Interview

Mobile Sicherheit inkonsequent umgesetzt

Smartphones haben in Deutschland einen Anteil von mehr als 80 Prozent an allen verkauften Handys - so eine kürzlich veröffentlichte Studie. Wolfram Funk, Experte für Mobile Security, erklärt im Interview, wie Firmen das Thema mobile Sicherheit angehen.

Interview

© wellphoto - shutterstock.de

Interview

Herr Funk, schätzen deutsche Firmen die Risiken, die durch die geschäftliche Nutzung von Smartphones ausgehen, richtig ein?

Wolfram Funk: In der Regel gibt es in Deutschlands Unternehmen Personen, die diese Risiken thematisieren. Oft sind das die Verantwortlichen für Informationssicherheit oder IT-affine Mitarbeiter. Manchmal kocht das Thema aber auch in den Fachbereichen hoch.

Die Medien, ebenso wie die Anbieter von Sicherheitslösungen, tragen sehr dazu bei, dass in deutschen Unternehmen ein allgemeines Bewusstsein für mobile Risiken existiert. Leider schaffen es jedoch nur vergleichsweise wenige Unternehmen, das konkrete Risiko im Haus zu bewerten. Das scheitert oft schon an der fehlenden Bestandsaufnahme mobiler Einsatzszenarien. Darüber hinaus gibt es auch keine archivierte Historie an Zwischenfällen, die in eine Risikobewertung einfließen könnte. Unterm Strich trägt dies dazu bei, dass in einigen Unternehmen zwar viel über mobile Sicherheit diskutiert wird, konkrete Investitionsentscheidungen aber aufgrund anderer Prioritäten auf die lange Bank geschoben werden. Außerdem messen gerade Entscheider der "Nutzerfreundlichkeit" von Smartphones häufig ein deutlich höheres Gewicht bei als der Sicherheit, zum Beispiel beim Thema "PIN-Sperre".

Was macht Smartphones gefährlich für deutsche Unternehmen?

Wolfram Funk: Smartphones unterstützen heute eine wachsende Zahl an Geschäftsprozessen. Damit wird die Informations-"Schatzkammer" der Unternehmen immer mehr via Smartphones angreifbar. Diese Entwicklung hat stark zur Entwicklung der Malware-Industrie beigetragen und ist auch attraktiv für gezieltes Hacking von Geräten  und Apps - zumal immer mehr mobile Lösungen auf standardisierten Betriebssystemen wie Android und iOS bereitgestellt werden.

Obwohl Smartphones heute Alleskönner sind, halten sie in der Standardkonfiguration versierten Angreifern jedoch nicht lange stand. Zugleich lassen immer mehr Unternehmen in gewissen Grenzen auch die Nutzung von externen Apps zu, also solchen, die nicht im eigenen Auftrag entwickelt wurden. Diese zunächst nicht vertrauenswürdigen Apps sorgen auf dem Gerät für Risiken wie Datenlecks, Manipulation von Daten sowie das Außerkraftsetzen wichtiger mobiler Dienste. Dazu kommt: Oft sind die Firmen bei der Arbeit an Richtlinien und Standards für mobile Sicherheit nicht konsequent. Die Dokumente sind in der Folge häufig unvollständig. Überdies sind die verfügbaren technologischen Umsetzungsoptionen für mobile Sicherheit immer noch intransparent und

erwecken falsche Erwartungshaltungen, und die Prozesse für die Verwaltung und die Fernlöschung der Geräte sind häufig lückenhaft.

Welche Unterschiede gibt es bei der Risikoeinschätzung hinsichtlich der Firmengröße?

Wolfram Funk: Kleine und mittelständisch Unternehmen versuchen hauptsächlich, Sicherheit und kosteneffiziente Verwaltung für eine wachsende Anzahl an Smartphones herzustellen. Das Stichwort lautet "Mobile Device Management", und die Initiativen sind sehr produktzentrisch. Die IT-Verantwortlichen sind dabei die treibende Kraft, auch wenn sie immer wieder durch die Finanzverantwortlichen und deren Sparzwang gebremst werden. Größere Unternehmen dagegen haben immerhin erkannt, dass übergeordnete mobile Strategien entwickelt werden müssen, um Festlegungen auch für Endgeräte, App- und Middleware Architekturen sowie für die Entwicklung sicherer mobiler Anwendungen treffen zu können.

Häufig haben sie auch detaillierte Bottom-up- Ansätze für mobile Sicherheit in einzelnen Bereichen entwickelt, auch wenn es oft noch an zentralen Richtlinien und Konzepten mangelt.

Wie können deutsche Firmen wieder die Herrschaft über ihre Kommunikationssysteme gewinnen?

Wolfram Funk: Erstens sollte die wachsende Anzahl mobiler Geräten zentral verwaltet werden. Dadurch kann ein angemessenes Sicherheitsniveau bei zugleich kosteneffizientem Betrieb hergestellt werden. An einer Standardisierung von Geräten und Sicherheitsmaßnahmen kommen Unternehmen daher kaum vorbei. Zweitens ist es wichtig, bei der Entwicklung mobiler Strategien von Anfang an die Sicherheit zu berücksichtigen. Zum Beispiel sind Richtlinien zu formulieren, damit Software-Entwickler die Leitplanken für sichere App-Entwicklung kennen. Die übergeordnete Architektur ist ebenso wichtig. Zu klären ist etwa die Frage, wie die Schnittstellen für die Anwendungsentwicklung (API) den Entwicklern bereitgestellt werden.

Drittens müssen sensitive geschäftliche Daten sorgfältig vor dem ungewollten Zugriff durch fremde Apps geschützt werden. Dies ist bereits jetzt mittels Whitelisting- oder Abschottungsansätzen möglich, auch wenn der Teufel hier im Detail steckt. Verantwortliche für Informationssicherheit sollten sich heute innerhalb ihres Unternehmens aktiv in diese drei Zielfelder einbringen. Sonst schaffen einzelne Fach- und Unternehmensbereiche, aber auch die IT-Organisation ihre eigenen Fakten - diese können zu unkalkulierbaren Risiken und Fehlinvestitionen führen.

Wolfram Funk

© Wolfram Funk

Wolfram Funk, Principal Consultant für Information Security bei Steria Mummert Consulting

Mehr zum Thema

Interview
Interview

Security-Experte Stefan Haunß spricht über die größten Risiken beim mobilen Surfen und gibt Tipps, mit denen sich Nutzer vor Angriffen schützen…
Palo Alto Networks zeigt Sicherheitsrisiken im Android-Speicher
Android-Smartphones unsicher

Untersuchungen des Sicherheitsunternehmens Palo Alto Networks zeigen ein hohes Sicherheitsrisiko bei über 90 Prozent der Android-Apps.
E-Mail-Schutz

Das Bayerischen Landesamt für Datenschutzaufsicht hat bei einem automatischen Testverfahren bei etwa einem Drittel der geprüften Firmen…
image.jpg
Unternehmenssicherheit

Laut einer Untersuchung des Fraunhofer SIT eignen sich rund 2800 der 4600 populärsten kostenlosen iPhone- und iPad-Apps nicht für den Einsatz in…
it-sa Logo
Sicherheitsmesse in Nürnberg

Auf der it-sa in Nürnberg präsentieren Aussteller Erfindungen, mit denen sich Unternehmen effektiv vor Cyberkriminalität schützen können.