Mobile Sicherheit ist nicht gewährleistet

Security-Token für Smartphones, so unter Windows Mobile und Symbian, seien nur vereinzelt im Markt verfügbar und zudem teuer. An Chipkarten als Zertifikatsträger für solche Geräte werde noch gearbeitet. Weimer spricht deshalb von einer "zweitklassigen Authentisierung" und einer weniger sicheren Einwahl verglichen mit dem PC. "Und auch die Sicherheitsmittel, um die Smartphones sowie davon ausgehend die zentralen und die IT-Ressourcen des eigenen PCs im Büro vor Malware in jeglicher Form zu schützen, sind bisher schwach ausgeprägt", ergänzt er. Weimer rät den Entscheidern, im Rahmen ihrer Sicherheitsstrategie von den Smartphones keinesfalls zu viel zu erwarten, zumal dort unsichere Passwörter noch an der Tagesordnung seien. "Den Mitarbeitern an den Smartphones kann kaum zugemutet werden, auf der kleinen Tastatur jeweils acht Zeichen einschließlich Sonderzeichen einzugeben", so Weimer.

Nicht nur das. Wenngleich allmählich entsprechende Lösungen auf den Markt kommen, können viele mobile Anwender an ihren Smartphones von IAM-Diensten wie zentralisierten Single-Sign-on (SSO) und Directory-Services nur träumen. "Je mehr die Mitarbeiter an ihren PCs davon profitieren, umso schmerzlicher registrieren sie die Abwesenheit solcher Services an den mobilen Geräten", beobachtet Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland. "Der SSO erspart den Mitarbeitern die Eingabe zahlreicher Autorisierungsprivilegien - für jede Applikation ein anderes Privileg." Directory-Services wiederum machten es den Administratoren einfacher, Benutzer und ihre Rechte und Rollen einzugeben sowie alle Einträge stets auf dem aktuellen Stand zu halten. "Solange PCs darin involviert sind, erspart das den Unternehmen erhebliche Administrationskosten, bei gleichzeitig mehr Sicherheit vor Angriffen von innen und außen", sagt Schöndlinger. Auf der mobilen Seite kämen solche Vorteile, sofern das eine oder andere mobile Betriebssystem vom IAM-System überhaupt unterstützt werde, nur bedingt zum Tragen. Mobile Geräte, die nicht in den Zugriffskontrollschirm integriert seien, blieben beim zentralen Auditing und Reporting hingegen außen vor. Das sei laut Schöndliger die "Achillesferse der Compliance".