Mobiler Grundschutz
Um einen mobilen Grundschutz einzurichten, bieten sich verschiedene technische Lösungen an. Virenschutzprogramme sind allgemein verfügbar, eine Personal Firewall ist indes noch eher zu empfehlen. Datenverschlüsselung auf den Geräten ist im Enterprise-Einsatz Pflicht, da die meisten Datenlecks immer noch aus verlorenen Handys resultieren. Auch Unternehmen können mit technischen Maßnahmen gegensteuern und die Sicherheit sowie das Vertrauen der Nutzer stärken. Eine Option ist beispielsweise der Schutz von Websites und Apps mit Zertifikaten, wie sie die Postbank für das iPhone verwendet. Hierbei erkennen Kunden auf den ersten Blick durch die grün hinterlegte Adresszeile im Browser, ob sie eine offizielle Adresse angesteuert haben oder zum Opfer einer Phishing-Attacke geworden sind. Zudem werden sensible Daten bei der Übertragung verschlüsselt.
Für sichere Zugriffe ist eine starke Authentisierung unverzichtbar, die über die Passwort-Eingabe herausreicht. So offeriert etwa VeriSign eine Zusatz-App zur Zwei-Faktor-Authentisierung für alle gängigen Smartphone-Betriebssysteme (http://www.computerwoche.de/netzwerke/mobile-wireless/1897901/). Hierbei benötigt der Nutzer, wenn er sich auf einer Web-Seite anmeldet, neben seinem Benutzernamen und Passwort auch einen sechsstelligen Einmalcode, den er auf seinem Smartphone angezeigt bekommt. Dieser Code ist nur 30 Sekunden lang gültig, danach wird bereits eine neue Zahlenkombination angezeigt. Mit diesem Einmalpasswort können sich Nutzer dann gesichert anmelden - das Mobiltelefon wird so zum mobilen Security-Token. Speziell beim Umgang mit kritischen Daten wie bei Bankgeschäften, Zahlungen per Handy und dem Zugang zu sozialen Netzwerken steigt so der Schutz.
Die Sensibilisierung der Nutzer für die real existierende Gefahr ist entscheidend für die Verteidigung gegen Angreifer. Sie vollzieht sich in erster Linie über Medienberichte zu erfolgreich verlaufenen Attacken - gebranntes Kind scheut das Feuer. Allerdings ist dieser Weg eine Gratwanderung: Wenn das Gefühl der Unsicherheit überhand nimmt, schwindet das Vertrauen der Kunden in das mobile Internet. Zudem sollten Unternehmen darauf achten, dass die Hiobsbotschaften nicht von ihnen selbst ausgehen, sondern diesen Teil der Sensibilisierung getrost anderen überlassen. Zumindest sollte man einem Unternehmen nicht nachsagen können, dass es sich nötige Sicherheitsmaßnahmen auf Kosten seiner Kunden gespart hätte.
Authentifizierung von Kunden
Die Authentifizierung ist der Nachweis, dass eine Institution (Person, Sache etc.) echt ist. Im Online-Bereich gibt es viele Möglichkeiten, eine Person oder ein Gerät mit verschiedenen Integritätsniveaus und Benutzerinteraktionen zu authentifizieren. Die adäquate Lösung für ein Unternehmen hängt von der Zielgruppe, den Risiken und dem Zugriff auf die Services ab.
-
Website-Authentifizierung: Sie ermöglicht Kunden die Validierung des Website-Eigentümers durch einen Dritten. Die Kunden können auf ein integriertes Vertrauenssiegel wie das "VeriSign Secured Seal" klicken, oder sehen die grüne Adressleiste und die Authentifizierungsinformationen im Browser. Die Website-Authentifizierung hilft dabei zu verhindern, dass Kunden mit Phishing-Seiten oder Websites von Betrügern interagieren.
-
Risikobasierte Authentifizierung: Sie arbeitet im Hintergrund und ermittelt Anomalien im Benutzerverhalten wie die Anmeldung von einem anderen Land aus, einen fragwürdigen Webserver, eine eigenartige Tageszeit oder ungewöhnliche Häufigkeit. Wenn die Aktionen eines Kunden einen vorab definierten Risikoschwellenwert erreicht haben, ist eine stärkere Authentifizierungsmaßnahme erforderlich.
-
Zwei-Faktor-Authentifizierung: Sie kombiniert Passwort und Benutzernamen mit einer Referenz. Die Technik ist in Unternehmen zum Schutz interner Ressourcen verbreitet. Dadurch, dass ein Kunde für viele Websites nur eine Referenz verwenden muss, wird die Zwei-Faktor-Authentifizierung zu einer sicheren und kosteneffizienten Methode für den Privatkundenmarkt.