Notfallplan für iPhone und Co.

Smartphones an die Leine

Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.

Mit Firewall und Virenschutz

Vom wachsenden Sicherheitsbedürfnis von Smartphone-Nutzern wollen natürlich auch etabliere IT-Security-Spezialisten profitieren. Sie kombinieren in ihren Produkten klassische Funktionen wie Virenschutz, Firewall und Browser-Sicherheit mit Eigenschaften wie Fernlöschen und Fernsperren von Geräten. Zu den Anbietern zählen unter anderem F-Secure (Mobile Security), Kaspersky (Mobile Security 9), McAfee (Wavesecure) und Symantec (Norton Mobile Security).

Einige Produkte, wie etwa Wavesecure, bieten als Ergänzung ein Online-Backup an. Der Nutzer kann die Daten auf seinem Smartphone auf Servern von McAfee speichern und bei Bedarf auf ein Mobilgerät zurückspielen. Auch in diesem Fall gilt jedoch, dass dieser Ansatz für Firmenkunden hier zu Lande aus Datenschutzgründen problematisch ist. Wer auf seinem Firmen-Smartphone beispielsweise Kundendaten speichert, und seien es nur die E-Mail-Adressen und Telefonnummern im Kontakteordner, unterliegt den Regelungen des Bundesdatenschutzgesetzes. Dies schränkt das Speichern von sensiblen Informationen auf IT-Systemen außerhalb der EU drastisch ein.

Verfahren für den Schutz mobiler Geräte

Um mobile Geräte und die darauf befindlichen Daten zu schützen, ist ein mehrstufiges Konzept erforderlich. Die IT-Sicherheitsbehörde ENISA (European Networks and Information Security Agency) der Europäischen Union empfiehlt unter anderem folgende Maßnahmen:

  • Passwörter für das Entsperren des Gerätes einsetzen: Wird das Smartphone einige Minuten lang nicht genutzt, sollte es automatisch gesperrt werden. Nur nach Eingabe des Passworts ist es wieder zugänglich. Viele User deaktivieren diese Funktion jedoch aus Gründen der Bequemlichkeit. Das Passwort sollte "stark" sein, das heißt aus einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Passwörter wie "12345" oder der Vorname sind obsolet.

  • Datenverschlüsselung und Backup: Sie sollte in jedem Fall implementiert sein. Verschlüsselung verhindert den direkten Zugriff auf Informationen durch Unbefugte. Wichtig ist, dass ein Backup der Daten auf dem Gerät erstellt wird, damit sich die Informationen nach Verlust der Hardware wiederherstellen lassen. Auch die Sicherung sollte verschlüsselt werden.

  • So wenige Firmendaten wie möglich auf dem Gerät speichern: Besser ist, mit dem Smartphone über verschlüsselte Verbindungen Geschäftsdaten abzurufen, die auf einem Server- oder Storage-System im Firmen-Rechenzentrum lagern.

    Fernlöschen von Daten (Remote Wipe) ermöglichen: Für Firmen-Smartphones ist dies ein "Muss". Das Löschen muss auch dann möglich sein, wenn die SIM-Karte gewechselt wurde. Empfehlenswert ist, das Fernlöschen automatisch zu starten, wenn zu oft ein falsches Passwort oder eine unrichtige PIN eingegeben wurden. Wichtig: Auch Massenspeicher wie SD-Karten sollten sich löschen lassen.

  • Fernsperren (Remote Lock): Das Unbrauchbarmachen des Geräts durch Remote Lock funktioniert derzeit nur beim Blackberry in der gewünschten Weise. Alle anderen Systeme lassen sich durch Zurücksetzen auf die Werkseinstellungen und Flashen des internen Speichers wieder benutzbar machen. Allerdings werden dann auch die auf dem Gerät gespeicherten Daten gelöscht.

  • Den Aufenthaltsort von Geräte bestimmen (Tracking): Services wie Absolute Computrace, Mylook oder Prey Project (für Notebooks) ermöglichen es, den Aufenthaltsort eines Mobilgeräts zu bestimmen. Auch Hersteller wie Dell und HP ermitteln den Standort von Notebooks und Smartphones, etwa mittels GPS, über die Ortung mittels Mobilfunk oder das Erfassen der IP-Adresse bei Aufbau einer Internet-Verbindung.

  • Protokollierung (Audit Logs): Falls ein Smartphone "verschwindet", verlangen Compliance-Vorschriften, dass ein Unternehmen nachweist, welche vertraulichen Informationen verloren gingen oder entwendet wurden. Zudem muss eine Firma belegen, dass sie Informationen auf einem solchen Gerät ferngelöscht hat und nachweisen, welche Daten dies waren. Um diese Vorgaben zu erfüllen, ist ein Mobile Device Management erforderlich, am besten in Verbindung mit einem Log-Management-System, das auch die Aktivitäten von IT-Systemverwaltern mitprotokolliert, etwa BalaBit Shell Control Box.