Gartner

Das Team der deutschen Gartner Analysten bloggt für Sie über alles was die IT-Welt bewegt. Mit dabei sind Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, Christian Titze, Annette Zimmermann, Jörg Fritsch, Hanns Köhler-Krüner und Meike Escherich.

MobileSmartphone

Smartphones im Unternehmen: Diese Security-Maßnahmen gilt es zu beachten

Für den sicheren Betrieb von Smartphones in Unternehmensnetzwerken stehen Administratoren vor einigen Herausforderungen. Gartner-Analyst Patrick Hevesi erläutert in diesem Gastbeitrag die gängigsten Security-Features von Mobilgeräten und worauf Unternehmen bei der Nutzung achten müssen.

Mobiltelefone werden im Unternehmen längst für mehr genutzt als für Telefonie und E-Mail. Durch die zunehmende Verbreitung von „Bring Your Own Device“ (BYOD) führen Mitarbeiter zudem eine Vielzahl unterschiedlicher Anwendungen auf den persönlichen Geräten aus.

Gartner: Patrick Hevesi (Bild: Gartner)
Patrick Hevesi, der Autor dieses Beitrags, ist Research Director bei Gartner für Technical Professionals (GTP) im Security and Risk Management Team. Hevesi deckt die Bereiche Mobilfunk, Netzwerk und Infrastruktur ab. Er verfügt über mehr als 15 Jahre Erfahrung in der Informationssicherheit, unter anderem als CISO, Sicherheitsarchitekt und Sicherheitsleiter (Bild: Gartner).

Unternehmen müssen aber stets bedenken, dass mobile Geräte kritische Informationen enthalten oder zumindest verarbeiten, wenn sie im Unternehmen eingesetzt werden: von personenbezogenen Daten über Kunden und Partner bis zu Informationen vertraulicher Strategien.

Sicherheitsexperten sollten deshalb fundierte Entscheidungen über den Einsatz von Management-Software oder mobilen Sicherheitsanwendungen treffen und Klarheit haben, ob sie sich auf die Sicherheitskontrollen der verschiedenen Geräte verlassen können. Im Folgenden werden die gängigsten Security-Features von Mobilgeräten vorgestellt und dargelegt, worauf Unternehmen bei der Nutzung achten müssen.

Nutzung mobiler Endgeräte im Unternehmen

Viele Mitarbeiter wünschen sich den Zugriff auf Geschäftsinformationen über ihre mobilen Endgeräte. Im Sinne erhöhter Produktivität und Effizienz gewähren die meisten Unternehmen diesen auch – oftmals ohne dass das Unternehmen selbst die Geräte anschafft. Ein solcher Zugriff wirft jedoch Sicherheitsbedenken auf, da die Geräte nicht mehr vom Unternehmen kontrolliert werden. Diese müssen daher Richtlinien für die Sicherheit auf persönlichen Geräten entwickeln und implementieren, damit die Mitarbeiter jederzeit auf die sensiblen oder auch oft kritischen Unternehmensdaten und -Anwendungen zugreifen können.

Sensible Informationen liegen in den unterschiedlichsten Formen vor: E-Mails, Anhänge, Kalendertermine, Anmeldeinformationen, Dokumente, Tabellenkalkulationen, Bilder oder Videos. Die Geräte können dabei auch auf kritische Geschäftsanwendungen zugreifen, die vor unbefugtem Zugriff und unbefugter Nutzung geschützt werden müssen. Für mobile Geräte müssen daher die gleichen Security-Maßnahmen gelten wie für jedes andere Enterprise-Computersystem auch.

Was dabei außerdem nicht außer Acht gelassen werden darf, sind allgemein gültige Regulierungen und Vorschriften: Zu diesen zählen die Europäische Datenschutzgrundverordnung (DSGVO), der US-amerikanische Health Insurance Portability and Accountability Act (HIPAA) und der weltweit gültige Payment Card Industry Data Security Standard (PCI DSS). Diese Vorschriften verlangen, dass sensible Daten (wie personenbezogene Daten, persönliche Gesundheitsinformationen oder Zahlungskartendaten) vor unbefugter Offenlegung geschützt werden müssen – unabhängig davon, wo sie gespeichert oder verwendet werden. Das bedeutet, dass jegliche Daten, die auf einem mobilen Gerät genutzt oder verarbeitet werden, den gleichen Schutz erfordern wie die Devices selbst.

Ob nun Bring Your Own Device oder firmeneigene Geräte – willigt ein Unternehmen in den Zugriff auf sein Netzwerk ein, ist es auch für dessen Schutz zuständig. Einige mobile Geräte und Betriebssysteme konzentrierten sich von Anfang an auf die Sicherheit von Unternehmen, wie das BlackBerry 10 und frühe Versionen von Windows Mobile, während andere mit einer Verbraucher-Mentalität starteten, wie iOS und Android. Aber bei allen Anbietern steht eine höhere Sicherheit für den Unternehmensbereich inzwischen auf der Prioritätenliste.

