Kaum eine Studie zu IT-Sicherheitsrisiken kommt ohne die Aussage aus, dass mobile Endgeräte wie Smartphones oder Tablets zu den Hauptangriffszielen der Hacker und Internetkriminellen gehören. Gerade die Sicherheitslücken in den mobilen Apps sind zu einem wesentlichen Risiko für Datenmissbrauch und Datenverlust geworden.
Das wird sich in den nächsten Jahren kaum ändern - im Gegenteil: Marktforscher wie Gartner erwarten für 2017, dass 75 Prozent der mobilen Sicherheitsvorfälle aus der fehlerhaften Konfiguration von Apps resultieren werden. Parallel dazu wird die Zahl der installierten und genutzten Apps massiv ansteigen. Mehr als 100 Apps und Dienste sollen mobile Anwender in 2017 täglich nutzen, so eine weitere Gartner-Prognose.
Mobile Device Management reicht nicht aus
Um den Einsatz mobiler Endgeräte abzusichern, setzen viele Unternehmen auf Mobile Device Management (MDM). Mit einem klassischen Mobile Device Manager lassen sich viele der mobilen Risiken minimieren, allerdings nicht alle.
So gehören zu den typischen Funktionen einer MDM-Lösung die zentrale Steuerung von Sicherheitseinstellungen wie die Forderung eines Gerätepasswortes und die Pflicht zur Verschlüsselung des mobilen Datenspeichers. Geht ein Endgerät verloren oder wird es gestohlen, können Administratoren mit einer MDM-Lösung versuchen, das Tablet oder Smartphone aus der Ferne zu löschen. Zudem kann der Gerätestatus abgefragt werden wie zum Beispiel die Version und der Patchstand des mobilen Betriebssystems - vorausgesetzt, die entsprechende mobile Plattform wird vom Mobile Device Manager unterstützt.
Meist lassen sich weitere Vorgaben mit MDM durchsetzen wie die Freigabe oder Blockade bestimmter Schnittstellen und Netzwerkverbindungen. Je nach MDM-Lösung können grundsätzliche Sicherheitsvorgaben auf der Ebene von Apps gemacht werden. Für eine umfassendere App-Kontrolle jedoch wird bereits ein Mobile Application Management (MAM) oder aber Dual-Use-Konzepte wie App-Container zur Kapselung privater oder betrieblicher Apps benötigt. Gartner zum Beispiel empfiehlt, MDM-Lösungen um App-Shielding oder Daten-Container zu ergänzen.
- Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management? - Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden. - ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung. - Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle. - Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich. - Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen. - Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen. - User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.
Selbst Mobile Application Management ist zu wenig
Als Erweiterung klassischer MDM-Lösungen bieten Mobile Application Manager zahlreiche Funktionen, um die Verwendung einzelner Apps zu regeln und abzusichern. MAM-Lösungen unterstützen meist einen Enterprise App Store, der alle betrieblich freigegebenen Apps enthält, andere Quellen für App-Downloads werden nicht zugelassen.
Der App-Bestand auf den Endgeräten und die App-Nutzung werden mittels MAM überwacht, Apps lassen sich unterscheiden in betrieblich und privat, bestimmte Gerätefunktionen wie die Nutzung der Kamera können beschränkt, andere Funktionen wie VPN können für Apps zwingend vorgeschrieben werden.
Mobile Datensicherheit darf sich aber nicht auf Endgeräte und Apps beschränken, sondern muss die Daten, die Nutzer, die Einsatzsituation und die mobile Umgebung berücksichtigen. Unternehmen sollten ihre Sicht auf mobile Risiken erweitern und die mobilen Sicherheitslösungen vervollständigen.
- Kontrolle am Endpunkt
Lösungen für Endpoint Security wie der CoSoSys Endpoint Protector enthalten auch Funktionen für ein Mobile Device Management und Mobile Application Management. Mobile Risiken lauern aber nicht nur in den Geräten und Apps und können sich dynamisch ändern. - Risiko-Management per App
Klassische Lösungen für Mobile Device Management (MDM) erlauben es Unternehmen, Apps freizugeben (White List) oder zu sperren (Black List). Ein Mobile oder App Risk Management wie das von Appthority bewertet das App-Risiko automatisch und macht aktiv Vorschläge für App-Freigaben und -Blockaden. Unternehmen werden so bei der App-Bewertung entlastet. - Gefährdete Games
Zu den besonders riskanten Apps gehören die Spiele-Apps (Games-Apps). Durch BYOD kommen auch solche Apps auf betrieblich genutzte mobile Endgeräte und müssen bei der Risikobewertung berücksichtigt werden. - MobileIron trifft Splunk
Durch die Integration von MDM-Lösungen mit Analytics-Plattformen kann der Sicherheitsstatus und das aktuelle Risiko für mobile Endgeräte noch genauer bestimmt werden, wie beispielsweise die Einbettung der Splunk-Software in MobileIron Enterprise Mobility Management zeigt. - Vorsicht, Compliance!
