IT-Sicherheit: Strategien gegen den Leichtsinn

Es könnte ein Paradies für Datensammler sein: Jede Woche werden auf dem Pariser Flughafen Charles de Gaulle 700 Smartphones, Tablets und Laptops gefunden, die eilige Reisende dort vergessen haben, berichtet der Sicherheitsanbieter Ego Secure. Viele davon dürften Angehörigen von Unternehmen gehören. Schnell noch einen Auftrag bestätigen, die wichtige Mail absenden oder die jüngsten Kennzahlen überprüfen, bevor der Flieger abhebt – und dann bleibt das Gerät am Gate liegen.

Taucht es später wieder im Fundbüro auf, werden viele Mitarbeiter tief durchatmen. Denn häufig sind die Daten auf den Geräten nicht ausreichend vor dem Zugriff von Fremden geschützt. „Jeder hat mitbekommen, dass Datensicherheit ein Thema ist“, sagt Oliver Peters, Direktor bei der Technologieberatung Altran.  „Aber das im Arbeitsalltag umzusetzen, ist deutlich schwieriger.“

Der Trend zum mobilen Zugriff auf die Firmen-IT hält an. Eine Umfrage der Initiative „Deutschland sicher im Netz“ ergab, dass heute 15 Prozent mehr Unternehmen einen direkten Zugriff von unterwegs auf das Unternehmensnetz zulassen als noch vor drei Jahren. „Handy und Tablet sind Alltagsgeräte geworden“, sagt Martin Herbel, Leiter Kommunikations- und Securitydienste beim Softwarehersteller Datev. Instinktiv dächten viele, man könne Mails, Kalender und Anwendungen geschäftlich so flexibel nutzen wie zuhause.

Unternehmen stehen vor der Herausforderung, die richtige Balance zu finden zwischen den Vorteilen der Arbeit von unterwegs – und möglichen Einschränkungen durch aufwendige Sicherheitsbarrieren oder -sperren. Noch anspruchsvoller wird die Absicherung, wenn das Unternehmen den Mitarbeitern erlaubt, die eigenen Geräte im Arbeitsalltag zu nutzen.

Technische Möglichkeiten, die Kommunikation zumindest bis zu einem gewissen Maß abzusichern, existieren durchaus. Dazu können etwa VPN-Tunnel zählen, die einen geschützten Zugriff auf das Firmennetzwerk bieten oder sogenannte Container-Lösungen, die auf einem Mobilgerät einen separaten Bereich einrichten, in dem nur die Firmendaten genutzt werden können. Mobile-Device Management-Applikationen ermöglichen es im Notfall, aus der Zentrale sensible Daten auf dem Handy zu sperren oder zu löschen.

Außerdem kann mit diesen Anwendungen gezielt festgelegt werden, welcher Mitarbeiter mit welchem Gerät was tun darf – und was eben nicht: „Man sollte nichts erlauben, was der Mitarbeiter nicht braucht“, sagt Sergej Schlotthauer, CEO des Sicherheitsdienstleisters Ego Secure, „viele Angriffe werden über die Kanäle gestartet, die im Alltag kaum genutzt werden.“ Dazu gehören auch zahlreiche Programme auf dem Smartphone, die zwar harmlos wirken, aber es den Anbietern oft ermöglichen, gewisse Daten auszulesen und mit unbekanntem Ziel weiterzunutzen. Eine Untersuchung des Tüv Austria kam zu dem Ergebnis, dass etwa ein Drittel von 1 000 untersuchten Apps mehr Daten abfragt, als für den Betrieb nötig wären.

Schutzsoftware wird einfach deaktiviert Moderne Betriebssysteme für Smartphones haben dabei oft einen gewissen Schutz ab Werk dabei. Der wird aber von vielen Nutzern deaktiviert, weil sie ihn als umständlich empfinden. Ein Schicksal, das viele Sicherheitslösungen teilen: Sie machen das Bedienen in aller Regel komplizierter. Klare Vorgabe im Unternehmen muss daher sein, dass alle Sicherheitsregeln unternehmensweit gelten – bis in die oberste Hierarchieebene.  „Es darf keine Ausnahmeregelung für irgendeinen Mitarbeiter geben“, sagt Schlotthauer. „Wer die Wahl hat, wird sich immer für die bequemere und damit häufig unsicherere Variante entscheiden.“

Ein Aufrüsten stellt freilich auch eine Investition dar, die sich aber bezahlt machen kann: „Das ist ein Bruchteil der sonstigen Geräte- und Verbindungskosten – und im Vergleich mit dem Wert der zu schützenden Daten für die meisten Unternehmen eine lohnende Investition“, sagt Claus Heerlein, Partner bei der Beratung Arthur D. Little. Dennoch zögern viele Unternehmen, die mobile Kommunikation komplett in die IT-Sicherheitsarchitektur zu integrieren. „Sie müssen wahrscheinlich erst negative Erfahrungen sammeln, um die Bedeutung einschätzen zu können“, sagt Herbel.

Ausgeklügelt ist die Lösung, an der Forscher am Karlsruher Institut für Technologie (KIT) arbeiten. Eine Verschlüsselung wird direkt zwischen zwei Geräten ausgetauscht – und auch nur zwischen diesen beiden. Ein Angreifer müsste so ein Gerät in die Hand bekommen, um die Schlüssel sehen zu können – die Überwachung aus der Ferne wird dadurch deutlich erschwert. An der Technischen Universität München forschen Wissenschaftler an einem Verfahren, bei dem die Nachricht auf zwei unterschiedlichen Frequenzbereichen vom Mobilgerät übertragen wird. So soll sie für einen möglichen Datendieb gar nicht erst greifbar sein.

Erschienen im Handelsblatt am 16. Juni 2014.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *