Mobility ist auf dem Weg vom Hype zum Standard. Künftig wird die Mehrheit der Nutzer mittels Smartphone und Tablet ins Web gehen. Voraussetzung dafür war einerseits die Entwicklung der Hardware-Technik dieser Systeme, die heute Performance und Usability vereinen, sowie andererseits die nahezu überall gegebene Verfügbarkeit von Bandbreite zu akzeptablen Kosten; die verbliebenen Lücken werden zurzeit geschlossen.
Vor diesem Hintergrund hat sich mit Mobility auch ein neues Nutzungs-Paradigma von IT durchgesetzt, das über den Consumer-Bereich hinausreicht und mehr und mehr auch Business-Nutzer erfasst: Man hat sich daran gewöhnt, immer und überall mit Geräten eigener Wahl mit beliebigen Daten zu arbeiten: im Zug, im Hotel, im Auto, im Büro, Zuhause. Im Falle der Business-Nutzer bedeutet das, dass nicht nur auf Wetterberichte, soziale Netzwerke und Sportnachrichten, sondern auch auf Unternehmensdaten zugegriffen wird.
Da aber mobile Geräte anders als Desktops definitionsgemäß nicht (nur) in der gesicherten Umgebung der eigenen Geschäftsräume benutzt werden, ergibt sich daraus ein erhöhtes Sicherheitsrisiko. Desktops werden nur sehr selten verloren, die IT hat ein Auge auf die installierten Applikationen und fängt Angriffe von außen ab. Und dem Anwender - bekanntlich immer die größte Schwachstelle - kann man in Reichweite der eigenen IT-Abteilung auch besser auf die Finger schauen.
Erhöhtes Sicherheitsrisiko für mobile Endgeräte
Anders in der mobilen Welt: Notebooks, Smartphones und Tablets bleiben schon mal liegen, sie werden gelegentlich gestohlen und außerdem ständig in offenen WLANs betrieben, von denen man nie so recht weiß, wie es darin genau zugeht. Mobility bedeutet ja nicht, dass einfach Geräte im Freien herumgetragen werden, sondern dass diese Geräte ständig und überall kommunizieren - mit anderen Mobilgeräten, mit der Cloud und natürlich auch mit der Unternehmens-IT.
Die zunehmende Verbreitung der mobilen Geräte hat zudem dazu geführt, dass spezielle Angriffsmuster entwickelt wurden, die deren systembedingte Schwachstellen gezielt ins Visier nehmen. Mobility heißt daher immer auch Risiko.
Mit entsprechend restriktiven Compliance-Vorgaben lässt sich das Problem zumindest im Unternehmensumfeld abfangen: geht nicht, darf nicht, kann nicht. Damit wäre man natürlich auf der sicheren Seite. Allerdings verwenden die Nutzer, vom Praktikanten bis zum CEO, ihre mobilen Geräte ja nicht ganz ohne Grund: Mobility heißt nun mal auch Productivity - die kleinen Dinger sind eben immer zur Hand, ständig verfügbar, gut zu bedienen, erweiterbar und so flexibel.
Man muss also die richtige Balance finden zwischen Sicherheit und Produktivität. Dabei ist zu berücksichtigen, dass allzu restriktive Vorgaben dazu führen können, dass die Benutzer eigene Wege suchen, um die Sicherheitsmaßnahmen zu umgehen. Hier sollten Unternehmen die Eigendynamik mobiler Systeme nicht unterschätzen.
Unternehmen können mit einem abgestimmten Set von Maßnahmen dafür sorgen, dass sich Sicherheit und Produktivität beziehungsweise Komfort nicht ausschließen. Die wichtigsten Vorkehrungen gegen Mobility-Risiken sind:
Moderne Verschlüsselungstechniken schützen Daten, wo immer sie gespeichert sind, auf mobilen Geräten oder Desktops, aber auch auf tragbaren Speichermedien wie USB-Sticks und sogar in einer öffentlichen Cloud. Ein unverschlüsselter USB-Stick in den Händen eines unbefugten Nutzers kann unabsehbare Folgen haben. Verschlüsselt ist derselbe Stick für ihn jedoch wertlos. Aufgrund der Prozessorleistung aktueller Mobilgeräte führt Verschlüsselung zu keinen Komforteinbußen und lässt sich nahtlos in die jeweiligen Prozesse integrieren.
Die vier Säulen einer Enterprise-Mobile-Security-Strategie
• Schutz der Daten im Rechenzentrum, während der Übertra-gung und auf den Endgeräten selbst;
• klare Benutzerregelung für den mobilen Zugriff auf Unterneh-mens-Applikationen und -Daten;• einheitliches und durchgängiges IT-Sicherheitskonzept;
• Einrichtung von Daten- und Applikations-Containern, die für ei-ne klare Trennung von privaten und beruflichen Bereichen auf einem mobilen Endgerät sorgen.
Identifizierung und Authentifizierung sind grundlegend, um sicherzustellen, dass nur berechtigte Benutzer auf für sie relevante Daten zugreifen können. Es gibt hier zahlreiche technische Möglichkeiten, etwa Hardware- und Biometrie-basierte Verfahren, zentralisiertes Remote-Management oder sicheres Single Sign On.
Mit Malware Prevention können Unternehmen Schadsoftware erkennen und stoppen, bevor sie ein System angreifen kann. Neuere Malware-Prevention-Systeme können beispielsweise Eindämmungsmethoden verwenden, mit denen häufig attackierte Anwendungen in einer virtualisierten Umgebung laufen, so dass Malware nicht auf die übrigen Systeme übergreifen kann. Darüber hinaus können sie Malware-Attacken automatisch auf Basis von bestimmten Verhaltensweisen identifizieren und sind nicht auf das Erkennen von Malware-Signaturen angewiesen. Auch Zero-Day-Attacken lassen sich so wirkungsvoll stoppen.
Solche Maßnahmen müssen natürlich in eine umfassende Sicherheits-Strategie eingebunden sein. Mit einer Enterprise-Mobility-Management (EMM)-Lösung können Unternehmen mobile Endgeräte konsistent verwalten und die Bereiche Mobile Device Management, Mobile Application Management und Mobile Content Management abdecken. Unternehmen können mit einer derartigen durchgängigen Lösung alle Sicherheits- und Compliance-Regeln für alle Arten von mobilen Geräten kontrollieren. (rw)