An mobilen Endgeräten führt kein Weg mehr vorbei. Mitarbeiter und Manager fordern den Einsatz mobiler Technologien, weil sie mit Smartphones, Tablets und Notebooks zeit- und ortsunabhängig und dadurch effizienter arbeiten können. Und das längst nicht mehr nur in den traditionellen Außendienstfunktionen wie Vertrieb und Service. Auch Führungskräfte, Produktions- und Projektleiter, Büroangestellte und Kreativschaffende arbeiten außerhalb des Büros. In modernen, virtuell vernetzten Unternehmen wird fast jeder Angestellte zum mobilen Mitarbeiter. Im Zuge der IT-Consumerization erwarten die Anwender, dass sie die Geräte und Anwendungen kinderleicht nutzen können. Geschäftliche E-Mails zu beantworten oder mit Kunden per Telepresence zu kommunizieren, soll genauso einfach und intuitiv funktionieren wie das private Chatten, Surfen und Mailen.
Der Druck seitens der Anwender setzt Unternehmen unter Zugzwang: Sie müssen die mobilen Geräte und Anwendungen ihrer Mitarbeiter so absichern, dass die Benutzerfreundlichkeit dadurch nicht beeinträchtigt wird. Denn welcher Anwender möchte schon unterwegs am Flughafen oder im Kundengespräch vor Ort erst manuell eine VPN-Verbindung aufbauen, um einen Blick in die Mailbox zu werfen? Wenn sie die Wahrscheinlichkeit dafür erhöhen wollen, dass die Mitarbeiter die offiziellen Business-Apps nutzen und mit einer sicheren Netzwerkverbindung auf Geschäftsmails und -daten zugreifen, müssen Unternehmen Nutzerfreundlichkeit und Sicherheit unter einen Hut bringen. Am besten gelingt dies mit mobilen Security-Lösungen, die im Hintergrund ablaufen, ohne dass der Anwender davon etwas bemerkt.
Eine sichere Basis finden: Hardware und Betriebssystem
Eine der wichtigsten Entscheidungen, die Unternehmen auf dem Weg zur mobilen Gerätewelt treffen müssen, ist die Frage nach der geeigneten Plattform. Smartphones und Tablets gibt es wie Sand am Meer, aber welche Kombination aus Hardware und Betriebssystem hat in puncto Sicherheit die Nase vorn? Erst recht, wenn dafür eigene native Apps entwickelt werden sollen: Empfiehlt es sich, auf BlackBerry, iOS, Android oder Windows 8/Windows Phone zu setzen? Derzeit ist offen, welche Plattform sich langfristig als die sicherste etabliert. Aus diesem Grund versuchen viele Unternehmen, das Risiko, dass sich eine der genannten Plattformen nicht als zukunftsfähig erweist, möglichst breit zu streuen und lassen heterogene Mobil-Landschaften zu, um für jeden Fall gewappnet zu sein.
Dennoch lohnt es sich, aktuelle Smartphone-Modelle unter dem Sicherheitsaspekt miteinander zu vergleichen. Denn das bislang allgemein als eher unsicher angesehene Betriebssystem Android ist mittlerweile nicht mehr per se außen vor, wenn es um die sichere geschäftliche Nutzung geht. Einige Hersteller integrieren mittlerweile umfangreiche Sicherheits-Features so intelligent in die Google-Plattform, dass die Geräte dem scheinbar weniger gefährdeten iPhone in nichts mehr nachstehen. Umso mehr rückt daher die Frage in den Mittelpunkt, welche Daten, Applikationen und Zugänge Unternehmen auf Mobilgeräten zulassen und wie sie diese schützen.
Schlaue Lösungen für sicheren Zugang ins Netzwerk
Beim mobilen Arbeiten kommt der Netzwerkanbindung eine zentrale Rolle zu. Dabei ist es erstens wichtig, dass der Nutzer sich unkompliziert in das Unternehmensnetzwerk einloggen kann, und zweitens, dass er mit einer sicheren Verbindung Zugriff auf die ihm zugeordneten Daten erhält. Hierfür können Unternehmen einige Sicherheitsmaßnahmen direkt in das Netzwerk implementieren.
Eine Möglichkeit ist, den WLAN-Zugang so zu konfigurieren, dass mobile Endgeräte nur Zugriff auf bestimmte Daten haben. Als weitere Schutzmaßnahme können bestimmte Geräte bei der Einwahl in das WLAN direkt geblockt und ein ausgewählter Kreis authentifizierter Smartphones, Tablets und Notebooks zugelassen werden. Die einfachste Lösung hierfür ist ein MAC-Adressenfilter. Etwas aufwändiger, allerdings auch sicherer und deshalb gebräuchlicher ist die Authentifizierung mit dem 802.1X-Standard und mit Netzwerkzertifikaten, die mithilfe eines Mobile Device Managements (MDM) auf die zugelassenen Geräte verteilt werden. Gegenüber Passwörtern besitzen Zertifikate den Vorteil, dass sie vor Phishing-Angriffen geschützt sind. Der Nachteil ist allerdings, dass sie zum Beispiel im Windows-Zertifikatsspeicher relativ einfach kopiert werden können. Bei iOS-Geräten ist dies dagegen nahezu unmöglich, da der Zertifikatschlüssel hier im kryptografischen Hardware-Bereich liegt, der für Hacker unerreichbar ist.
