IT-Verantwortliche müssen Zugriffssicherheit gewährleisten

Mobile Endgeräte sind beliebtes Angriffsziel

Im Interview erläutert Lars Kroll, Cyber Security Strategist bei dem Sicherheitsanbieter Symantec, die Tücken des mobilen Zugriffs auf sensible Firmendaten und wie man diese in den Griff bekommen kann.

„Smartphones und Tablets greifen auf Informationen innerhalb des Firmennetzwerks zu und sind damit ein attraktives Angriffsziel“, so Lars Kroll, Cyber Security Strategist bei Symantec.

Herr Kroll, immer öfter erhalten Mitarbeiter über mobile Endgeräte einen Zugriff auf benötigte Firmenwendungen. Wie können IT-Verantwortliche hier für entsprechende Zugriffsicherheit sorgen?
Lars Kroll:
Sie müssen verstehen, dass Smartphones und Tablets auf Informationen innerhalb des Firmennetzwerks zugreifen und damit ein attraktives Angriffsziel sind. Allerdings gibt es in den Unternehmen oft noch keine umfassenden Sicherheitsmaßnahmen für mobile Endgeräte – erst recht nicht, wenn es sich um die privaten Geräte der Mitarbeiter handelt, die diese für geschäftliche Zwecke nutzen. Benutzer, Apps und Geräte, die eine Verbindung zu Firmenressourcen herstellen und darauf zugreifen, müssen identifiziert und als berechtigte Teilnehmer bestätigt werden. Die Identitätsprüfung ist die erste und wichtigste Komponente jeder IT-Strategie, insbesondere wenn es um die Nutzung von Mobilgeräten geht, da der Zugriff auf Geräte und die Cloud meist nicht so streng geregelt ist.

Nicht selten setzen IT-Verantwortliche an dieser Stelle auf spezielle Authentifizierungslösungen. Worauf kommt es beim unternehmensweiten Einsatz der mobilen Autorisierungssysteme an?
Kroll:
Mobile-Security-Lösungen sind nicht primär an der Größe einer Firma festzumachen, sondern daran, welche Anwendungen die Mitarbeiter auf ihren mobilen Endgeräten nutzen und auf welche Informationen sie Zugriff haben. Die höchste Sicherheit gewährleistet eine Mobile Management Suite. Diese kontrolliert durch eine entsprechende Identifizierung den Zugriff von Benutzern auf Apps, schützt sowohl diese als auch Daten und verwaltet die mobilen Geräte – auch aus der Ferne. Dazu gehören vom Unternehmen bereitgestellte ebenso wie private Tablets und Smartphones. Die Datenfreigabe basiert auf hinterlegten Richtlinien. Darüber hinaus schützt eine solche Lösung auch vor Bedrohungen.

In welchen Fällen sollte man auf eine softwarebasierte Authentifizierung setzen, wann passt eine hardwarebasierte bzw. biometrische Lösung?
Kroll:
Die Wahl der Authentisierungsverfahren sollte sich an deren Verfügbarkeit sowie dem Schutzbedarf orientieren. Biometrie stellt sicher, dass die gewünschte Person authentifiziert wird und diese nicht inpersonifiziert wurde – zum Beispiel über ein verlorenes Passwort oder einen Security Token. Natürlich gibt es hier bei den jeweiligen Implementierungen auch Angriffsvektoren, um z.B. Fingerprint Reader anzugreifen und durch gefälschte Abdrücke Zugang zu erlangen.

Wie lautet Ihre Einschätzung: Welche mobile Authentifizierungsmaßnahme gilt als die sicherste?
Kroll:
Eine Kombination der unterschiedlichen Maßnahmen und Funktionen ist ideal. Dazu gehören neben dem Schutz vor Datenverlust auch Funktionen, die die Informationen auf einem mobilen Endgerät aus der Ferne löschen können. Bei Verlust oder Diebstahl ist das sehr wichtig. Auch ein Feature für den kontrollierten, rollenbasierten Datenzugriff ist notwendig: Anwender sollen nur Zugriff auf die für sie wichtigen Informationen erhalten. Wichtig sind auch Funktionen wie eine Zertifikatsverwaltung, Konfigurationssteuerung, Inventarisierung oder Versionskontrolle der Applikationen, Anti-Malware und Bedrohungsschutz runden das Paket ab. Ein weiterer Baustein jenseits der digitalen Welt ist die Belegschaft: Nur wenn sie sensibilisiert ist, die Sicherheitsrichtlinien des Unternehmens versteht und aktiv umsetzt, sind die Daten auf ihren mobilen Endgeräten sicher.

Stichwort Passwortmanagement: Wie sollte ein sicheres Passwort aufgebaut sein?
Kroll:
Namen von Familienangehörigen, Freunden oder Haustieren, Geburtsdaten usw. sind in Zeiten von Social Media zu einfach für Hacker zu erraten. Komplexe Kombinationen aus mindestens sechs bis acht Stellen mit Buchstaben, Zahlen und Zeichen sind deutlich sicherer. Auch universelle Passwörter für alle Zugänge sind nicht zu empfehlen. Falls ein Account gehackt wird, haben Kriminelle dann direkt Zugriff auf alle Konten, Geräte etc. Das regelmäßige Ändern der Kennwörter minimiert das Risiko des Missbrauchs zusätzlich.

Wann ist es sinnvoll auf ein professionelles Passwortmanagement zu setzen?
Kroll:
Eine professionelle Lösung ist zur Verwaltung von Passwörtern ist dann wichtig, wenn Mitarbeiter eines Unternehmen mit mehreren Geräten und unzähligen Passwörtern arbeiten. Erschwerend kommt hinzu, dass Anwendungen immer kompliziertere Kennwortregeln haben. Es ist dabei so gut wie unmöglich, den Überblick über diese Vielfalt an Kennwörtern zu behalten. Um also regelmäßiges Zurücksetzen von Passwörtern über den Helpdesk zu vermeiden, ist ein Passwort Manager hilfreich.

Welche Funktionen sollte ein solcher auf jeden Fall besitzen?
Kroll:
Ein Passwort Manager sollte neben der Sicherung von Kennwörtern auch Masken und Formulare vorausfüllen können – eine gute Lösung fügt Adressen, Kreditkarteninformationen, Vielfliegernummern etc. mehr automatisch ein. Ein weiterer Sicherheitsaspekt, der nicht zu vernachlässigen ist: Ist die Website tatsächlich echt oder sammelt sie Daten zur wiederrechtlichen Verwendung? Auch diese Verifizierung sollte über einen Passwort Manager erfolgen können.
Parallel zur Nutzung eines Passwort-Managers erhält man oftmals ein sogenanntes Master-Passwort. Wird dieses gehackt ist der Schaden jedoch immens – wie kann man sich vor einem solchen Szenario am besten schützen?
Kroll: Wichtig ist hier, dass dieses Passwort möglichst nur im Gedächtnis des Benutzers vorhanden ist und über eine entsprechende Komplexität verfügt. Gegen das Vergessen eines Master Passworts könnte man sich zum Beispiel durch das Hinterlegen dieses Passworts in einem Schließfach oder sonstig „sicherem“ Aufbewahrungsort fernab jeglichen Zugangs von außen versichern.



©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok