Unsichtbare Schutzwälle aufbauen

Mobile Security im Zeichen der Anwender

22.05.2014 von Beate Wöhe
Mobile Endgeräte stellen für viele Unternehmen ein enormes Sicherheitsrisiko dar. Nur die Hardware zu schützen, greift aber zu kurz. Wirksam sind Security-Strategien, die den mobilen Arbeitsplatz ganzheitlich betrachten. Die Experten Günther Kurth und Carsten Dibbern von Computacenter geben dazu einen Überblick.
Nicht nur Client Hardware, Betriebssystem, Software und Apps sind für eine sichere Mobil-Strategie verantwortlich. Es gehört einiges mehr dazu.
Foto: lucadp - Fotolia.com

An mobilen Endgeräten führt kein Weg mehr vorbei. Mitarbeiter und Manager fordern den Einsatz mobiler Technologien, weil sie mit Smartphones, Tablets und Notebooks zeit- und ortsunabhängig und dadurch effizienter arbeiten können. Und das längst nicht mehr nur in den traditionellen Außendienstfunktionen wie Vertrieb und Service. Auch Führungskräfte, Produktions- und Projektleiter, Büroangestellte und Kreativschaffende arbeiten außerhalb des Büros. In modernen, virtuell vernetzten Unternehmen wird fast jeder Angestellte zum mobilen Mitarbeiter. Im Zuge der IT-Consumerization erwarten die Anwender, dass sie die Geräte und Anwendungen kinderleicht nutzen können. Geschäftliche E-Mails zu beantworten oder mit Kunden per Telepresence zu kommunizieren, soll genauso einfach und intuitiv funktionieren wie das private Chatten, Surfen und Mailen.

Der Druck seitens der Anwender setzt Unternehmen unter Zugzwang: Sie müssen die mobilen Geräte und Anwendungen ihrer Mitarbeiter so absichern, dass die Benutzerfreundlichkeit dadurch nicht beeinträchtigt wird. Denn welcher Anwender möchte schon unterwegs am Flughafen oder im Kundengespräch vor Ort erst manuell eine VPN-Verbindung aufbauen, um einen Blick in die Mailbox zu werfen? Wenn sie die Wahrscheinlichkeit dafür erhöhen wollen, dass die Mitarbeiter die offiziellen Business-Apps nutzen und mit einer sicheren Netzwerkverbindung auf Geschäftsmails und -daten zugreifen, müssen Unternehmen Nutzerfreundlichkeit und Sicherheit unter einen Hut bringen. Am besten gelingt dies mit mobilen Security-Lösungen, die im Hintergrund ablaufen, ohne dass der Anwender davon etwas bemerkt.

Eine sichere Basis finden: Hardware und Betriebssystem

Eine der wichtigsten Entscheidungen, die Unternehmen auf dem Weg zur mobilen Gerätewelt treffen müssen, ist die Frage nach der geeigneten Plattform. Smartphones und Tablets gibt es wie Sand am Meer, aber welche Kombination aus Hardware und Betriebssystem hat in puncto Sicherheit die Nase vorn? Erst recht, wenn dafür eigene native Apps entwickelt werden sollen: Empfiehlt es sich, auf BlackBerry, iOS, Android oder Windows 8/Windows Phone zu setzen? Derzeit ist offen, welche Plattform sich langfristig als die sicherste etabliert. Aus diesem Grund versuchen viele Unternehmen, das Risiko, dass sich eine der genannten Plattformen nicht als zukunftsfähig erweist, möglichst breit zu streuen und lassen heterogene Mobil-Landschaften zu, um für jeden Fall gewappnet zu sein.

Dennoch lohnt es sich, aktuelle Smartphone-Modelle unter dem Sicherheitsaspekt miteinander zu vergleichen. Denn das bislang allgemein als eher unsicher angesehene Betriebssystem Android ist mittlerweile nicht mehr per se außen vor, wenn es um die sichere geschäftliche Nutzung geht. Einige Hersteller integrieren mittlerweile umfangreiche Sicherheits-Features so intelligent in die Google-Plattform, dass die Geräte dem scheinbar weniger gefährdeten iPhone in nichts mehr nachstehen. Umso mehr rückt daher die Frage in den Mittelpunkt, welche Daten, Applikationen und Zugänge Unternehmen auf Mobilgeräten zulassen und wie sie diese schützen.

Schlaue Lösungen für sicheren Zugang ins Netzwerk

Beim mobilen Arbeiten kommt der Netzwerkanbindung eine zentrale Rolle zu. Dabei ist es erstens wichtig, dass der Nutzer sich unkompliziert in das Unternehmensnetzwerk einloggen kann, und zweitens, dass er mit einer sicheren Verbindung Zugriff auf die ihm zugeordneten Daten erhält. Hierfür können Unternehmen einige Sicherheitsmaßnahmen direkt in das Netzwerk implementieren.

