Sicherheitsrisiko Smartphone

Erfolg im Business ist heutzutage nicht zuletzt eine Frage der Geschwindigkeit. E-Mails, Termine und Dokumente müssen überall und zu jeder Zeit zugänglich sein. Mit mobilen Geräten wie dem iPhone und iPad haben neben etablierten Business-Lösungen ausgewiesene Consumer-Endgeräte Einzug in geschäftskritische Infrastrukturen gehalten.

Dies stellt IT-Betreiber vor die Herausforderung, angemessene Sicherheit auf diesen Geräten zu gewährleisten. Neben entsprechender Infrastruktur sind dabei Detailwissen und funktionierende Prozesse gefragt, um die grundsätzlichen Designprobleme in Bezug auf Sicherheit zu umschiffen, ohne dabei jedoch die Usability und damit die Akzeptanz zu beeinträchtigen. Aber auch beim Betrieb etablierter Business-Lösungen wie dem Blackberry spielt die Sicherheit eine häufig unterschätzte Rolle.

Smartphone-Verlust mit fatalen Folgen

Der Einsatz von Smartphones stellt Unternehmen vor dieselben Herausforderungen, wie sie seinerzeit für die Absicherung von IT-Infrastrukturen, Desktop- und Server-Systemen bestanden haben. Es gibt so gut wie keine technischen Lösungen zur nachhaltigen Absicherung von Smartphones und mobile Endgeräten. Außerdem wächst durch die ständig steigende Kapazität dieser Geräte die Menge vertraulicher Daten, die sie aufnehmen können, kontinuierlich. Der Verlust eines einzigen Smartphones kann daher fatale Auswirkungen auf ein gesamtes Unternehmen haben.

Security-Checkliste: Smartphone im Business
Der Smartphone-Einsatz in Unternehmen birgt hohe Sicherheitsrisiken. Lesen Sie hier, was Sie beachten sollten.

Punkt 1:
Sicherheit zum zentralen Kriterium bei der Produktauswahl machen

Punkt 2:
Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln.

Punkt 3:
Sichere Konfiguration der Endgeräte berücksichtigen.

Punkt 4:
Sichere Integration in Unternehmens-IT umsetzen.

Punkt 5:
Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden

Punkt 6:
Benutzerrichtlinien für den Umgang mit Endgeräten definieren.

Kinderkrankheiten in Sachen Sicherheit

Hinzu kommt, dass es sich bei Smartphones um eine junge Technologie handelt, die mit zahlreichen Kinderkrankheiten in puncto Sicherheit zu kämpfen hat und mit hoher Wahrscheinlichkeit Angriffsvektoren bietet, die bisher noch nicht entdeckt worden sind. Man braucht in diesem Zusammenhang nur an die bisher als sicher geltenden SMS-TAN-Verfahren der Online-Banken zu denken. Verwendet ein Benutzer sein Smartphone sowohl für Online-Banking als auch zum Empfang der TAN per SMS, ist die grundsätzliche Sicherheit des Verfahrens sofort hinfällig.

Smartphones sind lohnende Angriffsziele

Smartphones sind lohnende Angriffsziele, denn sie vereinen Eigenschaften von Server-Systemen mit denen der mobilen Kommunikation. Permanente Internet-Anbindung, Erreichbarkeit rund um die Uhr, Geo-Lokalisierung, private und dienstliche Daten wie E-Mail, Credentials, VPN-Zertifikate, Adressbücher und Dokumente lassen aus einem Smartphone für einen Angreifer das ideale Sprungbrett in gut gesicherte Infrastrukturen werden.

Mobile Endgeräte ungefährlicher machen

Neue Angriffsvektoren präventiv zu entschärfen ist kaum möglich. Daher empfiehlt sich beim Einsatz von Smartphones grundsätzlich eine hinreichend konservative Einstellung. Mit geeigneten technischen und organisatorischen Maßnahmen lassen sich zumindest bekannte Risiken minimieren und Anwender so sensibilisieren, dass sie beim Umgang mit mobilen Endgeräten ausreichend Sorgfalt walten lassen.

Sicherheitsaspekte bei Endgeräteauswahl beachten

Die Auswahl von Smartphones und mobilen Endgeräten sollte nicht nur unter finanziellen und funktionalen Gesichtspunkten, sondern von Anfang an auch unter dem Aspekt der Sicherheit erfolgen. Neben gerätespezifischen Merkmalen - wie zum Beispiel der Verschlüsselung der Gerätedaten, Zugriffsschutz und Schnittstellen - ist beim Betrieb vieler mobiler Endgeräte die der zentralen Verwaltung eine ganz wichtige Frage.

Idealerweise sollten sich die Endgeräte in vorhandene Administrations- und Sicherheitsmechanismen eingliedern lassen beziehungsweise die Möglichkeit bieten, ihre eigenen Mechanismen mit den bereits vorhandenen zu koppeln. Nur durch die Aggregation und Auswertung von Gerätedaten an zentraler Stelle erhält der Betreiber einen Überblick über den Zustand der Geräte, über Verstöße gegen Richtlinien und ähnliche Informationen.

Smartphones auf Sicherheitsrichtlinien prüfen

Ein wichtiger Aspekt ist auch, ob bereits Richtlinien zum Umgang mit mobilen Endgeräten (zum Beispiel für Notebooks) und der damit einhergehenden Verarbeitung von Daten außerhalb der eigenen IT-Infrastruktur im Unternehmen existieren. Ist dies der Fall, sollte ein weiteres Entscheidungskriterium bei der Auswahl einer Smartphone-Plattform die Frage sein, ob sich die vorhandenen Richtlinien auch auf dem neuen Gerät umsetzen lassen. Dürfen Daten beispielsweise nur auf verschlüsselten Datenträgern und Endgeräten das Unternehmen verlassen, scheiden Geräte ohne eine angemessene Möglichkeit zur Verschlüsselung bereits im Vorfeld aus der Betrachtung aus.

Wie bei der Verwaltung von Desktop-Systemen gilt auch bei Smartphones: Je fragmentierter die Geräte- und Betriebssystem-Basis, desto höher der Administrationsaufwand. Weniger ist also auch hier mehr, denn je unterschiedlicher die eingesetzten Geräte sind, desto schwieriger wird es, einheitliche Sicherheitsrichtlinien auf allen Geräten umzusetzen.

Checkliste zur Softwareauswahl
Sieben Tipps, wie Sie garantiert die richtige Software für Ihr mobiles Gerät finden.

Tipp 1:
Ist die Lösung ergonomisch auch für kleinere Displays von PDAs geeignet?

Tipp 2:
Berücksichtigt die Software auch die beschränkte Speicherplatzkapazität und Rechenleistung eines PDA, sofern dieser für den Einsatz geplant ist?

Tipp 3:
Bietet die Lösung einen Offline-Betrieb an und werden dazu ausreichende Mechanismen für die notwendige Datenreplikation bereitgestellt?

Tipp 4:
Berücksichtigt die Lösung Aspekte der sicheren Datenkommunikation und der Absicherung des Geräts gegen unbefugten Zugriff? Was geschieht bei Verlust des Geräts (kann das Gerät gesperrt beziehungsweise remote gelöscht werden)?

Tipp 5:
Liefert die Lösung die mobil erfassten Daten direkt in das Backoffice (zum Beispiel direkt aufbereitet für eine Faktura) oder ist hier mit Integrationsaufwand zu rechnen? Wie hoch ist dieser?

Tipp 6:
Können neue Softwareversionen problemlos per Fernzugriff ohne Zutun des Außendienstmitarbeiters zentral an alle mobilen Endgeräte verteilt werden?

Tipp 7:
Welches Maß an Flexibilität bringt die Anwendung mit sich? Kann die eigene IT-Abteilung selbst Veränderungen und Erweiterungen vornehmen?

Vier Faktoren für den sicheren Betrieb

Zum sicheren Betrieb von Smartphones gehören vier Faktoren:

• die Sicherheit der Endgeräte,

• die Sicherheit der Schnittstellen zur Unternehmens-IT,

• die organisatorischen Prozesse und Richtlinien im Unternehmen sowie

• das Gefahrenbewusstsein der Mitarbeiter.

1. Sicherheit der Endgeräte

Nach der Auswahl einer Plattform sollte als Erstes eine Sicherheitsrichtlinie zur Konfiguration der Smartphones aufgestellt werden. Diese Regeln sollten sich am Schutzbedarf der auf den Smartphones verfügbaren Daten orientieren sowie an unternehmensweit geltenden IT-Sicherheitsstandards. Wichtige Elemente einer solchen Richtlinie sind die Einrichtung automatischer Sperren, Vorgaben zur Stärke von Passwörtern, die Sicherheitskonfiguration des Internet-Browsers, eine Regelung der Verwendung externer Speichermedien am Smartphone und die Erlaubnis, respektive das Verbot der Installation von Programmen (Apps) durch den Benutzer. Nicht benötigte Schnittstellen sollten aus Sicherheitsgründen deaktiviert und nicht benötigte Software von den Geräten entfernt werden.

2. Anbindung an die Unternehmens-IT

Der zweite Schritt in Richtung Sicherheit betrifft die Geräteanbindung an die Unternehmens-IT. Hier sind die Möglichkeiten so vielfältig wie die verfügbaren Endgeräte. Für die Verwendung von Blackberry ist die Integration eines Blackberry Enterprise Server (BES) in die eigene IT notwendig. iPhone und iPad lassen sich direkt an Exchange- oder Notes-Umgebungen ankoppeln und darüber auch managen, so auch auf anderen Plattformen basierende Endgeräte. Eine Richtlinie zur Anbindung sollte Regelungen darüber enthalten, ob die Anbindung über VPN-Verbindungen erfolgt oder ob der Zugriff auf E-Mails über traditionelle Wege verläuft wie beispielsweise IMAP und SMTP.

Beim Thema E-Mail kommt in der Regel die Frage nach Verschlüsselungsmöglichkeiten auf. RIM bietet für den Blackberry verschiedene Möglichkeiten der E-Mail-Verschlüsselung. Auch ist die E-Mail-Kommunikation zwischen Geräten eines Unternehmens über den unternehmenseigenen BES als sicher zu betrachten. Anders sieht es bei iOS aus, also iPhone und iPad. Apple hat bis heute weder das Datenverschlüsselungsprogramm Pretty Good Privacy (PGP) noch Secure/Multipurpose Internet Mail Extensions (S/MIME) in iOS integriert, so dass iOS-basierte Geräte keine Möglichkeit zur Verschlüsselung von E-Mails bieten.

Problematisch kann das Thema E-Mail-Verschlüsselung werden, wenn Mitarbeiter E-Mails parallel auf Smartphone und Desktop bearbeiten, was in der Regel der Fall ist. Verschlüsselt das Smartphone E-Mails mit einer eigenen Lösung, sind diese E-Mails auf dem Desktop nicht lesbar. Kommt umgekehrt eine Desktop-Lösung zum Verschlüsseln zum Einsatz, beispielsweise PGP oder das freie Kryptografiesystem GNU Privacy Guard (GPG), bleiben diese E-Mails auf dem Smartphone unlesbar. Abhilfe können Gateways bieten, die E-Mails beim Empfang oder Senden durch den zentralen Mail-Server transparent ent- oder verschlüsseln.

Andlock Protection

AndLock Notification

Call Log Calendar

Pocket Informant

Pocket Informant

Multi Lang Dictionary

Google Finance

Google Finance

Project Viewer

Project Viewer

AVG Antivirus

AVG Antivirus

AVG Antivirus

RoadSync

RoadSync

Exchange by Touchdown

Exchange by Touchdown

Exchange by Touchdown

Phonebook 2.0

Phonebook 2.0

Otter

Call Log

CallFilter Add to List

CallFilter Block

DocumentsToGo

DocumentsToGo

WebSharing

WebSharing

EasyTether

EasyTether

Cam Card

Cam Card

FlightTrack

FlightTrack

CallFilter Block

Pocket Informant

Contact Group Manager

Contact Group Manager

Contact Group Manager

Bei Diebstahl Daten remote löschen

3. Management und Richtlinien im Unternehmen

Wichtiges Merkmal des zentralen Managements ist die regelmäßige Aktualisierung der Smartphones inklusive der installierten Programme. Ohne eine zentrale Kontrollinstanz gibt es keinen Überblick über die Softwarestände, und Mitarbeiter arbeiten unter Umständen jahrelang mit veralteter Software, die entsprechend viele Sicherheitslücken aufweist. Smartphones sollten daher zwingend in den normalen Patch-Management-Zyklus eingebunden werden, so wie alle Systeme eines Unternehmens.

Die Richtlinie zu Anbindung und Management der Smartphones sollte vorsehen, verlorene oder gestohlene Geräte aus der Ferne löschen zu können, um zu verhindern, dass Unternehmensdaten in unbefugte Hände gelangen. Hierzu müssen die technischen Voraussetzungen geschaffen und die mobilen Endgeräte entsprechend konfiguriert werden.

