Mobile Sicherheit gestalten
Smartphones und Tablet-PCs eröffnen Unternehmen vielfältige neue Chancen und Geschäftsmöglichkeiten. IT-Entscheider und insbesondere IT-Sicherheitsverantwortliche stellt dieser Technologietrend jedoch vor große Herausforderungen. Denn die klassischen IT-Sicherheitsmodelle liefern oftmals keine adäquaten Antworten auf die Bedrohungen und Risiken, die durch den Einsatz der mobilen Geräte entstehen können. Um Chancen und Gefahren evaluieren zu können, hat die Management- und Strategieberatung Detecon International ein Vorgehensmodell entwickelt.
Unternehmen müssen Informationen und Daten rund um die Uhr schützen. Sie stellen heutzutage eines ihrer wichtigsten Assets dar. Im Rahmen eines kontinuierlichen Information Security Managements gilt es daher, aktuelle Technologietrends fortlaufend zu identifizieren und hinsichtlich möglicher Auswirkungen auf Schutzziele des Unternehmens zu bewerten.
Hierbei leistet das von Detecon konzipierte "ShapeIT"-Framework Hilfestellung. Unternehmen können damit auf Basis einer permanenten Marktbeobachtung technologische Entwicklungen ebenso wie Branchentrends im IT-Security-Umfeld in einer 'Business Technology Matrix' darstellen, aus der sich mögliche Bedrohungen und Risiken ablesen lassen. In dieser Matrix wird die Bewertung eines Trends sowohl zu den IT-Sicherheitszielen als auch zu den übergeordneten Unternehmenszielen in Relation gesetzt. Mobile Security liefert einen anschaulichen Anwendungsfall für dieses Analyseinstrument.
Informationsübertragung absichern
Die Leistungsfähigkeit aktueller Smartphones und Tablet-PCs ermöglicht es Mitarbeitern, an nahezu beliebigen Orten und Zeitpunkten über das Internet auf Unternehmensnetze zuzugreifen und so ohne Büro-PC ihrer Arbeit nachzugehen. Dies erlaubt aus Sicht der Unternehmensziele eine Beschleunigung und Flexibilisierung der Geschäftsprozesse und erhöht die Verfügbarkeit. Gleichzeitig entsteht jedoch ein Konflikt mit den IT-Sicherheitszielen Vertraulichkeit und Integrität, sobald als intern oder vertraulich klassifizierte Informationen aus dem gesicherten Unternehmensnetzwerk über ungesicherte, öffentliche Netzwerke übertragen werden.
Zur Lösung dieses Zielkonflikts kommen sowohl bewährte technische Ansätze wie etwa VPN-Infrastrukturen als auch organisatorische Vorgaben wie entsprechend angepasste IT-Sicherheitsrichtlinien in Frage.
Gefahren durch Verlust oder Diebstahl begegnen
Im Zuge der Speicherung und Verarbeitung der Informationen auf dem mobilen Endgerät entstehen jedoch weitere neue Gefahren. So ist das Risiko des Diebstahls, Verlusts oder der Beschädigung bei einem Smartphone signifikant höher als bei einem stationären Arbeitsplatz-PC. Dies bereitet den Boden für Konflikte mit Unternehmenszielen wie Technologie- oder Know-How-Führerschaft, wenn beispielsweise unbefugte Dritte sich über verlorene oder gestohlene Smartphones Zugriff auf vertrauliche Forschungs- und Entwicklungsdaten verschaffen. Dabei können sowohl auf dem Mobilgerät lokal gespeicherte Daten als auch sämtliche über das Mobilgerät online zugänglichen Informationen aus dem Unternehmensnetzwerk ausgelesen werden.
Gegensteuern lässt sich hier mit einer konsequenten Verschlüsselung aller lokal auf dem Mobilgerät gespeicherten Daten sowie der sofortigen, zentral gesteuerten Löschung des Gerätes im Verlustfall. Zudem gilt es, Sicherheitsrichtlinien für einen hinreichenden Passwortschutz auf sämtlichen mobilen Endgeräten konsequent durchzusetzen.