Mobile Risk-Management-Lösungen wie Fixmo Sentinel bewerten die aktuellen Risiken, die mit der Verwendung bestimmter mobiler Endgeräte verbunden sind, und warnen vor möglichen Compliance-Problemen.
Mobile Risiken sind sehr vielschichtig
Risikobewertungen zur mobilen Datensicherheit wie die Top Ten Smartphone Risks der EU-Agentur für Netz- und Informationssicherheit (ENISA) zeigen auf einem Blick, wie vielfältig die Bedrohungen bei Mobile Computing sind. Als besonders riskant werden der Datenverlust durch Geräteverlust und -diebstahl, der ungewollte Datenabfluss durch Fehler der Anwender und die fehlende Sicherheit bei der Ausmusterung von Smartphones bewertet.
Doch betrachtet man diese Risiken genauer, zeigt sich, dass das tatsächliche Ausmaß der mobilen Bedrohung von weiteren Faktoren abhängt: Wo genau wurde das Endgerät verloren? Wer war der Nutzer und welche Art von Daten wurden mobil genutzt? An wen wurde das Smartphone abgegeben oder wie wurde es entsorgt?
Die genauen Antworten auf diese Fragen haben Einfluss auf das tatsächliche Risiko und die erforderlichen Schutzmaßnahmen. So macht es einen Unterschied, ob ein Smartphone im zutrittsgeschützten Serverraum oder am Hauptbahnhof verloren geht, ob der Nutzer Vorstand oder Praktikant war und ob das Endgerät sicher entsorgt oder im Internet versteigert wurde.
Es ist Zeit für ein Mobile Risk Management
So wichtig der Einsatz von MDM- und MAM-Lösungen und so hilfreich eine grundsätzliche Risikobewertung für Tablets und Smartphones auch sind - für eine Abwehr mobiler Risiken, die dem aktuellen Schutzbedarf entspricht, braucht es mehr. Dabei bedeutet "mehr" nicht unbedingt zusätzliche Sicherheitsmaßnahmen, sondern vielmehr passende Sicherheitsmaßnahmen.
Foto: Appthority
Eine Anpassung der mobilen Datensicherheit an die tatsächlichen Risiken hilft nicht nur der Compliance und dem Datenschutz, es ist auch wirtschaftlicher: So fordert selbst der strenge deutsche Datenschutz nur verhältnismäßige Schutzmaßnahmen, entsprechend dem Schutzbedarf. Verhältnismäßigkeit kann Kosten senken und die Nutzerakzeptanz steigern und sollte Ziel jedes Datensicherheitskonzeptes sein.
Für den Schutz mobiler Endgeräte bedeutet dies, Mobile Device Management, Mobile Application Management und Mobile Information Management (MIM) in Richtung eines umfassenden und fortschrittlichen Mobile Risk Managements zu entwickeln.
Mobile Risk Manager sind bereits verfügbar
Ein Mobile Risk Management kann durch die Kombination von MDM- und MAM-Lösungen mit kontextsensitiver Sicherheit erzielt werden. Vorausgesetzt es bestehen entsprechende Schnittstellen, können Lösungen für eine kontextsensitive Security genutzt werden, um die zur aktuellen Risikolage passenden Sicherheitsmaßnahmen zu ermitteln und zusammen mit MDM und MAM umzusetzen.
Es gibt aber bereits spezielle Tools, die sich dem Mobile Risk Management (MRM) verschrieben haben. Dabei werden je nach Lösung mobile Risiken ermittelt und bewertet auf der Ebene von Geräten, Betriebssystemen und Apps, auf Nutzerebene, auf Basis der aktuellen IT-Umgebung (wie verbundene Server), unter Berücksichtigung des aktuellen Standorts, der genutzten Daten, aber auch der jeweiligen Compliance-Vorgaben, die zum Teil von der Branche des Nutzers abhängen.
