Foto: Kalscheuer

TÜV Rheinland

Smartphones im Unternehmenseinsatz

Die Vorzüge ihrer privaten Smartphones wollen immer mehr Mitarbeiter auch am Arbeitsplatz nutzen, was Herausforderungen für die IT-Verantwortlichen mit sich bringt. Der TÜV Rheinland stellte auf seinem Security Breakfast vor, wie mobile Endgeräte über Mobile Device Management in die Sicherheitskonzepte von Unternehmen integriert werden können.

"BYOD" ist einer der Begriffe, an denen IT-Verantwortliche von Unternehmen nicht mehr vorbeikommen werden: „Bring your own device“ – also das Mitbringen privater elektronischer Ausstattung an den Arbeitsplatz – erfordert neue Sicherheitsansätze. Denn dabei werden Firmendaten auf ursprünglich für den Privatgebrauch angeschafften und ausgerichteten elektronischen Endgeräten gespeichert und bearbeitet. Private Handys, Tablets und iPads samt ihrer unterschiedlichen Betriebssysteme müssen nicht nur in die Unternehmensinfrastruktur integriert, sondern gleichzeitig einfach verwaltet und gut abgesichert werden.

Sensible Daten schlecht gesichert

Dass in rund 90 Prozent der Unternehmen der Einsatz von Privat-IT erwünscht oder geduldet ist, kann dann zum Problem werden, wenn die sensiblen Firmendaten dort nur unzureichend gesichert sind, eines dieser Mobilgeräte verloren geht oder gestohlen wird. Gibt es dann keine zentrale Verwaltung der Datensicherheit für alle im Unternehmen genutzten Endgeräte, sind Datenverlust und -diebstahl Tür und Tor geöffnet.

Thomas Laubrock, Head of Product Management beim TÜV Rheinland, gab als Einstieg zum Münchner Security Breakfast am 23. April 2012 einen Überblick über aktuelle Technologien, Smartphone-Betriebssysteme und Sicherheitsarchitekturen. „Mitarbeiter wissen, was moderne IT leisten kann, und sie fordern dies auch am Arbeitsplatz ein“, stellte Thomas Laubrock fest: „Heute tragen die Angestellten technische Innovationen in die Unternehmen und fordern die Nutzung neuer Technologien ein.“ Und so lange Sicherheit und Verwaltung der Geräte gewährleistet werden könne, sei dies durchaus ein Weg, die Effektivität der Arbeit zu steigern.

Unterschiedliche Betriebssysteme

Laubrock stellte die Sicherheitsarchitektur von den mobilen Betriebssystemen iOS (Apple), Android (Google) und Win Phone (Microsoft) vergleichend nebeneinander. So wurde nicht nur betrachtet, wie die ursprünglich für den Consumer-Markt entwickelten Geräte inzwischen auch über Enterprise-Features wie Verschlüsselung, starke Passwörter oder Full Disk Encryption verfügen, sondern er zeigte auch auf, inwieweit Kernel und Systemkomponenten der Smartphones von den Apps abgeschottet sind – oder eben nicht.

Mobile Policies und Guidelines griff anschließend Frank Melber (Head of Data & Endpoint Security) auf und erklärte, was man beachten sollte, wenn Mobilgeräte sowohl privat als auch beruflich genutzt werden, und wie man bereits durch das richtig gewählte Passwort die Sicherheit deutlich erhöhen kann. „Der Passcode ist der einzige Schutz für Daten auf dem Gerät, deshalb sollten für ihn hohe Anforderungen gelten“, sagte Melber. Er müsse auch kryptografischen Angriffen und der so genannten Brute-Force-Methode widerstehen, bei der beispielsweise sämtliche mögliche Zahlenkombinationen automatisch ausprobiert werden.

Decodieren in 30 Minuten

„Besteht ein iDevice-Passwort aus vier Ziffern, dauert ein Decodieren mit dieser Methode 30 Minuten, besteht es aus acht Ziffern, sind bereits sechs Monate nötig, bei einer Kombination von sechs Ziffern und Kleinbuchstaben kann das Decodieren bis zu zehn Jahre dauern – dann sind die Daten längst nicht mehr interessant“, erläuterte Frank Melber.

Er riet Unternehmen auch dazu, ein so genanntes konditionelles Wipe auf den Mobilgeräten zu ermöglichen, bei dem im Verlustfall alle Unternehmensdaten und Zugänge vom Administrator aus der Ferne gelöscht werden können. Sind Privatgeräte im Unternehmen erlaubt, sollten rechtliche Aspekte über die Betriebsvereinbarungen geregelt sein, zudem seien aber auch Awareness-Kampagnen für die Mitarbeiter nötig, um sie für Gefahren zu sensibilisieren.

Melber stellte anschließend Lösungen für das Mobile Device Management (MDM) vor, und erklärte die Unterschiede zwischen nativen Ansätzen wie bei Mobile Iron, die umfassend konfiguriert werden können, und Sandbox-Lösungen wie Good, bei denen Firmendaten auf dem Endgerät separat verschlüsselt werden.

Zum Abschluss stellte Senior Security Consultant Olaf Pfeiffer den rund 40 Teilnehmern aus großen und mittelständischen Unternehmen – von der Versicherung bis zum Krankenhaus – in einer Live-Demonstration das Mobile Device Management im praktischen Einsatz vor.

Britta Kalscheuer

Ecos-Checkliste

Private Geräte sicher am Arbeitsplatz nutzen

Das Thema „Bring Your Own Device“ (BYOD), also die Nutzung mobiler privater Endgeräte wie Notebooks, Tablet-PCs und Smartphones für berufliche Zwecke, beschäftigt derzeit IT-Verantwortliche und Anwender gleichermaßen.

Foto: Michaela Schöllhorn/Pixelio

McAfee gibt Tipps

Pleite nach Oktoberfest?

321 mobile Geräte wurden bisher im Fundbüro der „Wiesn“ 2013 abgegeben. Damit der Verlust des geschäftlich genutzten Smartphones nicht zum Datenfiasko wird, geben Experten Tipps.

Foto: Benjamin Klack/ Pixelio.de

BYOD

Die Technik ist nicht die Herausforderung

Arbeitsministerin Ursula von der Leyen will eine strikte Trennung von Arbeitszeit und Freizeit – viele Mitarbeiter in Unternehmen wollen ihre Firmenhandys loswerden und ihre geliebten privaten Smartphones benutzen. Bring Your Own Device (BYOD) bereitet nicht nur den CIOs und IT-Abteilungen Kopfschmerzen.

Foto: Securenvoy

Smartphones

Sicherer Zugriff von unterwegs

Vier Buchstaben bringen derzeit Unruhe in IT-Abteilungen: BYOD, die Abkürzung für „Bring your own Device“, lässt in puncto Sicherheit einige Fragen offen. Denn in BYOD-Umgebungen haben Mitarbeiter über ihre privaten Mobilgeräte Zugang zu Unternehmensdaten.