"Bring Your Own Device"
Im Rahmen des aktuellen Technologietrends "Bring Your Own Device" nutzen Mitarbeiter immer stärker private mobile Endgeräte im Arbeitsumfeld. Unternehmen können so von den Vorteilen der jeweils aktuellsten und leistungsstärksten Mobilgerätegenerationen profitieren, ohne selbst Anschaffungskosten planen und entsprechend Kapital binden zu müssen. Ein weiterer Synergieeffekt erschließt sich dadurch, dass Aufwände für Schulungen und laufende Supportkosten deutlich sinken – während gleichzeitig die Akzeptanz der Gerätetypen auf Mitarbeiterseite steigt.
Somit unterstützt dieser Trend Unternehmensziele wie flexiblere Nutzungsdauer von IT-Inventar, erhöhte Liquidität oder Kostenführerschaft. Demgegenüber steht jedoch eine Vielzahl von Konflikten mit den IT-Sicherheitszielen, insbesondere da sich die Um- und Durchsetzung gegebener Sicherheitsrichtlinien auf privaten, unterschiedlichen Endgeräten ungleich anspruchsvoller gestaltet als bei unternehmenseigenen, standardisierten Systemen. Die Motivation für Mitarbeiter, ihr vertrautes Privatgerät auch beruflich zu nutzen, besteht in erster Linie in dessen freier, individueller Konfigurierbarkeit, die nicht den meist als Beschränkung empfundenen Vorkonfigurationen bestimmter Optionen durch Unternehmens-Sicherheitsrichtlinien unterliegt.
So stellt die Option, ein Gerät durch wahlfreie Installation von Programmen wie Apps an die persönlichen Bedürfnisse anzupassen, aus Mitarbeitersicht einen hohen Nutzwert dar. Hieraus resultieren jedoch gravierende Konflikte mit allen drei IT-Sicherheitszielen Vertraulichkeit, Integrität und Verfügbarkeit. Beispielsweise kann über die Installation ungeprüfter Apps Malware auf das Gerät gelangen, welche im Rahmen von Wirtschaftsspionage gezielt zur Sammlung oder Manipulation von Informationen verwendet wird. Schon das bloße Aufspielen von Software durch den Benutzer kann zur Nichtverfügbarkeit führen, wenn das Gerät, etwa in Folge von Inkompatibilitäten, danach nicht mehr startet. Darüber hinaus kann durch den notwendigen IT-Support für eine Vielzahl unterschiedlicher Endgeräte mit verschiedenen Betriebssystemen und Konfigurationen ein hoher Anpassungsaufwand mit entsprechenden Mehrkosten entstehen. Ebenso droht die Gefahr, dass IT-Sicherheitsziele aus Mangel an erforderlichen Ressourcen nur noch unzureichend umgesetzt werden.
In jedem Fall müssen Unternehmens- und IT-Sicherheitsziele sorgfältig abgestimmt werden, um die Potenziale dieses Trends nutzen zu können. Als Lösungsansatz bietet sich zum einen an, den Zugriff der mobilen Endgeräte auf das Unternehmensnetz im Rahmen von Terminaldiensten zu beschränken, bei denen das Endgerät lediglich die lokale Darstellung der Informationen übernimmt, deren Verarbeitung jedoch zentral auf internen Systemen stattfindet. Zum anderen kommt der Einsatz von Virtualisierungslösungen zur Trennung von privaten und Unternehmensdaten auf den Endgeräten in Frage.
