Aktuelles, Experten, Gastbeiträge - geschrieben von am Montag, Dezember 8, 2014 17:08 - noch keine Kommentare

Gestaltung mobiler Sicherheit

Neue Herangehensweise ermöglicht Unternehmen, die richtige Ausgewogenheit zwischen Schutz, Mobilität und Produktivität zu finden

Von unserem Gastautor Bernd Ullritz

[datensicherheit.de, 08.12.2014] Das Projektmanagementmodell des „magischen Dreiecks” verdeutlicht die Hindernisse beim Abliefern von Projektergebnissen. Die drei Ecken des Dreiecks stehen für schnell, gut und preiswert und zeigen, dass in einem gegebenen Projekt nicht alle drei Attribute optimiert werden können: Um zwei Attribute zu maximieren, wird eines unweigerlich beeinträchtigt. Ein gutes Projekt kann daher zwar schnell umgesetzt werden, nicht aber zugleich unter kostengünstigsten Bedingungen.

Das gleiche Modell war jahrelang auf den Bereich der IT-Sicherheit anwendbar, insbesondere, wenn es um Mobilität ging. In diesem Fall stehen die drei Ecken des Dreiecks für Sicherheit, Mobilität und Produktivität. Normalweise haben Unternehmen sich für einen der folgenden Ansätze entschieden: Entweder wurde Mobilität zur Förderung der Produktivität ermöglicht, wobei unweigerlich die Sicherheit beeinträchtigt wurde, oder es wurde versucht, effektivere Sicherheit für mobile Geräte zu liefern, und somit die Produktivität beeinträchtigt.

Jüngste Studien zeigen, dass die Mehrheit der Unternehmen dem ersten der beiden Ansätze verfolgt, bei dem Mobilität vor der Sicherheit steht. Check Point befragte über 700 IT-Experten weltweit zu Mobilität und der Nutzung mobiler Geräte in ihren Unternehmen. 72 Prozent gaben an, die Anzahl an persönlichen Mobilgeräten, die sich mit dem Unternehmensnetzwerk verbinden, hätte sich in den letzten zwei Jahren mehr als verdoppelt. 82 Prozent erwarteten, dass die Vorfälle bei der mobilen Sicherheit in den nächsten zwölf Monaten ansteigen würden, was höhere Kosten für die Problembehebung nach sich ziehen könnte. Zwar sagten 56 Prozent, sie müssten versuchen, Geschäftsdaten wie E-Mail, Kontaktinformationen, Firmenkalender und Kundendaten auf den mitarbeitereigenen Geräten zu verwalten, doch versuchen 44 Prozent der Befragten dies derzeit überhaupt nicht.

Ein Problem, das aus dem Ruder läuft

Fast die Hälfte der Unternehmen verwaltet oder sichert die mitarbeitereigenen Geräte nicht. Dass die Herangehensweise an die mobile Sicherheit bei den meisten Unternehmen aus dem Ruder gelaufen ist, kommt daher nicht überraschend.

Warum sind Sicherheitsstrategien zum Schutz von Daten und Assets auf mobilen Geräten derart auf der Strecke geblieben? Ein Grund ist zum Teil die Tatsache, dass IT-Teams nicht endlos Zeit und Ressourcen in die Sicherung der Mobilität investieren können. Sie müssen Prioritäten setzen und der Zufluss an Mitarbeitergeräten ist den Ressourcen, die zu ihrer Verwaltung zur Verfügung stehen, weit voraus.
Diese Unternehmen verlassen sich womöglich darauf, dass sich ihre Mitarbeiter bei der Verarbeitung der Unternehmensdaten auf ihren persönlichen Geräten sicherheitsbewusst verhalten – viele Mitarbeiter demonstrieren dieses Verantwortungsbewusstsein. Normalerweise sind Mitarbeiter darauf konzentriert, effizienter zu arbeiten und ihre Aufgaben zu erledigen, aber nicht auf die Frage, ob ihre Handlungen vielleicht ein Sicherheitsrisiko darstellen könnten. Meistens geschieht trotz des Risikos nichts. Aber versehentliche Verluste treten dennoch auf. In unserer Studie sagten 87 Prozent der IT-Experten, dass sorglose Mitarbeiter ihrer Meinung nach das größere Sicherheitsrisiko für ihre Unternehmen darstellten, als Cyber-Kriminelle.

Viele Geräte, viele Probleme

Wie sollten Unternehmen also den Schutz ihrer sensiblen Daten angesichts des Verlust- oder Diebstahlsrisikos bei unternehmens- und mitarbeitereigenen Geräten angehen? Eines der Hauptprobleme ist, dass mobile Sicherheit nicht ein singuläres Problem, sondern eine Mischung aus Aufgaben darstellt. Diese erstrecken sich von der Sicherung des Fernzugriffs über die Sicherung von Daten auf Geräten, bis hin zur Sicherung gemeinsam zu nutzender Dokumente. Anhand von Schulungsmaßnahmen müssen den Nutzern zudem die Datensicherheitsrichtlinien der Unternehmen und die möglichen Folgen von Datenverlusten bewusst gemacht werden.

