Android, iPhone und Co. sind ein Sicherheitsrisiko. Das zumindest behaupten 94 Prozent der IT-Verantwortlichen. Dennoch haben 59 Prozent der Befragten keine oder nur mäßig effektive Maßnahmen zum Schutz ihrer Smartphones im Einsatz. Zu diesem Ergebnis kommt eine Studie von IDG Research Services, die der Sicherheitssoftware-Anbieter Symantec in Auftrag gegeben hat.
Zwischen den Bedenken der IT-Manager und der tatsächlichen Sorge für die Smartphone-Sicherheit klafft demnach eine große Lücke.
Mangelnde IT-Sicherheit
Die Hindernisse bei der Umsetzung der IT-Sicherheit sind nicht nur bei den Kosten zu suchen. Wie das Ponemon Institute im Auftrag von Lumension erforschte, scheitert die IT-Sicherheit oftmals an der Vielzahl der zu schützenden Endpunkte und den unwirksamen Strategien in der technischen Ausführung.
Viele Unternehmen suchen deshalb nach möglichst einfachen, aber effektiven Lösungen zur Verbesserung ihrer IT-Sicherheit. Mittelfristig werde jedes vierte Unternehmen aus diesem Grund eine Sicherheitslösung aus der Cloud wählen und Teile der IT-Sicherheit im Outsourcing-Modell betreiben lassen. Laut Bitkom bezieht schon heute jedes sechste Unternehmen Sicherheitsservices wie Virenbekämpfung oder Benutzerauthentifizierung aus der Cloud.
Vorteile der Cloud-Security-Lösung
Die wesentlichen Vorteile einer Sicherheitslösung aus der Cloud ähneln denen anderer Anwendungen im Cloud Computing. Hohe Anfangsinvestitionen in eine eigene Sicherheitsinfrastruktur werden vermieden, die interne IT-Abteilung wird entlastet, die Cloud-Lösungen lassen sich flexibel nutzen und dem Bedarf entsprechend anpassen. Die Einführung einer neuen Sicherheitslösung wird beschleunigt, außerdem gewährleistet der Dienstleister eine hohe technische Aktualität.
Die Sicherheitslösung ist überall dort verfügbar, wo es einen Internet-Zugang gibt, und benötigt nur geringe eigene IT-Ressourcen beim Anwender. Damit ergeben sich ideale Voraussetzungen für Security-Lösungen aus der Cloud auf Smartphones und anderen mobilen Endgeräten.
Einfache Administration
Wegen der Vielzahl an betrieblich genutzten Smartphones und der Einschränkungen von Rechenleistung und Akkulaufzeit der meis-ten mobilen Endgeräte bieten sich Sicherheitslösungen aus der Cloud geradezu an. Das Unternehmen braucht sich nicht um den Schutz jedes einzelnen Smartphones zu kümmern, Client-Installationen werden überflüssig, und die Smartphone-Leistung kann für die eigentlichen Business-Anwendungen eingesetzt werden. Gleichzeitig wird der einzelne Nutzer entlastet, der sich nicht um die Konfiguration und Aktualisierung der Sicherheitsanwendung auf seinem Smartphone kümmern muss.
Die Administratoren erhalten aus der Cloud einen zentralen, einheitlichen Überblick über die zu schützenden mobilen Endgeräte und können die Einhaltung der Sicherheitsrichtlinien in nur einer Oberfläche überwachen, unabhängig davon, wo sich der Smartphone-Nutzer gerade befindet.
Alle Sicherheitsaspekte abgedeckt
Cloud-basierende Sicherheitslösungen für Smartphones werden zweifellos in Zukunft an Bedeutung gewinnen, sie sind aber auch schon heute in großer Zahl auf dem Markt verfügbar. Unternehmen können sich dabei für Cloud-Lösungen entscheiden, die viele der erforderlichen Sicherheitsfunktionen für Smartphones in sich vereinen. Daneben sind auch verschiedene Speziallösungen erhältlich, die für mobile Verschlüsselung, mobile Backups, mobile Datenlöschung, App-Kontrolle, Device-Management oder für die mobile Erkennung von Malware und Spam gedacht sind.