IT-Sicherheitsinfrastruktur anpassen
Während sich das Bewusstsein für IT-Sicherheit in Unternehmen in den vergangenen Jahren kontinuierlich weiterentwickelt hat und viele Unternehmensnetzwerke heute ein hohes Schutzniveau aufweisen, steht die entsprechende Entwicklung im Bereich Mobile Security noch am Anfang. Bis vor kurzem galt die Vielfalt an unterschiedlichen Betriebssystemen für mobile Endgeräte noch als Hemmschuh bei der Entwicklung und Verbreitung von Malware für diese Systeme. Doch im Zuge der zunehmenden Konsolidierung des Marktes werden die Mobilbetriebssysteme mit den größten Marktanteilen sich zu lukrativen Zielplattformen für Schadsoftware entwickeln. Ein Unternehmensziel wie die Reduzierung von IT-Kosten durch Nutzung von Technologietrends wie "Bring Your Own Device" gerät so unvermeidlich in Konflikt mit den durch die notwendige Anpassungen der IT-Sicherheitsinfrastruktur entstehenden Mehrkosten.
Zwar gehört heute ein zentral gesteuertes, automatisiertes Softwareverteilungs- und Patchmanagementsystem für Arbeitsplatz-PCs und Serversysteme zum Standard von Enterprise-Sicherheitsarchitekturen. Doch mobile Endgeräte wie Smartphones und Tablets werden davon meist erst teilweise erfasst. Bekannt gewordene Sicherheitslücken in PC- und Server-Betriebssystemen oder -Applikationen lassen sich somit zügig schließen, während die davon betroffenen mobilen Endgeräte deutlich mehr Zeit und Kosten verursachen. Da Mobilgeräte möglichen Risikofaktoren in ungeschützten, öffentlichen Umgebungen weitaus stärker ausgesetzt sind als stationäre Büro-PCs, erhöht sich die Wahrscheinlichkeit der Ausnutzung bestehender Schwachstellen erheblich.
Abgesehen von wirtschaftlichen Schäden durch Diebstahl oder Veröffentlichung von Kundendaten droht hier auch ein nachhaltiger Reputations- und Vertrauensverlust, was aus der Sicht von Unternehmenszielen wie etwa der Etablierung einer neuen Marke oder der Qualitätsführerschaft zu signifikanten Konflikten führt. Eine adäquate Anpassung der unternehmensweiten IT-Sicherheitsinfrastruktur unter konsequenter Einbeziehung sämtlicher mobiler Endgeräte wird somit unumgänglich.
Fazit und Ausblick auf das Internet der Dinge
Die zunehmende Verbreitung der nächsten Version des Internet-Protokolls, IPv6, eröffnet Unternehmen völlig neue Geschäftsmöglichkeiten. Im Zuge der Einführung von IPv6 werden 340,3 Sextillionen IP-Adressen zur Verfügung stehen – damit ließe sich problemlos weltweit jedes Haushaltsgerät und jedes Fahrzeug über das IP-Protokoll adressieren. Es ist daher davon auszugehen, dass sich Anzahl und Varianten möglicher mobiler Endgeräte in naher Zukunft deutlich vergrößern werden. Damit einher geht eine steigende Notwendigkeit zur verlässlichen Absicherung. So hätte etwa die Manipulation der Bordelektronik eines Autos durch Ausnutzung einer Sicherheitslücke verheerende Folgen.
Unternehmensziele, die auf neuen Geschäftsmodellen unter Nutzung neuartiger mobiler Endgeräte beruhen, müssen daher sorgfältig mit den IT-Sicherheitszielen abgestimmt werden, um Risiken aufzuzeigen und Konflikten angemessen begegnen zu können. Hierbei bietet die Analysefunktion von ShapeIT einen strukturierten Rahmen zur systematischen Bewertung. Mit Hilfe ihrer Business Technology Matrix lassen sich externe Branchentrends, Unternehmensziele und interne Schutzziele in Relation zu den technologischen Eigenschaften mobiler Endgeräte und Kommunikationsinfrastrukturen setzen. Unternehmen können so Wechselwirkungen erkennen, geeignete Maßnahmen ableiten und die mit den neuen technischen Möglichkeiten einhergehenden Risiken entschärfen – zugunsten der Chancen und im Sinne der Unternehmensziele.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER