Smartphones und PDAs in das Sicherheitskonzept einbeziehen

Mobilität erfordert Umdenken bei IT-Sicherheit im Unternehmen

Seite: 3/3

Firma zum Thema

2. Prävention

Je nach Sicherheitsbedarf ist es sinnvoll, in regelmäßigen Abständen Penetrationstests durchführen. Allgemein sind folgende Punkte für eine erfolgreiche Präventionspolitik zu beachten:

Einbindung in die Security Policy des Unternehmens: Beispielsweise lassen sich White- und Blacklisting von Programmen auch auf mobile Geräte anwenden.

Kryptografie für Daten und Kommunikation: Handelsübliche Smartphones können nachträglich in hochsichere Krypto-Telefone umgewandelt werden. Die Verschlüsselung der Daten erfolgt in einer zertifizierten Krypto-Hardware (SmartCard), die wiederum in eine MicroSD-Karte integriert ist und in den entsprechenden Kartenschlitz des Telefons gesteckt wird. Die Lösung genügt höchsten Sicherheitsanforderungen und ist vom BSI für den Einsatz in deutschen Behörden zugelassen. Spezielle Krypto-Phones, die im Leistungsumfang stark eingeschränkt sind, werden dadurch uninteressant. Die E-Mail-Synchronisation sollte auch nur verschlüsselt erlaubt werden.

Einsatz von Antivirus-Programmen: AV-Programme erhöhen durch aktive Überwachung und Heuristik den Schutz vor Würmern, Viren und Trojanern.

Darüber hinaus sind Einzelmaßnahmen notwendig, wie z.B.:

  • Deaktivieren ungenutzter Kommunikationsschnittstellen
  • Zeitliche Einschränkung der Synchronisation: Die E-Mail-Synchronisation wird auf spezifische Betriebszeiten eingeschränkt.
  • Konfigurationsmanagement: Browser-Security-Settings werden festgelegt und durch das IT-Management voreingestellt.
  • Festgelegte Patch- und Software-Update-Policies
  • Regelmäßige Analyse von Log-Files durch die IT-Crew
  • Überprüfung der Geräte nach längerem Außeneinsatz
  • Meldungsrichtlinien bei verdächtigem Verhalten der Mobiltelefonsoftware

3. Schulung

Ein nicht zu unterschätzender Aspekt bei der Erstellung eines Sicherheitskonzepts ist die vom Anwender ausgehende Gefahr durch Unwissenheit oder leichtsinniges Handeln. Bevor ein umfangreiches Sicherheitskonzept eingeführt wird, muss der Nutzer hinzugezogen und vom Sinn der eingeführten Änderungen überzeugt werden. Dabei sorgen Schulungen in Zusammenarbeit mit der Kommunikationsabteilung dafür, dass die Mitarbeiter die neuen Maßnahmen auch verstehen und akzeptieren.

Im Rahmen der Schulung soll die Firmen-Policy vorgestellt und erklärt werden. Dies beinhaltet die Auseinandersetzung mit Kriterien bei der Definition von Passwörtern, den richtigen Umgang mit vertraulichen Daten bis hin zu Details wie das regelmäßige Abwischen von Touchscreen-Oberflächen, auf denen leicht nachvollziehbar wird, welche vier Nummern zur PIN Eingabe eingetippt wurden.

Dinu-Mathias Fulea

Dinu-Mathias Fulea ist (ISC)²-zertifizierter CSSLP und Field Applications Engineer bei Access Systems Germany.

(ID:2042859)