Technik ist nicht alles

IT-Verantwortliche und Nutzer sollten wissen: Der Schutzbedarf des mobilen Endgeräts entspricht dem eines normalen PCs. Ob am Arbeitsplatz, unterwegs oder im Privatleben: Smartphones erfreuen sich steigender Beliebtheit. 472 Millionen der mobilen Endgeräte waren nach Schätzungen des Marktforschers IDC Ende 2011 im Umlauf, und bis zum Jahr 2015 soll sich diese Zahl noch einmal verdoppeln. Eine Ursache dafür liegt sicherlich darin, dass jemand, der beruflich viel unterwegs ist, die ehemals unproduktive Reisezeit mit dem intelligenten Telefon nun für Arbeit und berufliche Interaktion nutzen kann.

Doch Nachlässigkeit und die steigende Attraktivität der Geräte auch für Diebe führen dazu, dass viele Smartphones unbeabsichtigt den Besitzer wechseln: Rund sieben Millionen Deutsche haben ihr Mobiltelefon schon einmal verloren, und rund vier Millionen ist es bereits gestohlen worden – das hat eine Umfrage des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) ergeben. Eine alarmierende Zahl, wenn man überlegt, dass dabei auch unternehmenskritische, sicherheitsrelevante Daten abhanden gekommen sind. Denn bereits heute sind dem Marktforschungsunternehmen Gartner zufolge 47 Prozent der Informationen auf mobilen Endgeräten Unternehmensdaten.

Sorglosigkeit und Bequemlichkeit im Umgang mit den smarten Handys sind weitere Risiken, die zudem durch Unwissenheit ergänzt werden. So war über einem Drittel der Befragten in einer Bürgerumfrage des BSI nicht bekannt, dass ein Smartphone dieselben Sicherheitsvorkehrungen wie ein PC benötigt. Außerdem hat fast die Hälfte der befragten Nutzer noch nie ein Sicherheitsupdate eingespielt. Aufklärung der Mitarbeiter tut also dringend not.

Entsprechend breit sollten deshalb die Sicherheitsrichtlinien eines Unternehmens angelegt werden. Ein solches Gesamtkonzept setzt bei der Geschäftsführung an, die sich zunächst vor Augen führen sollte, dass Sicherheit ein Prozess ist und nur im Ganzen erreicht und gewährleistet werden kann. Deshalb muss die Nutzung mobiler Endgeräte für Firmenzwecke von Anfang an in das unternehmensweite Sicherheitskonzept integriert werden.

Als Standard für die Informationssicherheit in Unternehmen hat das BSI den IT-Grundschutz erarbeitet. Dabei handelt es sich um ein betrieblich einfach zu nutzendes Instrument, um dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Nach modularem Prinzip lassen sich für den Umgang mit mobilen Endgeräten einzelne Bausteine – wie etwa zum Thema Sensibilisierung der Mitarbeiter, mobiler Arbeitsplatz, Schutz vor Schadprogrammen, Firewall oder VPN – zu einem kompletten Sicherheitsgerüst zusammenfügen.

Das BSI hat zudem kürzlich das erste IT-Grundschutz-Überblickspapier veröffentlicht, das sich mit dem mit typischen Gefährdungen der Informationssicherheit bei Smartphones sowie möglichen Gegenmaßnahmen befasst. Das „Überblickspapier Smartphones„ enthält Informationen zu den Herausforderungen beim Einsatz von Smartphones und bietet konkrete Hilfestellungen für die sichere Nutzung im geschäftlichen und privaten Umfeld an.

Eine dieser Herausforderungen ist die Sensibilisierung der Mitarbeiter, die einen ähnlich großen Stellenwert besitzt wie die Umsetzung technischer Maßnahmen. Dazu gehört etwa das Wissen, dass Viren, Trojaner oder Spam, Hackerangriffe oder gezielter Datendiebstahl Risiken sind, die auch Smartphones betreffen. Ein weiteres Risiko liegt in der Infektion mit Schadprogrammen, beispielsweise per E-Mail oder über manipulierte Webseiten. Auch zum Download angebotene Apps können eine Gefahrenquelle darstellen. Ist ein Smartphone erst einmal mit einem Schadprogramm infiziert, können eventuell Daten mitgelesen oder manipuliert werden. Das dritte wesentliche Risiko besteht im Ausfall beziehungsweise der Manipulation des Fernzugriffs. Smartphones werden häufig im beruflichen Umfeld genutzt, um auf Unternehmensdaten zuzugreifen und sind damit ein äußerst attraktives Ziel für Angreifer.

Hier sollte sich die Aufklärung darüber anschließen, woran eine Infektion mit Schadsoftware erkannt werden kann. Ist etwa der Akku-Verbrauch ungewöhnlich hoch, schaltet sich das Gerät unerwartet aus oder wählt das Smartphone unbekannte Rufnummern an, dann sollte der Nutzer misstrauisch werden. Argwohn ist auch dann angebracht, wenn ungewollt persönliche Daten oder SMS versendet werden oder auf dem Einzelverbindungsnachweis Verbindungen aufgelistet sind, die der Nutzer nicht zuordnen kann.

• Zugangsdaten niemandem bekanntgeben
• PIN und Codes nur unbeobachtet eingeben, Passwörter regelmäßig wechseln
• Gerät niemals unbeaufsichtigt herumliegen lassen
• Betriebssystem und Anwendersoftware stets auf dem aktuellen Stand halten, regelmäßig die vom Hersteller empfohlenen Sicherheits-Updates installieren
• Nur solche Apps installieren, die auch regelmäßig genutzt werden. Eventuell einzuräumende Zugriffsrechte kritisch prüfen
• Wenn möglich, sich über den jeweiligen Anbieter der App und dessen Vertrauenswürdigkeit informieren
• Drahtlose Schnittstellen deaktivieren, wenn sie nicht benötigt werden
• Vorsicht bei öffentlichen Hotspots oder ungesicherten beziehungsweise unbekannten WLAN-Angeboten
• Regelmäßig in den Einstellungen den Akku-Verbrauch prüfen, bei Auffälligkeiten verdächtige Applikationen im Zweifelsfall deinstallieren
• Bei Verlust umgehend die SIM-Karte sperren.

Neben der ständigen Aufmerksamkeit für Auffälligkeiten dieser Art gehört eine ganze Palette technischer sowie organisatorischer Maßnahmen in das unternehmenseigene Sicherheitspaket. Dafür ist im Vorfeld eine Vielzahl von Regelungen zu treffen. Etwa, welche Daten gespeichert und verarbeitet werden dürfen, wie mit privaten Daten umzugehen ist, welchen Anforderungen an Betriebssysteme, Schnittstellen, zentrale Administration oder Sicherheit entsprochen werden muss. Hinzu kommen die Besonderheiten der mobilen Kommunikationsnetze sowie die Nutzung von WLAN und Bluetooth.

Alle Sicherheitsempfehlungen zum Thema Smartphones sollten zudem zielgruppengerecht aufbereitet sowie in einer Benutzerrichtlinie unternehmensweit veröffentlicht werden. Dass sich dieser Aufwand für Unternehmen lohnt, liegt auf der Hand. Schließlich legen gesetzliche Regelungen wie die Eigenkapitalvorschriften des Basler Ausschusses für Bankenaufsicht (Basel II) oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eindeutig fest, dass das Geschäftsrisiko durch Sicherheitslücken beim Unternehmer liegt. Doch unabhängig von diesen Vorschriften sollten Unternehmen auch ein ureigenes Interesse am Schutz ihrer Daten haben, die sie nicht bei der Konkurrenz oder im Internet wiederfinden möchten.