Mit Sicherheit flexibel

14.03.2005
Von Mario Hoffmann

Der erste Fall ist zugleich der bedrohlichste. Private Endgeräte entziehen sich naturgemäß der expliziten Kontrolle durch IT-Administratoren. So kann Schadsoftware am Arbeitsplatz unbemerkt von Unternehmens-Firewalls in das Intranet eingeschleust werden, wodurch vertrauliche Daten kompromittiert werden können und Schaden an der Unternehmens-IT entstehen kann. Hinzu kommt ein hoher Integrations- und Verwaltungsaufwand durch die Vielzahl unterschiedlicher Endgeräte, bedingt durch die verschiedenen Vorlieben der Mitarbeiterinnen und Mitarbeiter. Nicht zuletzt gefährden solche Lücken in der IT-Organisation Zertifizierungen nach der Bundessicherheitsamts-Richtlinie BS7799 und Basel II.


Etwas besser schneidet das zweite Szenario ab. Dienstlich erworbene Endgeräte lassen sich, wenn sie zusätzlich privat genutzt werden, zentral durch das Unternehmen administrieren. Des Weiteren erleichtert ein homogener Endgerätepark die Integration. Lediglich der Einzug mobiler Schadsoftware in die Unternehmens-IT, bedingt durch eine unachtsame private Nutzung, birgt ein nicht zu unterschätzendes Restrisiko. Diesem kann jedoch durch entsprechende Betriebsvereinbarungen, die die private Nutzung ausschließen und zudem regelmäßige Sicherheitsüberprüfungen vorschreiben, begegnet werden.

Künftige Gefahren

Fazit

Der Befall durch Schadsoftware und die Offenheit der Funk- und Mobilfunknetze bedrohen mobile Systeme. Deshalb sind die herkömmlichen Schutzkonzepte der Netzwerktechnik ergänzungsbedürftig. Das Zusammenwachsen von Diensten, Unternehmensnetzen, Internet und Mobilfunk erfordert ganzheitlicher Sicherheitskonzepte und -lösungen, um den drohenden Gefahren auf allen Ebenen zu begegnen. Auch ausgefeilte Technik wird allerdings nichts daran ändern, dass Menschen sicherheitskritische Bedienungsfehler machen. Heterogenität und Fluktuation mobiler Endgeräte - begünstigt durch simultanen dienstlichen und privaten Gebrauch - sorgen in Unternehmen heute schon für einen erhöhten Integrations- und Verwaltungsaufwand.

Prinzipiell gilt es zu bedenken, dass die noch stark ressourcenbeschränkten mobilen Endgeräte üblicherweise über wenig bis gar keinen eigenen Schutz gegen Viren und Würmer verfügen. Spyware in Form von Trojanern hat leichtes Spiel, da die am Arbeitsplatz inzwischen verinnerlichten Vorsichtsmaßnahmen im mobilen Umfeld noch kaum verbreitet sind. Zudem lassen Sicherheitspolitiken in Unternehmen die Integration mobiler Endgeräte oft noch außer Acht. Schlichte Kosten-Nutzen-Analysen belohnen deshalb im Augenblick noch eine Haltung, die Sicherheit vernachlässigt - schließlich existieren mobile Schädlinge derzeit mutmaßlich nur im Labor. Beispiele aus der Vergangenheit belegen aber, welcher Schaden möglich ist. So brachte im vergangenen Jahr Nokias CeBIT-Einladung zahlreiche Geräte des Herstellers zum Absturz oder machte sie komplett unbrauchbar. Im betrieblichen Umfeld könnten durch vergleichbare Vorgänge etwa alle mobilen Mitarbeiter eines Unternehmens vom Netz abgeschnitten werden.