Neben dem Löschen bieten moderne Smartphones auch die Möglichkeit der Lokalisierung über die Management-Schnittstelle. Für die Nutzung dieser Funktionalität nach Diebstahl und Verlust sollte die Richtlinie Vorgaben treffen, nicht zuletzt, weil diese Funktion enormes Missbrauchspotenzial bietet (Stichwort Mitarbeiterüberwachung).

Sinnvoll kann ebenfalls sein, Geräte mit einem Hinweis über den Eigentümer zu versehen, entweder über eine Anzeige auf dem Bildschirm oder über einen Aufkleber. Das erhöht nachweislich die Chance, dass ehrliche Finder das Gerät an das Unternehmen zurückschicken.

Ein wichtiger Aspekt organisatorischer Sicherheit - gerade wenn Endgeräte verwendet werden, die vom Provider gemietet wurden - ist das sichere Löschen im Schadens- oder Rückgabefall. Die Richtlinien sollten diese Fälle vorsehen und entsprechende Maßnahmen definieren. Dasselbe gilt für die Entsorgung von Geräten: Auch dann müssen im Vorfeld alle sensiblen Daten sicher gelöscht werden.

4. Mitarbeiter für Sicherheit sensibilisieren

Der Umgang mit dem Gefahrenbewusstsein der Mitarbeiter ist beim Einsatz von Smartphones eine Gratwanderung. Zu restriktiv konfigurierte Smartphones berauben diese häufig zentraler Funktionen, womit die Akzeptanz durch die Mitarbeiter schwindet und der ursprünglich erhoffte Vorteil ausbleibt. Auf der anderen Seite können zu laxe Regeln Angreifern Tür und Tor öffnen.

Das unkontrollierte Installieren von Apps durch die Mitarbeiter ist beispielsweise ein klassisches Sicherheitsrisiko. Wollen Unternehmen in diesem Punkt ganz auf Nummer sicher gehen, bleibt ihnen häufig keine andere Wahl, als ein komplettes App-Verbot auszusprechen. Hier müssen Unternehmen sorgfältig abwägen. Viele wählen eine Zwischenlösung und entwickeln einen Corporate App Store, der auf Sicherheit geprüfte Apps für die Mitarbeiter bereitstellt. So können die Mitarbeiter innerhalb gewisser Grenzen selber Apps installieren.

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.

Sicherheit ist die Summe vieler Einzelaspekte

Sicherheit beim Einsatz von Smartphones in Unternehmen ist nicht allein eine technische Frage. Neben der sicheren Konfiguration von Endgeräten sind deren Integration in die Unternehmens-IT und das Management der Geräte wichtige Bausteine der Gesamtsicherheit. Richtlinien sind allerdings nur dann sinnvoll, wenn sie angemessen und umsetzbar sind. Die ISO-Norm 27001 definiert zahlreiche Vorgaben und Prozesse, aus denen sich Richtlinien für den Einsatz mobiler Endgeräte ableiten lassen. Ein Unternehmen, das nach ISO 27001 aufgestellt ist, sollte daher zumindest mit den organisatorischen Aufgaben keine Probleme haben.

Hingegen lassen sich die Auswahl einer sicheren Plattform sowie die sichere Konfiguration der Endgeräte aus keinem Standard ableiten. Hier ist Erfahrung gefragt. Denn wie bereits gesagt: Die Geschichte wiederholt sich. Man muss nur zehn Jahre zurückdenken und die im letzten Jahrzehnt gewonnen Erkenntnisse über die Sicherheit von Systemen und Infrastrukturen auf mobile Lösungen übertragen. Das ist einfacher, als es auf den ersten Blick aussieht. Denn eines ist gleich geblieben: Der Angreifer will immer noch an die Unternehmensdaten kommen. Er benutzt jetzt nur einen anderen Weg.

Checkliste

• Sicherheit zum zentralen Kriterium bei der Produktauswahl machen.

• Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln.

• Sichere Konfiguration der Endgeräte berücksichtigen.

• Sichere Integration in Unternehmens-IT umsetzen.

• Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden

• Benutzerrichtlinien für den Umgang mit Endgeräten definieren.