Mobile Verschlüsselung
Vier von zehn Unternehmen berichten von verloren gegangenen oder gestohlenen Mobilgeräten, wobei sich auf der Hälfte der betroffenen Geräte geschäftskritische Daten befanden, so eine Studie von McAfee und der Carnegie Mellon University. Trotzdem halten nur 38 Prozent der deutschen Smartphone-Nutzer eine Verschlüsselung auf Smartphones für notwendig, wie eine Umfrage von Steria Mummert ergab.
Mit einer Cloud-Lösung wie "Proofpoint Mobile Encryption" lässt sich die Verschlüsselung auf Smartphones automatisieren. Nach der Einrichtung lassen sich E-Mails mit einem Klick entschlüsseln. Für Blackberry-Geräte gibt es auch ein Plugin zur Verschlüsselung von E-Mails. Mit "Zscaler E-Mail Security Cloud" können Administratoren die von Smartphone-Nutzern gesendeten und empfangenen E-Mails je nach Absender, Empfänger und Inhalt auf einen verschlüsselten Übertragungsweg lenken.
Mobile Backups
Der Verlust eines Smartphones kann sehr teuer werden, wenn die darauf befindlichen Daten nicht gesichert sind. Trotzdem sichert mehr als die Hälfte der Smartphone-Nutzer die Daten höchstens wöchentlich. Doch die Datensicherung lässt sich auf Smartphones ohne großen Aufwand automatisieren. Dabei helfen Cloud-Lösungen, die wie "Proofpoint Mobile Archive" speziell für die Sicherung von E-Mails auf iPhones und iPads gedacht sind.
"F-Secure Mobile Backup" erledigt die Sicherung und Wiederherstellung der Daten unabhängig vom Gerätetyp oder mobilen Betriebssystem - besonders nützlich, wenn das ursprüngliche Gerät verloren gegangen ist.
Mobile Datenlöschung
Kommt ein Smartphone abhanden oder wird es gestohlen, kann die Fernlöschung (Remote Wipe) der darauf gespeicherten Daten der letzte Ausweg sein, um einen Datenmissbrauch zu verhindern. Entsprechende Funktionen bieten bereits viele mobile Betriebssysteme, aber auch spezielle Cloud-Sicherheitslösungen.
So können Anwender ein verlorenes iPhone über die iCloud orten, sperren und die auf dem Gerät gespeicherten Daten löschen. Von Geräten und Betriebssystemen unabhängig funktionieren Cloud-Lösungen wie die "Security and Compliance Console" von Syncplicity oder McAfees "WaveSecure". Alle diese Lösungen bieten zudem weitere Sicherheitsfunktionen wie etwa mobile Backups.
App-Kontrolle
17 Mini-Applikationen (Apps) sind durchschnittlich auf einem Smartphone installiert, und der App-Boom geht weiter, da ist sich der Branchenverband Bitkom sicher.
Die Apps selbst sind allerdings nicht unbedingt sicher. Wie Lookout im "Mobile Threat Report" berichtet, hat sich die Zahl der schädlichen Apps bei Android binnen sechs Monaten verfünffacht. Auch bei der Überwachung der App-Installationen und der Prüfung der genutzten Apps kann die Cloud helfen, zum Beispiel mit den MobileIron-Lösungen "Mobile Application Distribution" zur kontrollierten Verteilung der Apps, "Mobile Application Inventory" für ein zentrales App-Management und "Mobile App Security" zur Durchsetzung der internen App-Richtlinien.
Mobile-Device-Management
Vielen Unternehmen ist der aktuelle Sicherheitsstatus von Smartphones unbekannt, selbst wenn damit auf das Firmennetz zugegriffen wird. Gleichzeitig fürchten fast 60 Prozent der Firmen, dass über Smartphones Schadprogramme eingeschleust werden könnten, wie die bereits erwähnte McAfee-Studie zeigt.
