Mobile Technologien sind ohne Frage ein entscheidender Innovationsmotor bei der digitalen Transformation von Firmen und Organisationen. Durch die zunehmende Mobilisierung von Geschäftsprozessen und die Erschließung neuer Mobility-Use-Cases werden Smartphone, Tablet und Co. zu immer wertvolleren Informationsträgern und -mittlern, die allerdings – und das ist die Kehrseite der Medaille - auch stärker in das Fadenkreuz von Cyber-Kriminellen rücken.
Foto: Ahuli Labutin - shutterstock.com
Um herauszufinden, was sich an der Situation in deutschen Firmen seit der letzten Bestandsaufnahme aus dem Jahr 2015 verändert hat, hat IDC für die Studie „Mobile Security in Deutschland 2017“ im Dezember 2016 erneut 256 IT-Entscheider und Anwender aus Unternehmen mit mehr als 100 Mitarbeitern in Deutschland zum Thema befragt. Die Ergebnisse wurden der IT-Fachpresse im Februar 2017 in München vorgestellt. Neben dem Studienautor Mark Alexander Schulte teilten Dietmar Schnabel (Check Point Software), Peter Machat (MobileIron), Peter Rost (Rohde & Schwarz Cybersecurity) und Judith Hoffmann (Samsung Electronics) ihre Sicht auf den Markt mit den anwesenden Journalisten. Bernd Lehmann von der Kreisstadt Siegburg vertrat die Anwenderperspektive. Moderiert wurde die lebendige Diskussionsrunde von Lynn Thorenz, Leiterin des Bereichs Research und Consulting bei IDC.
Neue Angriffsszenarien und neue Security Assets verlangen neue Lösungen
Fakt ist: In Deutschland werden seit 2015 in Summe mehr Smartphones und Tablets verwendet als Desktop-PCs und Laptops. Für Cyber-Kriminelle ist die Programmierung von Malware für mobile Betriebssysteme und Applikationen dadurch noch attraktiver geworden. Die neue IDC-Studie bestätigt dies: 65 Prozent der befragten Unternehmen berichten von Erfahrungen mit Angriffen auf mobile Endgeräte, das ist ein Anstieg um 8 Prozentpunkte gegenüber 2015 - die Dunkelziffer an unentdeckten Vorfällen nicht einmal berücksichtigt. Immer mehr Anwenderfirmen müssen jetzt feststellen: Je intensiver sie Smartphones, Tablets & Co. für das Business Enablement ihrer Mitarbeiter einsetzen, desto wichtiger wird deren Absicherung.
Foto: Quelle: IDC
Dass beim Thema Security das Management der mobilen Geräte in Form von EMM (Enterprise Mobility Management) eine wichtige Rolle spielt, stellte Peter Machat, Director DACH-CEE von MobileIron klar: „Bei EMM verfügt zum Beispiel jede App über einen isolierten Speicherplatz und isolierten Arbeitsspeicher. Damit sind die Daten der Apps vor den Aktionen anderer Apps auf dem Gerät geschützt.“
Vieles richtig gemacht hat in diesem Punkt Bernd Lehmann, Co-Dezernent der Kreisstadt Siegburg. Dort sind zahlreiche Prozesse in unterschiedlichen Aufgabenbereichen der Stadtverwaltung bereits für die Nutzung mit iOS- oder Android-Smartphones und Tablets ausgelegt, wie etwa bei der Überwachung des ruhenden Verkehrs durch die Ordnungskräfte der Stadt, aber auch im Umweltschutz oder in der Gebäudeverwaltung. Zur Prozessoptimierung nutzt die Kommune die EMM-Plattform von MobileIron. „Unsere Bürger wollen die Mitarbeiter der Fachbereiche flexibel erreichen können und vor allem zeitnah eine kompetente Auskunft erhalten“, berichtet Lehmann. „Eine sichere mobile Anbindung an digitale Akten und entsprechende Verwaltungsabläufe auch im Außendienst und Home-Office sind dafür unerlässlich“.
Gefährlicher als Cyberkriminelle: Die Mitarbeiter sind das größte Sicherheitsrisiko
Dass laut der Studie fast die Hälfte aller sicherheitsrelevanten Vorfälle mit mobilen Geräten durch die eigenen Mitarbeiter verursacht wird, zeigt: Fachbereiche und Endanwender verfügen in der Regel nicht über das notwendige IT- und Security-Know-how, um die eigenen Endgeräte hinreichend zu schützen. Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies, sieht hier aber auch die Anbieter gefordert. „Die Sicherheit kann nicht nur auf die Anwender abgeladen werden“, so Schnabel. „Die Anbieter sind in der Pflicht, sichere Architekturen im Hintergrund bereitzustellen.“ Seine Forderung traf bei allen Diskussionsteilnehmern auf Zustimmung.
Peter Rost, bei Rohde & Schwarz Cybersecurity für Business Development und Strategie zuständig, betonte in diesem Zusammenhang, dass in seinem Unternehmen „Security by Design“ Priorität genieße und zum Beispiel in Form eines gehärteten Android-Kernels umgesetzt werde. Judith Hoffmann, Senior Manager IT Channel, IT & Mobile Communication bei Samsung Electronics erläuterte den Ansatz ihres Unternehmens, mit Knox tiefgreifende Security Layer auf den Samsung Mobilgeräten zu integrieren, die eine stärkere Absicherung und ein besseres Management erlauben.
