Der Wunsch eines Angestellten, sein eigenes Smartphone oder Tablet auch im beruflichen Alltag zu nutzen, kollidiert nicht selten mit den Sicherheitsbedenken der IT-Verantwortlichen. Doch sind diese Ängste vor Mitarbeitern, die Technologien und Anwendungen nutzen, ohne sich an die Compliance-Vorschriften ihres Unternehmens zu halten, gerechtfertigt und überhaupt noch zeitgemäß?
Der „People-Inspired Security“-Report spricht in diesem Zusammenhang von 20 Prozent der Angestellten, die Sicherheitsrichtlinien umgehen und sogar eigene Apps nutzen. Können moderne Mobilgeräte bereits bedenkenlos in die Unternehmens-IT integriert werden? Ein Rundgang auf der größten Mobilfunkmesse Mobile World Congress soll durch einen Blick in die Entwicklung der Branche Klarheit bringen.
Vor Jahren noch indiskutabel, bieten Firmen ihren Mitarbeitern heute immer häufiger die Möglichkeit, ihr privates Mobiltelefon in den Arbeitsalltag zu integrieren, und das nicht immer ohne Eigennutz: Die Anschaffung teurer, moderner Firmenhandys birgt für die Arbeitgeber ebenso intensiven Diskussionsstoff mit ihren Angestellten wie auch hohe Kosten.
Dementsprechend begrüßen viele Unternehmen die Verwendung eigener Geräte durch Mitarbeiter. Dieser vermeintlichen monetären Entlastung des Infrastruktur-Budgets stehen häufig große Sicherheitsbedenken der IT-Administratoren gegenüber. Ihnen zufolge ist für eine solche Doppelnutzung unumgängliche Grundvoraussetzung, die Daten- und Kommunikationswelt auf dem mobilen Gerät zu teilen: in einen privaten und einen geschäftlichen Bereich. In der „Business-Sektion“ lagern geschäftliche Dokumente, E-Mails, Kontakte und Termine strikt getrennt und geschützt vom Rest der Daten und können in dieser auch bearbeitet werden.
Hohe Schäden durch Cybercrime
Dieses Schutzbedürfnis kommt nicht von ungefähr: Dem „Center for Strategic and International Studies“ (CSIS) zufolge beträgt das Schadensvolumen durch Cyberkriminalität allein in Deutschland für das Jahr 2014 geschätzte 46 Milliarden Euro. Weltweit rechnet das CSIS mit rund 400 Milliarden US-Dollar Schadenssumme, hervorgerufen durch digitale Kriminalität. Ein Mobiltelefon stellt in diesem Zusammenhang ein perfektes Einfallstor für Hackerangriffe auf hochsensible und unternehmensrelevante Daten dar.
Einer Studie des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) zufolge nutzen bereits 35 Prozent aller Arbeitnehmer ihr privates Mobiltelefon auch geschäftlich. Das bedeutet, dass rund ein Drittel aller Angestellten mit ihrem Handy Dritten den potenziellen Zugriff auf das Unternehmensnetzwerk erleichtert, oder zumindest sensible geschäftliche Informationen per E-Mail sendet oder empfängt. Nur fünf Prozent der Nutzer verschlüsseln E-Mails, die sie per Mobiltelefon versenden. In der Praxis werden unternehmenskritische Nachrichten ungesichert verschickt; in einigen Fällen sogar über private E-Mail-Accounts. Welche verheerende Auswirkung dies haben kann, zeigte im vergangenen Jahr der Erpressungsversuch zu Lasten einer Lebensmittelkette, bei dem strategische Informationen aus dem privaten Free-E-Mail Postfach eines Aufsichtsrats gestohlen wurden.
Schicke Smartphones, bunte Apps
Sind sich die Hersteller dieser Gefahren bewusst? Auf dem diesjährigen Mobile World Congress (MWC) in Barcelona zeigten die Großen und Kleinen der Telekommunikationsbranche auch in diesem Jahr wieder, was sie an neuen Mobiltelefonen, Apps und weiteren nützlichen Helfern konzipiert und produziert haben. Was auch diesmal wieder auffällt: Funktionalität, Design und Technologie stehen hoch im Kurs, wenn es um die Features der vorgestellten Geräte und Applikationen geht.
Aber auch das Sicherheitsbewusstsein ist bei vielen dieser Hersteller zu einem Kernthema geworden. Hervor stechen Programme, die das private Mobiltelefon oder Tablet zu einem sicheren Kommunikationsmittel für den geschäftlichen Alltag machen. Sie ermöglichen es, Dokumente, E-Mails, Kontakte und Termine in einem einzigen Programm zu bearbeiten und zu speichern und stellen damit quasi die komplette Büro-Arbeitsumgebung in einer App bereit. Eine Ende-zu-Ende-Verschlüsselung garantiert dem Nutzer Sicherheit für sämtliche Firmendaten. Einer der Vorteile für die Administration ist, dass diese Applikation nahtlos in die IT-Landschaft des Unternehmens integriert werden kann.
