Smartphones in der Security-Strategie

Die Bedrohungen durch Malware nehmen auch auf mobilen Geräten zu. Experten wie die Virenforscher bei Kaspersky Lab sehen über die letzten Jahre eine kontinuierliche Steigerung von Malware für mobile Geräte. Besonders in den letzten zwei Jahren, mit steigender Beliebtheit der Smartphones, gab es einen Boom bei mobiler Malware. Insgesamt entdeckten die Kaspersky-Lab-Experten zwischen Juli und September diesen Jahres mehr als 9000 neue mobile Schädlinge.

Doch noch gefährlicher als mobile Malware ist es für ein Unternehmen, wenn ein Mitarbeitender ein Smartphone verliert, auf dem sensible Firmendaten oder sogar Passwörter für den Zugang zum Unternehmensnetzwerk gespeichert sind. Auf diese Fälle müssen Unternehmen ihre Security-Strategie vorbereiten, denn Mobile Computing ist aus dem heutigen Geschäftsalltag nicht mehr wegzudenken.

In diesen Tagen überschreitet die Anzahl der weltweiten Mobilfunkverträge die Fünf-Milliarden-Grenze. Gleichzeitig werden Smartphones immer beliebter: Marktbeobachtungen von «comScore» zufolge, wuchs der Smartphone-Markt in Europa im letzten Jahr um satte 38 Prozent.

Bei PCs und Notebooks in Unternehmen hat sich die Security-Strategie über Jahre eingespielt: Der Arbeitgeber sucht die Geräte und Software passend aus und stellt sie seinen Mitarbeitern zur Verfügung. Bei Smartphones ist das oft nicht mehr der Fall. Zwar gibt es Firmen, die Business-Smartphones ausgeben, oft können die Mitarbeiter aber ihre eigenen Geräte mitbringen. Doch Vorsicht: Wer die Mitarbeiter zu «Bring your own Smartphone» ermuntert, hat mit Sicherheit bald einen Geräte-Wildwuchs im Unternehmen.

Tipp: Für eine wirksame Security-Strategie ist es wichtig, dass man genau weiss, welche Geräte es zu schützen gilt. Deshalb bedarf es entweder einer Software, die die Inventarisierung der Geräte automatisch übernimmt, oder man erlaubt den Mitarbeitern von vornherein nur eine Auswahl bestimmter Geräte, die für den Einsatz im Unternehmen geeignet sind.

Vom Security-Standpunkt aus gesehen sind Smartphones, die sich etwa via WLAN mit dem Firmennetzwerk verbinden, genauso zu behandeln wie andere Endpoints. Der Unterschied ist aber meist, dass Business-Notebooks mit Malware-Schutz und Firewall ausgestattet sind und zentral die neuesten Updates eingespielt werden. Bei den meisten Smartphones ist es dagegen eher unwahrscheinlich, dass von Haus aus (in diesem Fall vom Besitzer selbst) eine Schutzsoftware installiert ist. Ausserdem sind die Update-Mechanismen meist nicht automatisiert.

Tipp: Die Security-Richtlinien auch auf Smartphones erweitern. Dazu gehören etwa starke Passwörter, aber ebenso Back-ups, Antivirus-Software und Firewall für das Smartphone. Die nachfolgenden Punkte sollten Sie dabei zusätzlich in Ihre Strategie übernehmen:

Für einen wirksamen Schutz von Smartphones muss das Unternehmen das Gerätemanagement übernehmen. Wichtig ist etwa, dass die Schutzsoftware sich zentral verteilen lässt, beispielsweise via Microsoft System Center Mobile Device Manager. So kann man Einstellungen zentral vornehmen und via Push-Technik auf die Geräte verteilen. Auf diesem Weg hält man auch alle Geräte recht einfach auf dem aktuellsten Stand. Als Alternative ist auch die Verteilung der Schutzsoftware via E-Mail eine Option, oder aber die Software wird beim Synchronisieren mit einem Desktop-PC aufgespielt. Übrigens: Smartphones mit Jailbreaks oder anderen Veränderungen am Betriebssystem sind potenzielle Schwachstellen und haben im Unternehmensnetzwerk nichts zu suchen.

