Schutz geschäftskritischer Daten

Sicher mobil arbeiten!

| Autor / Redakteur: Günter Junk / Peter Schmitz

Die neue Welt der Business-Mobilität stellt Unternehmen vor die Herausforderung, geschäftskritische Daten wirksam vor Diebstahl und Missbrauch zu schützen.
Die neue Welt der Business-Mobilität stellt Unternehmen vor die Herausforderung, geschäftskritische Daten wirksam vor Diebstahl und Missbrauch zu schützen. (Bild: gemeinfrei / Pixabay)

Unternehmen statten Mitarbeiter mit mobilen Endgeräten aus, um produktiver und erfolgreicher zu werden. Gleichzeitig steigt dadurch die Anzahl potenzieller Angriffs­vektoren. Doch es gibt benutzerfreundliche Lösungen wie sichere Container, um die Firmendaten auf mobilen Devices zuverlässig vor Missbrauch zu schützen.

Mit mobilen Geräten wie Smartphones oder Tablets verpassen Unternehmen der Produktivität und Flexibilität ihrer Mitarbeiter einen enormen Schub. Das hat positive Auswirkungen auf Umsatz, Gewinn und Mitarbeiterzufriedenheit. Niemand will mehr darauf verzichten. Gleichzeitig steigen durch den mobilen Gerätezoo aber auch die Anforderungen an Management und Sicherheit, vor allem deshalb, weil viele Mitarbeiter nicht mehr exakt zwischen Arbeit und Freizeit trennen. Sie benutzen ihr privates Gerät für dienstliche Aufgaben oder erledigen auf dem Geschäftshandy schon mal schnell Privates. Der IT-Dienstleister Unisys hat in seiner Umfrage „The New Digital Workplace Divide“ herausgefunden, dass 31 Prozent aller deutschen Arbeitnehmer ihr privates Smartphone auch für die Erledigung dienstlicher Pflichten gebrauchen. Mehr als zwei Drittel der Umfrageteilnehmer gaben an, dass sie auf ihrem Privatgerät Apps installiert haben und Websites nutzen, die nicht durch ihre Unternehmens-IT autorisiert sind. Das kann die Sicherheit der Firmendaten gefährden.

In dieser neuen Welt der Mobilität stehen Unternehmen heute vor der Herausforderung, geschäftskritische Daten wirksam vor Diebstahl und Missbrauch zu schützen. Im Detail heißt das: Daten müssen auf dem mobilen Gerät und auf dem Transportweg gesichert werden. Der Zugriff auf interne Ressourcen sollte nur autorisierten Personen und Anwendungen möglich sein. Gleichzeitig stehen Unternehmen in der Pflicht, die Privatsphäre ihrer Mitarbeiter zu respektieren und die Vorgabe der EU-DSGVO zu erfüllen.

Nicht ausreichend: Security-Features des Betriebssystems

Drei gängige Sicherheitskonzepte stehen Unternehmen zur Auswahl, wenn Endgeräte sowohl privat aus auch geschäftlich genutzt werden – aber nur eins schützt wirklich gut. Am naheliegendsten und kostengünstigsten ist, die vom Geräte-Provider im Betriebssystem bereitgestellten Security-Features zu aktivieren, ergänzt um grundlegende Sicherheitsmechanismen wie eine PIN und komplexe, in regelmäßigen Abständen erneuerte Passwörter. iPhones sind von Haus aus schon recht gut geschützt. Das iOS-Betriebssystem unterstützt das Kryptografieverfahren AES-256 auf Hardware-Ebene, verschlüsselt auf dem Gerät abgespeicherte Daten vollständig und erlaubt auch eine Remote-Löschung, falls das iPhone entwendet werden sollte. Sandboxes limitieren die Zugriffe einzelner Apps auf Daten und andere Apps und die Systempartition inklusive Root-Verzeichnis ist schreibgeschützt, sodass Malware in diesem hochsensiblen Bereich keine Änderungen vornehmen kann.