OFFICE 2 HD
Unter den Office-Apps ist dies der Billigheimer. Dafür muss man bei der Funktionalität in erster Linie in Kauf nehmen, keine „.xlsx“-Tabellen öffnen zu können. Leider blieb es nicht dabei, denn unseren Testtext würfelte Office 2 HD etwas durcheinander: Bilder fehlten, Kommentare und Fußnoten wurden in richtigen Text verwandelt, auch das Layout geriet etwas aus der Form und wurde leider auch so gespeichert. Beschränkt man sich auf reine Texte und einfache Tabellen, hat man diese Probleme nicht und kann sich an die gelungene Bedienung für einfachere Dokumente sehr gut gewöhnen. 5,99 Euro

DOCUMENTS TO GO PREMIUM
Keine andere App kann Texte, Tabellen und Präsentationen gleichermaßen bearbeiten. Die Präsentationen entfallen bei der sechs Euro günstigeren Normalversion, ebenso wie die Fähigkeit, Dokumente auch online bei Dropbox, Google Docs und Co zu speichern. Für Leute, die gern mal zu Hause auf dem Balkon arbeiten, ist das für Mac und Windows verfügbare Zusatzprogramm, das Dokumente automatisch mit dem Rechner auf dem Schreibtisch synchronisiert, eine sehr komfortable Lösung. Die sparsamen Bedienelemente erinnern stark daran, dass die App ihre Anfänge auf dem iPhone nahm, und machen den Umgang mit dem Programm leider etwas zäher als bei den anderen Kandidaten.

Documents To Go
Documents To Go ist nichts für Leute, die auf akkurates Layout Wert legen, denn Bilder, Grafiken und Diagramme werden teils gar nicht erst mit angezeigt, und Textformatierungen stimmen in der Anzeige oft nicht mit dem Ursprungsdokument überein. Doch die App erhält all diese Elemente, kommt mit Fußnoten und Kommentaren zurecht und fügt alle Änderungen akkurat ein, sodass beim Empfänger dann doch wieder alles stimmt. Insofern empfiehlt sich die App vor allem für die Überarbeitung vorhandener Dokumente. 13,99 Euro (Premium-Version)

QUICKOFFICE
Diese noch recht neue App beschränkt sich auf Word-Texte und Excel-Tabellen, stellt deren Layout aber recht akkurat auf dem Schirm dar, wenngleich manches Bild verrutschte. Dank der übersichtlichen Bedienung ist auch das Verändern der Dokumente komfortabel möglich.

QUICKOFFICE
Die englische Programmsprache dürfte manchen vor allem bei der Suche nach Excel-Formeln nerven. Die Textverarbeitung zeigte weder Fußnoten noch Kommentare und ließ Letztere beim Sichern kommentarlos weg, ließ die Dokumentenstruktur aber ansonsten meist intakt. Wenn man um diese Schwächen weiß, lässt sich Quickoffice aber sehr gut nutzen, um Dokumente zu kontrollieren und kleinere Korrekturen vorzunehmen, denn die Bedienung macht durchaus Spaß. 3,99 Euro

APPLE IWORK
Fürs iPad muss man Pages für Texte, Numbers für Tabellen und Keynote für Präsentationen für jeweils 7,99 Euro getrennt erwerben. Alle Apps entsprechen ihren Gegenstücken auf dem Mac und unterstützen auch deren Dateiformate. Word-, Excel- und Powerpoint-Dateien können also nur im- und exportiert werden, doch dafür sind die Apple-Apps die einzigen, die wenigstens dabei anzeigen, welche Eigenschaften den Dokumenten verloren gehen, statt sie wie manch andere App einfach wegzulassen. Die ganz große Stärke von iWork ist, dass jedes Programm unzählige und sehr schicke Vorlagen mitbringt, die sich als Ausgangspunkt für neue Dokumente eignen und sich dank der gelungenen Bedienung gut mit Leben füllen lassen.

Numbers
Numbers war das einzige Programm im Test, mit dem wir ein Diagramm erzeugen konnten, wenngleich die Möglichkeiten auf ein sinnvolles Minimum begrenzt sind. Mit Keynote lässt sich im Flieger noch eine Präsentation entwerfen, die man mit etwas gutem Willen danach sogar jemandem auf dem iPad zeigen würde - das gelingt mit Documents To Go eher nicht. Spätestens beim Dateiaustausch stolpert Apple allerdings über die eigenen Füße, denn hier hängen die iWork-Apps meilenweit hinter der Konkurrenz zurück: Lokaler Dateiaustausch, lediglich verkabelt per iTunes, und als einziger Cloud-Dienst Mobile Me sind vollkommen unzureichend - leider. Je 7,99 Euro