Mobile Security: Vertrauen ist gut, Device Management ist besser
Mobile Security: Vertrauen ist gut, Device Management ist besser
Mitarbeiter sind nur schwer zur Einhaltung von Sicherheitsvorgaben zu bewegen – mit dieser Herausforderung haben fast zwei Drittel aller deutschen ITK-Verantwortlichen zu kämpfen, wenn es um die Sicherung der ITK-Infrastruktur geht (siehe Berlecon Report ITK-Sicherheit auf dem Prüfstand ). Dies gilt insbesondere bei der Nutzung mobiler Endgeräte wie Smartphones, PDAs & Co., die sich häufig der direkten Kontrolle durch die IT-Abteilung entziehen. Unser letztes Spotlight zur Mobilisierung von Geschäftsprozessen beschäftigte sich in diesem Zusammenhang mit der Notwendigkeit, Daten auf den Endgeräten und den immer häufiger genutzten externen Speichermedien wie USB-Sticks zu verschlüsseln. Dieses Spotlight beschäftigt sich nun mit den Möglichkeiten für IT-Administratoren, mithilfe von Device-Management-Systemen Sicherheitsvorgaben zentral auf mobilen Endgeräten durchzusetzen.
Über das Device Management sollten Administratoren beispielsweise Endgeräten eine Sperrung aufzwingen können. Das heißt, dass das Endgerät nach einem definierbaren Zeitintervall Display und Tastatur automatisch sperrt, ähnlich einem Bildschirmschoner am PC. Diese Sperrung kann nur über ein Passwort aufgehoben werden. Für das Passwort, das der User selber wählen kann, sollten Vorgaben beispielsweise zu Länge und Art der enthaltenen Zeichen definierbar sein, um so die Verwendung von Default-Passwörtern einzuschränken. Damit wird ein ungewollter Zugriff auf die Daten eines Endgerätes verhindert.
Geht ein Smartphone oder PDA verloren oder wird es gestohlen, sollten nicht nur die Daten lokal verschlüsselt sein, sondern der Administrator sollte darüber hinaus in der Lage sein, das verlorene Geräte in einem zweistufigen Mechanismus außer Gefecht zu setzen. Im ersten Schritt sollte der Administrator Endgeräte mit einem Passwort unmittelbar sperren können. Dieser Vorgang wird auch als Lockdown bezeichnet. Taucht das Gerät wieder auf, kann der Nutzer mit dem Passwort des Administrators das Endgerät wieder entsperren. Alle Daten bleiben hierbei auf dem Endgerät erhalten.
Bleibt das Gerät verschwunden, sollte der Administrator im zweiten Schritt alle Daten und Einstellungen auf dem Endgerät endgültig löschen können (auch Device Wipe genannt). Regelmäßige Backups können sicherstellen, dass notfalls ein neues Endgerät gleichen Typs ohne großen Aufwand als Ersatz mit gleicher Konfiguration und Ausstattung zur Verfügung gestellt werden kann. Das Device-Management-System sollte daher über eine Backup-Funktionalität verfügen, über die in definierbaren Abständen automatisch, ohne dass der Nutzer aktiv werden muss, ein vollständiges Backup erfolgt oder ausgewählte Dateien, Einstellungen und Applikationen gesichert werden.
Vor dem Hintergrund der Sicherheitsrisiken beim Einsatz mobiler Endgeräte sind Lockdown und Device Wipe absolute Mindestanforderungen an jedes Device-Management-System, wie der neue Report Lösungen für Mobile Device Management zeigt, den Berlecon Research in Kooperation mit Fraunhofer ESK veröffentlicht hat.
Neuer Berlecon-Report zum Thema:
Lösungen für Mobile Device Management -- Leistungskriterien, Analyse und Bewertung (05/2007)
Der in Kooperation mit Fraunhofer ESK erstellte Report unterstützt Unternehmen bei der Auswahl einer Lösung für die zentrale Verwaltung mobiler Endgeräte. Er definiert grundsätzliche Leistungsanforderungen an Device-Management-Systeme und leitet daraus Bewertungskriterien ab.
Vorstellung und Analyse der wichtigsten Device-Management-Lösungen am Markt. Vergleichende Gegenüberstellung und Bewertung auf der Basis von Tests im Echtbetrieb.
Preis: 380,00 € netto, Small Business Edition (Einzelplatzlizenz, PDF-Version).
Über eine Device-Management-Lösung sollten zudem zentrale Sicherheitsvorgaben aufgestellt und auf Endgeräte verteilt werden. In den Sicherheits-Policies muss definierbar sein, was ein Endgerät darf und was nicht. So sollten beispielsweise bestimmte Schnittstellen von Endgeräten deaktiviert, Applikationen gesperrt bzw. eingeschränkt oder Installationsrechte entzogen werden können. Letztlich ist durch diese Funktionalität eine Einschränkung der Benutzerrechte am Endgerät umsetzbar. Verschiedene Endgerätegruppen sollten entsprechend ihrer Nutzungsanforderungen gezielt mit separaten Policies versorgt werden können.
Unternehmen, die heute eine Mobile-Mail- bzw. Mobility-Lösung einsetzen oder deren Einsatz planen, sollten diese also nicht nur hinsichtlich des Funktionsumfangs zur Synchronisation von Daten und Anwendungen bewerten. Sie sollten auch prüfen, inwieweit die jeweilige Lösung die zentrale Durchsetzung von Sicherheits-Policies ermöglicht. Denn Vertrauen der IT-Administratoren in den verantwortungsvollen Umgang ihrer Kollegen mit mobilen Endgeräten ist gut – die Erzwingung von Sicherheitsvorgaben durch entsprechende technische Tools ist noch besser.
Nicole Dufft (nd@berlecon.de)