Handheld-Sicherheit: Besser als erwartet
Artikel erschienen in Swiss IT Magazine 2005/16
Eigentlich ist es ja eine gute Nachricht: Nur gerade 13 (2,6%) von 494 befragten Firmen hatten in den vergangenen 12 Monaten im Zusammenhang mit der Nutzung von Handheldgeräten einen schwerwiegenden sicherheitsrelevanten Vorfall zu verzeichnen. Dies ist ein Ergebnis der aktuellen Studie «IT-Security 2005», die InfoWeek in Zusammenarbeit mit der deutschen «InformationWeek» durchgeführt
hat. Dabei wurden insgesamt 495 Unternehmen in Deutschland,
der Schweiz, Österreich und
anderen deutschsprachigen Ländern wie Liechtenstein und Luxemburg
über verschiedene Aspekte der
IT-Sicherheit befragt. 215 der teilnehmenden Firmen beschäftigen bis zu 99 Mitarbeiter, in 157
arbeiten über 500 Personen. Abgedeckt wurden sämtliche Branchen von der Produktion über Dienstleistungsbetriebe und den Finanzbereich bis hin zur öffentlichen Verwaltung.
Ein grösserer Fragenkomplex betraf die Nutzung von Handhelds wie PDAs oder Smartphones, die offenbar eine immer weitere Verbreitung finden. So antwortete bloss eines der 495 Unternehmen, dass derzeit keinerlei derartige Geräte im Einsatz seien. In den restlichen Firmen schwankt die Zahl der eingesetzten Handhelds zwischen einem und über 2000 Stück. Bei den Plattformen dominiert dabei mit über 73 Prozent Verbreitung der Pocket PC mit Microsofts Windows Mobile, PDAs mit Palm OS kommen auf 52 Prozent. Je rund 24 Prozent haben Blackberrys und andere,
nicht genauer spezifizierte PDAs im Einsatz, und knapp 15 Prozent
setzen auf Smartphones mit dem Symbian OS.
Dabei werden die mobilen Geräte heute nach wie vor hauptsächlich als elektronische Agenda für den E-Mail-Abruf unterwegs (65,4%)
sowie (natürlich) für die Telefonie (58,5%) genutzt. Immerhin kann aber mehr als ein Fünftel der mobilen Mitarbeiter über den PDA auch aufs Firmennetzwerk zugreifen und knapp fünf Prozent haben sogar vollen Zugriff auf Datenbanken sowie ERP- und CRM-Systeme während 19,2 Prozent wenigstens über einen teilweisen Zugriff auf diese Unternehmensressourcen verfügen.
Vielfälltige Sicherheitsmassnahmen
Auch wenn sich also fast ein Viertel der befragten Unternehmen gegenüber PDAs recht offen zeigt, scheint man damit bisher kaum schlechte Erfahrungen gemacht zu haben. Nur gerade 2,6 Prozent der Firmen hatten im vergangenen Jahr einen schwerwiegenden sicherheitsrelevanten Vorfall zu verzeichnen, der eindeutig auf die Nutzung der mobilen Geräte zurückzuführen war. Und bei diesen wenigen Fällen waren erst noch recht selten die bösen Hacker im Spiel – im Gegenteil, 46,2 Prozent der Vorfälle betrafen Datenverluste aufgrund von Geräteschäden, Hard Resets oder anderen Benutzerfehlern und sogar 61,8 Prozent waren auf Geräteverluste zurückzuführen (wobei die Studie leider nicht näher zwischen tatsächlich verlorenen oder gestohlenen Geräten unterscheidet). Ähnlich verhält es sich auch bei vorsätzlichem Datendiebstahl und unautorisiertem Zugriff mit Änderung oder Löschung von Daten – auch bei diesen Vorfällen, die auf je 23,1 Prozent aller Fälle kamen, wird leider nicht näher darauf eingegangen, ob es sich dabei um Zugriffe und Diebstähle von firmenexternen Drittpersonen oder von unautorisierten Mitarbeitern handelte. Immerhin hielten sich die klar von aussen gesteuerten Angriffe wie Virenbefall des Netzwerks über einen infizierten Handheld und Attacken gegen Mobilgeräte über dessen Funkschnittstellen mit 3 respektive 4 Vorfällen in engen Grenzen. Und ein Angriff im mobilen Datenverkehr wurde sogar nur ein einziges Mal gemeldet.
Diese wenigen von aussen induzierten Sicherheitsvorfälle mögen ein Zeichen dafür sein, dass die Sicherheitsmassnahmen, die viele Firmen für ihre Handhelds treffen, den Anforderungen genügen. Tatsächlich wird von über 40 Prozent für die Kommunikation ein VPN eingesetzt, und bei 36,8 Prozent werden die Daten zusätzlich verschlüsselt. Weitere 41,5 Prozent setzen auf Integritäts-Checks auf dem Gerät, haben auf dem Handheld eine Firewall (30,4%) und/oder einen Virenscanner (41,5%) installiert und kontrol-lieren die Verbindungsschnittstellen.
Immerhin 16,2 Prozent der Unternehmen haben überhaupt keine Sicherheitsmassnahmen für Handhelds getroffen, was doch etwas nachdenklich stimmt. Es ist zu hoffen, dass diese Firmen zu den 30,6 Prozent gehören, die im kommenden Jahr in die Sicherheit von PDAs und anderen Mobilgeräten investieren wollen – bevor sie im nächsten Jahr die aktuell gute Schadensbilanz der Handheld-Sicherheit verschlechtern.
Die gesamten Ergebnisse der Studie «IT-Security 2005», die InfoWeek in Zusammenarbeit mit der deutschen «InformationWeek» durchgeführt hat, werden zu einem Studienband zusammengefasst, der Mitte September verfügbar sein wird. Der Band enthält 80 Grafiken, einige Seiten Kommentar und kostet 350 Euro (ohne MwSt.). Die komplette Studie (Studienband plus ca. 200 weitere Grafiken sowie ca. 400 Seiten Ergebnistabellen) ist zum Preis von 950 Euro (ohne MwSt.) erhältlich. Interessenten wenden sich an: Frank Sautner, frank.sautner@cmp-weka.de
.