Tipp: Eine ausgefeilte Management-Software erlaubt weitreichende Eingriffe für IT-Administratoren. So sollte es möglich sein, den Nutzern bestimmte Konfigurationsmöglichkeiten für ihr Smartphone zu geben. Verstösse gegen die Security-Richtlinien, etwa das Abschalten des Virenschutzes, müssen aber auch unterbunden werden können.

Das Gerätemanagement muss insbesondere auch greifen, wenn ein Smartphone verloren oder gestohlen wird. In Security-Produkten gibt es deshalb Anti-Diebstahl-Funktionen, die den GPS-Empfänger im Smartphone nutzen, um ein abhanden gekommenes Smartphone zu orten. Die GPS-Koordinaten eines Smartphones können entweder an eine vorher festgelegte Mobilfunknummer gesendet werden oder treffen per E-Mail beim Administrator der Geräte ein. Ausserdem können diese Geräte sehr einfach gesperrt werden. Der Administrator sendet dafür einfach eine SMS an das Gerät und blockt so den Zugriff für Fremde. Einen Schritt weiter geht das Remote-Löschen von Daten auf dem Smartphone.

Tipp: Nicht nur persönliche Daten sollten sich aus der Ferne vernichten lassen, auch der Inhalt von Speicherkarten oder speziellen Ordnern sollte gezielt gelöscht werden können. Für den Fall, dass ein Smartphone-Dieb die SIM-Karte tauscht, sollte es spezielle Funktionen geben. So muss der Zugriff auf sämtliche Daten bei der Nutzung einer fremden SIM-Karte gesperrt werden und die Kontaktdaten der neuen SIM-Karte an das Unternehmen geschickt werden können.

Doch selbst wenn das Smartphone nicht gestohlen wird, droht Datendiebstahl. Wer etwa schnell vor dem Abflug noch ein paar Mails beantworten oder frische Zahlen aus dem ERP-System abrufen will und sich dabei in ein unverschlüsseltes WLAN einklinkt, serviert ohne zusätzliche Vorkehrungen alle Daten auf dem Silbertablett.

Tipp: Hier ist eine verschlüsselte Verbindung Pflicht. Ein guter Kompromiss aus Security und einfachem Handling ist ein VPN-Zugriff via SSL. Der Grund: Die gängigen Smartphone-Betriebssysteme beherrschen diesen verschlüsselten Weg bereits.

Unternehmen sollten auch ihr Monitoring an die mobilen Geräte anpassen. So sollte der Datentraffic von Smartphones von der Firewall analysiert werden. Dadurch erkennen Administratoren gezielte Angriffe auf das Unternehmensnetzwerk, die via Smartphone vorbereitet werden. Denn wer es gezielt auf ein Unternehmen abgesehen hat, der versucht es möglicherweise erst bei den vermeintlich schlechter geschützten Smartphones und arbeitet sich dann zum Kernnetzwerk vor.

Tipp: Bei der Auswahl der Sicherheitssoftware sollten die Verwaltungstools besonders genau unter die Lupe genommen werden. Über eine Managementsoftware sollte es zum Beispiel möglich sein, bestimmte Rufnummern oder SMS-Spam zu blockieren – damit hat die IT-Abteilung den Datentraffic der Smartphones im Griff.

Alle bisher genannten Massnahmen sind wirkungsvolle Schutzmechanismen für Smartphones und sie bringen ein gutes Stück Sicherheit. Aber ohne die Unterstützung der Mitarbeiter funktionieren auch die cleversten Strategien nicht.

Tipp: Das Thema IT-Sicherheit in das Schulungsprogramm für Mitarbeiter aufnehmen. Die Mitarbeiter sollten in diesem Zusammenhang auch für das Thema Smartphone-Security sensibilisiert und etwa die Gefahren von sozialen Netzwerken oder nicht verschlüsselten Daten erklärt werden.