Corporate Mobile Security - ein neues Sicherheitskonzept für mobile Endgeräte
 |  | http://www.securitymanager.de/magazin/artikel_1158_corporate_mobile_security_-_ein_neues.html |
Das Corporate Mobile Security-Konzept umfasst alle Maßnahmen und Technologien, die mobile Sprach- und Datenkommunikation in Unternehmen gegen Angriffe, nicht legitimierten Informationsabfluss, Diebstahl sowie die technische Überlastung von Infrastrukturen sichern. Maßnahmen und Technologien, die dem Corporate Mobile Security-Konzept entsprechen, schützen die Werte eines Unternehmens gegen Kriminelle, Wettbewerber und illoyale (Ex-)Mitarbeiter. Das Corporate Mobile Security-Konzept besteht aus sechs zentrale Bausteinen: Security-Fundament, Device-Schutz, also Schutz des Gerätes selbst, Kommunikationsschutz, Informations-/Datenschutz, Asset-/Ressource-Schutz und die technischen Lösungen. Schutzziele sind die Vertraulichkeit, die Verfügbarkeit und die Integrität von Daten und Informationen in der mobilen Kommunikation gegenüber Angreifern. Im Sinne eines Risk Managements ist daher der Schutz der Sprach- und Datenkommunikation über mobile Endgeräte ein notwendiges Aktionsfeld.
Corporate Mobile Security - ein neues Sicherheitskonzept für mobile Endgeräte
- Sicherheitsrisiken mobiler Endgeräte
- Corporate Mobile Security
- Bausteine der Corporate Mobile Security
- Corporate Mobile Security ist Risk Management
- Der Initiator concept04
Sicherheitsrisiken mobiler Endgeräte
Manager setzen als ständige Begleiter zunehmend auf Smartphones und PDA Phones. Diese vereinen die Vorzüge eines Mobiltelefons mit denen eines klassischen PDA (Personal Digital Assistant) in einem Gerät und basieren dabei auf einem erweiterbaren, geräteübergreifenden Betriebssystem (Palm OS, Symbian OS, Windows Mobile, Blackberry). Sie dienen nicht nur zum Telefonieren, sondern ermöglichen aufgrund ihrer erweiterten Funktionalität und komfortablen Bedienung auch bequem die mobile Arbeit: E-Mail, Internet-Zugriff, Adressbücher, aber auch die Nutzung von Unternehmensanwendungen sind möglich. Obwohl der Ursprung von Smartphones in der Welt von Mobiltelefonen liegt, müssen sie heute ebenso wie PDA Phones vielmehr als potente, kompakte Computer gesehen werden. Diese sind ebenso den üblichen Sicherheitsrisiken, wie z. B. bei der Internetnutzung, ausgesetzt. Damit werden effektive Schutzmaßnahmen wie innerhalb eines Unternehmensnetzwerks oder für Notebooks auch für die mobilen Endgeräte dringend erforderlich. Innerhalb eines Unternehmens sowie zwischen eng verbundenen Unternehmen werden heute vertrauliche Informationen mit Hilfe von Firewalls, Verschlüsselungslösungen und anderen IT-Security-Systemen geschützt. Beim Einsatz mobiler Endgeräte vernachlässigen Unternehmen hingegen häufig Sicherheitsbedenken, obwohl die Mitarbeiter mobil unternehmenskritische Informationen austauschen bzw. selbst darauf zugreifen, ohne dass die klassischen Schutzmaßnahmen bei Mobilfunkverbindungen greifen würden. Die Loslösung von proprietären Betriebssystemen und ihre Kommunikationsfähigkeit machen Smartphones oder PDA Phones zu attraktiveren Zielen für Hacker und andere Angreifer. Eine Vielzahl von Geräten kann betroffen sein, da der Angreifer sich nicht mehr auf einen Gerätetypen spezialisieren muss. Die Gefahren sind nicht zu unterschätzen, da für die Kommunikation (teil-)öffentliche Netze genutzt werden: In GSM-, GPRS/UMTS- und WLAN-Netzen sowie bei Bluetooth gibt es Übertragungswege, die einen Angriff von außen ermöglichen.
Corporate Mobile Security
Das von concept04 initiierte Corporate Mobile Security-Konzept umfasst alle Maßnahmen und Technologien, die mobile Sprach- und Datenkommunikation in Unternehmen gegen Angriffe, nicht legitimierten Informationsabfluss, Diebstahl sowie die technische Überlastung von Infrastrukturen sichern. Maßnahmen und Technologien, die dem Corporate Mobile Security-Konzept entsprechen, schützen die Werte eines Unternehmens gegen Kriminelle, Wettbewerber und illoyale (Ex-) Mitarbeiter. Corporate Mobile Security ist damit die notwendige Erweiterung bisheriger Sicherheitsmaßnahmen und -ansätze eines Unternehmens auf mobile Endgeräte, da sie heute integrierte Bestandteile der IT-Infrastruktur darstellen.