Die Zeit läuft: Wie weit sind die Firmen in ihren DSGVO-Bemühungen?
Strafzahlungen, Anwaltskosten und Geschäftsverluste treiben schon heute die Kosten durch Sicherheitsbrüche in die Höhe. 26 Prozent der befragten Unternehmen erlitten im vergangenen Jahr einen Schaden von mehr als 100.000 Euro durch Sicherheitsvorfälle mit mobilen Technologie. Hinzu kommen Reputations- und Vertrauensverluste, die finanziell gar nicht zu beziffern sind.
Nach der Übergangsfrist Ende Mai 2018 können Datenschutzbehörden Bußgelder von maximal 20 Millionen Euro oder vier Prozent des globalen Umsatzes erheben. Durch die DSGVO stehen Verletzungen im Datenschutz auf einer Stufe mit Bußgeldern für Geldwäsche oder Korruption. Auch die Meldepflicht von Sicherheitsbrüchen wird aus IDC-Sicht dazu führen, dass sich die Gewährleistung des Datenschutzes von einer IT-Aufgabe zu einem Thema der Vorstandsetagen entwickeln und Security-Investitionen massiv antreiben wird.
Überraschenderweise zeigten sich die befragten Unternehmen fast durch die Bank weg optimistisch im Hinblick auf die Einhaltung des Anwendungsdatums. 74 Prozent bereiten sich derzeit auf die Umsetzung der DSGVO vor, bei lediglich fünf Prozent der IT-Entscheidern ist das Thema noch nicht präsent. Aus IDC-Sicht unterschätzen viele IT-Verantwortliche allerdings die Veränderungen, die sich durch die DSGVO ergeben. Die neue Datenschutzverordnung erfordert ein deutlich proaktiveres Handeln, das bereits bei der Entstehung von personenbezogenen Daten ansetzt und darauf basierend geeignete Prozesse und Technologien auch im Bereich der Mobile Security erfordert.
Gefahr erkannt, Gefahr gebannt?
Die Gefahren werden also offenbar in der Fläche erkannt. Der Vergleich mit der IDC-Studie aus dem Jahr 2015 zeigt jedoch keine Verbesserung der Lage in deutschen Firmen und Organisationen auf, das Gegenteil ist der Fall. Was kann also die Lösung sein? Gibt es den einen Königsweg zu sicherer Mobility?
„IT-Entscheider sollten grundsätzlich Lösungen wählen, die den unterschiedlichen Sicherheitsanforderungen ihrer Nutzer entsprechen“, rät Rost. „One-fits-All wird nicht funktionieren“, warnt der Experte. Der Schutz müsse für die Benutzer in jedem Fall transparent sein. Aus Rosts Sicht bedeutet das, dass eine Sicherheitslösung fundamental sicher muss und möglichst wenig Angriffspunkte lassen darf.
Foto: Quelle: IDC
Peter Machat stimmt dem zu: „Sicherheitsmechanismen müssen so gestaltet sein, dass sie optimal greifen, ohne dass das Nutzererlebnis und damit die persönliche Produktivität beeinträchtigt werden.“ Und Judith Hoffmann ergänzt, dass man schon verloren habe, wenn ein sicheres Mobilgerät nicht einfach und intuitiv zu bedienen sei. Dies komme vor allem zum Tragen, wenn Unternehmen ihren Mitarbeitern die Nutzung privater Endgeräte für geschäftliche Zwecke nicht ermöglichen. Die IT habe zum Teil Berührungsängste mit BYOD, da der Anwender damit quasi eigene IT-Dienstleistungen erbringen kann. „Der Mitarbeiter wird zum Hired Hacker, er sorgt für Sicherheitsprobleme. Die IT muss beim Thema Sicherheit auf die Fachbereiche zugehen“, so Hoffmann weiter.
In der Praxis hat Bernd Lehmann die Erfahrung gemacht, dass die Anwender eigentlich mit der Sicherheit nichts zu tun haben wollen. Security sei immer nur dann ein Thema, wenn etwas passiere – diese Erfahrung teilten die meisten in der Runde. Die Komplexität beim Schutz mobiler Endgeräte mache das Thema auch für die Wirtschaft schwierig, berichtet Dietmar Schnabel aus seiner Erfahrung. „Das Wissen über Mobile Security hängt stark von der Unternehmensgröße ab, vor allem kleinere Unternehmen fühlen sich davon oft nicht betroffen“, so der Experte. Es fehle hier wie dort das Verständnis der Risiken, auch im Hinblick auf notwendige Investitionen.
Es gibt also noch einiges zu tun in deutschen Firmen und Organisationen – und zwar weit über den DSGVO-Stichtag im Mai 2018 hinaus. Der Faktor Mensch bleibt als Risiko bestehen, auch wenn die Auswirkungen von Fehlern minimiert werden können, da sind sich alle Teilnehmer der Diskussionsrunde einig. Organisatorische Maßnahmen müssen technologische Ansätze begleiten, um die Endanwender für Gefahren zu sensibilisieren und einen sicheren Umgang mit den Unternehmensdaten auf dem Smartphone zu fördern. Hier sind nach Ansicht von IDC auch die Anbieter gefordert, neben sicheren Technologien auch entsprechende – und nicht zuletzt ansprechende – Education-Services bereitzustellen. (mb)