Eine Möglichkeit ist, den WLAN-Zugang so zu konfigurieren, dass mobile Endgeräte nur Zugriff auf bestimmte Daten haben. Als weitere Schutzmaßnahme können bestimmte Geräte bei der Einwahl in das WLAN direkt geblockt und ein ausgewählter Kreis authentifizierter Smartphones, Tablets und Notebooks zugelassen werden. Die einfachste Lösung hierfür ist ein MAC-Adressenfilter. Etwas aufwändiger, allerdings auch sicherer und deshalb gebräuchlicher ist die Authentifizierung mit dem 802.1X-Standard und mit Netzwerkzertifikaten, die mithilfe eines Mobile Device Managements (MDM) auf die zugelassenen Geräte verteilt werden. Gegenüber Passwörtern besitzen Zertifikate den Vorteil, dass sie vor Phishing-Angriffen geschützt sind. Der Nachteil ist allerdings, dass sie zum Beispiel im Windows-Zertifikatsspeicher relativ einfach kopiert werden können. Bei iOS-Geräten ist dies dagegen nahezu unmöglich, da der Zertifikatschlüssel hier im kryptografischen Hardware-Bereich liegt, der für Hacker unerreichbar ist.

Angriffsziel Nummer eins: mobile Apps

Bei Anwendern erfreuen sie sich wachsender Beliebtheit, bei IT-Sicherheitsexperten sorgen sie für schlaflose Nächte: Mobile Apps geraten zusehends in das Visier von Hackern. Genauso schnell und unkompliziert wie die kleinen Anwendungen auf dem Smartphone oder Tablet installiert sind, öffnen sie Cyberkriminellen Tür und Tor zu allen lokal gespeicherten Daten und stellen damit eines der größten Sicherheitsrisiken in Bezug auf mobile Endgeräte dar. Für Abhilfe sorgt das sogenannte "Trusted Environment" - eine sichere Umgebung, die dem Nutzer zusätzlich zum Betriebssystem zur Verfügung steht. Hier können Applikationen sicher ausgeführt werden. Der Vorteil für den User ist: Er kann seine persönlichen Lieblings-Apps in einem privaten und die sicheren Enterprise-Apps in einem geschützten zweiten Bereich nutzen.

Mobile Device Management -
BYOD-Trend
Deutsche Beschäftige greifen oft zum privaten Notebook, um berufliche Aufgaben zu erledigen.
Mobile Arbeitswelt
Laut einer Studie des Hightech-Verbandes Bitkom setzen 75 Prozent der Mitarbeiter mobile Endgeräte außerhalb des Büros ein. Das bedeutet, dass diese Systeme besonders abgesichert werden müssen, etwa mithilfe von MDM-Lösungen.
Dominanz von Android und Windows
Laut einer Studie von Citrix dominieren derzeit Android und Windows auf Mobilgeräten, die in Unternehmen im Einsatz sind. Der hohe Stellenwert von Windows 8 ist verwunderlich. Er könnte durch Tablets und Notebooks bedingt sein.
MDM-Lifecycle
Ein Mobile Device Management muss den gesamten Lebenszyklus eines Mobilgeräts abdecken, von der Inbetriebnahme und Konfiguration bis zur "Außerdienststellung". Dies schließt das sichere Löschen sensibler Daten auf privaten Endgeräten mit ein.
Ist MDM Pflicht?
Hans-Heinrich Aenishänslin, EMEA Regional Sales Senior Manager Endpoint Systems Management bei Dell: " Jedes Unternehmen, dessen Mitarbeiter mobile Endgeräte einsetzen, benötigt eine MDM-Lösung!"
MDM-Ansätze I
Die Funktionsweise des MDM-Systems von MobileIron: Als Pufferzone zwischen Mobilgerät und Firmennetzwerk wird eine DMZ (Demilitarized Zone) platziert.
MDM-Ansätze II
Citrix zählt zu den führenden Anbietern von MDM-Lösungen. Citrix XenDesktop ermöglicht es, virtualisierte Desktop-Umgebungen auf unterschiedlichen Endgeräten zu nutzen, vom Thin-Client über PCs im Home-Office bis hin zu Smartphones und Tablets.
MDM-Ansätze III
Auf die Option, Mobilgeräten einen sicheren Zugriff auf Anwendungen und Daten im Firmennetz über virtualisierte Desktops einzuräumen, setzt auch Pironet. Hier werden sie über ein zentrales Rechenzentrum bereitgestellt.
MDM-Ansätze IV
Auch etliche deutsche Unternehmen bieten MDM-Lösungen an. Dazu zählt Pretioso aus Südergellersen nahe Lüneburg mit seiner Datomo-Produktlinie.
MDM als Service?
Michael Melzig, Senior Product Marketing Manager Business Clients bei Fujitsu: "Speziell für kleinere und mittelständische Unternehmen kann sich es rechnen, ein Mobile Device Management in Form eines Managed Service oder als Software as a Service aus der Cloud zu beziehen."

Daten hinter Schloss und Riegel

Daten zu schützen ist Pflicht - erst recht, wenn Mitarbeiter sie lokal auf Mobilgeräten speichern und bearbeiten. Damit E-Mail-Anhänge, Kundendaten und sensible Informationen nicht in falsche Hände gelangen, bieten einige EMM-Lösungen sogenannte Container an, in denen die Daten verschlüsselt werden. Der Vorteil einer solchen Lösung ist: Sie kann nahtlos in die App integriert werden, sodass der Mitarbeiter innerhalb des Containers beispielsweise eine Enterprise-Dropbox-Lösung nutzen kann, ohne Gefahr zu laufen, dass Daten unverschlüsselt gespeichert und versendet werden.

Eine Alternative ist ein in die App integrierter VPN-Tunnel, der sich unbemerkt im Hintergrund aufbaut und Informationen codiert übermittelt. Der Anwender muss dafür weder selbst eine sichere Verbindung herstellen noch sich jedes Mal mit Nutzername und Passwort beim Öffnen der App einloggen. So lässt sich vermeiden, dass Sicherheitsmaßnahmen die Benutzerfreundlichkeit so weit einschränken, dass Mitarbeiter alternative Anwendungen ohne Verschlüsselungsmechanismus selbst installieren und nutzen.

Sieben Schritte zum MDM -
Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management?
Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden.
ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung.
Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle.
Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich.
Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen.
Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen.
User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.

Damit zusammenwächst, was zusammengehört

Soweit die technischen Möglichkeiten. Genauso wichtig sind allerdings organisatorische Vorkehrungen in Form ergänzter Compliance-Richtlinien, die unmissverständlich definieren, was den Mitarbeitern auf ihren Mobilgeräten erlaubt ist und was nicht. Denn jenseits der meist technologisch fokussierten Debatte wird der Faktor Mensch immer noch zu oft aus dem Blick verloren: Der Anwender selbst birgt ein nicht zu unterschätzendes Gefahrenpotenzial. Daher sollten Unternehmen eine ganzheitliche Mobility-Strategie entwickeln und die Regeln für den Umgang mit mobilen Endgeräten, Anwendungen und Daten in einer Nutzungsvereinbarung mit ihren Mitarbeitern fixieren.

Wie aber kann der Arbeitgeber sicherstellen, dass Mitarbeiter die Compliance-Richtlinien einhalten? Wie lässt sich verhindern, dass innerhalb des Unternehmens eine Schatten-IT entsteht? Hierfür empfiehlt es sich, einen erfahrenen Mobile-Enterprise-Dienstleister mit ins Boot zu holen, der das Thema Mobility ganzheitlich betrachtet. Darüber hinaus sollten bei der Entwicklung der Mobility-Strategie alle Beteiligten möglichst früh an einem Tisch sitzen: erstens die IT-Abteilung, um die Entscheidung zu treffen, welche mobilen Services inhouse erbracht werden können und welche zugekauft werden müssen. Zweitens die Finanzabteilung, die die finanziellen Ressourcen für den Mobility-Rollout zur Verfügung stellt, drittens der Betriebsrat, denn Themen wie die Ausgestaltung der Arbeitszeiten werden immer wichtiger, je mehr die Mitarbeiter mobil und damit losgelöst von ihrem Arbeitsplatz im Unternehmen arbeiten. Und viertens die Anwender. Nur wenn all diese Parteien mit an Bord sind, kann das Thema Mobility aus allen wichtigen Perspektiven betrachtet und eine tragfähige Strategie entwickelt werden.

Gute Aussichten für anwenderfreundliche, mobile Sicherheit

Sobald die Anwender mit von der Partie sind, wird meist automatisch der Blick über den technologischen Tellerrand hinaus auf die Lösungen geworfen, die das mobile Arbeiten unterstützen. Im Mittelpunkt stehen dann Lösungen, die beide Welten vereinen - Nutzerfreundlichkeit und mobile Security. Denn die wirksamsten Sicherheitslösungen sind diejenigen, die so integriert sind, dass der Anwender den Unterschied zur Nutzung seiner privaten Apps und Daten nicht bemerkt. Daher gilt es, die Security-Prozesse so geräuschlos wie möglich - am besten unsichtbar - zu betreiben, damit der Anwender die sicheren, vorgeschriebenen Enterprise-Apps freiwillig und gern nutzt.

Diesen Trend haben einige Hersteller frühzeitig erkannt, sodass es mittlerweile Endgeräte mit bereits eingebauten Sicherheitslösungen gibt. Bestes Beispiel ist hier die FIDO (Fast IDentity Online) Alliance, eine Non-Profit-Organisation, die eine nutzerfreundliche, standardisierte und sichere Authentisierung zum Ziel hat. Dieser Trend wird sich mehr und mehr durchsetzen - sehr zum Vorteil der Unternehmen, die dadurch einen weitaus geringeren organisatorischen Aufwand bewältigen müssen, um mobile Geräte anwenderfreundlich abzusichern.

Dieser Artikel entstand mit Material von Günter Kurth, Solution Director Mobility, und Carsten Dibbern, Solution Manager Secure Information, bei der Computacenter AG & Co. oHG.