Mobile Security strategisch planen und umsetzen
Der seit Jahren stark zunehmende Einsatz mobiler Endgeräte bietet für Unternehmen und Mitarbeiter zahlreiche Vorteile: Angestellte genießen größere Freiräume bei der Wahl ihres Arbeitsortes, was nicht nur zu einer besseren Work-Life-Balance, sondern auch zu einer höheren Mitarbeiterzufriedenheit und Produktivität führt. Unternehmen haben durch die Nutzung von Smartphones und Tablets als Arbeitsgeräte die Möglichkeit, viele Prozesse und Abläufe zu optimieren und sich vor allem für jüngere Arbeitnehmer als attraktiver Arbeitgeber zu positionieren. Doch mit der Mobilisierung der Arbeitsplätze entsteht für Unternehmen auch die Herausforderung, die smarten Mobilgeräte sicher und effizient in ihre IT-Landschaft zu integrieren – eine Aufgabe, die sie nur mithilfe einer ganzheitlichen, unternehmensweiten Mobile-Security-Strategie lösen.
In den vergangenen Jahren haben sich mobile Endgeräte nicht nur immer stärker in der privaten IT-Nutzung durchgesetzt. Smartphones und Tablets etablieren sich mit hoher Geschwindigkeit auch zunehmend im Unternehmensumfeld. Dieser Mobility-Boom hat drei Gründe: Erstens sind die smarten mobilen Devices längst zu preislich attraktiven, leistungsfähigen, stylischen Alleskönnern geworden. Zweitens findet zeitgleich seit einigen Jahren ein gesellschaftlicher Wandel im Online-Verhalten statt: Ein Großteil der Internetnutzer kommuniziert mittlerweile in sozialen Netzwerken und setzt Cloud-Speicher ein, um Bilder oder andere Dateien mit Verwandten und Freunden zu teilen. Und drittens verändert sich die Arbeitswelt derzeit grundlegend. Die meisten Angestellten arbeiten mittlerweile zumindest teilweise mobil – auf Reisen, im Home Office, bei Kunden – und nicht mehr ausschließlich an einem festen Arbeitsplatz innerhalb des Unternehmens. Laut der Bitkom-Studie „Arbeit 3.0. Arbeiten in der digitalen Welt“ nutzen 79 Prozent aller Erwerbstätigen in Deutschland für ihre Arbeit mobile Geräte (Notebooks, Tablets, Smartphones oder Handys).Die ständige Erreichbarkeit ist zum festen Bestandteil der modernen gesellschaftlichen Realität geworden.
Mobility als Indikator für die Modernität von Unternehmen
Der Einsatz mobiler Geräte im Unternehmensumfeld hat allerdings auch Kostengründe: In Zeiten knapper IT-Budgets sind Unternehmen dazu gezwungen, alle Potenziale für Kostenersparnisse auszuschöpfen, zum Beispiel durch den Einsatz privater Mobilgeräte am Arbeitsplatz („Bring Your Own Device“, BYOD), doch auch seitens der Mitarbeiter wächst der Druck zur Einführung mobiler Endgeräte: Angestellte fordern die Verwendung der intuitiven und komfortablen Technologien, die sie auch privat nutzen, in ihrem Unternehmen – ein Phänomen, das unter dem Titel „Consumerization der IT“ bekannt ist. Derzeit setzt sich in immer mehr Unternehmen die Erkenntnis durch, dass sie dieser Forderung nichts entgegenzusetzen haben, erst recht nicht, wenn sie sich im „War for Talents“ um junge, qualifizierte Nachwuchskräfte keine Wettbewerbsnachteile einhandeln wollen. Der Einsatz mobiler Endgeräte und Applikationen ist ein entscheidendes Kriterium bei der Auswahl des Arbeitgebers geworden, ein Indikator für die Modernität des Unternehmens und gleichzeitig ein Instrument zur Mitarbeiterrekrutierung und -bindung. Daher stellt heute kaum noch ein IT-Entscheider den Einsatz mobiler Endgeräte in Frage. Der Fokus liegt derzeit auf der Herausforderung, mobile Geräte sicher in die bestehende IT-Landschaft zu integrieren.
Mobile Lösungen – Fluch und Segen?
Denn das Sicherheitsrisiko steigt, je stärker die Mobilgeräte als Desktop-PC-Ersatz genutzt werden. Die Schnittstellen sind heute so weit optimiert, dass Mitarbeiter überall Zugriff auf Geschäftsmails und Unternehmensdaten haben. Dennoch ist das Sicherheitsbewusstsein in vielen Unternehmen nicht so ausgeprägt wie bei der PC-Nutzung, obwohl die Datenverarbeitung mittlerweile ähnlich ist. Während in der traditionellen IT-Infrastruktur zahlreiche Sicherheitsanwendungen wie Anti-Spam-, Anti-Viren- und Patch-Management-Lösungen eingesetzt werden, werden für mobile Endgeräte noch zu wenige Schutzvorkehrungen getroffen. Für die Laptop-Nutzung gibt es meist viele Seiten umfassende Policies und Richtlinien, die allerdings oft nicht auf mobile Endgeräte – Smartphones und Tablets – übertragen beziehungsweise angepasst und erweitert werden.
Ein Grund dafür ist, dass Hackerangriffe auf Mobilgeräte bislang kaum an die Öffentlichkeit gedrungen sind – und das, obwohl sich Cyberkriminelle Zugang zu sensiblen Unternehmensdaten durch Sicherheitslücken auf mobilen Endgeräte verschaffen können. Ein weiterer Grund ist: Unternehmen verfolgen oft einen lösungsorientierten anstelle eines ganzheitlichen Ansatzes. Im Vordergrund steht das Ziel, mobile Lösungen einzusetzen. Die Risiken und die Frage nach dem effizienten und sicheren Management der Geräte treten demgegenüber in den Hintergrund. Dadurch sind mobile Technologien für viele Unternehmen Fluch und Segen zugleich: Einerseits bieten sie Chancen, den Mitarbeitern mehr Flexibilität zu bieten und so zu einer höheren Zufriedenheit, Effizienz und Produktivität beizutragen. Andererseits entstehen für Unternehmen enorme Sicherheitsrisiken, wenn keine entsprechende Sicherheitsstrategie entwickelt und umgesetzt wird. Allerdings findet hier gerade ein Umdenken statt: Immer mehr Unternehmen werden sich bewusst, dass sie zumindest ein Mobile Device Management (MDM)-System zur zentralen Administration der Geräte brauchen. Soweit der Status quo.
Konzeption und Umsetzung einer unternehmensweiten Mobile-Security-Strategie
Um sich vor Risiken wie Cyberangriffen, Viren und Schadsoftware, die durch das Einfallstor ungeschützter Mobilgeräte in Unternehmensnetze eindringen können, zu schützen, müssen Unternehmen eine ganzheitliche, unternehmensweite Mobile-Security-Strategie entwickeln und umsetzen. Damit diese Strategie alle Aspekte des mobilen Arbeitens abdeckt, empfiehlt sich ein Vorgehen in acht Schritten:
Schritt 1: Bestandsaufnahme
Bevor Unternehmen eine Mobile-Security-Strategie einführen, sollten sie den aktuellen Bestand der mobilen Geräte aufnehmen und analysieren. Im Mittelpunkt stehen hierbei folgende Fragen: Welche Prozesse sollen auch auf mobilen Endgeräten verfügbar sein? Welche Prozesse müssen hierfür verändert werden? Welche Technologien kommen hierbei zum Einsatz? Welche Daten werden dabei verarbeitet? Wie wird auf diese Daten zugegriffen? Und welche Schnittstellen werden dafür benötigt? Auf Basis dieser Bestandaufnahme folgt eine Schutzbedarfsanalyse.
Schritt 2: Schutzbedarfsanalyse
Ausgehend von den Ergebnissen der Bestandsaufnahme muss im nächsten Schritt der konkrete Schutzbedarf ermittelt werden. Dabei sind folgende Fragen zu beantworten: Wie kritisch sind die Daten, auf die Mitarbeiter mobil zugreifen? Von wo erfolgt der Zugriff? Welche Mitarbeiter in welchen Fachabteilungen greifen auf die Daten zu? Welche Übertragungswege werden für mobile Daten genutzt? Hierbei ist es wichtig, dass Unternehmen eine Informationsklassifizierung vornehmen, also ihre Daten in unterschiedliche Schutzklassen einteilen. Davon muss dann abhängig sein, ob und wie ein Mitarbeiter auf bestimmte Daten außerhalb des Unternehmensnetzwerks mobil zugreifen kann.
Schritt 3: Mobile-Security-Guidelines als Basisschutz
Im Anschluss an die Bestandsaufnahme und Schutzbedarfsanalyse eröffnen sich Unternehmen zwei Wege zur weiteren Erstellung und Umsetzung geeigneter mobiler Sicherheitskonzepte: Für Standardanwendungen und Daten mit „normalem“ Schutzbedarf können Mobile-Security-Guidelines eingesetzt werden, die aus standardisierten und wiederverwendbaren Gefährdungs- und Maßnahmenkatalogen bestehen.
Schritt 4: Spezifische Sicherheitskonzepte für komplexe mobile Systeme
Wenn es um geschäftskritische Anwendungen oder Daten mit hohem Schutzbedarf geht, die – wenn sie in die falschen Hände geraten – die Existenz des Unternehmens bedrohen, muss eine detaillierte Risikoanalyse auf Basis von ISO 27005 oder BSI-Grundschutz 100-3 durchgeführt werden. Auf Basis dieser Analyse müssen ganz gezielte Schutzmaßnahmen entwickelt und umgesetzt werden. In den meisten Fällen entsteht durch die Kombination dieser beiden Schritte ein maßgeschneidertes Mobile-Security-Konzept für jedes Unternehmen.
Schritt 5: Sicherheitskonzepte für BYOD-Szenarien
Ein weiteres heiß diskutiertes Thema, das Unternehmen ebenfalls im Rahmen einer Mobile-Security-Strategie adressieren müssen, ist der Einsatz privater Mobilgeräte im Unternehmen (BYOD) und umgekehrt die private Nutzung von Unternehmens-IT („Corporate Owned Personally Enabled“, COPE).
Schritt 6: Richtlinien und Benutzervereinbarungen
Wenn Unternehmen es ihren Mitarbeitern erlauben, ihre eigenen Mobilgeräte zum Arbeiten einzusetzen, muss ein klares Regelwerk definiert werden, das die sichere Handhabung und die Erwartungshaltung kommuniziert. Auf der anderen Seite müssen sich Mitarbeiter dazu verpflichten, ein gewisses Sicherheitsniveau auch auf ihren eigenen Endgeräten einzuhalten. Sie müssen sich bewusst sein, dass ihr Arbeitgeber Daten schützen muss, auch wenn es sich um ein privates Gerät handelt. Hierfür muss es Policies geben, die dem Mitarbeiter vorschreiben, dass er beispielsweise eine Antiviren-Lösung einsetzt, Software-Anwendungen aktualisiert, Geschäftsanwendungen per Passwort schützt und dadurch die Vertraulichkeit der Unternehmensdaten gewährleistet. Zusätzlich gehen immer mehr Unternehmen den Weg, auch Endgeräte, die sich außerhalb des Unternehmensnetzwerks befinden, mithilfe der existierenden Sicherheitslösungen zu schützen, also beispielsweise auch auf den privaten Geräten der Mitarbeiter regelmäßig Anti-Viren-Lösungen zu installieren. Auch bestehende Policies müssen auf die neuen Geräte erweitert werden.
Nach den bisherigen Erfahrungen hat sich die Absicherung privater Geräte durch Unternehmen sowohl technologisch als auch aus rechtlicher Sicht als sehr herausfordernd erwiesen. Daher verabschieden sich aktuell aus Sicherheitsbedenken immer mehr Unternehmen von dem BYOD-Konzept und verfolgen den neuen Ansatz „Choose Your Own Device“ (CYOD). Dabei identifizieren Mitarbeiter in Zusammenarbeit mit dem Unternehmen mobile Geräte, die sowohl zum Arbeiten als auch privat verwendet werden. Dadurch kann das Unternehmen eine standardisierte Auswahlliste zur Verfügung stellen, die durch unternehmenseigene Sicherheitstechnologien abgesichert werden können.
