Mobile Sicherheit – Vertrauen ist gut, Device Management ist besser

EnterpriseManagementSicherheit

Eine Mobility-Lösung sollte nicht nur hinsichtlich ihres Funktionsumfangs bewertet werden sondern auch auf deren Fähigkeit, Sicherheits-Policies durchzusetzen.

Mitarbeiter sind nur schwer zur Einhaltung von Sicherheitsvorgaben zu bewegen – mit dieser Herausforderung haben fast zwei Drittel aller deutschen ITK-Verantwortlichen zu kämpfen, wenn es um die Sicherung der ITK-Infrastruktur geht. Dies gilt insbesondere bei der Nutzung mobiler Endgeräte wie Smartphones, PDAs & Co., die sich häufig der direkten Kontrolle durch die IT-Abteilung entziehen. IT-Administratoren haben jedoch die Möglichkeit, mithilfe von Device-Management-Systemen Sicherheitsvorgaben zentral auf mobilen Endgeräten durchzusetzen.

Über das Device Management sollten Administratoren beispielsweise Endgeräten eine Sperrung aufzwingen können. Das heißt, dass das Endgerät nach einem definierbaren Zeitintervall Display und Tastatur automatisch sperrt, ähnlich einem Bildschirmschoner am PC. Diese Sperrung kann nur über ein Passwort aufgehoben werden. Für das Passwort, das der User selber wählen kann, sollten Vorgaben beispielsweise zu Länge und Art der enthaltenen Zeichen definierbar sein, um so die Verwendung von Default-Passwörtern einzuschränken. Damit wird ein ungewollter Zugriff auf die Daten eines Endgerätes verhindert.

Mittel für den Fall der Fälle

Geht ein Smartphone oder PDA verloren oder wird es gestohlen, sollten nicht nur die Daten lokal verschlüsselt sein, sondern der Administrator sollte darüber hinaus in der Lage sein, das verlorene Gerät in einem zweistufigen Mechanismus außer Gefecht zu setzen. Im ersten Schritt sollte der Administrator Endgeräte mit einem Passwort unmittelbar sperren können. Dieser Vorgang wird auch als Lockdown bezeichnet. Taucht das Gerät wieder auf, kann der Nutzer mit dem Passwort des Administrators das Endgerät wieder entsperren. Alle Daten bleiben hierbei auf dem Endgerät erhalten.

Bleibt das Gerät verschwunden, sollte der Administrator im zweiten Schritt alle Daten und Einstellungen auf dem Endgerät endgültig löschen können (auch Device Wipe genannt). Regelmäßige Backups können sicherstellen, dass notfalls ein neues Endgerät gleichen Typs ohne großen Aufwand als Ersatz mit gleicher Konfiguration und Ausstattung zur Verfügung gestellt werden kann. Das Device-Management-System sollte daher über eine Backup-Funktionalität verfügen, über die in definierbaren Abständen automatisch, ohne dass der Nutzer aktiv werden muss, ein vollständiges Backup erfolgt oder ausgewählte Dateien, Einstellungen und Applikationen gesichert werden.

Vor dem Hintergrund der Sicherheitsrisiken beim Einsatz mobiler Endgeräte sind Lockdown und Device Wipe absolute Mindestanforderungen an jedes Device-Management-System, wie der neue Report ‘Lösungen für Mobile Device Management’ zeigt, den Berlecon Research in Kooperation mit Fraunhofer ESK veröffentlicht hat.

Über eine Device-Management-Lösung sollten zudem zentrale Sicherheitsvorgaben aufgestellt und auf Endgeräte verteilt werden. In den Sicherheits-Policies muss definierbar sein, was ein Endgerät darf und was nicht. So sollten beispielsweise bestimmte Schnittstellen von Endgeräten deaktiviert, Applikationen gesperrt bzw. eingeschränkt oder Installationsrechte entzogen werden können. Letztlich ist durch diese Funktionalität eine Einschränkung der Benutzerrechte am Endgerät umsetzbar. Verschiedene Endgerätegruppen sollten entsprechend ihrer Nutzungsanforderungen gezielt mit separaten Policies versorgt werden können.

Unternehmen, die heute eine Mobile-Mail- bzw. Mobility-Lösung einsetzen oder deren Einsatz planen, sollten diese also nicht nur hinsichtlich des Funktionsumfangs zur Synchronisation von Daten und Anwendungen bewerten. Sie sollten auch prüfen, inwieweit die jeweilige Lösung die zentrale Durchsetzung von Sicherheits-Policies ermöglicht. Denn Vertrauen der IT-Administratoren in den verantwortungsvollen Umgang ihrer Kollegen mit mobilen Endgeräten ist gut – die Erzwingung von Sicherheitsvorgaben durch entsprechende technische Tools ist noch besser.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen