Mobilität bringt neue Gefahren
Artikel erschienen in Swiss IT Magazine 2009/05
Die IT in Unternehmen wird immer dynamischer, dezentraler und die Mitarbeiter arbeiten oft nicht mehr nur an ihrem fixen Arbeitsplatz im Büro, sondern auch unterwegs, von zu Hause oder sonst irgendwo. Möglich machen dies mobile Geräte wie Notebooks, Netbooks oder Smartphones sowie die dazugehörigen Services und Applikationen im Hintergrund. So praktisch das für die Mitarbeiter und auf den ersten Blick auch für die Firma sein mag, so kompliziert wird es, wenn man genauer hinschaut. Mobile Computing führt nämlich unweigerlich auch dazu, dass man sich mit ganz neuen IT-Sicherheitsaspekten auseinandersetzen muss.
Wenn der Mitarbeiter unterwegs ist, dann sind das auch wichtige Unternehmensdaten. Das Spektrum reicht von Kontaktinformationen wie Telefonnummern oder E-Mail-Adressen, wie sie jeder auf seinem Handy gespeichert hat, bis hin zu Offerten, Reports, Verträgen oder sogar Passwörtern und Login-Daten. Meistens sind diese vertraulichen Daten unverschlüsselt. In erster Priorität gilt es, deren Verlust oder Diebstahl zu verhindern.
Weiter muss sichergestellt sein, dass durch die neuen Geräte für das bestehende Firmennetzwerk keine Gefahr droht. Dann bedingt die Mobilität der Mitarbeiter auch ein verändertes Support-Modell. Wie lässt sich ein Softwarefehler beheben, wenn das Gerät ausser Haus ist? Was ist bei einem Hardware-Defekt, wenn sich der Mitarbeiter beispielsweise im Ausland befindet? Wie stelle ich die Verfügbarkeit von Diensten sicher? Dazu braucht man ganz neue Management- und Sicherheits-Tools.
Mobile Computing erschwert auch das Backup. Die Daten von den Laptops und Smartphones müssen nicht nur vor Fremden geschützt, sondern im Fall der Fälle auch wiederhergestellt und natürlich im Unternehmen archiviert werden. Nicht zu vergessen ist schliesslich, dass in der IT-Abteilung auch das nötige Wissen für den Umgang mit den mobilen Geräten vorhanden sein muss. Das ist nicht so einfach, denn die Geräte entwickeln sich rasant weiter und insbesondere auf dem Smartphone-Markt tummeln sich die unterschiedlichsten Hersteller mit ebenso unterschiedlichen Standards.
Mobile Security und alles, was dazugehört, steht zwar auf den Top-10-Listen der Sicherheits-Bedrohungen für 2009 nicht an oberster Stelle. Das Thema ist aber in den Aufzählungen vorhanden, meistens auf den vorderen Plätzen. Beispielsweise bei Blue Coat Systems, wo man für 2009 ein kontinuierlich wachsendes Interesse von Cyberkriminellen an mobilen Geräten feststellt. Dies ganz einfach aus dem Grund, dass die Zahl der Benutzer in den letzten Monaten stark zugenommen habe. Fortinet sieht im 3G-Netz und der vermehrten Einbindung von Smartphones in die Geschäftsprozesse und das Unternehmensnetz grosse Gefahren kommen. Schon dieser kleine Auszug beweist, dass sich Unternehmen immer mehr mit dem Thema auseinandersetzen und es nicht auf die leichte Schulter nehmen sollten.
Nun zu den Sicherheitsproblemen, die Firmen aktuell wirklich betreffen. Dazu hat Infoweek ein Unternehmen befragt, das sich damit bestens auskennt, nämlich die Schweizer Nomasis AG. Der 2004 gegründete IT-Dienstleister ist auf IT-Security-Lösungen für den firmengerechten Einsatz von modernen und mobilen Kommunikationssystemen spezialisiert. Nomasis hat für Infoweek die drei aktuell grössten Bedrohungen im Zusammenhang mit Mobile Computing identifiziert.
Ganz oben auf der Liste steht laut Nomasis-Geschäftsführer Philipp Klomp ein Problem, das eigentlich schon längst gelöst sein müsste. In vielen Unternehmen wird noch keine Lösung oder kein Konzept eingesetzt, um bei Verlust und Diebstahl der Notebooks oder Smartphones zu helfen. «Viele Unternehmen sagen uns, dass bei ihnen keine wichtigen Daten auf den Laptops oder Smartphones sind», erklärt Klomp, «das ändert sich dann aber sofort, wenn tatsächlich einmal ein Gerät verloren geht.» Das Fazit: Auf jedem Notebook liegen wichtige Daten. Deshalb gelte es, hier beispielsweise eine Verschlüsselungs- oder Authentifizierungslösung einzusetzen, wovon es auf dem Markt bereits sehr viele gebe.
Die zweite grosse Herausforderung bringt laut Nomasis der Wildwuchs von verschiedenen Geräten mit sich. «Oft wissen Unternehmen nicht mehr, wo überall ihre Daten sind», erklärt Klomp. Dabei weist er nicht nur auf Handys und Laptops hin, sondern vor allem auch auf die USB-Sticks. Jeder habe heute mehrere dieser praktischen Flash-Speicher, aber man wisse oft nicht mehr, wo was gespeichert wurde, und oft sogar nicht einmal mehr, wo der Stick gerade sei (siehe Kasten).
Die Inflation an Geräten bedeutet gleichzeitig einen erhöhten Verwaltungsaufwand. Genau hier liegt das Sicherheits-Problem Nummer drei: Eine zentrale Verwaltungsmöglichkeit für die mobilen Geräte fehlt meistens und damit besteht dort eine Schwachstelle. Es sei aber auch nicht ganz einfach, eine solche zentrale Lösung aufzubauen, nimmt Klomp die Unternehmen in Schutz. Denn nicht alle Geräte liessen sich einfach so einbinden. «Das iPhone ist nur ein Beispiel dafür», weiss der Nomasis-Geschäftsführer.
Philipp Klomp wagt noch einen Blick in die Zukunft. Als grosse, kommende Gefahr sieht er die Ortung auf uns zukommen. Dank GPS und praktisch ständiger Internetverbindung hinterlasse man überall Spuren. Das könnten sich Kriminelle bald zu Nutzen machen. Ein anderes Thema, das seit Jahren beschäftigt, sind Viren, die es speziell auf Handys und Smartphones abgesehen haben. Mindestens seit fünf Jahren wird den Schädlingen für unsere Mobiltelefone der grosse Durchbruch prophezeit. Passiert ist bisher noch nichts. Wird sich das womöglich mit den neuen Geräten wie dem iPhone, die praktisch laufend online sind, ändern? Laut Klomp wird das allenfalls vermehrt zum Thema werden, ist aber zurzeit noch vernachlässigbar.
Mobile Mitarbeiter findet man heute in vielen Unternehmen, nicht nur in grossen, sondern auch und insbesondere in kleinen. Mobile Security wäre also für alle wichtig. Philipp Klomp gesteht aber ein, dass es aktuell vor allem in mittleren und grösseren Firmen mit mehr Geräten ein Thema sei, aber immerhin branchenübergreifend. Natürlich vor allem im Banken- und Versicherungssektor, aber auch bei der öffentlichen Hand, in Energiekonzernen, in der Industrie oder in Dienstleistungsbetrieben. Aus der Sicht von Nomasis geniesst das Thema aber immer noch nicht den Stellenwert, den es haben sollte: «Wir müssen immer noch viel missionieren» meint Klomp. Dabei sei nicht einmal der finanzielle Aspekt das Hauptproblem. Es würden einfach andere Prioritäten gesetzt oder der Bedarf dafür sei nicht vorhanden.
Klomp erwähnt, dass man bereits mit sehr wenig Aufwand viel erreichen könne. «Wichtig ist in einem ersten Schritt das fehlende Bewusstsein. Unternehmen müssen sich bewusst werden, wo ihre sensiblen Daten liegen und welchen Gefahren sie dort ausgesetzt sind.» Natürlich gilt es danach, falls gewünscht, in weiteren Schritten auf andere wichtige Aspekte zu fokussieren. Da gibt es so einige: Aktuell und in letzter Zeit führt Nomasis beispielsweise sehr viele Projekte durch, die sich explizit mit der Verschlüsselung auf Laptops befassen. Ein heisses Thema ist gegenwärtig zudem für Firmen, die eingeführten PDAs und Smartphones in die Sicherheitsprozesse zu integrieren.