Paradigmenwechsel im Sicherheitsbewusstsein
Aufmerksame Beobachter der Szenerie konnten auf dem MWC damit eine deutliche Veränderung im Verständnis und Bewusstsein der Branchenbeteiligten spüren. Sowohl der Dauerbrenner BYOD als auch das Thema Verschlüsselung für mobile Endgeräte spielten in Barcelona im Vergleich zu den vergangenen Jahren eine wichtige Rolle. Wenngleich es auch regionale Unterschiede in Sachen Relevanz gibt, weil etwa das Sicherheitsbewusstsein in der DACH-Region stärker ausgeprägt ist als in unseren Nachbarländern, sind sich alle Beteiligten in der Sache doch einig. Es gilt, die Gefahren durch Cyberkriminalität und leichtfertigen Umgang mit sensiblen Daten zu eliminieren. IT-Verantwortliche suchen dafür einfache Lösungen, ohne großen Management-Aufwand der Geräte. Es gibt, so hörte man immer wieder auf der Veranstaltung, zwei Ströme der Interessensgruppen: Auf der einen Seite stehen die User, die Interesse daran haben, ihre privaten Geräte in den Unternehmensalltag einzuflechten. Dem gegenüber stehen große Bedenken in den Bereichen Sicherheit und Compliance. Diese kommen aus allen Ebenen der Unternehmen, vor allem aber aus dem administrativen Bereich.
Einig waren sich auf dem Kongress die Beteiligten darin, in Zukunft verstärkt drei Hauptziele zu identifizieren und zu verfolgen: absichern der Businessapplikationen, echte E-Mail Verschlüsselung ermöglichen, und ein Security-Brainwork als Schnittstelle zu anderen Lösungen schaffen. Der Anfang ist bereits gemacht, denn Applikationen wie beispielsweise SecurePIM des Herstellers Virtual Solution erfüllen diese Anforderungen schon jetzt. Am Bayerischen Gemeinschaftsstand präsentierte das Unternehmen seine Mobile App, deren Leistungsmerkmale die geforderten Eigenschaften aufweist. Und hierbei muss der Nutzer nicht auf Technologie aus Fernost oder den USA vertrauen: Die Sicherheits-App ist komplett Made in Germany. Das zeigt, dass die Informationstechnologie und Telekommunikation hierzulande bereits bestens aufgestellt ist.
Trotz aller ausgereiften Sicherheitstechnologie: Ein unkalkulierbares Risiko ist der Verlust des mobilen Gerätes. Laut eines Berichts des Umfrageinstituts YouGov verlieren rund 22 Prozent aller Firmenhandy-Besitzer ihren mobilen Begleiter; bei den Privatnutzern sind es immerhin noch 15 Prozent . Auf einem ungesicherten Smartphone oder Tablet sind sämtliche geschäftsrelevanten Daten dann für Unbefugte problemlos einsehbar. Jeder E-Mail-Verkehr, alle gespeicherten Daten und sämtliche Kalendereinträge wären zu diesem Zeitpunkt ungeschützt. Was es bedeutet, wenn derart sensible Daten in falsche Hände geraten, ist immer wieder Thema entsprechender Medienberichte. Gestohlene Kreditkarten- und Bankdaten, Inhalte aus betriebsinternen Nachrichten oder persönliche Informationen, die auf die wirtschaftlichen Verhältnisse eines Unternehmens schließen lassen, können in falschen Händen einen hohen Schaden mit sich bringen. Ziel ist es also, die Handhabung einer Sicherheitsapplikation einfach zu gestalten, gleichzeitig aber jegliche sicherheitsrelevanten Aspekte zu beachten und den Zugriff kontrollierbar und deduzierbar zu machen. Bei Verlust darf der Zugriff auf sensible Daten unter keinen Umständen möglich sein. Im besten Fall lassen sich diese sich per Remotecontrol-Befehl löschen.
Das schwächste Glied in der Sicherheitskette beim Umgang mit schützenswerten Daten ist immer noch der Mensch. Die diffizilste Technologie, die leistungsfähigsten Mobiltelefone und auch die beste Software nutzen nichts, wenn sie nicht korrekt bedient werden. Und nur wenn sich alle Betroffenen der Gefahren bewusst sind, die durch Hacker und Spähangriffe drohen, können sie probate Gegenmaßnahmen planen und umsetzen. Die Industrie ist bereits vorbereitet, nun braucht es ein Umdenken beim Anwender.
(c)2015 www.security-insider.de / Vogel Business Media