps seriöser Hersteller sind daher unbedingt zu empfehlen und auch sinnvoll“, so Thomas Uhlemann. Und man sollte natürlich immer darauf achten, auf seinem Mobilgerät das jeweils aktuellste Betriebssystem installiert zu haben. Da es sich aber gerade bei Android um ein hochfragmentiertes Betriebssystem handelt, ist es keine leichte Aufgabe, „mobile Geräte mit den jeweils neuesten Sicherheits-Updates auf dem aktuellen Stand zu halten“, weiß Liviu Arsene. Und auch Uhlemann sieht in der extrem heterogenen Verteilung von Android-Versionen eine „klare Beeinträchtigung der Sicherheit“: „Zum einen bieten nur wenige Hersteller Sicherheitslösungen an, die auf älteren Android-Versionen laufen. Zum anderen erhalten ältere Betriebssysteme gar keine Security-Updates von Google bzw. den Geräteherstellern.“ In diesem Fall könne wiederum nur ein guter Malware-Schutz helfen. Mit ihm könnten Unternehmen Devices absichern, die keine Aktualisierungen erhielten.

Bei Apple hat man es hingegen mit einer viel homogeneren Verteilung als bei An-droid zu tun. „Es ist bekannt, dass Apple-Nutzer Upgrades sehr zügig übernehmen, da sie schnellstmöglich von neuen Features profitieren wollen“, bemerkt Oliver Hillegaart, Regional Sales Manager DACH bei Jamf. So können mit den Upgrades Sicherheitslücken rasch geschlossen werden. Laut Apple laufen aktuell bereits 60 Prozent aller iOS-Geräte auf iOS 12. Eine solche „Upgrade-Diszi-
plin“ sei letztendlich das Ergebnis einer sehr konsequenten Release-Strategie des Herstellers, so Hillegaart. Wären Android-Anwender ähnlich schnell beim Upgrade, wären viele Sicherheitsprobleme kein Thema.

Sensibilisierung der Mitarbeiter

Durch unsicheres, verantwortungsloses Verhalten wird der Nutzer letztlich oft selbst zum Schwachpunkt beim Einsatz von Mobilgeräten im Rahmen der Arbeit. Hierzu kommentiert Tim Williams: „Vor ein paar Jahren habe ich ein Forum für CISOs organisiert und gefragt: Wenn Sie eine Änderung vornehmen könnten, die Ihr Unternehmen sofort sicherer machen würde, was wäre das? Fast sofort bekam ich folgende Antwort: Eliminiere den Endnutzer!“ Seiner Ansicht nach ist nicht von der Hand zu weisen, dass die Nutzer oft das schwächste Glied in der Kette sind. Das liegt wohl häufig daran, dass die Anwender eine Schatten-IT schaffen, indem sie versuchen, sich selbst mit Tools und Ressourcen zu versorgen, die sie angeblich produktiver machen.

Wie könnten Unternehmen das Sicherheitsbewusstsein ihrer Mitarbeiter stärken? „Meine Empfehlung lautet, das Thema ‚mobile Sicherheit‘ bereits in den Onboarding-Prozess von Mitarbeitern zu integrieren“, so Oliver Hillegaart. „Hier sollten sie zum einen über die möglichen Konsequenzen für die Unternehmenssicherheit informiert werden und zum anderen einen praktischen Leitfaden erhalten, worauf sie achten müssen, wenn sie unternehmenseigene Geräte im Außendienst verwenden.“ Dazu zähle etwa, wann und wie Passwörter und Sicherheits-PINs zum Einsatz kommen sollten, die Installation einer leistungsfähigen Security-Lösung und eine Checkliste für den Fall eines Geräteverlustes. „Wichtig ist, dass die Maßnahmen immer erklärt werden und es nicht darum geht, die Mitarbeiter einzuschränken“, ergänzt Thomas Uhlemann.

Von zentraler Bedeutung sind ebenso Sicherheitstrainings für die Mitarbeiter, wobei Unternehmen nicht nur regelmäßige Sicherheitsseminare veranstalten, sondern auch unangekündigte Mitarbeitertests durchführen sollten, meint Liviu Arsene. Dabei sollten Spearphishing und Social-Engine-ering-Szenarien durchgespielt werden, um dadurch das Wissen der Mitarbeiter zu vertiefen und praktische Erfahrung aufzubauen. „Regelmäßige Sicherheitstrainings, etwa in Form von verpflichtenden Online-Tests, sind wahrscheinlich die beste Prävention“, bekräftigt denn auch Sascha Lekic. Ebenso könne der Einsatz von Geräten, die obligatorisch eine biometrische Authentifizierung, einen häufigeren Passwortwechsel oder längere Passwortkombinationen verlangen, zu einer weiteren Sensibilisierung der Mitarbeiter beitragen.

Eine effektive Mobile-Security-Strategie kann letztlich nur erfolgreich sein, wenn ein ganzheitlicher Lösungsansatz verfolgt wird. Unternehmen sollten bei der Entwicklung eines Sicherheitskonzeptes die gesamte Infrastruktur kritisch begutachten und mögliche Risiken einschätzen. „Das Thema ‚IT-Sicherheit‘ muss als Prozess verstanden werden“, betont Hendrik Flierman. Seiner Ansicht nach sollte die eigesetzte Sicherheitslösung aus mehreren kooperierenden Modulen bestehen und eine mehrschichtige Sicherheit ermöglichen. Hierbei sei Mobile Device Management (MDM) – neben anderen Bereichen wie Endpoint Security – ein essenzieller Baustein.

Die Mobile-Device-Management- oder auch Enterprise-Mobility-Management-Lösung (EMM) sollte den IT- und Sicherheitsverantwortlichen dabei nicht nur ermöglichen, die entsprechenden Geräte zu adminis-trieren und Richtlinien durchzusetzen, „sondern auch das Management dieser Geräte von einer zentralen Konsole aus durchzuführen“, bemerkt Liviu Arsene.

Eine Security-Strategie ist schlussendlich immer dann erfolgreich, „wenn sie die IT-Struktur über alle Geräteklassen und Betriebssysteme hinweg beinhaltet, Update-Konzepte, einfaches Reporting und ein hohes Maß an Benutzbarkeit und Anpassungsmöglichkeiten bietet“, bringt es Thomas Uhlemann auf den Punkt. Bei aller Technologie sollte die Sicherheitsstrategie aber stets die Nutzer und deren potentielles Fehlverhalten im Fokus haben.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok