Gastkommentar von Symantec zu Mobile Security
Mobile Mitarbeiter optimal absichern
Mobilität ist ein Trend, den Unternehmen unterstützen sollten, um wettbewerbsfähig zu bleiben. Der Einsatz mobiler Endgeräte steigert nicht nur die Produktivität der Mitarbeiter, sondern optimiert auch betriebswirtschaftliche Prozesse. Dennoch ist diesem Trend nicht nur Positives abzugewinnen, denn er kann zu vermehrter Schatten-IT führen: Viele Mitarbeiter verwenden private Geräte, um Firmen-E-Mails abzurufen. Dabei sind sie sich der sicherheitstechnischen und damit betriebswirtschaftlichen Konsequenzen oft nicht bewusst.
Unternehmen sind hier in der Bringschuld: Sie müssen Mitarbeiter sensibilisieren und diese Gefahren aufzeigen. Ist dieser erste Schritt getan, sollte man eine umfassende Mobilitätsverwaltung und die damit verbundenen Sicherheitsstrategie implementieren, um mobile Geräte einzubinden und abzusichern. Auch das Thema Datenschutz ist in diesem Zusammenhang von großer Bedeutung. Ein Konzept für ein ganzheitliches Mobilitäts-Management ist hier gefragt.
Die größte Herausforderung einer Mobility-Strategie ist ihre Komplexität, da es viele Bereiche abzudecken und zu beachten gilt. IT-Verantwortliche können sich dazu zunächst am Bundesdatenschutzgesetz (BDSG) orientieren. Darin regelt der Gesetzgeber die Anforderungen bei der Verarbeitung personenbezogener Daten zur innerbetrieblichen Nutzung – für Unternehmen unumgänglich.
Der umfangreiche Gesetzeskatalog hilft dabei, notwendige Maßnahmen zur Nutzung mobiler Endgeräte abzuleiten. Gerade weil immer mehr private Endgeräte wie Smartphones und Tablets für geschäftliche Belange zum Einsatz kommen, ist dieser Punkt nicht zu unterschätzen.
Um alle Bereiche abzudecken und sich als Unternehmen innerhalb der Richtlinien des BSDG zu bewegen, sind zunächst Zutritts- und Zugangskontrolle über mobile Geräte zu regeln. Zudem dürfen Unbefugte grundsätzlich keinen Zutritt zur Infrastruktur haben, auch der Zugriff auf bestimmte Daten durch unterschiedliche Mitarbeiter eines Unternehmens sollte festgelegt sein.
Nur mit selektiver Zugriffskontrolle lässt sich gewährleisten, dass personenbezogene Daten nicht weiter verarbeitet, genutzt oder unbefugt gelesen, kopiert, verändert oder entfernt werden. Zudem sind eine Weitergabe-, Eingabe-, Auftrags-, und Verfügbarkeitskontrolle sowie Verschlüsselung notwendig.
Aus diesen Bereichen können Unternehmen technische Anforderungen ableiten, die sich mit Lösungen für das Mobile-Device-, Mobile-Application- und Mobile-Information-Management (MDM, MAM, MIM) abdecken lassen. Da sich mobile Endgeräte größtenteils außerhalb physisch gesicherter Umgebungen bewegen, ist eine ergänzende Endpoint Protection (Endgeräteabsicherung) unerlässlich. Denn sie sind einem größeren Risiko ausgesetzt, von Schadcode befallen zu werden.
Dazu kommt, dass bei mobilen Geräten Security oft nicht „ab Werk“ auf dem Gerät implementiert ist. Hier gibt es allerdings kein Patentrezept, da durch unzählige Betriebssysteme und Gerätetypen individuelle Anforderungen vorhanden sind.
Auch wenn das BDSG die entsprechende Richtung für eine Mobilitätsstrategie vorgibt, tun sich viele Unternehmen mit effektiven Mobility-Konzepten immer noch schwer. Sie verbieten den Einsatz privater Geräte aus Angst, ihre Infrastruktur einem unkalkulierbaren Risiko auszusetzen. Dazu stellen sie oft nur sehr selektiv mobile Geräte für Mitarbeiter zur Verfügung.
Die Folge: Mitarbeiter verschaffen sich mit privaten Endgeräten unautorisiert Zugang zum Unternehmensnetzwerk. Diese Geräte sind nicht geprüft und reißen verdeckte „Löcher“ in die Infrastruktur. So können Angreifer nicht nur gezielt auf sensible Daten zugreifen, sondern auch Schadcode platzieren, der eine Infrastruktur problemlos auf längere Zeit lahmlegen kann.
Fazit
Eine umfassende Mobility-Strategie sollte neben sicherer Authentifizierung von Endgeräten und Applikationen im Unternehmensnetz auch den Schutz von Daten in Applikationen und auf dem jeweiligen Endgerät gewährleisten. Zudem ist eine effiziente Verwaltung und Konfiguration von Endgeräten vonnöten, um die Kontrolle über alle Geräte im Unternehmen zu haben. Komplettiert wird dies durch umfassenden Schutz vor schadhaftem Code wie Viren und Trojanern.
Neben der technischen Seite müssen Unternehmen zudem Aufklärungsarbeit bei ihren Mitarbeitern leisten, um die Gefahren der unautorisierten oder fehlerhaften Nutzung mobiler Geräte zu verdeutlichen. Nur so lässt sich eine Mobility-Strategie erfolgreich umsetzen.
Lesen Sie mehr zum Thema