Die mobilen Risiken werden von den MRM-Lösungen nicht nur aus reiner Datenschutzsicht bewertet. Je nach Vorgabe des Anwenderunternehmens werden zusätzlich die möglichen finanziellen Auswirkungen, ein denkbarer Schaden für das Unternehmensimage und die Positionierung im Wettbewerb betrachtet. Es geht also um eine umfassendere Sicht auf die Folgen mobiler Gefahren, als dies bei klassischen Ansätzen der Datensicherheit üblich ist.
Beispiele für Mobile Risk Manager (MRM)
Die Mobile Security Management Plattform von Marble Security enthält neben klassischen Sicherheitsfunktionen wie Anti-Malware, VPN, App-Scanner und mobiler Webfilter auch die Funktion "Dynamic Risk Scoring & Remediation". Diese berechnet abhängig von Nutzer, Gerät, Apps und Verbindungen einen aktuellen Risikowert sowie eine risikoabhängige Zugangskontrolle zu Apps und dem Unternehmensnetzwerk. Ab einem definierten Risikowert erfolgt dann eine Zugangssperre.
Rapid7 MobiliSafe bestimmt einen sogenannten TrustScore für jedes verwaltete mobile Gerät. Basis des TrustScore sind die entdeckten Schwachstellen und deren Kritikalität. Abhängig von definierten Schwellwerten für den TrustScore wird der Zugang zum Unternehmensnetzwerk erlaubt oder blockiert, erhalten die Nutzer Sicherheitshinweise oder die Administratoren entsprechende Warnungen.
Lösungen wie Appthority App Risk Management analysieren dynamisch die App-Nutzung und das App-Verhalten für die überwachten Endgeräte und bewerten die bestehenden App-Risiken. Anders als bei statischen Black Lists und White Lists wird die Nutzung bestimmter Apps nicht einfach verboten oder erlaubt, sondern regelmäßig bewertet. Die Sperre oder Freigabe einer App wird dabei vom aktuellen App-Risiko, von der jeweils ermittelten App Reputation (Appthority Trust Score) abhängig gemacht. Einen ähnlichen Ansatz verfolgt Mojave Application Reputation.
Foto: Appthority
Ob ein mobiles Endgerät Zugang zum Unternehmensnetzwerk erhält oder nicht, machen Lösungen wie der IBM Security Access Manager for Mobile ebenfalls von einem aktuellen Risikowert abhängig, der unter anderem mit dem aktuellen Standort des Nutzers und dem Status des jeweiligen Endgeräts zusammen hängt.
MRM darf nicht selbst zum Risiko werden
Der wesentliche Vorteil des Mobile Risk Managements gegenüber klassischem MDM besteht darin, den aktuellen Schutzbedarf und das aktuelle Risiko für das einzelne mobile Gerät dynamisch zu bestimmen. Dabei spielt meist der mobile Nutzer eine entscheidende Rolle, seine Berechtigungen, seine gegenwärtige App-Nutzung, sein Standort und seine Daten.
Wenn jedoch der Anwender und die Nutzung so detailliert durchleuchtet werden, ist zumindest theoretisch ein umfassendes mobiles Nutzerprofil nicht fern, zumal viele Lösungen nicht mit Pseudonymen, sondern mit der tatsächlichen Nutzerkennung und Geräte-ID arbeiten, über die eine Verknüpfung zum einzelnen Anwender hergestellt werden kann.
Foto: MobileIron
Unternehmen sollten deshalb ihre Mobile-Risk-Management-Lösung vor Zweckentfremdung und Missbrauch schützen. Die Nutzeranalysen unterliegen einer besonderen Zweckbindung und dürfen nur für die Risikobewertung, nicht aber für eine Verhaltens- und Leistungskontrolle der Anwender eingesetzt werden. Damit also MRM nicht selbst zum Risiko für den Datenschutz wird, sollte der Zugang zur MRM-Lösung am besten über eine Zwei-Faktor-Authentifizierung geschützt werden. Der Zugriff auf die Protokolle der MRM-Lösung sollte nur nach dem Vier-Augen-Prinzip möglich sein.
Es empfiehlt sich wegen des zu erwartenden Personenbezugs der Protokoll- und Analysedaten vor der Einführung einer MRM-Lösung mit dem betrieblichen Datenschutzbeauftragten zu sprechen, über die Vorteile für die mobile Datensicherheit, aber auch über den notwendigen Schutz der Nutzerdaten. (sh)