IT-Abteilungen, aber auch Compliance-Fachleute und Chief Security Officers von Unternehmen müssen sich in immer stärkerem Maße damit auseinandersetzen, wie sich Smartphones, Tablets und Ultrabooks in Geschäftsabläufe integrieren lassen. Und dies, ohne dass Sicherheitsprobleme entstehen oder Geschäftsdaten in falsche Hände geraten. Laut einer Studie von IDC Deutschland zum Thema "Enterprise Mobility" vom Juli 2013 arbeiten 57 Prozent der Beschäftigten in Deutschland zumindest teilweise mit Mobilgeräten. Mehr als die Hälfte der befragten Unternehmen (54 Prozent) hat daher bereits eine Mobility-Strategie implementiert. Weitere 25 Prozent wollen das innerhalb der nächsten zwei Jahre zu tun.
Zu denken gibt, dass 16 Prozent der befragten IT- und Fachbereichsleiter einräumten, dass ihnen in den vergangenen Jahren mindestens einmal ein Mobilgerät mit Firmendaten an Bord abhanden kam. Um die Risiken durch gestohlene oder unzureichend abgesicherte Mobilsysteme zu minimieren, sehen 52 Prozent der Entscheider ein Mobile Device Management (MDM) und eine Mobile-Security-Strategie als unverzichtbar an.
Fehlerhafte Mobile-Security-Strategien
In der Praxis werden bei der Umsetzung einer Mobile-Security-Strategie laut einer Untersuchung der Beratungsgesellschaft Deloitte allerdings häufig Fehler gemacht. Folgende Vorgehensweisen seitens der IT-Abteilung seien besonders oft zu beobachten:
Die Nein-Sager
Die IT-Verantwortlichen sagen schlichtweg "Nein": Der Einsatz von Smartphones, Notebooks und Tablet-Rechnern wird weitgehend unterbunden. Dies gilt insbesondere für private Geräte, die Beschäftige im Unternehmen einsetzen wollen. Als Gründe führen IT-Fachleute Sicherheitsrisiken und mögliche Verstöße gegen Compliance-Regeln an. Es liegt auf der Hand, dass eine solche rigide Haltung kaum durchzuhalten ist. Zum einen deshalb, weil dadurch die Produktivität der Mitarbeiter leidet, zum anderen weil moderne Geschäftsprozesse kürzere Reaktionszeiten erfordern.
Diese können nur dann erreicht werden, wenn Mitarbeiter auch auf einer Dienstreise oder vom Home-Office aus ihre Aufgabe erledigen können. Hinzu kommt, dass die IT-Abteilung spätestens dann klein beigeben muss, wenn Führungskräfte darauf bestehen, dass sie selbst und ihre Abteilungen mit Mobilsystemen ausgestattet werden.
Einfach mal ein MDM-System kaufen
Die IT-Abteilung beschafft das erstbeste Mobile-Device-Management-System (MDM) und glaubt sich damit auf der sicheren Seite: Dies ist alleine deshalb fahrlässig, weil es derzeit etwa über 100 unterschiedliche MDM-Lösungen auf dem Markt gibt. Sie unterscheiden sich erheblich in Bezug auf den Funktionsumfang, die Bereitstellungsmodelle (Cloud, Installation im Firmenrechenzentrum) und die Einbindung in die vorhandene IT-Management-Landschaft. IT-Fachleute sollten daher zunächst prüfen, welche mobilen Endgeräte im Unternehmen verwendet werden, welche Sicherheitsforderungen im Bereich "Mobility" bestehen und welche Anforderungen die Anwender an Mobilsysteme und darauf abgestimmte Arbeitsabläufe haben, bevor sie ein MDM-System anschaffen.
Alle dicht
Die IT-Abteilung macht "die Schotten" dicht: Dies bedeutet, dass alle potenziell gefährlichen Funktionen des Mobilsystems deaktiviert werden. Dies kann beispielsweise die Installation oder Nutzung bestimmter Anwendungen betreffen, etwa WhatsApp, Facebook et cetera, aber auch den Zugriff auf bestimmte Web-Services wie Musikdienste. Die Folge: Anwender suchen nach Wegen, solche Restriktionen zu unterlaufen. Sie greifen beispielsweise verbotener Weise zu nicht "kastrierten" privaten Systemen oder sie weigern sich, an einem "Bring-Your-Own-Device"-Programm des Unternehmens teilzunehmen. Ein weiteres Problemfeld: Cloud-basierte Storage- und File-Sharing-Dienste werden ohne Wissen der IT-Abteilung verwendet, wenn diese keine Alternativen bereitstellt.
Private Endgeräte
Der Einsatz privater Endgeräte wird unzureichend geregelt: Umgekehrt sind manche Unternehmen allzu liberal, wenn es um BYOD geht. Wenn überhaupt, werden nur wenige Grundregeln eingeführt, etwa dass Systeme mit einem bestimmten Betriebssystem nicht verwendet werden dürfen, weil dieses überholt ist. Das kann dazu führen, dass im Unternehmen viele unterschiedliche Systemplattformen unterstützt werden müssen. Dies wiederum erhöht den Support-Aufwand und führt zu Sicherheitsrisiken.
Problemfall IT-Abteilung
Die IT-Abteilung ist paralysiert: Angesichts der Komplexität, die mit dem Management und der Absicherung mobiler Geräte verbunden ist, sind laut Deloitte manche IT-Abteilungen überfordert. Sie wissen nicht, welche Maßnahmen sie treffen sollen und "ducken" sich gewissermaßen weg. Diese Strategie ist naturgemäß mit hohen Risiken verbunden und in hohem Maße kontraproduktiv.
Restriktives Vorgehen
Restriktive Strategien sind in der Praxis in speziellen Branchen anzutreffen: "In unserem Unternehmen ist es schlichtweg untersagt, private Mobilgeräte zu verwenden", sagt beispielsweise eine leitende Mitarbeiterin der IT-Abteilung eines italienisch-deutschen Bankhauses in München. "Als Mobiltelefone kommen immer noch Blackberrys zum Einsatz, zudem Notebooks, die zentral von der IT-Abteilung bereitgestellt und verwaltet werden."
Wer gegen diese Regelungen verstößt, riskiert laut der IT-Fachfrau eine Abmahnung oder gar die Kündigung. Die Folge: Mitarbeiter nutzen für offizielle Tätigkeiten ihre Blackberrys, setzen aber sehr wohl daneben eigene Smartphones ein. Allerdings, so die IT-Spezialistin, würden diese privaten Systeme nicht - oder zumindest nicht mit Wissen der IT-Abteilung - in das Firmennetz der Bank integriert.
Wie schnell sich eine solche homogene Mobility-Welt in ein buntes Miteinander diverser Plattformen verwandeln kann, belegt ein zweites Beispiel: der Fahrzeughersteller MAN. Auch dort war vor der Übernahme des Unternehmens durch den VW-Konzern nach Angaben eines IT-Spezialisten, der nicht namentlich genannt werden will, Blackberry das Maß aller Dinge. Mitarbeiter waren mit entsprechenden Endgeräten ausgestattet. Als zentrales Kommunikationssystem diente der Blackberry Enterprise Server.
"Jetzt müssen wir auf Wunsch von VW-Managern, die Führungsaufgaben bei MAN übernehmen, auch iPhones und iPads unterstützen", sagt der IT-Fachmann. "Für uns bedeutete es einen erheblichen Aufwand, diese neuen Systeme in die IT-Infrastruktur zu integrieren und auf die entsprechenden Prozesse abzustimmen." Ein weiterer Effekt dieses Politikwechsels: Nun haben Mitarbeiter den Wunsch geäußert, dass auch Android-Smartphones und -Tablets unterstützt werden.
Technische Lösungen: Von Containern bis hin zu Spaces
IT-Fachleute, die Daten und Anwendungen auf Mobilsystemen schützen möchten, haben die Wahl zwischen mehreren Techniken. Hoch im Kurs stehen bei etlichen Herstellern von Sicherheitslösungen so genannte Container: "Nach unserer Auffassung bieten Container ein hohes Schutzniveau und erlauben es zudem, private und geschäftliche Daten auf einem Mobilgerät zu trennen", sagt Rüdiger Trost, Senior Sales Engineer beim finnischen IT-Security-Spezialisten F-Secure. Dies wiederum würde die Einführung von BYOD-Programmen (Bring Your Own Device) in Unternehmen erleichtern.
Ein Container ist ein verschlüsselter, durch ein Passwort geschützter Bereich auf einem Mobilgerät, der mithilfe einer speziellen Software eingerichtet wird. Er agiert unabhängig von der "normalen" Arbeitsumgebung des Smartphones oder Tablet-Rechners. In solchen Containern werden Geschäftsdaten und Anwendungen abgelegt, etwa E-Mail, Geschäftskontakte, Kalender und Browser, außerdem unternehmensspezifische Applikationen.
Vorteile der Container-Technik sind das hohe Sicherheitsniveau und die Möglichkeit, den Einsatz privater Endgeräte für geschäftliche Zwecke zu erlauben, ohne dass es zu einer Vermengung privater und beruflicher Daten und Anwendungen kommt. Die IT-Abteilung hat zudem die Kontrolle über die Container, kann also deren Inhalt ändern oder diese "Behälter" komplett löschen.
Zu den Nachteilen zählt, dass viele Container-Technologien herstellerspezifisch sind. Dies bedeutet, dass sich der Anwender an einen Anbieter bindet. Hinzu kommt, dass einige Lösungen ein Rekompilieren der ursprünglichen Anwendung mithilfe von Software Development Kits (SDKs) erfordern. Das schränkt die Zahl der unterstützten Applikationen ein. Anbieter von solchen Container-Lösungen sind unter anderem Citrix und Good Technology.
App-Wrapping: Anwendungen werden eingepackt
Ohne SDKs kommen "App Wrapper" aus. Der Anbieter, beispielsweise MobileIron oder VMware-AirWatch, modifiziert in diesem Fall den ausführbaren Code einer Anwendung. Hinzugefügt werden beispielsweise Sicherheitsregeln. Diese legen fest, wo welche Daten gespeichert werden und über welche Verbindungen diese transportiert werden dürfen. Dieser Ansatz weist ähnliche Vorteile auf wie das "Containerisieren" von Apps und Daten, insbesondere die Trennung zwischen privaten und geschäftlichen Bereichen auf einem Mobilgerät.
Zu den potenziellen Problemen zählt, dass manche Hersteller von Anwendungen es untersagen, deren Code zu modifizieren. Zudem ist das Patchen solcher ummantelter Anwendungen komplexer als bei Original-Applikationen. Vor allem bei Standard-Applikationen, die beispielsweise über die App-Stores von Google, Apple, Microsoft oder auch RIM/Blackberry bezogen werden, sind Techniken wie Wrapping mit einem höheren Aufwand verbunden und lassen sich wegen des mangelnden Zugriffs auf den Programmcode oft gar nicht umsetzen.
Mittlerweile werben etliche Anbieter wie etwa Good Technology oder Apperian mit einem "App-Wrapping ohne Coding". So ersetzt beispielsweise die Good Dynamics Secure Mobility Platform Standard-Systemaufrufe durch "Secure Calls" von Sicherheitsbibliotheken von Good. Auch IT-Fachleute ohne profunde Programmierkenntnisse können so laut Good mobile Anwendungen "einpacken".
Mit dem Good Dynamics SDK dagegen lassen sich dagegen Container erzeugen, indem der Programmcode der Anwendungen geändert wird. Dieses Verfahren eignet sich vorzugsweise für Apps, die ein Unternehmen selbst entwickelt hat. Der erhöhte Aufwand zahlt sich laut Good durch einen größeren Funktionsumfang aus: Apps können so konzipiert werden, dass sie untereinander auf sichere Weise Daten austauschen, oder applikationsspezifische Policies können über dieselbe zentrale Management-Konsole gesteuert werden, über welche die Verwaltung von Standard-Sicherheitsregeln erfolgt.
Virtualisierung: Desktops und Anwendungen im Rechenzentrum
Gerade in jüngster Zeit haben Ansätze wie virtualisierte Desktops im Mobilbereich an Boden gewonnen. Ein Grund dafür ist, dass die erforderlichen Mobilfunkverbindungen oder Anbindungen über ein öffentliches Wireless LAN mittlerweile erschwinglich sind. Das gilt insbesondere für den Zugriff auf Desktops-Umgebungen über 3G- sowie 4G-Netze.
