Mo­bi­le Se­cu­ri­ty ver­langt neue Kon­zep­te

Computerwoche - - Technik - Von Wa­fa Moussa­vi-Amin, Ana­lyst und Ge­schäfts­füh­rer von IDC in Frank­furt am Main (ba)

Die Si­cher­heits­la­ge in Be­zug auf mo­bi­le Tech­no­lo­gi­en hat sich laut ei­ner ak­tu­el­len Stu­die zu Mo­bi­le Se­cu­ri­ty in Deutsch­land wei­ter ver­schärft. Wie 52 Pro­zent der von IDC be­frag­ten IT-Ver­ant­wort­li­chen fest­stel­len, geht da­bei von den ei­ge­nen Mit­ar­bei­tern ei­ne grö­ße­re Ge­fahr aus als von Cy­ber-Kri­mi­nel­len. Krea­ti­ve Lö­sun­gen und ein Über­den­ken der Se­cu­ri­ty-Stra­te­gie sind ge­fragt.

Durch die zu­neh­men­de Mo­bi­li­sie­rung von Ge­schäfts­pro­zes­sen ent­wi­ckeln sich Smart­pho­ne, Ta­blet und Co. zu im­mer wert­vol­le­ren In­for­ma­ti­ons­trä­gern und -mitt­lern, die al­ler­dings – und das ist die Kehr­sei­te der Me­dail­le – im­mer stär­ker in das Fa­den­kreuz von Cy­ber-Kri­mi­nel­len rü­cken. Um her­aus­zu­fin­den, was sich an der Si­tua­ti­on in deut­schen Fir­men seit der letz­ten Be­stands­auf­nah­me aus dem Jahr 2015 ver­än­dert hat, hat IDC für die Stu­die „Mo­bi­le Se­cu­ri­ty in Deutsch­land 2017“im De­zem­ber 2016 er­neut 256 IT-Ent­schei­der und An­wen­der aus Un­ter­neh­men mit mehr als 100 Mit­ar­bei­tern in Deutsch­land zum The­ma be­fragt.

Dass beim The­ma Se­cu­ri­ty das Ma­nage­ment der mo­bi­len Ge­rä­te in Form von EMM (En­ter­pri­se-Mo­bi­li­ty-Ma­nage­ment) ei­ne wich­ti­ge Rol­le spielt, stell­te Pe­ter Machat, Di­rec­tor DACH-CEE von Mo­bi­leIron, auf ei­ner Veran- stal­tung an­läss­lich der Prä­sen­ta­ti­on der neu­en IDC-Stu­die klar: „Bei EMM ver­fügt zum Bei­spiel je­de App über ei­nen iso­lier­ten Spei­cher­platz und iso­lier­ten Ar­beits­spei­cher. Da­mit sind die Da­ten der Apps vor den Ak­tio­nen an­de­rer Apps auf dem Ge­rät ge­schützt.“

Vie­les rich­tig ge­macht hat in die­sem Punkt Bernd Leh­mann, Co-De­zer­nent der Kreis­stadt Sieg­burg. Dort sind zahl­rei­che Pro­zes­se in un­ter­schied­li­chen Auf­ga­ben­be­rei­chen der Stadt­ver­wal­tung be­reits für die Nut­zung mit iOS- oder An­dro­id-Smart­pho­nes und Ta­blets aus­ge­legt, wie et­wa bei der Über­wa­chung des ru­hen­den Ver­kehrs durch die Ord­nungs­kräf­te der Stadt, aber auch im Um­welt­schutz oder in der Ge­bäu­de­ver­wal­tung. Zur Pro­zess­op­ti­mie­rung nutzt die Kom­mu­ne die EMM-Platt­form von Mo­bi­leIron. „Un­se­re Bür­ger wol­len die Mit­ar­bei­ter der Fach­be­rei­che fle­xi­bel er­rei­chen kön­nen und vor al­lem zeit­nah ei­ne kom­pe­ten­te Aus­kunft er­hal­ten“, be­rich­te­te Leh­mann. „Ei­ne si­che­re mo­bi­le An­bin­dung an di­gi­ta­le Ak­ten und ent­spre­chen­de Ver­wal­tungs­ab­läu­fe auch im Au­ßen­dienst und Ho­me Of­fice sind da­für un­er­läss­lich.“

Dass laut der Stu­die fast die Hälf­te al­ler si­cher­heits­re­le­van­ten Vor­fäl­le mit mo­bi­len Ge­rä­ten durch die ei­ge­nen Mit­ar­bei­ter ver­ur­sacht wird, zeigt je­doch: Fach­be­rei­che und End­an­wen­der ver­fü­gen in der Re­gel nicht über das not­wen­di­ge IT- und Se­cu­ri­ty-Know-how, um die ei­ge­nen

