Durch die zunehmende Mobilisierung von Geschäftsprozessen und die Erschließung neuer Mobility-Use-Cases werden Smart Devices zu noch wertvolleren Informationsträgern. Dies rückt sie allerdings auch stärker in das Fadenkreuz von Cyberkriminellen, wie die IDC Studie "Mobile Security in Deutschland 2017" ergab. So machten 65 Prozent der befragten Unternehmen bereits Erfahrungen mit Angriffen auf mobile Endgeräte, das ist ein Anstieg um acht Prozentpunkte gegenüber 2015 - die Dunkelziffer an unentdeckten Vorfällen nicht berücksichtigt.
Foto: Eugenio Marongiu - shutterstock.com
Die gute Nachricht der Untersuchung, in deren Rahmen IDC im Dezember 2016 knapp 260 IT-Entscheider und Anwender aus hiesigen Unternehmen befragte: Immer mehr Firmen haben erkannt, dass die Bereitstellung oder Unterstützung von Smartphones, Tablets & Co. im Business nicht ausreicht, sondern dass die mobilen Devices und Lösungen auch abgesichert werden müssen.
So zählen in der Umfrage die Sicherstellung der Compliance auf mobilen Endgeräten (31 Prozent) sowie die Verbesserung der Mobile Security (28 Prozent) zu den wichtigsten Enterprise-Mobility-Projekten in 2017 - neben der Anpassung der Geschäftsprozesse an mobile Szenarien (34 Prozent) und der Umsetzung eines einheitlichen Zugriffs auf Anwendungen (30 Prozent).
Das Setzen dieser Agenda-Punkte geschieht natürlich nicht ganz ohne Grund. Laut IDC-Umfrage erlitten 26 Prozent der Unternehmen im vergangenen Jahr einen Schaden von mehr als 100.000 Euro durch Sicherheitsvorfälle mit mobilen Technologien. Hinzu kommen finanziell schwer zu beziffernde Schäden in Hinblick auf Reputation und Vertrauen, die Kunden oftmals hartnäckig im Gedächtnis bleiben.
Damokles-Schwert Datenschutz-Grundverordnung
Auch in Hinblick auf die neue Datenschutz-Grundverordnung (DSGVO) hat die Untätigkeit für Unternehmen schon bald verheerende Konsequenzen. Nach Ablauf der Übergangsfrist Ende Mai 2018 können Datenschutzbehörden Bußgelder von maximal 20 Millionen Euro oder vier Prozent des globalen Umsatzes erheben.
"Die Verletzungen im Datenschutz stehen damit auf einer Stufe mit Bußgeldern für Geldwäsche oder Korruption", erläutert Mark Alexander Schulte, Senior Consultant bei IDC und Projektleiter der Studie die möglichen Konsequenzen. "Auch die Meldepflicht von Sicherheitsbrüchen wird aus unserer Sicht dazu führen, dass sich die Gewährleistung des Datenschutzes von einer IT-Aufgabe zu einem Thema der Vorstandsetagen entwickeln und Security-Investitionen massiv antreiben wird."
Foto: IDC
Immerhin: In der Umfrage äußerten sich die befragten Firmen durchaus optimistisch darüber, das Anwendungsdatum einhalten zu können. Bei nur fünf Prozent der IT-Entscheider ist das Thema noch nicht präsent, während sich 74 Prozent derzeit auf die Umsetzung der DSGVO vorbereiten. Aus Sicht der befragten Organisationen sind dabei die Einschränkung des Datenzugriffs, angepasste Sicherheits-Policies und klar geregelte Verantwortlichkeiten die wirksamsten Maßnahmen, um DSGVO-konform zu werden und mit diesen Maßnahmen mehr Kontrolle und Transparenz über die Verwendung von Firmeninformationen zu erhalten.
Sicherheitsrisiko Mitarbeiter
Für die Experten von IDC greifen die Maßnahmen allerdings etwas zu kurz, die Rolle der Anwender dürfe nicht unterschätzt werden, warnen sie. So erfordere die neue Datenschutzverordnung durch das Prinzip "Data Protection by Design and by Default" ein deutlich proaktiveres Handeln. Diese müsse bereits bei der Entstehung von personenbezogenen Daten ansetzen und erfordere auch im Bereich der Mobile Security darauf basierend geeignete Prozesse und Technologien.
