Mobile Security verlangt neue Konzepte
Die Sicherheitslage in Bezug auf mobile Technologien hat sich laut einer aktuellen Studie zu Mobile Security in Deutschland weiter verschärft. Wie 52 Prozent der von IDC befragten IT-Verantwortlichen feststellen, geht dabei von den eigenen Mitarbeitern eine größere Gefahr aus als von Cyber-Kriminellen. Kreative Lösungen und ein Überdenken der Security-Strategie sind gefragt.
Durch die zunehmende Mobilisierung von Geschäftsprozessen entwickeln sich Smartphone, Tablet und Co. zu immer wertvolleren Informationsträgern und -mittlern, die allerdings – und das ist die Kehrseite der Medaille – immer stärker in das Fadenkreuz von Cyber-Kriminellen rücken. Um herauszufinden, was sich an der Situation in deutschen Firmen seit der letzten Bestandsaufnahme aus dem Jahr 2015 verändert hat, hat IDC für die Studie „Mobile Security in Deutschland 2017“im Dezember 2016 erneut 256 IT-Entscheider und Anwender aus Unternehmen mit mehr als 100 Mitarbeitern in Deutschland zum Thema befragt.
Dass beim Thema Security das Management der mobilen Geräte in Form von EMM (Enterprise-Mobility-Management) eine wichtige Rolle spielt, stellte Peter Machat, Director DACH-CEE von MobileIron, auf einer Veran- staltung anlässlich der Präsentation der neuen IDC-Studie klar: „Bei EMM verfügt zum Beispiel jede App über einen isolierten Speicherplatz und isolierten Arbeitsspeicher. Damit sind die Daten der Apps vor den Aktionen anderer Apps auf dem Gerät geschützt.“
Vieles richtig gemacht hat in diesem Punkt Bernd Lehmann, Co-Dezernent der Kreisstadt Siegburg. Dort sind zahlreiche Prozesse in unterschiedlichen Aufgabenbereichen der Stadtverwaltung bereits für die Nutzung mit iOS- oder Android-Smartphones und Tablets ausgelegt, wie etwa bei der Überwachung des ruhenden Verkehrs durch die Ordnungskräfte der Stadt, aber auch im Umweltschutz oder in der Gebäudeverwaltung. Zur Prozessoptimierung nutzt die Kommune die EMM-Plattform von MobileIron. „Unsere Bürger wollen die Mitarbeiter der Fachbereiche flexibel erreichen können und vor allem zeitnah eine kompetente Auskunft erhalten“, berichtete Lehmann. „Eine sichere mobile Anbindung an digitale Akten und entsprechende Verwaltungsabläufe auch im Außendienst und Home Office sind dafür unerlässlich.“
Dass laut der Studie fast die Hälfte aller sicherheitsrelevanten Vorfälle mit mobilen Geräten durch die eigenen Mitarbeiter verursacht wird, zeigt jedoch: Fachbereiche und Endanwender verfügen in der Regel nicht über das notwendige IT- und Security-Know-how, um die eigenen
Endgeräte hinreichend zu schützen. Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies, sieht hier aber auch die Anbieter gefordert. „Die Sicherheit kann nicht nur auf die Anwender abgeladen werden“, so Schnabel. „Die Anbieter sind in der Pflicht, sichere Architekturen im Hintergrund bereitzustellen.“Seine Forderung traf bei allen Diskussionsteilnehmern auf Zustimmung.
Strafzahlungen, Anwaltskosten und Geschäftsverluste treiben die Kosten durch Sicherheitsvorfälle in die Höhe. 26 Prozent der befragten Unternehmen erlitten im vergangenen Jahr einen Schaden von mehr als 100.000 Euro durch Sicherheitsvorfälle mit mobiler Technologie. Hinzu kommen finanziell kaum kalkulierbare Reputations- und Vertrauensverluste.