Unternehmen wie Citrix und VMware bieten solche virtualisierte Desktop-Umgebungen an (Virtual Desktop Infrastructures, VDIs). Anwendungen und Daten werden im Firmen-Data-Center oder einem Cloud-Rechenzentrum vorgehalten. Der Nutzer greift darauf über VPN-Verbindungen (Virtual Private Network) vom Mobilgerät aus zu. Weder Anwendungen noch Daten werden auf dem Endgerät gespeichert - ein Vorteil in puncto Sicherheit.
Dem stehen Nachteile wie die Abhängigkeit von einer Datenverbindung und die eingeschränkte Zahl von Anwendungen gegenüber. Denn Original-Apps auf dem Endgerät, mit denen ein User vertraut ist, lassen sich bei diesem Ansatz nicht einsetzen. Zudem müssen die Anwendungen im Rechenzentrum auf die eingesetzten Mobilgeräte hin zugeschnitten werden, etwa die Displays (Größe, Auflösung) und die verwendeten Browser. Das erfordert einen höheren Aufwand.
Virtualisierung als App oder im Betriebssystem
Die Virtualisierungstechniken im mobilen Bereich lassen sich in zwei Kategorien einteilen:
Typ-1-Hypervisors: Sie setzen direkt auf der Hardware des Mobilgeräts auf ("Bare Metal"). Betriebssystem und Apps werden in Form von Virtual Machines auf dem Hypervisor ausgeführt. Dadurch ist es möglich, zwei komplett getrennte Systeme (Virtual Machines) aufzusetzen - eines für den privaten Gebrauch und eines für berufliche Zwecke. Als Ergänzung kann eine Verschlüsslung der Daten erfolgen, sowohl auf dem Endgerät auf der VM-Ebene als auch beim Transport. Der Nachteil: Dieses Verfahren ist aufwändig und erfordert eine nachhaltige Unterstützung durch den Hersteller des Mobilgeräts.
Typ-2-Hypervisors: Sie werden wie eine App auf dem Endgerät ausgeführt und erzeugen dort gewissermaßen in zweites, virtualisiertes Smartphone oder Tablet. Auch in diesem Fall lassen sich private und berufliche Bereiche auf dem Endgerät trennen. Allerdings wirken sich Typ-2-Hyervisors negativ auf die Batterielaufzeit und Performance des Endgeräts aus. Zudem muss die Virtualisierungsfunktion Zugriff auf zentrale Funktionen des Betriebssystems haben.
Spezielle Ansätze: Samsung Knox und Mobile Spaces
Einen eigenen Weg geht Samsung mit Knox. Diese Virtualisierungslösung setzt auf Security Enhanced Android (SE Android) auf und klinkt sich sowohl in die Hard- als auch Software eines Samsung-Galaxy-Systems ein. Ein Vorteil: Knox bietet eine AES-Verschlüsselung mittels AES (Advanced Encryption Standard) mit 256-Bit-Schlüsseln auf der Hardware-Ebene. Der User kann das Endgerät wie gewohnt einsetzen. Der Start der virtualisierten Arbeitsumgebung erfolgt über einen Button auf der Benutzeroberfläche. Zudem ist die Anbindung an MDM-Lösungen von Anbietern wie MobileIron möglich.
Ein Nachteil: SE Android wurde vom US-Geheimdienst NSA entwickelt. Auch wenn dieser nach eigenen Angaben keine Hintertüren in das Betriebssystem eingebaut hat, bleiben nach den Enthüllungen von Edward Snowden über die Ausspähaktionen der NSA Zweifel. Auf dem Mobile World Congress 2014 im Februar in Barcelona stellte Samsung Version 2.0 von Knox vor. Eine gravierende Änderung: Samsung hat selbst entwickelte MDM-Funktionen in Knox integriert. Die Lösung steht voraussichtlich ab April 2014 zur Verfügung.