Schritt 7: Einführung eines MDM-Systems
Neben diesen organisatorischen Maßnahmen gilt es auch technische Schutzvorkehrungen zu ergreifen, im Idealfall durch die Einführung eines Mobile Device Management (MDM)-Systems. Hierbei müssen die unterschiedlichen Anforderungen der verschiedenen Geräteplattformen berücksichtigt werden. Denn vor allem bei der Frage nach dem eingesetzten Betriebssystem bietet sich in vielen Unternehmen ein sehr heterogenes Bild. Unternehmen setzen meist auf mehrere Gerätetypen. Dies ist hauptsächlich der Tatsache geschuldet, dass vor einigen Jahren hochwertige Smartphones, meist von Blackberry oder Apple, ausschließlich als Statussymbol im Management eingesetzt wurden. Mit der wachsenden mobilen Belegschaft mussten kostengünstigere Geräte, meist mit Android-Betriebssystemen, angeschafft werden. Und in der Zwischenzeit hat sich auch Windows Phone in einigen Unternehmen etabliert, sodass viele IT-Abteilungen eine Vielzahl unterschiedlicher Geräte und Betriebssysteme managen müssen. Die Herausforderung ist, hierfür eine MDM-Plattform einzuführen, die dennoch eine möglichst einfache, einheitliche Administration ermöglicht. Die meisten MDM-Anbieter versprechen zwar mittlerweile, alle gängigen Gerätetypen abzudecken, was sich in der Praxis trotzdem oft als schwierig herausstellt. Allerdings findet hier derzeit eine gewisse Standardisierung statt.
Mit der MDM-Lösung müssen Unternehmen mobile Geräte genauso wie Server und PCs aktiv administrieren und managen können. Zum Beispiel muss es eine zentrale „Remote Device Wipe“ (Fernlösch)-Funktion geben, damit die IT-Abteilung Unternehmensdaten auf dem Endgerät löschen kann, wenn es gestohlen oder liegengelassen wird. Auch Richtlinien zur Authentifizierung auf dem Endgerät müssen über die MDM-Konsole unternehmensweit eingestellt werden können, sodass die Unternehmensdaten vor ungewollten Zugriffen geschützt sind. Immer mehr Unternehmen gehen zudem dazu über, eine Standardkonfiguration – zum Beispiel zur Länge des Passwortes oder zur Verschlüsselung der Daten auch auf Speicherkarten – per MDM auf alle Gerätetypen zu verteilen. Die Back-End-Infrastruktur, die Services wie E-Mails und Kalender auf den mobilen Endgeräten zur Verfügung stellen, muss ebenfalls sicher konfiguriert werden, um Sicherheitslücken zu vermeiden.
Nicht zuletzt müssen Unternehmen, damit ihre Mitarbeiter tatsächlich effizient mobil arbeiten können, entsprechende Applikationen auf den Endgeräten zur Verfügung stellen. Viele Unternehmen entwickeln für ihre spezifischen Geschäftsprozesse eigene Apps, die meistens stärker in Richtung Marketing abzielen und weniger auf die IT-Sicherheit achten. Dadurch entstehen große Sicherheitsrisiken, die sich mittels einer Sicherheitsanalyse vermeiden lassen. Bevor Apps produktiv eingesetzt werden, sollten „Vulnerability Scans“ und Penetrationstest durchgeführt werden, um Hackerangriffe ausschließen zu können. Neben den eigenen Applikationen setzen viele Mitarbeiter bekannte, kommerzielle Apps ein, die in vielen Fällen nicht den Compliance-Richtlinien des Unternehmens entsprechen, weil sie privilegierte Rechte auf den Smartphones oder Tablets abfragen. So sammeln viele Apps Daten, etwa zum Surfverhalten der Nutzer, die sie für ihre eigentlichen Funktionen gar nicht benötigen. Aus diesem Grund ist die Mehrheit der in den großen App-Stores verfügbaren Applikationen zu sehr geringen Kosten erhältlich.
Empfehlenswert ist der Betrieb eines eigenen Apps-Stores, in dem Unternehmen ihren Mitarbeitern vertrauenswürdige, freigegebene Apps zur Verfügung stellen. Um den Bedarf der Mitarbeiter zu ermitteln, sollten Unternehmen eine Umfrage erheben, welche Applikationen sie für ihre Aufgaben benötigen. Bevor hier Apps per „Whitelisting“ freigeschaltet werden, können Unternehmen sie analysieren und testen. Diese Apps sollten dann auch mit einer einheitlichen Konfiguration ausgerollt und die Zugriffsrechte mittels MDM geregelt werden, sodass jede App nur die erforderlichen tatsächlich Zugriffsrechte erhält. Eine sehr elegante und weniger strikte Lösung bieten sogenannte Dual-Persona-Systeme, die es Mitarbeitern erlauben, einen privaten und einen beruflichen Bereich auf dem Endgerät zu nutzen. Die Geschäftsanwendungen werden in virtualisierten, gesicherten Umgebungen, sogenannten Containern, betrieben. Die Unternehmensdaten sind hier beispielsweise durch eine zusätzliche Authentifizierung und Verschlüsselung geschützt. Die Kommunikation zwischen den beiden Bereichen wird unterbunden. Denn verbieten können Unternehmen meist die Nutzung bestimmter Apps nicht. Daher brauchen sie Lösungen, um den Einsatz kommerzieller Apps zu erlauben und sie aber von den Geschäftsdaten abzuschotten.
