NTT Security, Spezialist für Informationssicherheit und Risiko-Management, hat die wichtigsten Merkmale eines zukunftsweisenden Mobility-Sicherheitskonzepts zusammengestellt. Angesichts der wachsenden Bedeutung mobiler IT-Systeme in Unternehmen, so der Anbieter, müsse ein IT-Verantwortlicher diesem Thema höchste Priorität einräumen.
NTT Security setzt auf ein umfassendes Sicherheitskonzept. Bild: NTT Security

NTT Security setzt auf ein umfassendes Sicherheitskonzept. Bild: NTT Security

NTT Security rät zur Beachtung der folgenden Aspekte:

 

• Ganzheitliche Lösung: Ein dediziertes Mobility-Sicherheitskonzept ist heute nicht mehr angebracht. Viele Mitarbeiter arbeiten auch im Büro mit Notebooks, die sie dann auch mobil einsetzen; auch werden mobile Systeme wie Smartphones oder Tablets mehr und mehr in Unternehmensanwendungen integriert. Daher muss ein Sicherheitskonzept alle Arten von Endgeräten einschließen und eine konsistente, ganzheitliche Lösung bieten.

 

• Geräteunabhängigkeit: Gerade mobile Systeme sind ein Lifestyle-Produkt mit kurzen Lebenszyklen und hoher Individualisierung. Um immer die neuesten Geräte unterstützen zu können, müsste die IT eine Unmenge von Geräten prüfen und für Support-Fälle vorhalten. Ein Sicherheitskonzept muss daher von den verwendeten Plattformen unabhängig sein und für alle Geräteklassen eine einheitliche Administration und ein einheitliches „Look and Feel“ bereitstellen.

 

• Universalität: Endanwender erwarten Zugriffsmöglichkeiten auf alle zugelassenen Daten und Applikationen von allen zugelassenen Endgeräten, und zwar online und offline. Damit kommen Endgerätekonzepte, die zum Beispiel kritische Daten nur über Terminal-Server zur Verfügung stellen, nicht in Frage.

 

• Einsatzbereich: Bei Sicherheitskonzepten wird häufig der infrage kommende Einsatzbereich vergessen. Ist es ein Vertriebsmitarbeiter beispielsweise gewohnt, mit seinen Kunden vor Ort Daten über USB-Sticks auszutauschen, würde eine entsprechende Schnittstellenkontrolle seinen normalen Workflow behindern. Daher sollte man die Fachabteilungen in die Erstellung des Mobility-Sicherheitskonzepts frühzeitig einbinden.

 

• Einfachheit: Endanwender sind es von ihrem privaten Smartphone gewohnt, mit einem Tastendruck Zugriff auf alle Daten und Applikationen zu haben. Sicherheit auf Notebooks kann und muss genauso einfach implementiert werden. Muss der Benutzer jedoch ein Passwort für die Festplattenverschlüsselung und anschließend für Windows eingeben, dann manuell einen VPN-Client starten, um dann wiederum ein Einmalpasswort von einem Token einzugeben, wird das Gesamtsystem unkomfortabel und unattraktiv. Unattraktive Sicherheitslösungen sind wiederum unsicher, weil die Benutzer sie zu umgehen trachten.

 

• Zugriff auf interne Systeme: Die meisten Unternehmen binden auf dem Smartphone zunächst nur E-Mail, Kalender und Kontakte ein. Erfolgen dann beispielsweise Freigabeanforderungen per E-Mail, so funktioniert der Zugriff auf die Systeme nicht, da kein VPN-Tunnel ins Unternehmen besteht. Ein Mobility-Sicherheitskonzept muss deshalb von Anfang an den Zugriff auf interne Systeme im Rahmen von Workflows berücksichtigen.

 

• Authentifizierung: Viele Unternehmen binden heute Cloud-Systeme wie Salesforce via SAML (Security Assertion Markup Language) an, um den Benutzern interner Systeme ein Single Sign-on zu ermöglichen. In solche Authentifizierungskonzepte muss man auch die mobilen Geräte integrieren.

 

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.