Trotz Smartphones und Co.: Mobile Sicherheit kommt nur schleppend
Der Austausch mit Kollegen, Kunden und Dienstleistern erfolgt immer häufiger auch von zuhause oder unterwegs. Das stellt hohe Ansprüche an den Informationsschutz mobiler Geräte. Doch nur etwa ein Drittel der deutschen Unternehmen hat zentrale Vorgaben für mobile Sicherheit in der Firma weitestgehend durchgesetzt, zeigt eine Markteinschätzung von Steria Mummert Consulting.
Smartphones und Tablet-Geräte sind heute Alleskönner. „Ohne zusätzliche Maßnahmen sind sie aber leider ungeeignet für den sicheren geschäftlichen Einsatz. In der Standardkonfiguration halten sie versierten Angreifern nicht lange stand“, sagt IT-Sicherheitsexperte Wolfram Funk von Steria Mummert Consulting. Und das müssten sie. Denn als Tor zu einer wachsenden Zahl an internen Unternehmensinformationen sind sie mittlerweile zu einem attraktiven Angriffsziel für Kriminelle und Wirtschaftsspione geworden. Gerade auf Smartphones und Tablets werden häufig auch unternehmensfremde, nicht vertrauenswürdige Anwendungen genutzt, die zum ungewollten Abfluss unternehmensinterner Daten führen können.
„Viele Unternehmen befinden sich hier momentan noch im Blindflug“, warnt Funk. Die technologischen Umsetzungsoptionen für mobile Sicherheit sind für die Kunden immer noch intransparent. Es gibt auch noch keine gesicherte Historie an Sicherheitszwischenfällen, die sich als Entscheidungskriterium und als Rechtfertigung gegenüber internen Budgetgebern mitnutzen ließe. „Leider messen Entscheider der Nutzerfreundlichkeit von Smartphones und Tablets häufig ein deutlich höheres Gewicht bei als der Sicherheit“, bedauert Wolfram Funk.
Trotz der wachsenden Gefahr sind Firmen in Deutschland noch zögerlich mit Abwehrmaßnahmen. Ob es um Sicherheitstechnologien geht oder um Prozesse wie etwa im Falle eines Verlusts oder der Rückgabe des Gerätes: die Konzepte sind lückenhaft. Sicherheitsrichtlinien und –standards, wie sie im PC-Umfeld schon vielfach etabliert sind, stecken bei Smartphones und Tablets oftmals noch in den Kinderschuhen. Nur rund 30 Prozent der deutschen Unternehmen mit mindestens 100 Mitarbeitern haben aktuelle Richtlinien für mobile Sicherheit oder zumindest Technologiestandards für einzelne Aspekte unternehmensweit durchgesetzt. Etwa 50 Prozent verfügen nur über veraltete und unvollständige Richtlinien, die nicht immer unternehmensweit gültig sind. „20 Prozent der deutschen Firmen verzichten sogar komplett auf unternehmensinterne Vorgaben für mobile Sicherheit“, so Wolfram Funk von Steria Mummert Consulting.
Fest steht: Die wachsende Anzahl mobiler Geräten muss zentral verwaltet werden. „Dadurch soll ein angemessenes Sicherheitsniveau hergestellt werden, aber auch ein kosteneffizienter und transparenter IT-Betrieb“, sagt IT-Sicherheits-Experte Wolfram Funk. In der Praxis ist die TCO (Total Cost of Ownership) ein wesentliches Entscheidungskriterium. „An einer Standardisierung von Geräten und Sicherheitsmaßnahmen kommen Unternehmen daher kaum vorbei“, ergänzt Wolfram Funk. Zudem ist es wichtig, bei jeder Entwicklung von mobilen Geschäftsanwendungen den Sicherheitsaspekt von Anfang an zu berücksichtigen. Dies kann eine Herausforderung sein, wenn Software-Entwickler nicht über das nötige Fachwissen verfügen oder externe Entwickler nicht sorgfältig gesteuert werden. Drittens müssen sensitive geschäftliche Daten sorgfältig vor dem ungewollten Zugriff durch fremde Apps geschützt werden. Dies i st bereits jetzt mittels Whitelisting- oder Abschottungsansätzen möglich.
