In acht Schritten zur „Mobile Security“

No
02. Juni 2015

Um sich vor Risiken wie Cyberangriffen, Viren und Schadsoftware, die durch das Einfallstor ungeschützter Mobilgeräte in Unternehmensnetze eindringen können, zu schützen, müssen Unternehmen eine ganzheitliche, unternehmensweite Mobile-Security-Strategie entwickeln und umsetzen.

Damit diese Strategie alle Aspekte des mobilen Arbeitens abdeckt, empfiehlt sich ein Vorgehen in acht Schritten:

Schritt 1: Bestandsaufnahme

Bevor Unternehmen eine Mobile-Security-Strategie einführen, sollten sie den aktuellen Bestand der mobilen Geräte aufnehmen und analysieren. Im Mittelpunkt stehen hierbei folgende Fragen: Welche Prozesse sollen auch auf mobilen Endgeräten verfügbar sein? Welche Prozesse müssen hierfür verändert werden? Welche Technologien kommen hierbei zum Einsatz? Welche Daten werden dabei verarbeitet? Wie wird auf diese Daten zugegriffen? Und welche Schnittstellen werden dafür benötigt? Auf Basis dieser Bestandsaufnahme folgt eine Schutzbedarfsanalyse.

Schritt 2: Schutzbedarfsanalyse

Ausgehend von den Ergebnissen der Bestandsaufnahme muss im nächsten Schritt der konkrete Schutzbedarf ermittelt werden. Dabei sind folgende Fragen zu beantworten: Wie kritisch sind die Daten, auf die Mitarbeiter mobil zugreifen? Von wo erfolgt der Zugriff? Welche Mitarbeiter in welchen Fachabteilungen greifen auf die Daten zu? Welche Übertragungswege werden für mobile Daten genutzt? Hierbei ist es wichtig, dass Unternehmen eine Informationsklassifizierung vornehmen, also ihre Daten in unterschiedliche Schutzklassen einteilen. Davon ist dann abhängig, ob und wie ein Mitarbeiter auf bestimmte Daten außerhalb des Unternehmensnetzwerks mobil zugreifen kann.

Schritt 3: Mobile-Security-Richtlinien als Basisschutz

Im Anschluss an die Bestandsaufnahme und die Schutzbedarfsanalyse eröffnen sich Unternehmen zwei Wege zur Erstellung und Umsetzung geeigneter mobiler Sicherheitskonzepte: Für Standardanwendungen und Daten mit „normalem“ Schutzbedarf können Mobile-Security-Richtlinien eingesetzt werden, die aus standardisierten und wiederverwendbaren Gefährdungs- und Maßnahmenkatalogen bestehen.

Schritt 4: Spezifische Sicherheitskonzepte für komplexe mobile Systeme

Wenn es um geschäftskritische Anwendungen oder Daten mit hohem Schutzbedarf geht, die – wenn sie in die falschen Hände geraten – die Existenz des Unternehmens bedrohen, muss eine detaillierte Risikoanalyse auf Basis von ISO 27005 oder BSI-Grundschutz 100-3 durchgeführt werden. Auf Basis dieser Analyse müssen ganz gezielte Schutzmaßnahmen entwickelt und umgesetzt werden. In den meisten Fällen entsteht durch die Kombination dieser beiden Schritte ein maßgeschneidertes Mobile-Security-Konzept für jedes Unternehmen.

Schritt 5: Sicherheitskonzepte für BYOD- und COPE-Szenarien

Ein weiteres heiß diskutiertes Thema, das Unternehmen ebenfalls im Rahmen einer Mobile-Security-Strategie adressieren müssen, ist der Einsatz privater Mobilgeräte im Unternehmen (BYOD) und umgekehrt die private Nutzung von Unternehmens-IT („Corporate Owned Personally Enabled“, COPE). Für beide Szenarien müssen Unternehmen entsprechende Sicherheitskonzepte entwickeln und in ihre Mobile-Security-Strategie integrieren. 

Schritt 6: Richtlinien und Benutzervereinbarungen

Wenn Unternehmen es ihren Mitarbeitern erlauben, ihre eigenen Mobilgeräte zum Arbeiten einzusetzen, muss ein klares Regelwerk definiert werden, das die sichere Handhabung und die Erwartungshaltung kommuniziert. Auf der anderen Seite müssen sich Mitarbeiter dazu verpflichten, ein gewisses Sicherheitsniveau auch auf ihren eigenen Endgeräten einzuhalten. Sie müssen sich bewusst sein, dass ihr Arbeitgeber Daten schützen muss, auch wenn es sich um ein privates Gerät handelt. Hierfür muss es Policies geben, die dem Mitarbeiter vorschreiben, dass er beispielsweise eine Antivirenlösung einsetzt, Softwareanwendungen aktualisiert, Geschäftsanwendungen per Passwort schützt und dadurch die Vertraulichkeit der Unternehmensdaten gewährleistet. 

Schritt 7: Einführung eines MDM-Systems

Neben diesen organisatorischen Maßnahmen gilt es auch technische Schutzvorkehrungen zu ergreifen, im Idealfall durch die Einführung eines Mobile-Device-Management (MDM)-Systems. Hierbei müssen die unterschiedlichen Anforderungen der verschiedenen Geräteplattformen berücksichtigt werden. Denn vor allem bei der Frage nach dem eingesetzten Betriebssystem bietet sich in vielen Unternehmen ein sehr heterogenes Bild. Unternehmen setzen meist auf mehrere Gerätetypen. Dies ist hauptsächlich der Tatsache geschuldet, dass vor einigen Jahren hochwertige Smartphones, meist von Blackberry oder Apple, ausschließlich als Statussymbol im Management eingesetzt wurden. 

Schritt 8: Sensibilisierung und Einbindung der Mitarbeiter

Bei kaum einem Thema ist die Einbindung der Mitarbeiter so wichtig wie bei der Nutzung von Endgeräten, die sie sowohl zum Arbeiten als auch in ihrer Freizeit einsetzen. Denn letzten Endes können Anwender, wenn sie Sicherheitsvorschriften außer Acht lassen, selbst zu sicherheitskritischen Faktoren und Sicherheitslücken werden. Es gilt, die Mitarbeiter mittels Sensibilisierungskampagnen auf die potenziellen Gefahren und die Bedeutung bestimmter Sicherheitsvorgaben hinzuweisen.

 

Ansprechpartner: murat.yildiz@soprasteria.com