Ebenso zur Corporate Mobile Security gehört die mobile Sprach- und Daten-Kommunikation zwischen eng zusammen arbeitenden Unternehmen entlang der Wertschöpfungskette (d. h. im Sinne eines Extended Enterprise), die standardmäßig über mobile Endgeräte erfolgt und Unternehmensprozesse beeinflusst. Hierzu zählen integrierte Unternehmensprozesse mit Lieferanten, Händlern, Outsourcing-Partnern oder Kunden, die z. B. mobil Bestellungen eines Großkunden aufnehmen, Lieferstatusabfragen bei Zulieferern durchführen oder im Extranet an gemeinsamen Entwicklungsprojekten arbeiten. Der Grund für diese Erweiterung ist, dass ein Angreifer, sobald er in eine Unternehmens-IT eindringt, auch über die auf Kollaboration ausgelegte Kommunikationsstruktur jedes andere Unternehmen im Verbund mit einer hohen Erfolgswahrscheinlichkeit attackieren kann.
Das Grundproblem liegt darin, dass Smartphones und PDA Phones permanent oder regelmäßig mit GSM- und GPRS/UMTS-Mobilfunknetzen verbunden sind, sobald sie eingeschaltet sind. Anderenfalls wäre der ständige Empfang von Telefonaten aber auch der Empfang (Push) oder Abruf (Pull) von E-Mails nicht möglich. Daneben stehen heutzutage weitere Verbindungswege standardmäßig zur Verfügung, die – so sie im Fall von Bluetooth nicht explizit ausgeschaltet sind – auch für Angriffe genutzt werden können. Hierzu zählen Netzwerkverbindungen zu WLANs oder direkte Geräteverbindungen über Bluetooth als Kabelersatz.
Die Bedrohungen sind vielfältig. Zum einen bestehen sie aus mehr oder minder ungezielten Angriffen, wie z. B. Spam, Viren, Würmer, Trojaner, Spyware oder auch aus so genanntem Phishing. Diese Gefahren sind allesamt bekannt in der IT-Security, wenngleich für mobile Betriebssysteme wie Windows Mobile für Smartphones neue Viren geschrieben werden (müssen), die bereits zunehmend registriert werden. Hinzu kommen sprachbasierte Angriffe. Hierzu gehört SPIT (Spam over Internet Telephony), was letztlich Spam in Form von unerwünschten Telefonanrufen darstellt.
Diese mehr oder minder ungezielten Angriffe sind für den Nutzer lästig, kosten Zeit und können auch ein mobiles Endgerät lahm legen. Sie beeinträchtigen somit die Produktivität eines Mitarbeiters und seines eingesetzten Endgeräts. Allerdings sind die Auswirkungen dieser Angriffe mit Hilfe von Backups meist sehr leicht und mit relativ geringem Aufwand entfernbar. Problem dabei ist, dass entsprechende Virenscanner und Firewalls bisher einen geringen Verbreitungsgrad haben und Angriffe ohne technische Lösungen lange unerkannt bleiben.
Eine andere Qualität der Angriffe wird immer dann erreicht, wenn damit gezielt eine Gefährdung der Unternehmensdaten möglich wird. Zum einen können Smartphones und PDA Phones als Übertragungsmedium für alle klassischen Viren, Würmer und Trojaner in die IT-Infrastruktur dienen. Zum anderen können Angreifer sich z. B. Zugriff auf Datenbanken der Unternehmenssoftwaresysteme verschaffen und Vertriebskontakte, Konstruktionsdaten oder Finanzdaten über das mobile Endgerät eines Mitarbeiters auslesen. Darüber hinaus gehende Bedrohungen sind der Verlust oder die Verfälschung von Daten. Ein unerlaubter Informationszugriff kann auch über das Abhören von Telefonaten erfolgen. Dies geschieht z. B. über Man-in-the-Middle-Attacken, die beiden Gesprächspartnern vortäuschen, sie würden ungestört miteinander telefonieren, obwohl sich ein Mithörer zwischen die Beiden schaltet. Alle diese gezielten Angriffe bedrohen das Unternehmen in seinem wirtschaftlichen Kern.
Bausteine der Corporate Mobile Security
Das Corporate Mobile Security-Konzept umfasst sechs zentrale Bausteine, um die Informationen eines Unternehmens vollständig und wirksam zu schützen. Schutzziele sind die Vertraulichkeit, die Verfügbarkeit und die Integrität von Daten und Informationen in der mobilen Kommunikation gegenüber Angreifern.