Mit einer Device-Management-Lösung erhalten Unternehmen den notwendigen Überblick über den Status der mobilen Geräte und können zentral die Sicherheitsvorgaben durchsetzen, zum Beispiel indem als unsicher eingestufte Geräte vom Netzzugang ausgeschlossen werden.
Solche Sicherheitslösungen muss der Anwender nicht selbst installieren und betreiben. "Zencloud" von Zenprise, "MobileIron Connected Cloud" und Fiberlinks "MaaS360" zum Beispiel bieten eine vollständige Management-Lösung für Smartphones und setzen die internen Regeln durch, sei es die Passwort-Richtlinie, die Zwei-Faktor-Authentifizierung oder die regelmäßige Aktualisierung der Sicherheitssoftware auf dem Smartphone. Auch die Fernlöschung von Daten und die Kontrolle der installierten Smartphone-Apps sind damit über das Internet möglich.
Spam- und Malware-Erkennung
Seit Sommer 2010 hat die Zahl der Android-Schädlinge um 400 Prozent zugenommen. Dieses Ergebnis des "Malicious Mobile Threats Report" von Juniper Networks zeigt mehr als deutlich, dass Malware auf Smartphones ein ernst zu nehmendes Problem sind. Der Malware-Schutz auf Smartphones hinkt allerdings deutlich hinterher: Während laut einer Kaspersky-Umfrage 84 Prozent der PC-Nutzer einen Antivirenschutz verwenden, sind es bei den Smartphone-Nutzern nur zehn Prozent.
Cloud-Lösungen zur Abwehr von Malware und Spam schonen nicht nur die begrenzten Smartphone-Ressourcen, sie benötigen auch keine Updates auf dem Smartphone. Die Malware-Erkennung und die Spamfilter in der Cloud werden durch den Betreiber aktualisiert. Cloud-basierten Virenschutz bieten zum Beispiel die "Lookout"-App, "Bitdefender Mobile Security" und "Zcaler Mobile". Installiert werden muss jeweils nur eine kleine App. Der eigentliche, rechenintensive Scan-Prozess findet in der Cloud statt.
Datenschutz nicht vergessen!
So vorteilhaft die Verwendung von Sicherheitslösungen aus der Cloud auch sein mag, die hohen Anforderungen an Cloud Computing gelten auch für eine Cloud-basierte Sicherheitslösung. Vergessen werden sollte nicht die mögliche Abhängigkeit vom Sicherheitsanbieter, die sich besonders bei einem Ausfall der Cloud-Lösung zeigen kann.
Aus Sicht der Datenschützer handelt es sich bei Cloud Computing grundsätzlich um eine Auftragsdatenverarbeitung, wenn personenbezogene Daten im Spiel sind. Dies kann zum Beispiel bei der zentralen Verwaltung der Smartphones, der Überwachung der Sicherheitsrichtlinien und beim Reporting zu sicherheitsrelevanten Ereignissen und Nutzeraktivitäten der Fall sein.
Bring your own Device
Eine besondere Herausforderung besteht, wenn private Smartphones betrieblich genutzt werden (Bring your own Device = ByoD) oder betriebliche Smartphones für die Privatnutzung freigegeben sind. Dann könnten private Nutzerdaten von den Sicherheitsanalysen in der Cloud betroffen sein.
Spezielles Augenmerk auf ByoD legen zum Beispiel die Cloud-Lösungen von MobileIron und IBMs "Hosted Mobile Device Security Management Service". Mit solchen Lösungen können auch private Smartphones entsprechend den internen Sicherheitsrichtlinien des Unternehmens abgesichert werden.
Voraussetzung ist jedoch, dass geeignete interne Sicherheitsrichtlinien für mobile Endgeräte tatsächlich vorhanden sind. Laut einer Umfrage von Courion fehlen solche Vorgaben für mobile Endgeräte in 20 Prozent der Unternehmen. Diese sollten die Nutzung von Smartphones dringend regeln. Alles kann eben auch die Cloud nicht abnehmen. (wh/ms)
Oliver Schonschek ist freier IT-Fachjournalist in Bad Ems.