In diesem Zusammenhang kommt besonders zum Tragen, dass der mobile Zugriff auf personenbezogene Informationen, etwa über CRM-Apps für Fachbereichsmitarbeiter, ein wesentlicher Produktivitätsfaktor geworden ist. So können im Schnitt 30 Prozent der Mitarbeiter eines Unternehmens über ein Smart Device auf Kundendaten zugreifen. Demgegenüber kennt gerade einmal die Hälfte aller Anwender die Inhalte der Datenschutz-Grundverordnung, beispielsweise im Hinblick auf die Konsequenzen einer Weitergabe personenbezogener Daten. Falls Unternehmen hier nicht handeln, warnt IDC, sind Probleme bei der Einhaltung der DSGVO bereits vorprogrammiert.
Untermauert wird diese Sicht mit Ergebnissen aus der Studie, wonach viele Unternehmen das von Anwendern ausgehende Sicherheitsrisiko noch immer nicht in den Griff bekommen haben: Wie bereits 2015 gehen nämlich satte 45 Prozent der Sicherheitsvorfälle im Umgang mit mobiler Technologie auf das Konto der Fachbereichsmitarbeiter.
Außerdem öffnete das Fehlverhalten der Anwender, etwa durch die Reaktion auf Phishing-Mails, Downloads unsicherer Apps oder Geräteverluste auch in den vergangenen Monaten Angreifern Tor und Tür. Dies führte sogar soweit, dass 52 Prozent der IT-Entscheider in der Umfrage angaben, dass von den unternehmensinternen Anwendern sogar eine größere Gefahr als von Cyber-Kriminellen ausgehe.
Unsicherheitsfaktor Rapid Mobile App Development
Ein weiteres mobiles Gefahrenpotenzial liegt laut IDC in der zunehmenden Autonomie der Fachbereiche. Dank dezentraler Mobility-Budgets und einfach zu nutzenden Tools für die App-Entwicklung (Rapid Mobile App Developement) spielen sie eine immer wichtigere Rolle in der Enterprise-Mobility-Strategie.
Dabei ist es aus Sicht von IDC angesichts der Schnelligkeit, Relevanz und Entlastung der IT eine vielversprechende Idee, dass Fachbereiche ihre eigenen Apps entwickeln. "Allerdings darf durch die Verwirklichung einer in dieser Weise ausgestalteten 'Mobile First'-Strategie nicht 'Security Second' die Folge sein," mahnt Mark Schulte. "Denn dass Mitarbeiter ohne Programmierkenntnisse, Erfahrungen mit Sicherheitskonzepten, Kenntnissen über gesetzliche Vorgaben Apps bauen, ist ohne ein adäquates Security Framework ein Albtraum für die IT."
Trotz dieser potenziellen Gefahren wird der Trend der dezentralen App-Entwicklung eher noch zu- als abnehmen. So sehen selbst die IT-Entscheider darin - und das interessanterweise häufiger als ihre Fachbereichskollegen - deutliche Vorteile wie Schnelligkeit bei der App-Bereitstellung (58 Prozent) oder Entlastung der IT (57 Prozent), wenn gleich sie natürlich in Zukunft auch große Sicherheitsherausforderungen erwarten (63 Prozent Zustimmung).
Gefahr erkannt, Gefahr gebannt?
Aus Sicht von IDC haben die meisten IT-Entscheider inzwischen erkannt: Je intensiver sie durch mobile Technologien das Business unterstützen, desto wichtiger wird deren Absicherung. Als Konsequenz rechnen die Marktforscher damit, dass die Ausgaben für Mobile-Security-Lösungen in Deutschland bis 2020 um durchschnittlich elf Prozent jährlich wachsen.
Die Marktforscher warnen jedoch davor, dass Technologie allein nicht ausreicht, um mobile Geräte, Apps und Firmendaten ganzheitlich zu schützen. Der Schlüssel zu einer umfassenden mobilen Sicherheit ist es, die Anwender zu einem aufgeklärten und damit sorgfältigen Umgang zu bewegen. Es zeichnen sich zudem bereits neue Herausforderungen und Veränderungen im Bereich der mobilen Sicherheit ab, denen sich Unternehmen künftig stellen müssen.
Aus Sicht von IDC werden eine zunehmende Autonomie der Fachbereiche, neue Use Cases jenseits der klassischen Office-IT sowie Internet-of-Things-Szenarien verstärkt in den Fokus der Mobile Security rücken und zu neuer Komplexität führen. Für IT-Entscheider wird es also auch in Zukunft nicht einfacher, das Spannungsfeld aus Business Enablement und Absicherung aufzulösen.