Von konkreten Lösungstipps von Nomasis nun noch zu einem systematischen Mobile-Security-Ansatz. Den Sicherheitsaspekten gilt es bereits bei der Einführung von mobilen Geräten oder Anwendungen Rechnung zu tragen. Das Ziel eines Projekts ist es in jedem Fall, eine gewünschte, neue Funktionalität bereitzustellen. Dies darf gerade im Bereich des Mobile Computing aber nicht auf Kosten der bestehenden Sicherheitsvorschriften und -Infrastruktur geschehen. Deshalb gilt es, bereits bei und nach der Analyse der Bedürfnisse die möglichen Risiken sowie Lücken zu definieren und identifizieren.
Bedürfnisse gibt es in zwei Bereichen zu erfüllen, auf Seiten der Daten und auf Seiten der Hardware. Neben Standardwünschen stellen sich aus sicherheitsrelevanter Sicht zum Beispiel Fragen wie diese:
? Wie aktuell müssen die Daten verfügbar sein; ist eine ständige Netzwerk- oder Internetverbindung nötig?
? Wie ist der Schutzbedarf der Daten, die unterwegs sind? Hoch oder eher gering?
? Sind die Benutzer nur lokal oder regional oder sogar international unterwegs?
? Welche Plattformen sollen eingesetzt werden?
? Was für Support-Leistungen werden erwartet?
In der Risiko-Analyse sollten solche Fragen geklärt werden:
? Welchen Einfluss hat der Verlust von Daten oder mobilen Geräten auf das Geschäft, und zwar in Bezug auf Vertraulichkeit, Integrität oder Verfügbarkeit?
? Welche Bedrohungsszenarien sind möglich und wo liegen mögliche Schwachstellen?
? Wo besteht nach Beantwortung der obigen Fragen Handlungsbedarf, wie werden die Lücken geschlossen und wie wird mit dem Restrisiko umgegangen?
Zusammen mit dem Management gilt es, nach Beantwortung dieser Fragen, die nur eine Auswahl aus vielen möglichen darstellen, Richtlinien und Prozesse festzulegen und die technischen Massnahmen zu bestimmen, die dann umgesetzt werden. Hier gibt es eine ganze Fülle an Lösungen (Verschlüsselungs- oder Antiviren-Software, um nur zwei zu nennen) und Kombinationsmöglichkeiten.
Doch nicht jedes Tool oder Programm ist in jedem Fall sinnvoll. Beispielsweise könnte die Performance zu stark darunter leiden. Ausserdem vertragen sich viele Lösungen und Geräte nicht unter- und miteinander und bringen, wenn doch, viel Administrationsaufwand mit sich. Da der Markt noch recht neu ist, gilt es zudem, ein besonderes Augenmerk auf die Marktreife der Produkte und einen Blick in die Zukunft zu werfen. Das Wichtigste ist aber, wie bereits erwähnt, dass man sich den neuen Sicherheitsbedrohungen und -risiken bewusst ist.
Neben Notebooks und Smartphones sind bei mobilen Mitarbeitern USB-Sticks für das Speichern von Unternehmensdaten sehr beliebt. Sie bieten immer mehr Speicherplatz und werden immer billiger, sind gleichzeitig aber ein Horror für jeden IT-Verantwortlichen. Einerseits sind laut der ENISA (European Network and Information Security Agency) rund 80 Prozent der Geräte nicht verschlüsselt, obwohl viele schnell verlegt oder verloren gehen. Zudem gibt es nur selten Regelungen über deren Gebrauch. Auch bei Prüfungen oder Backups werden sie nur selten miteinbezogen. Doch bequeme Lösungen sind in Sicht: Viele Hersteller bieten unterdessen USB-Sticks in Kombination mit einer Verschlüsselungs-Software an. Und: Microsoft wird mit Windows 7 «Bitlocker to Go» für USB-Sticks einführen, die sich damit einfach per Mausklick verschlüsseln und sicher machen lassen.
· Unternehmen müssen sich bewusst werden, wo ihre sensiblen Daten liegen und welchen Gefahren sie dort ausgesetzt sind.
· Die Mobilität darf nicht auf Kosten der bestehenden Sicherheitsinfrastruktur gehen.
· Vielerorts fehlt immer noch eine Lösung oder ein Konzept, das bei Verlust oder Diebstahl von mobilen Geräten hilft.