Peter May, Managing Director HPC Trading & Consulting, über den Trend »Bring Your Own Device« und den Sicherheitsfaktor Mensch.
Smartphones als Firmenhandys - für Mitarbeiter ist diese Erleichterung im Berufsalltag nicht mehr wegzudenken. Dies birgt für Unternehmen allerdings große Sicherheitsrisiken, die vielseitigen Anwendungsmöglichkeiten von mobilen Endgeräten kommen auch Cyber-Angreifern entgegen. Der Zugriff auf Daten von außen ist ohne entsprechende Sicherheitsvorkehrungen mittlerweile sehr einfach. Eine kleine Verletzung der Datensicherheit kann dabei oft zu einem Debakel für den betroffenen Betrieb werden: Finanzielle Einbußen und Reputationsverluste sind die Folge. Um dem entgegenzuwirken, setzen größere Unternehmen in der Regel bereits viel daran, ihre Daten zu schützen. Kleine und mittlere Unternehmen (KMU) sichern ihre Endgeräte aber meist nur oberflächlich vor fremden Zugriff, viele sind sich der bestehenden Risiken nicht bewusst.
Für erhöhte Sicherheitsrisiken ist auch der als "Bring your own device" bezeichnete Trend von großer Bedeutung: Immer mehr Mitarbeiter nutzen ihr privates Smartphone als Firmenhandy, da sie nicht auf den Komfort der neuesten Technik verzichten wollen. Dabei wird über den mobilen Fernzugriff eine Verbindung mit dem Unternehmensnetzwerk hergestellt. Die Kommunikationsdienste über Mobilfunk oder WLAN beherben allerdings zahlreiche Schlupflöcher. Angreifer können etwa über unsichere Apps oder öffentliche WLAN-Hotspots auf Unternehmensdaten zugreifen. Betriebe können den Sicherheitsvorkehrungen auf den privaten Endgeräten dabei meist nicht vertrauen.
Hohes Risiko
Ein besonders hohes Risiko entsteht durch heruntergeladene Apps. Vielfach wird von App-Stores auf das Sicherheitsbewusstsein der Anwender gesetzt, die die Sicherheit und Zugriffsberechtigungen der Applikationen jedoch nur selten kontrollieren. Malware wie etwa Trojaner, Root-Exploits oder Überwachungssoftware gelangt auf diese Weise auf die Mobiltelefone. Dadurch wird es dem Angreifer ermöglicht, die Schutzmaßnahmen der Unternehmensnetzwerke zu umgehen und über die mobilen Endgeräte auf Unternehmensdaten zuzugreifen. Infizierte Apps können so zur Industriespionage eingesetzt werden oder geschützte Unternehmensnetzwerke manipulieren.
Was können Unternehmen tun?
CIOs sind gefordert, auf den Trend BYOD zu reagieren und dem steigenden Aufkommen von Schadsoftware Rechnung zu tragen. Als technische Absicherung empfiehlt sich für Unternehmen die Anwendung einer Isolierungs- oder auch als Containerlösung bezeichneten Sicherheitssoftware. Dabei wird das Smartphone in zwei Bereiche aufgeteilt: einen privaten und einen geschäftlichen Teil. Die zwei Instanzen werden parallel ausgeführt und vereinen sozusagen zwei Endgeräte in einem Smartphone. Mitarbeiter können so für den privaten Teil des Mobiltelefons Apps installieren, die gleichzeitig keine Gefahrenquellen für den Business-Teil darstellen. Dieser kann vom CIO des jeweiligen Unternehmens über Mobile-Device-Management-Funktionen separat gestaltet und abgesichert werden, nur speziell zertifizierte Anwendungen dürfen in diesem Bereich genutzt werden. Die Kommunikation mit dem Unternehmensnetz ist nur über diesen abgesicherten Teil möglich.
Die große Sicherheitslücke bleibt allerdings der Faktor Mensch: Unternehmen müssen ihre Mitarbeiter sensibilisieren, damit sie auf drohende Gefahren aufmerksam werden und entsprechend agieren. Das Bewusstsein für die Auswirkungen, die Datenschutzverletzungen auf Unternehmen haben können, muss gestärkt werden. Die Sicherheitsstandards auf den Smartphones sind stets zu aktualisieren und Updates dürfen nicht hinausgezögert werden. Außerdem müssen die Passwörter der Mitarbeiter regelmäßig gewechselt werden.
Im Zusammenspiel mit den richtigen Sicherheitslösungen für Unternehmen kann in weiterer Folge ein hoher Datenschutz gewährleistet werden, der auch für KMU von höchster Priorität sein muss.
Über den Autor:
Peter May ist Managing Director bei HPC Trading & Consulting. Der Wiener IT-Dienstleister berät Unternehmen in Sicherheitsfragen und bietet insbesondere für kleine und mittlere Unternehmen Lösungen an.