Eine virtualisierte Runtime-Umgebung auf dem Mobilgerät richtet auch Mobile Spaces der gleichnamigen amerikanischen Firma ein. Eine Besonderheit der Lösung ist, dass der Hersteller sie mit Mobile-Application-Management-Funktionen ausgestattet hat. So steht eine Agent-App zur Verfügung, die als App-Starter dient. Sie stellt dem User eine Liste mit Anwendungen zur Verfügung, die von der IT-Abteilung freigegeben wurde. Der Nutzer wählt eine dieser Applikationen aus, die anschließend von Mobiles Spaces gestartet wird. Das heißt, es erfolgt kein direkter Aufruf von Apps durch den Nutzer. Diese Aufgabe übernimmt Mobile Spaces.
Ein Trend: Mobile Application Management
Zu den Entwicklungen, die den Bereich Mobile Security in den kommenden Monaten prägen werden, zählt die Integration von Funktionen für das Mobile Application Management (MAM) in Mobilbetriebssysteme. Dies ist unter anderem bei Samsung Knox und iOS 7 der Fall. Auch VMware beschreitet mit Horizon Mobile diesen Weg. Der Vorteil: Apps, die für die entsprechenden Betriebssysteme und Hardware-Plattformen freigegeben wurden, lassen sich ohne Hilfe von Tools verwalten, die Drittanbieter bereitstellen. Der Nachteil: Die Zahl der unterstützten Endgeräte und Betriebssystem-Versionen ist stark eingeschränkt.
MAM-Lösungen solcher Drittanbieter unterstützen dagegen eine breitere Palette von Endgeräten, etwa Android-Systeme unterschiedlicher Hersteller. Dafür muss die IT-Abteilung in Kauf nehmen, dass sich mit solchen Werkzeugen nur eine begrenzte Zahl von Apps verwalten lässt. Doch gleich, ob integraler Bestandteil eines Betriebssystems oder externe Applikation - eine zentrale Verwaltung von mobilen Anwendungen wird im Zusammenhang mit Mobile Security immer wichtiger.
Eine weitere Entwicklung: Über MIM zu Mobile Risk Management
Bei den Anwendern und den Anbietern von Lösungen für das "mobile Unternehmen" gewinnt zudem ein weitere Aspekt an Bedeutung: die Absicherung und das Management der Daten selbst sowie der Verbindungen, über die diese Informationen transportiert werden. Das bestätigt auch F-Secure-Fachmann Rüdiger Trost: "Mobile Security hat viele Facetten, vom Virenschutz und einer Firewall auf einem mobilen Endgerät über den Schutz von Geschäftsinformationen mittels Verschlüsselung und Virtualisierung bis hin zu VPNs und speziellen Cloud-Sharing-Lösungen." Mithilfe gesicherter Cloud-Speicher können Geschäftskunden Daten auf sichere Weise mit Kollegen und Partnerfirmen teilen und gemeinsam bearbeiten.
"Allerdings sollte ein Unternehmen im Vorfeld festlegen, welche Daten in solchen Online-Speicherplätzen gespeichert werden dürfen. Dies setzt eine Klassifizierung der Unternehmensdaten und wirkungsvolle Policies voraus", so Trost weiter, Stichwort Mobile Information Management (MIM).
Derzeit beschränken sich Lösungen für das Mobile Information Management in der Regel auf Produkte, welche die Freigabe und das Synchronisieren von Dateien regeln, beispielsweise Citrix ShareFile oder AppSense DataNow. Ein "echtes" MIM sollte jedoch den Zugriff und den Transfer aller Arten von Informationen von und zu mobilen Systemen erfassen, etwa auch den Inhalt von E-Mails, nicht nur deren Attachments. Hier spielen andere IT-Disziplinen mit hinein wie etwas Data Loss Prevention und Information Lifecycle Management.
Oliver Schonschek, Research Fellow bei der Marktforschungs- und Beratungsfirma Experton Group, geht noch einen Schritt weiter: Angesichts der Risiken, die mit dem Einsatz von Mobile Enterprise Solutions verbunden sind, hält er ein Mobile Risk Management (MRM) für erforderlich. Dieser Ansatz stellt nicht alleine die Sicherheit von Geräten, Anwendungen oder Daten in den Mittelpunkt, sondern erfasst alle Risiken, die mit dem Einsatz von mobilen Systemen und Anwendungen für ein Unternehmen verbunden sind. MRM schließt eine Risikobewertung und Priorisierung von Maßnahmen mit ein. Somit sei ein Mobile Risk Management gewissermaßen der Überbau von MDM, MAM und MIM.