computerwoche.de

IT-Strategie

Penetrationstester - Rent a Hacker

ByoD - Hintertür ins Unternehmen?

27.11.2012
Von 
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.
Alle Posts des Autors Email:

Sicher im Container?

Foto: Nmedia, Fotolia.de

Für CIOs, die wegen der Sicherheit der Unternehmensdaten in der ByoD-Ära um den Schlaf gebracht werden, scheinen Container-Security-Lösungen ein gangbarer Weg zu sein, die geschäftsrelevanten Informatio-nen in Sicherheit zu bringen. Hierbei werden die Geschäftsdaten von den privaten abgeschottet. Schreiber sieht das durchaus ähnlich: "Container-Lösungen erzeugen eine Separation zwischen der privaten und der geschäftlichen Umgebung - und Separation ist seit jeher ein übliches Mittel der Absicherung und daher brauchbar."

Allerdings haben Container-Konzepte auch kleinere Widrigkeiten. Anwender klagen häufig über geringen Bedienungskomfort und mangelnde Integration, meint der Syss-Geschäftsführer. Auf Ablehnung stießen Container-Lösungen besonders dann, "wenn der Anwender zunächst mit dem Komfort einer völlig integrierten Installation verwöhnt wird".

Direkt ins Herz der Firmen-IT

Schreiber sagt, seit Ende 2010 seien Penetrationstests gegen Smartphones und Tablet-PCs eine Standard-Dienstleistung. Grundsätzlich gehe man in Absprache mit einem Kunden so vor, dass bereits vor Angebotsabgabe gemeinsam mit ihm die Testziele umrissen würden. Das sei nötig, weil Unternehmen völlig unterschiedliche

Sicherheitsanforderungen besitzen. Typischerweise würde bei Pentrationstests etwa die Verbindung zwischen Endgerät und Server untersucht. Ist sie ausreichend geschützt? Geprüft werde ferner, ob Man-in-the-Middle-Angriffe möglich sind. Zu klären ist auch, ob die im Internet erreichbaren Server knackbar sind, inwiefern Jailbreaks möglich sind und ob solche Angriffe erkannt werden und, wenn ja, wie.

Schreiber will zudem wissen, ob sich ein gestohlenes Gerät aufbrechen und die Nutzdaten oder Credentials extrahieren lassen. Zu diesem Themenkomplex gehört auch die Frage, ob die Löschung von Daten remote funktioniert. Interessant ist ferner, ob sich vertrauliche Informationen aus Backups extrahieren lassen und ob Hardwareangriffe denkbar sind.

Ganz neue Fragen bei ByoD

Schreiber betont, das sich mit ByoD nicht nur technische Fragen stellen, sondern auch rechtliche und soziale. Zwar berge ByoD für Arbeitnehmer wie für Arbeitgeber neben finanziellen auch praktische Vorteile. Grundsätzlich müssten aber Fragen geklärt werden wie: Wer ist mit der Gerätepflege betraut? Wer haftet für Schäden durch mangelnde Wartung? Wer darf auf die Daten zugreifen? Darf der Arbeitnehmer sein Gerät Dritten zur Verfügung stellen? Darf der Eigentümer das System (mit Daten und Credentials) im Reparaturfall zu einem Service seiner Wahl bringen? Wer verantwortet etwaige Datendiebstähle? Wie wird im Verlustfall verfahren? Auf wessen System liegt das Backup, und beinhaltet es private sowie geschäftliche Daten? Wer darf den Remote-Wipe durchführen? Darf der Besitzer vertrauliche Daten (etwa das Backup) bei Dritten (beispielsweise in der iCloud) lagern?

Auf viele dieser Fragen gebe es keine befriedigende Antwort, meint Schreiber. "Aber ich bin mir sicher, dass allein schon das Argument der Umsetzbarkeit den Siegeszug von ByoD befördern wird."