Mobile-Security-Management
Mobilgerätepolizei
Neue, speziell auf Mobilgeräte ausgerichtete Schadprogramme nehmen stark zu. Auch werden Angriffe auf Unternehmensnetzwerke immer zielgerichteter. Gleichzeitig sind mobile Mitarbeiter und unterschiedliche Betriebssysteme für einen heterogenen Mobilegerätebestand verantwortlich. Unternehmen stehen vor der Herausforderung, Smartphones und Tablets in den Griff zu bekommen, bevor es zu spät ist.
Das Thema Mobile Security beschäftigt Unternehmen nach wie vor, wie 2014 eine Umfrage von Kaspersky Lab unter rund 3.900 IT-Entscheidern aus 27 Ländern und verschiedenen Unternehmensgrößen zeigte. So sahen mehr als ein Drittel (34 Prozent) der befragten IT-Manager die Integration mobiler Geräte in die Unternehmensinfrastruktur als Topthema. Zudem stimmten 42 Prozent der These zu, dass der Einsatz privater Mitarbeitergeräte am Arbeitsplatz ein erhöhtes Sicherheitsrisiko mit sich bringt. Und ganze 43 Prozent waren der Meinung, dass der Einsatz mobiler Geräte generell zu viele Risiken berge. Was ist also zu tun? Worauf müssen IT-Verantwortliche achten, wenn sie mobile Geräte absichern, verwalten und kontrollieren wollen? Mobile-Device-Management (MDM), Mobile-Application-Management (MAM) und der CYOD-Ansatz (Choose Your Own Device) helfen, Mobile-Security-Probleme zu mildern.
Mit oder ohne Agent
IT- und Sicherheitsabteilungen stehen vorrangig vor der Herausforderung, Sicherheit auf einem nahezu grenzenlosen Angebot an mobilen Geräten und Betriebssystemen herzustellen - für Android, IOS, Windows Phone, Blackberry OS oder Symbian. Hierbei gibt es zwei bestimmende mobile Betriebssysteme: Android und IOS. Anhand der beiden lässt sich veranschaulichen, wie man die derzeit möglichen Sicherheitsstandards auf das Smartphone und Tablet bringen kann.
Bei IOS ist der Ansatz unmittelbar mit den Apple Policies verknüpft. Denn anders als bei Android ist die Entwicklung von Antivirenlösungen (AV) durch Drittanbieter auf dem Iphone und Ipad nicht möglich. Dadurch haben sich zwei Security- und Verwaltungsansätze etabliert: der mit einem AV-Agenten auf dem Gerät (also der Android-Ansatz, bei dem eine Security-Lösung auf dem Gerät installiert ist) sowie der MDM-Ansatz. Dieser findet zum Beispiel bei IOS-Geräten Verwendung, funktioniert aber auch für andere Betriebssysteme wie zum Beispiel Android.
Mobile Sicherheit und Verwaltung ohne AV-Agent
Kommen IOS-Geräte im Unternehmen zum Einsatz, heißt das Zauberwort aufgrund nicht vorhandener AV-Funktionalität also Mobile-Device-Management. Mit MDM-Software sind IT-Administratoren in der Lage, Mobilgeräte zentral aus der Ferne zu verwalten und gegebenenfalls zu löschen. Dieser Ansatz hat den Vorteil, dass man unabhängig von der Endgeräteplattform bestimmte Mobile-Sicherheitsstandards innerhalb des eigenen Netzwerkes ausbringen kann - für Android und IOS ebenso wie für Windows oder Symbian.
Im Grunde spannt der Administrator hier die Funktionalitäten des Apple MDM Servers und des EAS-Protokolls (Exchange Activesync) ein. Apple MDM Server ist seit IOS 4.0 verfügbar. Seither ist Drittanbietern die Entwicklung von MDM-Lösungen für IOS möglich. Dadurch können Unternehmen das Iphone und das Ipad aus der Ferne verwalten und unter Nutzung von IOS-Profilen und des Apple Push Notification Services auf IOS-Geräte zugreifen. Der Weg über den Apple Push Notification Service ist denkbar einfach: Eine Drittanbieter-MDM-Lösung ermöglicht das Versenden von Nachrichten und Management-Befehlen an den Apple Push Notification Service, der wiederum die empfangenen Befehle an das IOS-Gerät weitergibt. So können Unternehmen innerhalb ihrer Sicherheitsrichtlinien IOS-Geräte in ihr Netzwerk integrieren und aus der Ferne bestimmte Einstellungen aufspielen oder das Gerät sperren oder löschen.
Das EAS-Protokoll ermöglicht den Zugang zu Daten, die auf dem Exchange Server liegen, zum Beispiel E-Mails oder Kontaktdaten. MDM-Lösungen nutzen EAS zudem, um mit Mobilgeräten zu arbeiten, die unter Android, Blackberry, Symbian oder Windows laufen. Voraussetzung ist, dass das Unternehmen Microsoft Exchange Server für den E-Mail-Eingang sowie für die mobilen Geräte der Mitarbeiter nutzt. Wie bei Apple MDM kann der IT-Administrator mit Profilen arbeiten, die auf die mobilen Devices geladen werden. Der Sicherheitsumfang hängt vom eingesetzten Betriebssystem sowie von den im Profil vorgenommenen Einstellungen ab.
