Archiv

Mobile IT-SicherheitGefahren, die Ihrer IT unterwegs auflauern

Ihre Unternehmensdaten sind Ihr Kapital? Auch beim Arbeiten von unterwegs aus möchten Sie diese Daten geschützt vor fremden Übergriffen wissen? Haben Sie Ihre mobilen Endgeräte auch umfassend geschützt? Lesen Sie im folgenden Beitrag Wissenswertes zu den Gefahren, die Ihrer IT unterwegs auflauern und wie Sie sich davor schützen.
erschienen: 11.08.2009

Sicherheitsherausforderung Mobilität

Die Vorteile des Einsatzes mobiler Endgeräte und Infrastrukturen liegen klar auf oder besser gesagt in der Hand: Jede Veränderung im geplanten Ablauf, jedes Ereignis oder Ergebnis kann unmittelbar kommuniziert werden – unabhängig von Zeit und Ort. Ganz gleich, ob sich beim Außendienst ein Termin verschiebt, wichtige E-Mails noch abgerufen werden müssen oder der Zugriff auf eine Datenbank nötig ist – solange eine Verbindung vorhanden ist, genügt ein Klick und der Mitarbeiter greift auf die Unternehmensdaten zu.

Doch die Nutzung mobiler Systeme und Infrastrukturen zieht große Herausforderungen in puncto Sicherheit nach sich: Mobile Endgeräte einschließlich ihrer Infrastrukturen müssen gegen Missbrauch oder Diebstahl gesichert sein. Ein versehentlicher Klick, eine unsichere Konfiguration oder ein aus Bequemlichkeit allerorts aktiviertes WLAN – und schon verbindet sich der mobile Rechner mit einem unter falschem Namen agierenden User in das Unternehmensnetz.

Fehlendes Risikobewusstsein

Die Palette der Gefahren für die ständigen Wegbegleiter ist groß. Besonders fatal: Laut der Studie „IT-Sicherheit 2008“ der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde, hat sich das Gefahrenbewusstsein bei den befragten IT-Verantwortlichen von den über 70 Prozent des Jahres 2007 auf 57 Prozent in 2008 reduziert. Anders gesagt: Nur noch die Hälfte der deutschen Unternehmen schützt ihre Daten wirksam.

Dem entgegen stehen die wachsenden Zahlen der risikoreichen Gruppen: Viren/ Würmer und Spam, missbrauchte E-Mail-Adressen sowie Fehlkonfigurationen an den Geräten. Insbesondere Viren sind inzwischen hoch entwickelt und können von einem Desktop-PC auf einen mobilen Handheld überspringen. Zudem können sie mittlerweile Betriebssysteme voneinander unterscheiden. Dass ein identischer Trojaner zwei unterschiedliche Systeme befällt, ist eine völlig neue Erscheinung, die die Sicherheitsexperten in den Unternehmen vor eine neue, schwere Aufgabe stellt. Das sind aber nur einige der vielen Sicherheitsrisiken im Mobile Computing. Ebenso sind die mobilen Netzwerkstrukturen selbst nicht ausreichend gegen unbefugte Mitbenutzung, das sogenannte „Wardriving“, geschützt.

Dieser Artikel wurde von der nextbusiness-IT Redaktion erstellt. „nextbusiness-IT – Exzellenz im Mittelstand“ ist eine bundesweite Leitthemenkampagne für den Mittelstand, die unter anderem die „Bibliothek des modernen IT-Wissens“ für den Mittelstand herausgibt. Diese Bibliothek können Sie hier kostenlos anfordern.

[Bild: G+F Verlags- und Beratungs-GmbH]

Beim Wardriving werden systematisch offene WLAN-Verbindungen gesucht, in die sich die Täter einklinken und unter der zugehörigen IP-Adresse agieren. Auch wenn so schon ein erheblicher Schaden entstehen kann, sind Hacker, die Teilnehmerkennungen und -verschlüsselungen knacken, weitaus gefährlicher. Denn sie schleusen sogenannte „Malware“ unbemerkt in das Unternehmensnetz ein. Malware steht dabei für alle Arten von Computerprogrammen, die eine schädigende und/oder betrügerische Wirkung haben: Viren, Trojaner, Spyware zum Abzapfen von Unternehmensdaten, „Backdoors“ zum allzeitigen ‚Betreten‘ der Firmendatenbank etc. Zudem machen unautorisierte Zugriffspunkte selbst eine vorbildlich geschützte WLAN-Implementierung unsicher. Auch die Bluetooth-Technologie stellt eine potenzielle Risikoquelle dar. Dabei sind die davon ausgehenden Gefahren vielfältig.

  • Bluejacking: Versand unerwünschter SMS-Nachrichten
  • Bluesnarfing: reiner Informationsdiebstahl
  • Bluebugging: Ausführen von Befehlen mit Fremdgeräten Zunächst scheinen diese Attacken „nur“ auf die Privatperson zu zielen.

Die Sicherheitsprobleme beginnen dort, wo mobile Geräte mit dem Arbeits-PC synchronisiert werden. Zudem wird die Gefahr des Bluesnarfing oftmals unterschätzt: Laptops mit leistungsfähigen Antennen können Signale aus einer Entfernung von bis zu 800 Metern aufnehmen.

Schutzmaßnahmen

Angesichts der steigenden Zahl mobiler Endgeräte und der zeitlich proportional wachsenden Angriffe tut es Not, nachhaltige Sicherheitsstrategien zu entwickeln. Gegenwärtig mag dies vielen IT-Verantwortlichen noch verfrüht sein. Aber immerhin bleibt so noch Zeit zu agieren und nicht, wie es später der Fall wäre, zu reagieren.

Zumindest sollte ein Bewusstsein für die lauernden Gefahren vorhanden sein. Der Fernzugriff auf die Unternehmensdaten schafft zusätzlich zu den bereits vorhandenen Gefahren, denen ein Unternehmensnetzwerk ausgesetzt ist, weitere Sicherheitsrisiken. Auch können die Geräte und damit die darauf gespeicherten Daten verloren gehen oder gestohlen werden.

Gefahrenquellen wirksam begegnen

Beim Einsatz von mobilen Endgeräten ist zum einen darauf zu achten, dass Unbefugte keinen Zugriff auf die dort abgelegten Daten haben. Zum anderen muss eine sichere Datenübertragung gewährleistet sein. Ebenso wie das Unternehmensnetzwerk werden mobile Endgeräte mit Virenscannern und Firewalls gegen Angriffe von außen geschützt. Die Schutzmaßnahmen müssen beim einzelnen Gerät selbst beginnen. Es gilt, das mobile System ebenso wie das physikalische System am Unternehmensstandort zu sichern. Die Software auf den verwendeten Geräten sollte stets auf dem aktuellsten Stand sein. Ohne ein zentrales Gerätemanagement (Mobile Device Management), mit dem sich Patches und Updates zentral auf alle Geräte aufspielen lassen, ist dies für den IT-Verantwortlichen häufig nicht mehr zu schaffen. Mittlerweile bieten verschiedene Hersteller Sicherheitstools an, die sich jeweils an den Systemvoraussetzungen der mobilen Endgeräte orientieren und auch unterschiedliche Ansätze verfolgen.

Allerdings nutzt alle Technologie nur, wenn die Mitarbeiter für Sicherheitsfragen sensibilisiert sind. Denn Angriffe können zum Beispiel schon ganz leicht durch eine Deaktivierung der Erkennungsmöglichkeit von Bluetooth deaktiviert werden. Letztlich hängt ein ausreichender Schutz ganz einfach davon ab, ob der Anwender die dementsprechenden Tools überhaupt einschaltet.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Thema WLAN-Hotspots

Die in der Öffentlichkeit zugänglichen WLAN-Verbindungen sollten immer als unsicheres Netz betrachtet werden, da für einen Nutzer das Sicherheitsniveau nicht ersichtlich ist. Finanzrelevante und andere sensible Daten, wie PIN-Codes, Kreditkartennummern oder E-Mails, sollten generell nur verschlüsselt übertragen werden.

Dieser Artikel wurde von der nextbusiness-IT Redaktion erstellt. „nextbusiness-IT – Exzellenz im Mittelstand“ ist eine bundesweite Leitthemenkampagne für den Mittelstand, die unter anderem die „Bibliothek des modernen IT-Wissens“ für den Mittelstand herausgibt.

  • Virenschutz-Authentifizierung: Das Gerät fragt die Benutzeridentität ab, das kann ein gängiger Passwortschutz sein oder ein Scan des Fingerabdrucks.
  • Benutzer-/Prozessidentifikation: Anhand der Benutzeridentität lassen sich die Zugriffsrechte beschränken und definieren.
  • Firewall oder Intrusion Detection: Das System Intrusion Detection ist in der Lage, Angriffe auf das Computersystem zu identifizieren, und kann entweder als Unterstützung der Firewall oder als eigenständiges System ausgeführt werden.
  • Sicherung von Konfigurations und Softwaremanagement
  • Verschlüsselung: Um sensible Unternehmensdaten bei Verlust oder Diebstahl des Geräts vor unberechtigtem Zugriff zu schützen, müssen diese verschlüsselt werden.

