| |||
| | | |
| |
Corporate Mobile Security - ein neues Sicherheitskonzept für mobile Endgeräte
Das Corporate Mobile Security-Konzept umfasst alle Maßnahmen und Technologien, die mobile Sprach- und Datenkommunikation in Unternehmen gegen Angriffe, nicht legitimierten Informationsabfluss, Diebstahl sowie die technische Überlastung von Infrastrukturen sichern. Maßnahmen und Technologien, die dem Corporate Mobile Security-Konzept entsprechen, schützen die Werte eines Unternehmens gegen Kriminelle, Wettbewerber und illoyale (Ex-)Mitarbeiter. Das Corporate Mobile Security-Konzept besteht aus sechs zentrale Bausteinen: Security-Fundament, Device-Schutz, also Schutz des Gerätes selbst, Kommunikationsschutz, Informations-/Datenschutz, Asset-/Ressource-Schutz und die technischen Lösungen. Schutzziele sind die Vertraulichkeit, die Verfügbarkeit und die Integrität von Daten und Informationen in der mobilen Kommunikation gegenüber Angreifern. Im Sinne eines Risk Managements ist daher der Schutz der Sprach- und Datenkommunikation über mobile Endgeräte ein notwendiges Aktionsfeld.
Manager setzen als ständige Begleiter zunehmend auf Smartphones und PDA Phones. Diese vereinen die Vorzüge eines Mobiltelefons mit denen eines klassischen PDA (Personal Digital Assistant) in einem Gerät und basieren dabei auf einem erweiterbaren, geräteübergreifenden Betriebssystem (Palm OS, Symbian OS, Windows Mobile, Blackberry). Sie dienen nicht nur zum Telefonieren, sondern ermöglichen aufgrund ihrer erweiterten Funktionalität und komfortablen Bedienung auch bequem die mobile Arbeit: E-Mail, Internet-Zugriff, Adressbücher, aber auch die Nutzung von Unternehmensanwendungen sind möglich. Obwohl der Ursprung von Smartphones in der Welt von Mobiltelefonen liegt, müssen sie heute ebenso wie PDA Phones vielmehr als potente, kompakte Computer gesehen werden. Diese sind ebenso den üblichen Sicherheitsrisiken, wie z. B. bei der Internetnutzung, ausgesetzt. Damit werden effektive Schutzmaßnahmen wie innerhalb eines Unternehmensnetzwerks oder für Notebooks auch für die mobilen Endgeräte dringend erforderlich. Innerhalb eines Unternehmens sowie zwischen eng verbundenen Unternehmen werden heute vertrauliche Informationen mit Hilfe von Firewalls, Verschlüsselungslösungen und anderen IT-Security-Systemen geschützt. Beim Einsatz mobiler Endgeräte vernachlässigen Unternehmen hingegen häufig Sicherheitsbedenken, obwohl die Mitarbeiter mobil unternehmenskritische Informationen austauschen bzw. selbst darauf zugreifen, ohne dass die klassischen Schutzmaßnahmen bei Mobilfunkverbindungen greifen würden. Die Loslösung von proprietären Betriebssystemen und ihre Kommunikationsfähigkeit machen Smartphones oder PDA Phones zu attraktiveren Zielen für Hacker und andere Angreifer. Eine Vielzahl von Geräten kann betroffen sein, da der Angreifer sich nicht mehr auf einen Gerätetypen spezialisieren muss. Die Gefahren sind nicht zu unterschätzen, da für die Kommunikation (teil-)öffentliche Netze genutzt werden: In GSM-, GPRS/UMTS- und WLAN-Netzen sowie bei Bluetooth gibt es Übertragungswege, die einen Angriff von außen ermöglichen. Corporate Mobile Security Das von concept04 initiierte Corporate Mobile Security-Konzept umfasst alle Maßnahmen und Technologien, die mobile Sprach- und Datenkommunikation in Unternehmen gegen Angriffe, nicht legitimierten Informationsabfluss, Diebstahl sowie die technische Überlastung von Infrastrukturen sichern. Maßnahmen und Technologien, die dem Corporate Mobile Security-Konzept entsprechen, schützen die Werte eines Unternehmens gegen Kriminelle, Wettbewerber und illoyale (Ex-) Mitarbeiter. Corporate Mobile Security ist damit die notwendige Erweiterung bisheriger Sicherheitsmaßnahmen und -ansätze eines Unternehmens auf mobile Endgeräte, da sie heute integrierte Bestandteile der IT-Infrastruktur