Neben MDM bieten Mobile-AV-Lösungen zusätzliche Funktionen und weiteren Schutz für mobile Mitarbeiter, zum Beispiel Schutz vor Viren und Diebstahl, eine Firewall, Web-Schutz sowie zusätzliche Sicherheitseinstellungen. Allerdings lässt sich eine solche Security-Software, da sie direkt auf dem Smartphone oder Tablet-PC sitzt, wie erwähnt nur für bestimmte Betriebssysteme nutzen.
Sollte ein Mitarbeiter-Smartphone oder -Tablet gestohlen werden oder verloren gehen, müssen IT-Administratoren aus der Ferne schnellen Zugriff auf die Geräte haben. Sie können so beispielsweise das gesamte Gerät per Fernsteuerung löschen - also per Komplett-Reset auf die Werkseinstellungen zurücksetzen; oder in der entschärften Version das Smartphone oder Tablet zunächst sperren und später löschen. Dies ist sinnvoll, solange der IT-Administrator noch nicht einschätzen kann, ob das Gerät wiedergefunden wird. Kommt bei Android-Geräten der AV-Ansatz mit Agent zum Einsatz, kann er die Geräte darüber hinaus per GPS orten. Doch wie kommen die Befehle auf die mobilen Geräte? Auch hier gibt es wieder Unterschiede, abhängig davon, ob man ein mobiles Gerät über MDM oder per AV-Agent kontrolliert.
Grundsätzlich hat der Security-Ansatz mit AV-Agent auch bei der Befehlsteuerung aus der Ferne gegenüber dem MDM-Ansatz Vorteile. Denn hier kann der Administrator die Geräte unmittelbar über SMS-Befehle wie auch indirekt über Synchronisationseinstellungen ansteuern. Ohne AV-Agent kann ein Mobilgerät den Befehl nur über die Synchronisation mittels einer Internetverbindung empfangen. Ist das Gerät nicht online, erfolgt die Synchronisation erst später. Der Befehl kommt also zeitverzögert beim Smartphone oder Tablet an - was allerdings bei der heutigen Web-Anbindung der Geräte kaum noch vorkommt. Dennoch sollten Unternehmen kritische Übergangszeiten durch eine zeitversetzte Synchronisation vermeiden, indem sie die Synchronisationszyklen engmaschiger einstellen. Die Annahme, dass durch kurze Zyklen zu viel Datenverkehr über die Mobilgeräte läuft, ist längst überholt. Denn heute verzeichnen Smartphones und Tablets dank der von den Providern angebotenen Datenvolumina keine spürbare Auswirkung auf den Gesamt-Traffic.
Mobile-Application-Management
Nach wie vor hält Consumer-Technik Einzug in den Unternehmensbereich. Dadurch fehlt ein grundlegendes Rechtekonzept: Verwendet ein Mitarbeiter eines der heute handelsüblichen Consumer-Smartphones, ist er Nutzer und Administrator zugleich. MAM-Ansätze ermöglichen allerdings als Bestandteil von MDM ein höheres Maß an Kontrolle bei der Verwendung von Apps. So kann der Administrator die Nutzung mobiler Geräte im Sinne des Unternehmens eingrenzen. Obwohl viele Programme keinerlei Risiko für Unternehmensdaten darstellen, können manche Apps - darunter von Mitarbeitern gern privat genutzte - zu Sicherheitsproblemen führen. Daher ist es wichtig, eine MDM- oder Sicherheitslösung zu wählen, die dem Administrator die Kontrolle über den Programmstart überträgt. Funktionen zur Programmkontrollfe stellen dem Administrator oft mehrere Richtlinien zur Verfügung:
Default Allow: lässt die Ausführung aller Programme auf dem Gerät des Benutzers zu, es sei denn, das Programm wird in einer Blacklist geführt.
Default Deny: blockiert alle Programme mit Ausnahme jener auf der vorgegebenen Whitelist.
Einige Sicherheitslösungen bieten hier vorgefertigte Kategorien an, zum Beispiel "Shopping", die der Administrator gegebenenfalls blockieren kann. Zudem kann er das MAM über Compliance-Richtlinien steuern. Entspricht ein Gerät nicht den Unternehmensrichtlinien, weil es beispielswiese gerootet wurde, kann er es sperren.
CYOD statt BYOD
Um einen adäquaten Grundschutz auf mobilen Geräten zu ermöglichen, sollten Unternehmen sich an die im PC-Bereich längst gültigen Standards herantasten, zu denen AV-Schutz, Verwaltungsoptionen und bestimmte Zusatzfunktionen zählen. Da diese allerdings nicht auf jedem Mobilgeräte-Betriebssystem durchführbar sind, muss der Adminstrator über die Definition von Geräteklassen die jeweils bestmöglichen Schutz- und Kontrollfunktionen gewährleisten und durchsetzen. Dies ist mit oder ohne Agent-Software möglich, auch Mischformen kommen vor.
"Bring Your Own Device"-Konzepte (BYOD) sind aus Perspektive der IT-Sicherheit immer noch mit Vorsicht zu genießen - gerade wenn es um sensible Branchen wie den öffentlichen Sektor geht. Zudem sollte man den durchaus hohen Verwaltungsaufwand und die Mehrkosten bedenken, die bei BYOD anfallen können und letztlich nur dem Komfort der Nutzer dienen. Eine Umstellung auf Choose Your Own Device (CYOD) ist hier zu empfehlen. Denn so kann das Unternehmen den Mitarbeitern gemäß seinen Sicherheitsrichtlinien diejenigen Mobilgeräte zur Auswahl anbieten, die einen adäquaten Grundschutz aufweisen und von Beginn an den eigenen Sicherheitsrichtlinien entsprechen.
Lesen Sie mehr zum Thema