Mehrere unterschiedliche Lösungen versuchen, die Themen Mobilität und Sicherheit anzugehen, aber keine bietet eine Komplettlösung. Enterprise Mobile Management (EMM)-Lösungen verwalten Gerätekonfigurationen, aber schützen weder Unternehmensdaten noch Unternehmensdokumente in unkontrollierten Umgebungen. Mobile Lösungen, die auf ein spezifisches Untersegment der Sicherheit fokussiert sind, sind ebenfalls nicht in die Sicherheitsrichtlinien oder -infrastruktur des Unternehmens integriert. Einen einfachen, integrierten Ansatz, der Mobilgeräte vor Bedrohungen schützt und Daten und Dokumente auf den Geräten den Unternehmensrichtlinien entsprechend sichert, bietet keine Mobile Lösung. Dies würde jedoch die Anwendung von Sicherheitsmaßnahmen vereinfachen und der Belegschaft ein einfaches, sicheres mobiles Arbeiten ermöglichen.

Drei Meilensteine: Sicherheit, Mobilität, Produktivität

Ein integrierter Ansatz, der die folgenden drei Hauptanliegen der Mobilität angeht, ist unerlässlich:

  • Ausweitung des Schutzes vor Bedrohungen auf alle Geräte, egal wo sie genutzt werden
  • Die Möglichkeit, zum Schutz von Geschäftsdaten eine sichere Arbeitsumgebung auf jedem Gerät einzurichten
  • Der Schutz von Geschäftsdokumenten überall innerhalb und außerhalb des Betriebs auf jedem Gerät

Das erste Problem tritt auf, wenn ein Gerät während der Nutzung außerhalb der Unternehmensperimeter von Malware infiziert wird. Die auf dem Gerät gespeicherten Daten werden somit angreifbar. Wird das infizierte Gerät wieder genutzt, kann die Bedrohung auf das Unternehmensnetzwerk übergreifen. Eine wirksame Lösung dagegen ist der Schutz der Geräte durch die Nutzung Cloud-basierter Dienste, die einen verschlüsselten VPN-Tunnel nutzen. Dieser verhindert Downloads verdächtiger Dateien, blockiert bösartige Internetseiten und stoppt Bots, bevor sie Schaden anrichten können. Auf diese Art und Weise werden Nutzer, Netzwerke und Geschäftsdaten vor Bedrohungen innerhalb und außerhalb des Unternehmensnetzwerks geschützt. Zur leichteren Verwaltung ermöglicht der VPN-Tunnel zudem die Erweiterung der Sicherheitsrichtlinien der Unternehmen auf alle Geräte.

Das zweite Problem besteht darin, die sichere Nutzung persönlicher Geräte zu ermöglichen und auf diesen Geräten gleichzeitig Geschäftsdaten zu schützen und zu verwalten. In diesem Fall heißt die Lösung, auf dem Gerät eine sichere Geschäftsumgebung zu schaffen, die geschäftliche und persönliche Informationen und Anwendungen trennt und doch beide schützt. Damit können Nutzer von einem sicheren, verschlüsselten Anwendungsarbeitsplatz auf dem Gerät, der von den persönlichen Daten getrennt ist, auf Unternehmens-E-Mails, -Dokumente und -Assets zugreifen.

Das dritte Problem der mobilen Sicherheit besteht darin, Geschäftsdokumente sowohl innerhalb als auch außerhalb des Netzwerks zu schützen. Hier ist die ideale Lösung die Sicherung des Dokuments selbst, um zu gewährleisten, dass nur autorisierte Nutzer oft verwendete Dokumententypen wie Word, Excel, PowerPoint oder Acrobat öffnen und lesen können. Der Schutz sollte eingerichtet werden, wenn das Dokument zum ersten Mal erstellt wird, und dann mit ihm „reisen“. Auf diesem Wege werden die Sicherheitsrichtlinien des Unternehmens stets umgesetzt sowie vollständig erfasst und geprüft, wer auf das Dokument zugreift.

Der geräteagnostische Sicherheitsansatz sowie die stärkere Konzentration auf die Verwaltung und den Schutz der Nutzung von Unternehmensdaten machen es erheblich leichter, die Herausforderungen der Mobilität zu meistern. Geräte zu sehr zu blockieren, kann die Nutzererfahrung der Mitarbeiter bei Anwendungen sowie deren Privatsphäre stören. Dies kann wiederum dazu führen, dass sie versuchen, die Richtlinien des Unternehmens zu umgehen. Der Gerätetyp, der zum Zugriff und zur Verarbeitung der Informationen genutzt wird, spielt keine Rolle mehr – solange die Daten und die Session geschützt sind und die Person, die die Daten nutzt, die entsprechenden Rechte dazu hat.

Mit diesem Ansatz können Unternehmen sicherstellen, dass ihre Sicherheitsprojekt-Dreiecke die richtige Ausgewogenheit und die richtige Form haben: Echte Unternehmensmobilität und -produktivität kann somit möglich gemacht werden, ohne die Sicherheit zu beeinträchtigen.

Bernd Ullritz, Security Evangelist bei Check Point

© Check Point

Bernd Ullritz ist Security Evangelist bei Check Point

Weitere Informationen zum Thema:

datensicherheit.de 28.10.2014
Mobile Sicherheit: Sorglose Mitarbeiter größte Bedrohung



Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Medienkooperation

Internet Security Days 2018

Mitgliedschaft

BISG e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB
fit4sec

Gefragte Themen


Datenschutzerklärung