darstellen. Ebenso zur Corporate Mobile Security gehört die mobile Sprach- und Daten-Kommunikation zwischen eng zusammen arbeitenden Unternehmen entlang der Wertschöpfungskette (d. h. im Sinne eines Extended Enterprise), die standardmäßig über mobile Endgeräte erfolgt und Unternehmensprozesse beeinflusst. Hierzu zählen integrierte Unternehmensprozesse mit Lieferanten, Händlern, Outsourcing-Partnern oder Kunden, die z. B. mobil Bestellungen eines Großkunden aufnehmen, Lieferstatusabfragen bei Zulieferern durchführen oder im Extranet an gemeinsamen Entwicklungsprojekten arbeiten. Der Grund für diese Erweiterung ist, dass ein Angreifer, sobald er in eine Unternehmens-IT eindringt, auch über die auf Kollaboration ausgelegte Kommunikationsstruktur jedes andere Unternehmen im Verbund mit einer hohen Erfolgswahrscheinlichkeit attackieren kann. Das Grundproblem liegt darin, dass Smartphones und PDA Phones permanent oder regelmäßig mit GSM- und GPRS/UMTS-Mobilfunknetzen verbunden sind, sobald sie eingeschaltet sind. Anderenfalls wäre der ständige Empfang von Telefonaten aber auch der Empfang (Push) oder Abruf (Pull) von E-Mails nicht möglich. Daneben stehen heutzutage weitere Verbindungswege standardmäßig zur Verfügung, die – so sie im Fall von Bluetooth nicht explizit ausgeschaltet sind – auch für Angriffe genutzt werden können. Hierzu zählen Netzwerkverbindungen zu WLANs oder direkte Geräteverbindungen über Bluetooth als Kabelersatz. Die Bedrohungen sind vielfältig. Zum einen bestehen sie aus mehr oder minder ungezielten Angriffen, wie z. B. Spam, Viren, Würmer, Trojaner, Spyware oder auch aus so genanntem Phishing. Diese Gefahren sind allesamt bekannt in der IT-Security, wenngleich für mobile Betriebssysteme wie Windows Mobile für Smartphones neue Viren geschrieben werden (müssen), die bereits zunehmend registriert werden. Hinzu kommen sprachbasierte Angriffe. Hierzu gehört SPIT (Spam over Internet Telephony), was letztlich Spam in Form von unerwünschten Telefonanrufen darstellt. Diese mehr oder minder ungezielten Angriffe sind für den Nutzer lästig, kosten Zeit und können auch ein mobiles Endgerät lahm legen. Sie beeinträchtigen somit die Produktivität eines Mitarbeiters und seines eingesetzten Endgeräts. Allerdings sind die Auswirkungen dieser Angriffe mit Hilfe von Backups meist sehr leicht und mit relativ geringem Aufwand entfernbar. Problem dabei ist, dass entsprechende Virenscanner und Firewalls bisher einen geringen Verbreitungsgrad haben und Angriffe ohne technische Lösungen lange unerkannt bleiben. Eine andere Qualität der Angriffe wird immer dann erreicht, wenn damit gezielt eine Gefährdung der Unternehmensdaten möglich wird. Zum einen können Smartphones und PDA Phones als Übertragungsmedium für alle klassischen Viren, Würmer und Trojaner in die IT-Infrastruktur dienen. Zum anderen können Angreifer sich z. B. Zugriff auf Datenbanken der Unternehmenssoftwaresysteme verschaffen und Vertriebskontakte, Konstruktionsdaten oder Finanzdaten über das mobile Endgerät eines Mitarbeiters auslesen. Darüber hinaus gehende Bedrohungen sind der Verlust oder die Verfälschung von Daten. Ein unerlaubter Informationszugriff kann auch über das Abhören von Telefonaten erfolgen. Dies geschieht z. B. über Man-in-the-Middle-Attacken, die beiden Gesprächspartnern vortäuschen, sie würden ungestört miteinander telefonieren, obwohl sich ein Mithörer zwischen die Beiden schaltet. Alle diese gezielten Angriffe bedrohen das Unternehmen in seinem wirtschaftlichen Kern. Bausteine der Corporate Mobile Security Das Corporate Mobile Security-Konzept umfasst sechs zentrale Bausteine, um die Informationen eines Unternehmens vollständig und wirksam zu schützen. Schutzziele sind die Vertraulichkeit, die Verfügbarkeit und die Integrität von Daten und Informationen in der mobilen Kommunikation gegenüber Angreifern.
