Datensicherheit auf Mobilgeräten
Zwei Wege zu geschützten Daten
Im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Fortschritt im Bereich MDM (Mobile-Device-Management) fest: "MDM-Systeme haben sich in den vergangenen Monaten weiterentwickelt. In Kooperation mit den Herstellern der mobilen Betriebssysteme werden mittlerweile Lösungen angeboten, die es ermöglichen, Regelwerke zu definieren, mit denen geschäftlich genutzte Mobilgeräte zentral verwaltet und eingeschränkt werden können." [1] Doch ein Problemfall ist nach wie vor die Sicherheit der Unternehmensdaten auf Mobilgeräten.Unternehmen haben an sich keinen Grund, die privaten Geräte ihrer Mitarbeiter zu verwalten. Dies ändert sich, sobald die Devices in Kontakt mit Firmendaten kommen. Dann verarbeiteten die Geräte sensible Informationen und müssen geschützt werden. Vor allem Unternehmensdaten auf persönlichen Geräten sind der Grund, weshalb Organisationen Interesse am Schutz von Daten auf Mobilgeräten haben sollten. Zwei Vorgehensweisen Laut Gartners Magic Quadrant für Mobile Data Protection (MDP) Solutions [2] wollen Unternehmen Endpunktsicherheit und MDP normalerweise vom gleichen Anbieter beziehen. Es gibt also keinen eigenständigen Markt für mobile Datensicherheit, vielmehr handelt es sich eher um einen Teilbereich der Mobile Security. In diesem Nischensektor ist zwischen zwei Ansätzen beim Schutz von Daten auf Mobilgeräten zu unterscheiden: erstens der Verschlüsselung auf Dateiebene durch DRM (Digital-Rights-Management), bei der Unternehmensdaten einzeln verschlüsselt werden; zweitens der weitaus gängigeren Methode eines sogenannten Containers, der alle in ihm befindlichen Daten verschlüsselt, Bereiche außerhalb seines Speicherraums jedoch unbeachtet lässt. MDM- und EMM-Anbieter (Enterprise-Mobility-Management) bieten in der Regel die Komponente eines gesonderten Speicherbereichs mit an, die Nutzung eines Containers kann jedoch auch losgelöst von einem solchen System erfolgen. Auch ist der Einsatz einer Verwaltungslösung A zusammen mit einem Container des Anbieters B denkbar. Gründe für eine solche Entscheidung können die unterschiedlichen Anforderungen des Unternehmens sein, denn die Lösungen unterscheiden sich zum Teil deutlich in ihren Funktionen und in der Handhabung. Dateibasierte Verschlüsselung eignet sich als übergreifende Einheitslösung bei Nutzung von traditionellen Endgeräten (Windows/Mac) wie auch Smart Devices (IOS, Android). Sie ermöglicht die Übertragung von Daten zwischen verschiedenen Ebenen, da hier die Datei unabhängig von ihrem Speicherort verschlüsselt gehalten wird. Dank der Verwaltung digitaler Zugriffsrechte ist es dabei unerheblich, ob die Datei auf einem Gerät liegt, in der Cloud oder per E-Mail verschickt wird. Containerbasierter Schutz durch Verschlüsselung eines Speicherbereichs sowie sämtlicher darin enthaltener Daten eignet sich speziell für Geräte, bei denen man zwischen privaten und geschäftlichen Informationen unterscheiden muss. Ziel ist hierbei die durchgehende Verwaltung von Firmeneigentum, indem Unternehmensdaten konsequent in einem geschützten Bereich verbleiben. Applikationen (Mail, Kalender, Office-Anwendungen etc.), File-Server, Intranet und andere Teile des digitalen Arbeitsalltags werden von privaten Daten getrennt, wobei Sicherheitsverantwortliche keine persönlichen Daten der Nutzer einsehen können. Ein häufiges Anwendungsgebiet sind BYOD-Modelle (Bring Your Own Device, also das Nutzen privater Geräte für den dienstlichen Gebrauch) sowie COPE (Corporate Owned, Personally Enabled: Mitarbeiter dürfen das Dienstgerät auch privat nutzen). Grundsätzlich ist eine Trennung immer zu empfehlen, da auch auf einem rein dienstlichen Gerät andernfalls technisch nicht sichergestellt ist, dass beispielsweise der E-Mail-Anhang nicht doch durch den Anwender in einem öffentlichen Cloud-Speicher oder per Messenger übertragen wird. Diese Verwaltungsmechanismen für Unternehmen sehen derzeit weder Google noch Apple von Haus aus in ihren Systemen vor. Ein exemplarisches Beispiel, um die Ansätze greifbar zu machen, ist die Nutzung von Applikationen wie Dropbox, Faceboook und diversen Nachrichten-Apps auf einem Smart Device: Die Container-Lösung kann erkennen, wenn der Anwender versucht, Firmendaten aus dem sicheren Bereich zu exportieren, typischerweise über die "Öffnen in ?"