Angriffsziel Nummer eins: mobile Apps
Bei Anwendern erfreuen sie sich wachsender Beliebtheit, bei IT-Sicherheitsexperten sorgen sie für schlaflose Nächte: Mobile Apps geraten zusehends in das Visier von Hackern. Genauso schnell und unkompliziert wie die kleinen Anwendungen auf dem Smartphone oder Tablet installiert sind, öffnen sie Cyberkriminellen Tür und Tor zu allen lokal gespeicherten Daten und stellen damit eines der größten Sicherheitsrisiken in Bezug auf mobile Endgeräte dar. Für Abhilfe sorgt das sogenannte "Trusted Environment" - eine sichere Umgebung, die dem Nutzer zusätzlich zum Betriebssystem zur Verfügung steht. Hier können Applikationen sicher ausgeführt werden. Der Vorteil für den User ist: Er kann seine persönlichen Lieblings-Apps in einem privaten und die sicheren Enterprise-Apps in einem geschützten zweiten Bereich nutzen.
Daten hinter Schloss und Riegel
Daten zu schützen ist Pflicht - erst recht, wenn Mitarbeiter sie lokal auf Mobilgeräten speichern und bearbeiten. Damit E-Mail-Anhänge, Kundendaten und sensible Informationen nicht in falsche Hände gelangen, bieten einige EMM-Lösungen sogenannte Container an, in denen die Daten verschlüsselt werden. Der Vorteil einer solchen Lösung ist: Sie kann nahtlos in die App integriert werden, sodass der Mitarbeiter innerhalb des Containers beispielsweise eine Enterprise-Dropbox-Lösung nutzen kann, ohne Gefahr zu laufen, dass Daten unverschlüsselt gespeichert und versendet werden.
Eine Alternative ist ein in die App integrierter VPN-Tunnel, der sich unbemerkt im Hintergrund aufbaut und Informationen codiert übermittelt. Der Anwender muss dafür weder selbst eine sichere Verbindung herstellen noch sich jedes Mal mit Nutzername und Passwort beim Öffnen der App einloggen. So lässt sich vermeiden, dass Sicherheitsmaßnahmen die Benutzerfreundlichkeit so weit einschränken, dass Mitarbeiter alternative Anwendungen ohne Verschlüsselungsmechanismus selbst installieren und nutzen.
Damit zusammenwächst, was zusammengehört
Soweit die technischen Möglichkeiten. Genauso wichtig sind allerdings organisatorische Vorkehrungen in Form ergänzter Compliance-Richtlinien, die unmissverständlich definieren, was den Mitarbeitern auf ihren Mobilgeräten erlaubt ist und was nicht. Denn jenseits der meist technologisch fokussierten Debatte wird der Faktor Mensch immer noch zu oft aus dem Blick verloren: Der Anwender selbst birgt ein nicht zu unterschätzendes Gefahrenpotenzial. Daher sollten Unternehmen eine ganzheitliche Mobility-Strategie entwickeln und die Regeln für den Umgang mit mobilen Endgeräten, Anwendungen und Daten in einer Nutzungsvereinbarung mit ihren Mitarbeitern fixieren.
Wie aber kann der Arbeitgeber sicherstellen, dass Mitarbeiter die Compliance-Richtlinien einhalten? Wie lässt sich verhindern, dass innerhalb des Unternehmens eine Schatten-IT entsteht? Hierfür empfiehlt es sich, einen erfahrenen Mobile-Enterprise-Dienstleister mit ins Boot zu holen, der das Thema Mobility ganzheitlich betrachtet. Darüber hinaus sollten bei der Entwicklung der Mobility-Strategie alle Beteiligten möglichst früh an einem Tisch sitzen: erstens die IT-Abteilung, um die Entscheidung zu treffen, welche mobilen Services inhouse erbracht werden können und welche zugekauft werden müssen. Zweitens die Finanzabteilung, die die finanziellen Ressourcen für den Mobility-Rollout zur Verfügung stellt, drittens der Betriebsrat, denn Themen wie die Ausgestaltung der Arbeitszeiten werden immer wichtiger, je mehr die Mitarbeiter mobil und damit losgelöst von ihrem Arbeitsplatz im Unternehmen arbeiten. Und viertens die Anwender. Nur wenn all diese Parteien mit an Bord sind, kann das Thema Mobility aus allen wichtigen Perspektiven betrachtet und eine tragfähige Strategie entwickelt werden.
Gute Aussichten für anwenderfreundliche, mobile Sicherheit
Sobald die Anwender mit von der Partie sind, wird meist automatisch der Blick über den technologischen Tellerrand hinaus auf die Lösungen geworfen, die das mobile Arbeiten unterstützen. Im Mittelpunkt stehen dann Lösungen, die beide Welten vereinen - Nutzerfreundlichkeit und mobile Security. Denn die wirksamsten Sicherheitslösungen sind diejenigen, die so integriert sind, dass der Anwender den Unterschied zur Nutzung seiner privaten Apps und Daten nicht bemerkt. Daher gilt es, die Security-Prozesse so geräuschlos wie möglich - am besten unsichtbar - zu betreiben, damit der Anwender die sicheren, vorgeschriebenen Enterprise-Apps freiwillig und gern nutzt.
Diesen Trend haben einige Hersteller frühzeitig erkannt, sodass es mittlerweile Endgeräte mit bereits eingebauten Sicherheitslösungen gibt. Bestes Beispiel ist hier die FIDO (Fast IDentity Online) Alliance, eine Non-Profit-Organisation, die eine nutzerfreundliche, standardisierte und sichere Authentisierung zum Ziel hat. Dieser Trend wird sich mehr und mehr durchsetzen - sehr zum Vorteil der Unternehmen, die dadurch einen weitaus geringeren organisatorischen Aufwand bewältigen müssen, um mobile Geräte anwenderfreundlich abzusichern.
Dieser Artikel entstand mit Material von Günter Kurth, Solution Director Mobility, und Carsten Dibbern, Solution Manager Secure Information, bei der Computacenter AG & Co. oHG.