Gartner: Security Controls for Mobile Devices (Grafik: Gartner)
Hinsichtlich der Sicherheit hat Android gegenüber iOS laut einer Untersuchung von Gartner in den letzten Jahren aufgeholt. Während bei den überprüften 16 Geräte-Sicherheitsfunktionen Android-7-Smartphones mit fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Modelle mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Am sichersten sind laut Gartner die Samsung-Smartphones mit Knox-Unterstützung. Sie werden in dreizehn Fällen mit „strong“ bewertet, während iOS 11 nur sieben Mal die Bestnote erhält. Auch im Unternehmensbereich führen Knox-Smartphones laut Gartner. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur fünf von zwölf Kriterien mit „strong“ bewertet werden. Die vollständige Analyse kann bei Gartner erworben werden (Grafik: Gartner).

Maßnahmen sind beispielsweise die Trennung von Unternehmensdaten und persönlichen Daten, die Durchsetzung der Verschlüsselung und die isolierte Speicherung von Unternehmensanwendungen. Unternehmen wie Microsoft, Samsung und Google bauen derzeit erweiterte Authentifizierungsfunktionen wie virtuelle und physische Chipkarten und verschiedene Biometrie-Modi auf. Sie arbeiten sogar daran, die kommenden Sicherheitsstandards FIDO 2.0 und U2F (Universal 2nd Factor) in ihre neuesten Geräte zu integrieren.

Dieses Framework ersetzt Passwörter durch FIDO 2.0-Zugangsdaten, die nicht gephisht und wiedergegeben werden können und keinen Angriffen auf dem Server ausgesetzt sind. Mit der Verwendung von PINs oder Biometrie kann der Benutzer die Verwendung von FIDO 2.0-Anmeldeinformationen bequem autorisieren. U2F ist ein offener Authentifizierungsstandard, der die Zwei-Faktor-Authentifizierung (2FA) mit speziellen USB- oder NFC-Geräten stärkt und auf ähnlichen Sicherheitstechnologien wie Smart Cards basiert. Diese Funktionen legen die Messlatte für starke Authentifizierungsmethoden auf modernen mobilen Betriebssystemen höher.

Security Feature I: Nutzerbasierte Authentifizierung

Mit der neuesten Iteration von iOS, Android und Windows haben die großen Hersteller biometrische Authentifizierungsfunktionen (Fingerabdruck-, Iris- und Gesichtserkennungs-Hardware und -Software) in ihre wichtigsten mobilen Geräte integriert. Mit diesen neuen Sensoren bieten die mobilen Betriebssysteme zusätzliche Faktoren für die Authentifizierung und machen die Geräte benutzerfreundlicher. Ein Fingerabdruck auf diesen modernen Geräten entspricht in etwa der Sicherheit eines fünf- bis sechsstelligen alphanumerischen Passworts. Iris- und Gesichtserkennung sind durch die zusätzlichen Messpunkte noch stärker einzustufen.

Unternehmen sollten feststellen, ob die neueste biometrische Hardware – wie Gesichtserkennung, Fingerabdrucksensoren und Iris-Scanner – ihre Anforderungen an die Passwortkomplexität erfüllt. Aktuelle biometrische Sensoren sind mittlerweile mit Anti-Spoofing-Schutz ausgestattet: Zur Verbesserung der Genauigkeit und der Verringerung von Spoofing durch Hacker und andere Cyber-Kriminelle, kann das Authentifizierungssystem eine Mischung von mehr als einem biometrischen Charakteristikum verwenden oder biometrische und nicht-biometrische Daten der gleichen Person kombinieren. Eine Fallback-Authentifizierung schreibt zudem auch Regeln für die Zugriffsrichtlinien fest – beispielsweise die Reihenfolge, in der die Methoden zur Authentifizierung verwendet werden sollen. Zudem besteht die Möglichkeit, Biometrie mit anderen Formen der Authentifizierung zu kombinieren, um stärkere multifaktorielle Lösungen zum Schutz des mobilen Geräts und seiner Unternehmensdaten zu entwickeln.

Security Feature II: Verschlüsselungsmethoden

Die Verschlüsselung von Informationen auf mobilen Geräten bildet eine zweite Verteidigungslinie und zählt zu den wichtigsten Sicherheitsmerkmalen sowohl für Endbenutzer als auch für Unternehmen. Die Verschlüsselung muss allerdings mit einem Zugriffskontrollmechanismus kombiniert werden, ansonsten ist sie wertlos. Wenn ein Gerät in die Hände einer Person fällt, die in der Lage ist, forensische oder andere Datenzugriffstools zu verwenden, kann die Verschlüsselung die Daten vor unbefugter Offenlegung schützen.

Wie widerstandsfähig ein Gerät gegen diese Art von Angriffen ist, hängt jedoch weitgehend von der Stärke des Authentifizierungsmechanismus ab. Da die Verschlüsselung in vielen Betriebssystemversionen standardmäßig nicht aktiviert ist, ist es für das Unternehmen entscheidend sicherzustellen, dass jedes Gerät die Verschlüsselung in Betrieb hat und mit einer Authentifizierungsmethode geschützt ist.