-Dialog). Diesen Befehl blockiert der Container dann lokal, um zu verhindern, dass die Information den kontrollierten Unternehmensbereich verlässt. Ein dateibasierter Ansatz kann den Vorgang erlauben, aber sicherstellen, dass die Daten in der Dropbox chiffriert bleiben. Eine Dechiffrierung ist nur mit dem entsprechenden Schlüssel möglich, der nur vorgegebenen Nutzern oder Nutzergruppen zur Verfügung steht. Welche Sicherungsmethode zum Einsatz kommen sollte, hängt stark vom Einzelfall ab. Da es den Unternehmen in der Regel vorrangig um die Verfügbarkeit von Inhalten geht, eignet sich der Container hier am besten. Er ist denkbar einfach auf die Geräte auszurollen, die Verwaltung und Zugriffssteuerung erfolgt zentral und meist sogar automatisiert anhand definierter Gruppenregelwerke. Ein dateibasierter Ansatz eignet sich hingegen, wenn das Unternehmen keinen Container nutzen will und E-Mails sowie deren Anhänge über die nativen E-Mail-Applikationen (IOS Mail, Gmail) austauscht. Ein weiterer Einsatzfall kann die verstärkte Anforderung der Zusammenarbeit sein, wie sie beispielweise häufig in der Medien-, Beratungs- und Ingenieursbranche vorzufinden ist. Diese vereint, dass unterschiedliche Parteien an gemeinsamen Projekten arbeiten und dabei schützenswerte Daten austauschen. Gleichzeitig gilt es zu verstehen, dass man keine Methode als Königsweg betrachten darf. Geschäftsführer, IT-Sicherheitsverantwortliche und IT-Experten müssen das Vorgehen auf ihre jeweiligen Anforderungen abstimmen. Grundsätzlich sollten Sicherheitslösungen flexibel anzupassen sein. Der Einsatz beider Techniken vereint die Vorteile beider Welten, insbesondere bei jenen Lösungen, die eine vollständige Integration beider Verfahren bieten. Hybride Absätze erlauben ein erhöhtes Schutzniveau und sichern gleichzeitig eine hohe Funktionalität für den Endanwender. In jedem Fall ist es sinnvoll, die Verschlüsselung in eine erweiterte Sicherheitsarchitektur zu integrieren. Die beste Verschlüsselung ist nutzlos, wenn Kriminelle an die Schlüssel kommen. Daher sind Mobilgeräte durch aktive Sicherheitskomponenten zu schützen. Malware und gefälschte Zertifikate können Verschlüsselung aushebeln, wenn Endgeräte nicht gegen Befall geschützt sind. Deshalb ist eine dedizierte Sicherheitslösung für Smart Devices eine unverzichtbare Ergänzung zu jeder EMM-Strategie. Sie erkennt, alarmiert und schützt vor Versuchen von Man-in-the-Middle-Angriffen, der Installation infizierter Apps und der Manipulation von Betriebssystemen. Fazit Die zuvor zitierte Aussage des BSI zur Mobile-Sicherheit könnte den Anschein erwecken, dass BYOD dank moderner MDM-Ansätze kein großes Sicherheitsproblem mehr sei. Zwar gibt es zahlreiche Sicherheitsangebote, allerdings gilt es, die einzelnen Facetten jedes Sicherheitskonzepts genau zu betrachten und auf den Bedarf einer Organisation abzustimmen. Verschlüsselung ist ein wichtiger Schutzmechanismus für Unternehmensdaten, besonders im Zeitalter von Cloud Computing und Mobile Office. Beim Schutz von Informationen auf mobilen Endgeräten gibt es nur wenige Alternativen zur Verschlüsselung. Ob container- oder dateibasierter Ansatz hängt von den Bedürfnissen einer Organisation ab. Neben der Unterstützung individueller Geschäftsabläufe sollten Unternehmen aber unbedingt auf die Integrationsfähigkeit in bestehende Sicherheitsmechanismen achten. Nur auf Verschlüsselung zu setzen ist riskant.
Lesen Sie mehr zum Thema
