Smartphones im Unternehmenseinsatz

"BYOD" ist einer der Begriffe, an denen IT-Verantwortliche von Unternehmen nicht mehr vorbeikommen werden: „Bring your own device“ – also das Mitbringen privater elektronischer Ausstattung an den Arbeitsplatz – erfordert neue Sicherheitsansätze. Denn dabei werden Firmendaten auf ursprünglich für den Privatgebrauch angeschafften und ausgerichteten elektronischen Endgeräten gespeichert und bearbeitet. Private Handys, Tablets und iPads samt ihrer unterschiedlichen Betriebssysteme müssen nicht nur in die Unternehmensinfrastruktur integriert, sondern gleichzeitig einfach verwaltet und gut abgesichert werden.

Dass in rund 90 Prozent der Unternehmen der Einsatz von Privat-IT erwünscht oder geduldet ist, kann dann zum Problem werden, wenn die sensiblen Firmendaten dort nur unzureichend gesichert sind, eines dieser Mobilgeräte verloren geht oder gestohlen wird. Gibt es dann keine zentrale Verwaltung der Datensicherheit für alle im Unternehmen genutzten Endgeräte, sind Datenverlust und -diebstahl Tür und Tor geöffnet.

Thomas Laubrock, Head of Product Management beim TÜV Rheinland, gab als Einstieg zum Münchner Security Breakfast am 23. April 2012 einen Überblick über aktuelle Technologien, Smartphone-Betriebssysteme und Sicherheitsarchitekturen. „Mitarbeiter wissen, was moderne IT leisten kann, und sie fordern dies auch am Arbeitsplatz ein“, stellte Thomas Laubrock fest: „Heute tragen die Angestellten technische Innovationen in die Unternehmen und fordern die Nutzung neuer Technologien ein.“ Und so lange Sicherheit und Verwaltung der Geräte gewährleistet werden könne, sei dies durchaus ein Weg, die Effektivität der Arbeit zu steigern.

Laubrock stellte die Sicherheitsarchitektur von den mobilen Betriebssystemen iOS (Apple), Android (Google) und Win Phone (Microsoft) vergleichend nebeneinander. So wurde nicht nur betrachtet, wie die ursprünglich für den Consumer-Markt entwickelten Geräte inzwischen auch über Enterprise-Features wie Verschlüsselung, starke Passwörter oder Full Disk Encryption verfügen, sondern er zeigte auch auf, inwieweit Kernel und Systemkomponenten der Smartphones von den Apps abgeschottet sind – oder eben nicht.

Mobile Policies und Guidelines griff anschließend Frank Melber (Head of Data & Endpoint Security) auf und erklärte, was man beachten sollte, wenn Mobilgeräte sowohl privat als auch beruflich genutzt werden, und wie man bereits durch das richtig gewählte Passwort die Sicherheit deutlich erhöhen kann. „Der Passcode ist der einzige Schutz für Daten auf dem Gerät, deshalb sollten für ihn hohe Anforderungen gelten“, sagte Melber. Er müsse auch kryptografischen Angriffen und der so genannten Brute-Force-Methode widerstehen, bei der beispielsweise sämtliche mögliche Zahlenkombinationen automatisch ausprobiert werden.

„Besteht ein iDevice-Passwort aus vier Ziffern, dauert ein Decodieren mit dieser Methode 30 Minuten, besteht es aus acht Ziffern, sind bereits sechs Monate nötig, bei einer Kombination von sechs Ziffern und Kleinbuchstaben kann das Decodieren bis zu zehn Jahre dauern – dann sind die Daten längst nicht mehr interessant“, erläuterte Frank Melber.

Er riet Unternehmen auch dazu, ein so genanntes konditionelles Wipe auf den Mobilgeräten zu ermöglichen, bei dem im Verlustfall alle Unternehmensdaten und Zugänge vom Administrator aus der Ferne gelöscht werden können. Sind Privatgeräte im Unternehmen erlaubt, sollten rechtliche Aspekte über die Betriebsvereinbarungen geregelt sein, zudem seien aber auch Awareness-Kampagnen für die Mitarbeiter nötig, um sie für Gefahren zu sensibilisieren.

Melber stellte anschließend Lösungen für das Mobile Device Management (MDM) vor, und erklärte die Unterschiede zwischen nativen Ansätzen wie bei Mobile Iron, die umfassend konfiguriert werden können, und Sandbox-Lösungen wie Good, bei denen Firmendaten auf dem Endgerät separat verschlüsselt werden.

Zum Abschluss stellte Senior Security Consultant Olaf Pfeiffer den rund 40 Teilnehmern aus großen und mittelständischen Unternehmen – von der Versicherung bis zum Krankenhaus – in einer Live-Demonstration das Mobile Device Management im praktischen Einsatz vor.