Praxis-Tipps zur Mobile Security

So sichern Sie mobile Systeme richtig ab

Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.
Regelwerke (Policies) sind ein Mittel, um Mobilsysteme, Anwendungen und Unternehmensdaten abzusichern. Doch welche Punkte sollte eine Policy enthalten?

Nach Angaben der IT-Security-Firma Sophos lassen sich unter anderem folgende Einzelregelungen in eine Policy integrieren:

Betriebssysteme

Festgelegt wird, dass Mobilsysteme beispielsweise unter aktuellen Betriebssystemen laufen müssen, etwa unter iOS ab Version 6.x oder Android 4.x. Dies minimiert die Gefahren durch Geräte mit veralteter Systemsoftware, für die eventuell keine Sicherheitsupdates mehr verfügbar sind.

Folgende Punkte sollte in den Uagne von Sophos eine mobile Security Policy umfassen.
Folgende Punkte sollte in den Uagne von Sophos eine mobile Security Policy umfassen.
Foto: Natalia Merzlyakova, Fotolia.com

Passwortverwaltung

Alle vom User gespeicherten Passwörter müssen in einem besonders geschützten und verschlüsselten Passwort-Tresor auf dem System abgelegt werden.

Passwortstärke

Der Zugriff auf das System wird mithilfe eines starken Passworts abgesichert, das den firmenweiten Regelungen für das Passwort-Management entsprechen muss. Das heißt beispielsweise, dass nur Passcodes mit mindestens acht Ziffern, Buchstaben und Sonderzeichen verwendet werden dürfen, dass mindestens eine Ziffer und ein Sonderzeichen vorhanden sind und dass das Passwort nach einem bestimmten Zeitraum gegen ein neues getauscht werden muss.

Zugriff auf das Firmennetzwerk

Nur Endgeräte, die von der IT-Abteilung verwaltet werden, dürfen direkt mit dem Corporate Network verbunden werden. Zudem werden für einzelne User-Gruppen Zugriffsrechte definiert. Sie beziehen sich auf Anwendungen, Daten, Netzwerklaufwerke et cetera.

Regeln für User

Ob solche Regeln eingehalten werden, kann die IT-Abteilung kontrollieren, wenn ein Mobile Device Management (MDM) implementiert ist. Gleiches gilt für weitere Vorgaben, die seitens der Nutzer einzuhalten sind. Diese betreffen beispielsweise folgende Punkte:

Verbot des "Rootens"

Der User darf sein System weder "rooten" (Android) noch "jailbreaken" (iOS), also Nutzungsbeschränkungen seitens des Systemanbieters (Apple) entfernen oder sich zum "Super-User" aufschwingen. Jailbreaking beziehungsweise Rooten erleichtert es Angreifern, die Kontrolle über ein Endgerät zu übernehmen und sich eventuell in ein Firmennetzwerk vorzuarbeiten.

Rooten und Jailbreaken ist für Geräte im Business-Einsatz tabu.
Rooten und Jailbreaken ist für Geräte im Business-Einsatz tabu.
Foto: phloxii, Fotolia.com

Software-Installation

Es dürfen keine Programme aus dubiosen Quellen installiert werden, auch nicht auf privaten Geräten, die geschäftlich genutzt werden. Nötigenfalls kann die IT-Abteilung eine "White List" oder "Schwarze Liste" mit erlaubten beziehungsweise verbotenen Apps erstellen.

Meldung sicherheitsrelevanter Vorfälle

Bei Verlust eines Endgeräts muss der User dies umgehend der IT-Abteilung melden, damit sie das System remote löschen oder sperren kann.

Verschlüsselung

Falls die firmeninternen Sicherheitsrichtlinien das vorsehen, müssen das System und Massenspeicher wie SD-Karten verschlüsselt werden.

Management und firmeneigene Software

Der Nutzer muss dulden, dass das Unternehmen firmenspezifische Software auf dem System installiert und es in das Systemmanagement einbindet. Dies schließt die Anbindung an Verzeichnisdienste wie Microsoft Active Directory oder LDAP mit ein. Über solche Dienste kann die IT-Abteilung rollenspezifische Zugriffsrechte vergeben.

Trennung privat - geschäftlich

Speziell bei privaten Systemen, die ein Nutzer auf im Unternehmen einsetzt, sollte eine Trennung beider Sphären gegeben sein. Das heißt beispielsweise, dass der Nutzer keine Geschäfts-E-Mails über private E-Mail-Accounts verschickt. Außerdem kann festgelegt werden, dass keine Synchronisation von privaten Daten wie Musikdateien mit Workstations im Unternehmen erfolgt.