Schritt 8: Sensibilisierung und Einbindung der Mitarbeiter
Bei kaum einem Thema ist die Einbindung der Mitarbeiter so wichtig wie bei der Nutzung von Endgeräten, die sie sowohl zum Arbeiten als auch in ihrer Freizeit einsetzen. Denn letzten Endes können Anwender, wenn sie Sicherheitsvorschriften außer Acht lassen, selbst zu sicherheitskritischen Faktoren und Sicherheitslücken werden. Es gilt, die Mitarbeiter mittels Sensibilisierungskampagnen auf die potenziellen Gefahren und die Bedeutung bestimmter Sicherheitsvorgaben hinzuweisen.
Fazit: Win-win-Situation für Unternehmen und Mitarbeiter
Eins ist klar: Widerstand gegen den Trend zur Mobilisierung der Arbeitswelt ist zwecklos. Zu stark ist der Druck der Mitarbeiter, die mehr Flexibilität und den Einsatz der aus dem Privatgebrauch bekannten Mobilgeräte fordern. Und zu überzeugend die Vorteile, von denen Unternehmen durch die effizientere Gestaltung von Prozessen, eine höhere Produktivität, schnellere Entscheidungsprozesse und eine bessere Zusammenarbeit profitieren. Entscheidend für den Erfolg mobiler Lösungen ist allerdings die Mobile-Security-Strategie: Bevor Endgeräte und Applikationen ausgerollt werden, muss eine Bestandsaufnahme der zu mobilisierenden Prozesse und eine detaillierte Schutzbedarfsanalyse durchgeführt werden. Auf dieser Basis können Sicherheitskonzepte für Standardprozesse und für spezifische Nutzungsszenarien entwickelt werden. Ebenso wichtig wie die technische Absicherung durch eine MDM-Lösung ist es, die Mitarbeiter frühzeitig mit in die Entwicklung der Mobile-Security-Strategie einzubinden. Denn letzten Endes steht und fällt ein solches Projekt damit, ob die Mitarbeiter die mobilen Lösungen nutzen und die neuen Sicherheitsvorgaben in ihre Arbeitsabläufe nahtlos integrieren.
Checkliste: In acht Schritten zur Mobile-Security-Strategie
- Bestandsaufnahme und die Dokumentation von Mobile-Business-Szenarien
- Durchführung einer Schutzbedarfsanalyse auf Basis einer Informationsklassifizierung
- Umsetzung der Mobile-Security-Guidelines als vereinfachtes Sicherheitskonzept zur IT-Administration, App-Entwicklung und für Endnutzer
- Spezifische Sicherheitskonzepte für komplexe mobile Systeme mit hohem Schutzbedarf
- Sicherheitskonzepte für BYOD-Szenarien
- Richtlinien und Benutzervereinbarungen müssen auf mobile Geräte ausgeweitet werden
- Einführung eines MDM-Systems zum aktiven Management der mobilen Geräte
- Mitarbeiter mittels Kampagnen sensibilisieren und in die Entwicklung der Mobile-Security-Strategie einbinden
Wichtige Komponenten des Mobile Device Managements
- Auswahl und Standardisierung von Smartphones und Tablets, um Administrationsaufwände zu reduzieren
- Aktives Management der mobilen Endgeräte („Remote Device Wipe“, Authentifizierung, Verteilung und Management von standardisierten Settings)
- Sicherer Betrieb der Back-End-Infrastruktur, die mobile Services bereitstellt, und der Übertragungswege
- Sicherer Einsatz von Apps (interne App-Stores, „Vulnerability Scans“ und Penetrationstests, „Whitelisting“ vertrauenswürdiger Apps oder Abschottung der kommerziellen von den Unternehmens-Apps)