Wachsende Bedrohung

Mobilgeräte, „Mobile Devices“, sind denselben Angriffen ausgesetzt wie ortsfeste Rechner. Mittels Schadsoftware ist ein großes Spektrum von Angriffen, von der unautorisierten Nutzung über Identitätsdiebstahl bis hin zu gezielter Industriespionage, denkbar. Hierbei ist bemerkenswert, dass im Gegensatz zur klassischen Büro-IT der Betreiber – das Unternehmen – nicht die Kontrolle über das umgebende Netz und häufig auch nicht über das Gerät selbst hat.

Besonders bei den Betriebssystemen Android und iOS bleibt die letzte Kontrolle über das Verhalten der Geräte beim Hersteller des Betriebssystems. Funktionen wie die Sprachsteuerung Siri des Herstellers Apple legen einen erheblichen Datenbestand in der Cloud an, ohne dass Nutzer oder Betreiber dies beeinflussen könnten. Bei Smartphones und Tablets kommt noch hinzu, dass der Nutzer in der Regel die Möglichkeit hat, sich frei über „AppStores“ selbst Anwendungen auf seinem Gerät zu installieren. Weiterhin liegt es bei mobiler Nutzung in der Natur der Sache, dass Mitarbeiter von unterwegs auf Firmennetzwerke und -daten zugreifen müssen. Bei der Nutzung unsicherer Netze wie zum Beispiel eines Hotel-WLANs sind auch hier erhebliche Risiken gegeben.

Um im Falle eines Totalverlusts des Gerätes Unternehmensdaten nicht in fremde Hände fallen zu lassen, ist es entscheidend, dass diese nur in verschlüsselter Form auf den mobilen Geräten vorliegen. Eine Möglichkeit ist es, den gesamten nichtflüchtigen Speicher zu verschlüsseln. So können keine Daten, auch nicht versehentlich, unverschlüsselt abgelegt werden. Nachteil dieser Methode: Eine Vollverschlüsselung setzt auch die Kontrolle über das Gerät und geeignete Hardware voraus. Auf Smartphones und Tablets ist sie daher meist nicht ohne Weiteres möglich.

Auch ist bei einem Verlust des Passwortes der gesamte Rechner nicht mehr nutzbar, da ja auch das Betriebssystem verschlüsselt vorliegt und ohne Schlüssel nicht starten kann. Alternativ können Daten auch einzeln verschlüsselt werden, was dann in der Verantwortung des Nutzers liegt. Zumindest im Unternehmenseinsatz erscheint eine Vollverschlüsselung der Festplatte, am besten noch in Verbindung mit einer Smartcard, der beste Weg zu sein, um beim Abhandenkommen der Hardware die Unternehmensdaten in Sicherheit zu wissen.

Nachdem sich auch und gerade mobile Geräte einer wahren Flut von täglich neuer Schadsoftware erwehren müssen, ist eine entsprechende Analyse- und Schutzsoftware Pflicht. Bei mobilen Devices ergibt sich zusätzlich das Problem, dass diese meist mehrmals täglich mit den aktuellen Updates und Signaturen zur Erkennung der jeweils neuesten Mutationen der Schadsoftware versorgt werden müssen. Hierzu muss ein vertrauenswürdiger und verfügbarer Kanal, zum Beispiel über ein Virtual Private Network (VPN) zur Verfügung stehen.

Ein wichtiges Thema ist die Kontrolle der Geräteschnittstellen: Gerade Mobilgeräte verfügen über eine Vielzahl von Schnittstellen, über die möglicherweise Daten unkontrolliert und unerwünscht abfließen können. Neben den Netzwerkschnittstellen sind USB-Schnittstellen ein weiteres hochriskantes Einfalltor für Schadsoftware.

Eine leistungsfähige und flexibel konfigurierbare Schnittstellenkontrolle schafft hier ein deutliches Plus an Sicherheit. Allerdings steigt gleichzeitig der Aufwand für Rollout und Betrieb der Geräte. Diese Art der Schnittstellenkontrolle kann wiederum nur auf klassischen Notebooks umfassend eingesetzt werden. Auf Smartphones und Tablets ist ein so weit reichender Eingriff in die Schnittstellenverwaltung des Betriebssystems nicht ohne weiteres möglich.

Netzwerksicherheit umfasst bei mobilen Geräten hauptsächlich die Absicherung der Netzwerkschnittstellen des Gerätes gegen unerwünschte Zugriffe und die Beschränkung auf (wahrscheinlich) legitime Verbindungen. Ein weiterer wichtiger Punkt ist hier die Absicherung – also Verschlüsselung – der Verbindungen ins Firmennetz sowie die Authentifizierung berechtigter Nutzer.

Diese Hauptforderungen werden von einer Firewall und einem VPN erfüllt. Problematisch ist es allerdings, wenn Firewall und VPN(-Client) unmittelbar auf dem zu schützenden beziehungsweise anzubindenden Gerät laufen. Bei einer Kompromittierung des Geräts wäre auch der vertrauenswürdige Betrieb von Firewall und VPN gefährdet. Hier kann ein externes Gerät wie das Mobile Security Device genucard für hochwertige Sicherheit sorgen. Dann kann beispielsweise eine Schadsoftware nicht durch Änderung der Netzwerkeinstellungen eine Verbindung zu einem „Command-and-Control Server“ aufbauen. Denn die Verbindungen werden durch die autarke genucard kontrolliert und ausschließlich über das sichere VPN zugelassen.

Ein wesentlicher Aspekt für den Einsatz mobiler Lösungen ist der Aufwand für Rollout und Betrieb. Wie gezeigt, kann nur mit verhältnismäßig komplexen Lösungen ein zuverlässiges Maß an Sicherheit gewährleistet werden. Mit solchen Lösungen ist aber neben der Hardware und dem Betriebssystem mindestens eine Komponente gegen Schadsoftware („Antivirus“), eine Schnittstellenkontrolle („Endpoint Security“), Festplattenverschlüsselung sowie eine Netzwerk-/VPN-Lösung zu implementieren und zu pflegen. Dabei erfordert jede eine eigenständige zentrale Verwaltung, und alle Komponenten stehen untereinander in Abhängigkeiten. Damit ist klar: Der reibungslose Einsatz aller Lösungen auf einem Gerät ist nicht trivial.

Neben den genannten Aspekten spielt gerade vor dem Hintergrund drohender Industriespionage und Abfluss von Interlectual Property (IP) auch das Vertrauen in den Hersteller der Sicherheitslösung eine nicht zu unterschätzenden Rolle. Hier kann IT-Sicherheit „made in Germany“ ein wichtiges Kriterium sein. Weiterhin werden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Zertifizierungen von IT-Sicherheitsprodukten durchgeführt, die ebenfalls einen wertvollen Qualitätsnachweis liefern.