Hinweis

Unter dem Aspekt der Sicherheit ist die zunehmende Verbreitung von USB-Sticks sehr kritisch zu sehen. Wenn die Verwendung von USB-Sticks nicht vollständig untersagt ist, müssen auch die dort gespeicherten Daten verschlüsselt sein.

Sichere Lösungsansätze

Die Informations- und Kommunikationstechnik revolutioniert das Wirtschaftsleben. Sie ermöglicht präzise Just-in-time-Lieferketten, lässt Außen- und Innendienst über mobile Endgeräte zusammenwachsen und automatisiert mit Warenwirtschaftssystemen Bestellprozesse in Industrie und Handel. Kommunikation ist das Rückgrat moderner Unternehmen – und wird zugleich deren empfindlichster Nerv.

Internettechnologie umfassend für die Erlangung von Wettbewerbsvorteilen durch gesteigerte Effektivität zu nutzen ist die große Chance für mittelständische Unternehmen. Von zu Hause aus zu arbeiten oder von unterwegs auf relevante Auftrags- und Kundendaten zuzugreifen setzt voraus, dass der Datentransfer gesichert und der Zugriff schnell und zuverlässig möglich ist. Unternehmen mit verteilten Standorten haben schon lange den Bedarf, die Netzwerke der Standorte miteinander zu verbinden und angesichts der gerade für den Mittelstand schwierigen wirtschaftlichen Rahmenbedingungen zu „optimierten“, also unter minimierten Kosten bei größtem Nutzen. Virtuelle Private Netzwerke (VPN) ersetzen zum Beispiel teure Standleitungen und unterstützen somit diese Anforderung.

VPN

Die Verbindung von standortunabhängigem Datenzugriff und optimaler telefonischer Erreichbarkeit per Internet-Protokoll-Telefonie (IP-Telefonie) bei gleichzeitiger Daten- und Abhörsicherheit machen dies möglich, denn die wesentlichen Merkmale eines VPN sind Vertraulichkeit, Datenintegrität und Authentizität, da die Datenquelle eindeutig identifizierbar ist.

Für mobile Mitarbeiter und die mobile Nutzung gibt es das mobile IP-VPN. Es bietet die Möglichkeit, Mitarbeiter, wo immer sie sich auch gerade aufhalten, über ein öffentliches Netz mit dem Extranet zu verbinden – Dateiverschlüsselung, Schutz vor Angriff und Viren inklusive. Über Remote Access linken sich die Mitarbeiter von unterwegs ein. Wichtig: Ein VPN sollte genau auf die Bedürfnisse des Unternehmens zugeschnitten sein. Demnach kann auch die jeweilige Sicherheitsstufe zum Beispiel durch verschiedene Authentifikationsarten bestimmt werden.

Zwei weitere Trend-Ansätze

Spannend ist auch der Ansatz „Edge“. Er bezeichnet ein drahtloses Netz für Sprache und Daten, dessen Hard- und Software sich der vorhandenen Hochgeschwindigkeitsnetze bedient. So werden überall Daten bereitgestellt, wo man sie braucht: im Büro, in Zweigstellen, im Home-Office oder unterwegs. Ähnlich interessant ist zum Beispiel eine neue Software, die nicht das mobile Endgerät in den Mittelpunkt stellt, sondern den Server. Während bei den sonst üblichen Synchronisationsmodellen ein ständiger Datentransfer zwischen Server und Client initiiert wird, verfolgt man hier den Online-Terminal-Ansatz: Die Daten sind und bleiben auf dem Server – das mobile Gerät schaut nur wie ein Bildschirm auf die Information. Daten- und Verbindungssicherheit sind gewährleistet bei gleichzeitiger Einbindung in das gesamte Datenverarbeitungs- und Netzwerk des Unternehmens.

Fazit

Mobilität und Sicherheit werden uns in den nächsten Jahren verstärkt zusammen begegnen. Allerdings muss dabei stets auf die Informationsintegrität, also auf die richtige Balance zwischen Schutz und Funktion, geachtet werden. Letztlich geht es ums Business, und IT sollte dabei immer ein Instrument sein, um den Unternehmenserfolg zu unterstützen – und nicht zu gefährden. Der Einsatz speziell auf mobile Endgeräte ausgerichteten Sicherheitsstrategien fördert diesen Anspruch.

Dieser Artikel wurde von der nextbusiness-IT Redaktion erstellt. „nextbusiness-IT – Exzellenz im Mittelstand“ ist eine bundesweite Leitthemenkampagne für den Mittelstand, die unter anderem die „Bibliothek des modernen IT-Wissens“ für den Mittelstand herausgibt.