Datenschutzverletzungen kommen teuer
Nach der Übergangsfrist Ende Mai 2018 können Datenschutzbehörden auf Basis der neuen Datenschutz-Grundverordnung (DSGVO) Bußgelder von maximal 20 Millionen Euro oder vier Prozent des globalen Umsatzes erheben. Verletzungen im Datenschutz stehen dann vom Strafmaß her auf einer Stufe mit Geldwäsche oder Korruption. Auch die Meldepflicht von Sicherheitsbrüchen wird aus IDC-Sicht dazu führen, dass sich die Gewährleistung des Datenschutzes von einer IT-Aufgabe zu einem Thema der Vorstandsetagen entwickeln und Security-Investitionen massiv antreiben wird. Überraschenderweise zeigten sich die befragten Unternehmen fast durch die Bank optimistisch im Hinblick auf die Einhaltung des Anwendungsdatums. 74 Prozent bereiten sich derzeit auf die Umsetzung der DSGVO vor, bei lediglich fünf Prozent ist das Thema noch nicht präsent. Aus IDC-Sicht unterschätzen viele IT-Verantwortliche allerdings die Veränderungen, die sich durch die DSGVO ergeben. Die neue Datenschutzverordnung erfordert ein proaktives Handeln, das bereits bei der Entstehung von personenbezogenen Daten ansetzt und darauf basierend geeignete Prozesse und Technologien auch im Bereich der Mobile Security erfordert.
Security muss einfach sein
Die Gefahren werden also offenbar erkannt. Der Vergleich mit der IDC-Studie aus dem Jahr 2015 zeigt jedoch keine Verbesserung der Lage – das Gegenteil ist der Fall. Was kann also die Lösung sein? Gibt es einen Königsweg zu sicherer Mobility? „IT-Entscheider sollten grundsätzlich Lösungen wählen, die den unterschiedlichen Sicherheitsanforderungen ihrer Nutzer entsprechen“, rät Peter Rost, bei Rohde & Schwarz Cybersecurity für Business Development und Strategie zuständig. „One-fits-all wird nicht funktionieren.“Der Schutz müsse für die Nutzer in jedem Fall transparent sein. Aus Rosts Sicht bedeutet das, dass eine Sicherheitslösung fundamental sicher sein muss und möglichst wenig Angriffspunkte bieten darf.
Dem stimmt MobileIron-Director Machat zu: „Sicherheitsmechanismen müssen so gestaltet sein, dass sie optimal greifen, ohne dass das Nutzererlebnis und damit die persönliche Produktivität beeinträchtigt werden.“Und Judith Hoffmann, Senior Manager IT Channel, IT & Mobile Communication bei Samsung Electronics, ergänzt, dass man schon verloren habe, wenn ein sicheres Mobilgerät nicht einfach und intuitiv zu bedienen sei. Dies komme vor allem zum Tragen, wenn Unternehmen ihren Mitarbeitern die Nutzung privater Endgeräte für geschäftliche Zwecke verbieten. Die IT habe oft Berührungsängste mit ByoD, da der Anwender damit quasi eigene IT-Dienstleistungen erbringen kann. „Der Mitarbeiter wird zum Hired Hacker, er sorgt für Sicherheitsprobleme. Die IT muss beim Thema Sicherheit auf die Fachbereiche zugehen“, so Hoffmann weiter.
In der Praxis hat Bernd Lehmann die Erfahrung gemacht, dass die Anwender eigentlich mit der Sicherheit nichts zu tun haben wollen. Security sei immer nur dann ein Thema, wenn etwas passiere – diese Erfahrung teilten die meisten in der Runde. Die Komplexität beim Schutz mobiler Endgeräte mache das Thema auch für die Wirtschaft schwierig, berichtet Check-Point-Manager Schnabel: „Das Wissen über Mobile Security hängt stark von der Unternehmensgröße ab, vor allem kleinere Unternehmen fühlen sich davon oft nicht betroffen.“Es fehle hier wie dort das Verständnis der Risiken, auch im Hinblick auf notwendige Investitionen.