Android-Geräte bieten viele wichtige, elementare Sicherheitsfunktionen, allerdings erweist sich der Open-Source-Ansatz des Android-Betriebssystem als Achillesferse: Google kontrolliert sein Android-Betriebssystem nicht so komplett wie Apple sein iOS-Betriebssystem. Infolgedessen können sich Updates des Android-Betriebssystems verzögern, was die Gefahr von Zero-Day-Exploits erhöht. Noch komplexer wird die Situation, wenn in einem Unternehmen verschiedene Gerätetypen mit unterschiedlichen Betriebssystemen zum Einsatz kommen.

Neben der eigentlichen Sicherheit der Daten auf den Geräten gibt es einen weiteren, sicherheitsrelevanten Aspekt, nämlich dann, wenn zum Beispiel öffentliche Apps wie WhatsApp ungefragt auf die Kontaktlisten der User zugreift; solche Apps stellen bei der dienstlichen Nutzung privater Android- und Apple-Geräte ein unkalkulierbares Risiko dar. Insgesamt bieten die Security-Features der Betriebssysteme einen guten Basisschutz, reichen aber bei weitem nicht aus, um Unternehmensdaten wirksam vor Missbrauch zu bewahren.

Nicht DSGVO-konform: Mobile-Device-Management-Systeme

Einen besseren Schutz bieten Mobile-Device-Management-Lösungen (MDM), die in moderneren, auf das Internet der Dinge ausgeweiteten Versionen auch Unified-Endpoint-Management-Systeme (UEM) heißen. Diese Lösungen eignen sich sehr gut dafür, einen ganzen Fuhrpark unterschiedlicher mobiler Endgeräte zu verwalten. Damit können Administratoren Rechte für einzelne Anwender beziehungsweise Anwendergruppen oder Passwort-Policies festlegen und einen internen App-Shop mit zertifizierten, sicheren Applikationen betreiben.

Allerdings wird der Aufwand für den Rollout und die Administration einer solchen Device-zentrierten Lösung meistens deutlich unterschätzt. Die Mehraufwände schlagen sich in zusätzlichen Kostenblöcken nieder, und Device-Management-Systeme bringen auch Nachteile mit sich, denn der Administrator erhält Zugriff nicht nur auf Business-Apps und Business-Daten, sondern auf das gesamte Gerät. Im Zweifelsfall werden durch einen Remote Swipe auch die privaten Daten des Nutzers gelöscht. Ein weiterer Nachteil: Freelancer und Projektmitarbeiter, die für mehrere Unternehmen tätig sind, werden ein MDM auf ihrem eigenen Device komplett ablehnen.

Am sichersten: Sichere Container plus Krypto-Algorithmen

Als dritte Sicherheitslösung, die die Vorteile der ersten beiden Konzepte kombiniert und deren Nachteile vermeidet, bieten sich sichere, weil verschlüsselte Container an. Container trennen auf ein und demselben Gerät sauber zwischen geschäftlichen und privaten Apps sowie Daten. Diese strikte Trennung gibt Dritt-Apps oder sogar Malware keine Chance, auf sensible Business-Informationen zuzugreifen. Gleichzeitig bleibt die Privatsphäre der Nutzer geschützt und er behält die vollständige Kontrolle über seine privaten Daten. Die IT des Unternehmens hat nur Zugriff auf die Daten der geschäftlichen Container-App, aber nicht auf die privaten Daten des Mitarbeiters.

Unabdingbar für ein sicheres, mobiles Arbeiten ist eine starke Verschlüsselung auf dem Gerät selbst und auf dem Transportweg. Für die Verschlüsselung der im Container gehaltenen Daten haben sich die beiden Verschlüsselungsverfahren AES-256 und RSA-4096 als De-facto-Standards durchgesetzt.

Verschlüsselte Container sind außerdem eine kostengünstige, Device-agnostische, einfach einzuführende, leicht zu bedienende Lösung, mit denen sich auch interne Datensicherheits­ansprüche und externe Datenschutzvorgaben wie die EU-DSGVO vollständig erfüllen lassen. Sie bieten für sensible Unternehmensdaten den stärksten Schutz und garantieren ein gleichbleibend hohes Sicherheitsniveau. Es gibt auch Container, die im MDM integriert sind. Am flexibelsten aber ist eine Container-Lösung, die sowohl mit als auch ohne ein MDM betrieben werden kann.

Über den Autor: Günter Junk ist CEO des IT-Sicherheitsspezialisten Virtual Solution AG in München.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46181265 / Mobile Security)