Die Verschlüsselung ist in Android integriert, aber in der Version 5.0 ist sie nicht bei allen OEM-Geräten standardmäßig aktiviert. Seit Android 6.0 hat Google alle Anbieter dazu gedrängt, die Verschlüsselung standardmäßig zu aktivieren. Das ist jetzt bei allen Alle Pixel- und Samsung Galaxy-Geräten der Fall. Auch bei iOS (iPhones und iPad) und Windows Surface-Geräten ist die Verschlüsselung verfügbar und standardmäßig aktiviert.

Security Feature III: Trennung der Daten

Die Speicherisolation ist einer der Hauptbausteine der Sicherheitsarchitektur moderner mobiler Betriebssysteme. Sie verhindert, dass eine Anwendung auf Daten aus anderen Anwendungen zugreifen kann. Zudem besteht die Option, persönliche Daten und Unternehmensdaten zu trennen. Dies ist über EMM/MDM, Android Enterprise, Samsung Knox Workspace und Microsoft Enterprise Data Protection möglich. Das Konzept besteht darin, Unternehmensdaten von den persönlichen Daten zu isolieren, separat zu verwalten und sogar zu verschlüsseln.

Dies beinhaltet in der Regel den Beitritt zu einer Domäne, einem föderierten Login oder einer anderen Unternehmensauthentifizierung. Nach der Authentifizierung können das Gerät und der Unternehmensbereich des Endbenutzers in einem Geräteverwaltungstool verwaltet werden. In der Regel bekommt man den Zugriff auf Unternehmensdaten über VPN. Die Daten lädt man entweder in einen gesicherten Container oder versieht sie mit einem Firmendaten-Tag, der dann verwaltet, verschlüsselt und gelöscht werden kann, wenn das Gerät verloren geht oder der Mitarbeiter das Unternehmen verlässt.

Security Feature IV: Remote Wipe

Wenn bekannt ist, dass ein Gerät verloren ging oder gestohlen wurde, gibt es die Möglichkeit, Daten aus der Ferne vom Gerät zu löschen. Dies verringert das Risiko einer unbefugten Nutzung der Daten. Diese Funktion ist in allen Plattformen integriert. Zusätzlich zu den verbraucherorientierten Lösungen der Mobilgeräte-Hersteller wird Remote Wipe in der Regel als Teil eines Gerätemanagementsystems oder eines Endgeräteschutz-Clients implementiert.

Einige Lösungen bieten dem Endbenutzer die Möglichkeit, ein Remote Wipe entweder über ein Portal oder durch Senden einer speziell angefertigten SMS an das Gerät durchzuführen. Zudem lässt sich über Remote Wipe ein verlorenes oder gestohlenes Gerät lokalisieren. Das Löschen der Daten auf den Devices erfordert einen Kommunikationsweg vom Managementsystem zum Gerät.

Wenn das Gerät ausgeschaltet ist oder die Kommunikation mit dem Gerät deaktiviert ist, erreicht der Befehl „Remote Wipe” das Gerät nicht. Die Option, dass sich das Gerät aufgrund übermäßiger fehlgeschlagener Anmeldeversuche oder der Unfähigkeit, sich in bestimmten Zeitabständen mit dem Server zu verbinden, selbst löscht, ist deshalb weiterhin verfügbar, wenn das Gerät entsprechend konfiguriert wurde.

Schwachstellen-Management

Weil immer mehr mobile Geräte zur Unternehmensinfrastruktur gehören, müssen Unternehmen Schritte unternehmen, um die sensiblen Informationen zu schützen und gleichzeitig die Bedürfnisse der Mitarbeiter zu berücksichtigen. Denn es gibt Schwachstellen in allen mobilen Plattformen.

In Verbindung mit der zunehmenden Konnektivität und Rechenleistung der Geräte sowie der Verfügbarkeit von Anwendungen, die Benutzer für Bankaktivitäten installieren können, wird das Interesse von Malware-Entwicklern an allen Plattformen zunehmen. Auch ohne Schwachstellen auszunutzen, findet Malware ihren Weg in mobile Geräte.

Dies liegt daran, dass Plattformen in der Regel darauf angewiesen sind, dass der Benutzer der App Zugriff auf vertrauliche Informationen oder das Routing des Datenverkehrs über die richtigen Netzwerke und Proxys gewährt. Unternehmen sollten deshalb mit einer Zunahme von Malware- und Konfigurationsangriffen auf allen Plattformen rechnen, die auf die Anmeldeinformationen ihrer Benutzer oder andere sensible Informationen abzielen und über Geräte übertragen werden.

Um den bestmöglichen Schutz zu gewährleisten sollten sich Unternehmen auf Geräte mit starker Arbeitsbereichsisolierung, guter Richtlinienverwaltung, Sicherheitsaktualisierungsfunktionen für alle Geräte und hardwarebasierten, dedizierten Sicherheits-Chips, die eine stärkere Verschlüsselung ermöglichen, konzentrieren. Zudem sollte das Malware-Risiko auf mobilen Geräten immer im Kontext bewertet werden. Denn für viele Unternehmen ist das Risiko eines Datenverlustes eine weitaus größere Bedrohung als ein Malware-Angriff.