„Verantwortliche für Informationssicherheit müssen sich heute innerhalb ihres Unternehmens aktiv in diese drei Zielfelder einbringen. Sonst schaffen einzelne Fach- und Unternehmensbereiche, aber auch die IT-Organisation ihre eigenen Fakten – diese können zu unkalkulierbaren Risiken und Fehlinvestitionen führen“, so Funk.
Smartphones und Tablet-Geräte sind heute Alleskönner. „Ohne zusätzliche Maßnahmen sind sie aber leider ungeeignet für den sicheren geschäftlichen Einsatz. In der Standardkonfiguration halten sie versierten Angreifern nicht lange stand“, sagt IT-Sicherheitsexperte Wolfram Funk von Steria Mummert Consulting. Und das müssten sie. Denn als Tor zu einer wachsenden Zahl an internen Unternehmensinformationen sind sie mittlerweile zu einem attraktiven Angriffsziel für Kriminelle und Wirtschaftsspione geworden. Gerade auf Smartphones und Tablets werden häufig auch unternehmensfremde, nicht vertrauenswürdige Anwendungen genutzt, die zum ungewollten Abfluss unternehmensinterner Daten führen können.
„Viele Unternehmen befinden sich hier momentan noch im Blindflug“, warnt Funk. Die technologischen Umsetzungsoptionen für mobile Sicherheit sind für die Kunden immer noch intransparent. Es gibt auch noch keine gesicherte Historie an Sicherheitszwischenfällen, die sich als Entscheidungskriterium und als Rechtfertigung gegenüber internen Budgetgebern mitnutzen ließe. „Leider messen Entscheider der Nutzerfreundlichkeit von Smartphones und Tablets häufig ein deutlich höheres Gewicht bei als der Sicherheit“, bedauert Wolfram Funk.
Trotz der wachsenden Gefahr sind Firmen in Deutschland noch zögerlich mit Abwehrmaßnahmen. Ob es um Sicherheitstechnologien geht oder um Prozesse wie etwa im Falle eines Verlusts oder der Rückgabe des Gerätes: die Konzepte sind lückenhaft. Sicherheitsrichtlinien und –standards, wie sie im PC-Umfeld schon vielfach etabliert sind, stecken bei Smartphones und Tablets oftmals noch in den Kinderschuhen. Nur rund 30 Prozent der deutschen Unternehmen mit mindestens 100 Mitarbeitern haben aktuelle Richtlinien für mobile Sicherheit oder zumindest Technologiestandards für einzelne Aspekte unternehmensweit durchgesetzt. Etwa 50 Prozent verfügen nur über veraltete und unvollständige Richtlinien, die nicht immer unternehmensweit gültig sind. „20 Prozent der deutschen Firmen verzichten sogar komplett auf unternehmensinterne Vorgaben für mobile Sicherheit“, so Wolfram Funk von Steria Mummert Consulting.
Fest steht: Die wachsende Anzahl mobiler Geräten muss zentral verwaltet werden. „Dadurch soll ein angemessenes Sicherheitsniveau hergestellt werden, aber auch ein kosteneffizienter und transparenter IT-Betrieb“, sagt IT-Sicherheits-Experte Wolfram Funk. In der Praxis ist die TCO (Total Cost of Ownership) ein wesentliches Entscheidungskriterium. „An einer Standardisierung von Geräten und Sicherheitsmaßnahmen kommen Unternehmen daher kaum vorbei“, ergänzt Wolfram Funk. Zudem ist es wichtig, bei jeder Entwicklung von mobilen Geschäftsanwendungen den Sicherheitsaspekt von Anfang an zu berücksichtigen. Dies kann eine Herausforderung sein, wenn Software-Entwickler nicht über das nötige Fachwissen verfügen oder externe Entwickler nicht sorgfältig gesteuert werden. Drittens müssen sensitive geschäftliche Daten sorgfältig vor dem ungewollten Zugriff durch fremde Apps geschützt werden. Dies i st bereits jetzt mittels Whitelisting- oder Abschottungsansätzen möglich.
„Verantwortliche für Informationssicherheit müssen sich heute innerhalb ihres Unternehmens aktiv in diese drei Zielfelder einbringen. Sonst schaffen einzelne Fach- und Unternehmensbereiche, aber auch die IT-Organisation ihre eigenen Fakten – diese können zu unkalkulierbaren Risiken und Fehlinvestitionen führen“, so Funk.