Zum Security-Fundament gehört die zentrale Verwaltung der mobilen Endgeräte und der eingesetzten Software. Diese Anwendungen, sowohl Security- als auch andere Software, müssen gemeinsam mit technischen Einstellungen und Regeln an die Endgeräte verteilt werden (Roll-out). Da sich die Einstellungen und Regeln je nach Mitarbeiter und Aufgabenbereich unterscheiden können, wird so festgelegt, wer welche Berechtigungen in der Nutzung hat. Device-Schutz bedeutet, dass bei einem Diebstahl oder dem Verlust eines Gerätes die darauf befindlichen Daten effektiv vor einem unberechtigten Zugriff durch Dritte geschützt sein müssen. Zum einen gehören dazu die physische Diebstahlsicherung wie zum anderen auch die Festlegung von Maßnahmen, die den missbräuchlichen Zugriff auf Geräte- oder Unternehmensdaten verhindern, z. B. wenn ein Gerät verloren geht. Jede Art der Kommunikation von oder mit einem mobilen Endgerät muss vor Störungen, Abhören und unbefugter Nutzung geschützt werden. Der Kommunikationsschutz muss also sowohl bei der Sprach- als auch bei der Datenkommunikation greifen, um die geforderte Vertraulichkeit, Verfügbarkeit und Integrität der Informationen sicher zu stellen. Daten und Sprache müssen entsprechend der Relevanz fallweise ver- und entschlüsselt, der Zugriff auf Internetinhalte gesteuert, sowie Spam und SPIT ausgefiltert werden. Hinzu kommen Firewall-basierte Schutzmaßnahmen gegen Angriffe von außen. Informations- bzw. Datenschutz heißt, dass Informationen und Daten, die über diese Gerät abgerufen, angezeigt oder direkt darauf vorliegen, vor dem unerlaubten Zugriff durch Dritte geschützt sein müssen. Im Falle eines unerlaubten Zugriffs ist die Vertraulichkeit gefährdet, bei einer Veränderung der Informationen zudem deren Integrität und beim Löschen auch die Verfügbarkeit. Daher müssen Regeln definiert werden, wer auf welche Informationen zugreifen darf (Leserecht), wer welche Informationen verändern darf (Schreibrecht), wer welche Informationen löschen darf (Administrationsrecht) und welche Schutzmaßnahmen gegen unerlaubte Aktionen eingerichtet werden. Zugleich muss mit der Definition der Nutzungsrechte auch die Möglichkeit der Sabotage durch Insider verhindert werden. Während innerhalb des stationären Unternehmensnetzwerks die Rechte klar definiert und damit eingeschränkt sind, müssen diese Rechte auch beim mobilen Zugriff geregelt werden. Die Assets bzw. Ressourcen eines Unternehmens müssen so geschützt werden (Asset-/Resource-Schutz), dass Aufwände und verminderte Produktivität der Mitarbeiter durch missbräuchliche Nutzung und Geräteausfallzeiten oder erhöhte Instandhaltung verhindert werden. Zentrale Assets sind die Unternehmensdaten, deren Vertraulichkeit gesichert und deren Veränderung oder Verfälschung verhindert werden muss. Ermöglicht wird dieser Schutz durch technische Lösungen. Dazu zählen sowohl hardware- wie auch softwarebasierte Systeme, die mobile Sprach- und Datenkommunikation in Unternehmen gegen Angriffe, nicht legitimierten Informationsabfluss, Diebstahl sowie die technische Überlastung von Infrastrukturen sichern. Eine zentrale Rolle kommt Firewalls für mobile Endgeräte zu, die im August 2005 erstmals von concept04 am Markt eingeführt wurden, sowie Virenscannern. Weitere Lösungen gibt es für die Verschlüsselung von Telefongesprächen und Datenübertragungen. Zum Schutz des Unternehmens dienen eine zentrale Verwaltung der Sicherheitslösungen sowie die Distribution von Software, Einstellungen und Regeln an die Endgeräte. Corporate Mobile Security ist Risk Management So lange Unternehmen der Corporate Mobile Security keine oder eine zu geringe Aufmerksamkeit schenken, gefährden sie die Werte eines Unternehmens. Risk Management bedeutet, dass ein Unternehmen präventiv potentielle Schäden vermeidet und Risiken minimiert. Im Sinne eines Risk Managements ist daher der Schutz der Sprach- und Datenkommunikation über mobile Endgeräte ein notwendiges Aktionsfeld. Es muss abgewogen werden, welches Risiko tolerierbar ist und ob z. B. der Zugriff auf Unternehmensdaten über Smartphones für einen bestimmten Mitarbeiterkreis wirklich notwendig ist. Zudem muss bewertet werden, ob demgegenüber die notwendigen Schutzmaßnahmen aus betriebswirtschaftlicher Sicht effizient sind. Spätestens dann, wenn ein Kundenkontakt ausgelesen, ein wichtiges Verkaufsgespräch mitgehört oder ein geschäftskritisches Dokument gelöscht bzw. eine Datenbank den Zugriff verweigert, wird die vernachlässigte Corporate Mobile Security zum Unternehmensrisiko. Die wirtschaftlichen Konsequenzen reichen dann von einem verlorenen Kunden bis zum Ruin des Unternehmens. Darüber hinaus kann eine vernachlässigte Corporate Mobile Security auch rechtliche Folgen haben, da rechtliche Verpflichtungen im Bezug auch Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Informationen nicht erfüllt wurden. Unternehmen müssen daher in ihr Risk Management klare Regeln und Maßnahmen für eine integrierte Corporate Mobile Security aufnehmen. Der Einsatz von technischen Lösungen ist dabei nur ein Aspekt, denn ein Großteil des Risikos stellt der Faktor Mensch dar. Dementsprechend muss das Verhalten der Mitarbeiter in mobilen Umgebungen geregelt werden. Zu einem Risk Management gehören immer auch Notfallpläne, wenn doch mal etwas schief geht Die Nutzenaspekte von Corporate Mobile Security in einem Unternehmen sind daher: 09/2006, Martin Geldermann
| | | | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| © 1999-2010 FEiG & PARTNER | Nutzungsbedingungen | | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 | |  | |  | |  | |  | |  | |  | |  | |  | |   |
|
| ||
| know how news veranstaltungen sicherheitswarnungen | |
| ||
| ||
| ||
| ||
|