End­ge­rä­te hin­rei­chend zu schüt­zen. Diet­mar Schna­bel, Re­gio­nal Di­rec­tor Cen­tral Eu­ro­pe bei Check Point Soft­ware Tech­no­lo­gies, sieht hier aber auch die An­bie­ter ge­for­dert. „Die Si­cher­heit kann nicht nur auf die An­wen­der ab­ge­la­den wer­den“, so Schna­bel. „Die An­bie­ter sind in der Pflicht, si­che­re Ar­chi­tek­tu­ren im Hin­ter­grund be­reit­zu­stel­len.“Sei­ne For­de­rung traf bei al­len Dis­kus­si­ons­teil­neh­mern auf Zu­stim­mung.

Straf­zah­lun­gen, An­walts­kos­ten und Ge­schäfts­ver­lus­te trei­ben die Kos­ten durch Si­cher­heits­vor­fäl­le in die Hö­he. 26 Pro­zent der be­frag­ten Un­ter­neh­men er­lit­ten im ver­gan­ge­nen Jahr ei­nen Scha­den von mehr als 100.000 Eu­ro durch Si­cher­heits­vor­fäl­le mit mo­bi­ler Tech­no­lo­gie. Hin­zu kom­men fi­nan­zi­ell kaum kal­ku­lier­ba­re Re­pu­ta­ti­ons- und Ver­trau­ens­ver­lus­te.

Da­ten­schutz­ver­let­zun­gen kom­men teu­er

Nach der Über­gangs­frist En­de Mai 2018 kön­nen Da­ten­schutz­be­hör­den auf Ba­sis der neu­en Da­ten­schutz-Gr­und­ver­ord­nung (DSGVO) Buß­gel­der von ma­xi­mal 20 Mil­lio­nen Eu­ro oder vier Pro­zent des glo­ba­len Um­sat­zes er­he­ben. Ver­let­zun­gen im Da­ten­schutz ste­hen dann vom Straf­maß her auf ei­ner Stu­fe mit Geld­wä­sche oder Kor­rup­ti­on. Auch die Mel­de­pflicht von Si­cher­heits­brü­chen wird aus IDC-Sicht da­zu füh­ren, dass sich die Ge­währ­leis­tung des Da­ten­schut­zes von ei­ner IT-Auf­ga­be zu ei­nem The­ma der Vor­stands­eta­gen ent­wi­ckeln und Se­cu­ri­ty-In­ves­ti­tio­nen mas­siv an­trei­ben wird. Über­ra­schen­der­wei­se zeig­ten sich die be­frag­ten Un­ter­neh­men fast durch die Bank op­ti­mis­tisch im Hin­blick auf die Ein­hal­tung des An­wen­dungs­da­tums. 74 Pro­zent be­rei­ten sich der­zeit auf die Um­set­zung der DSGVO vor, bei le­dig­lich fünf Pro­zent ist das The­ma noch nicht prä­sent. Aus IDC-Sicht un­ter­schät­zen vie­le IT-Ver­ant­wort­li­che al­ler­dings die Ve­rän­de­run­gen, die sich durch die DSGVO er­ge­ben. Die neue Da­ten­schutz­ver­ord­nung er­for­dert ein pro­ak­ti­ves Han­deln, das be­reits bei der Ent­ste­hung von per­so­nen­be­zo­ge­nen Da­ten an­setzt und dar­auf ba­sie­rend ge­eig­ne­te Pro­zes­se und Tech­no­lo­gi­en auch im Be­reich der Mo­bi­le Se­cu­ri­ty er­for­dert.

Se­cu­ri­ty muss ein­fach sein

Die Ge­fah­ren wer­den al­so of­fen­bar er­kannt. Der Ver­gleich mit der IDC-Stu­die aus dem Jahr 2015 zeigt je­doch kei­ne Ver­bes­se­rung der La­ge – das Ge­gen­teil ist der Fall. Was kann al­so die Lö­sung sein? Gibt es ei­nen Kö­nigs­weg zu si­che­rer Mo­bi­li­ty? „IT-Ent­schei­der soll­ten grund­sätz­lich Lö­sun­gen wäh­len, die den un­ter­schied­li­chen Si­cher­heits­an­for­de­run­gen ih­rer Nut­zer ent­spre­chen“, rät Pe­ter Rost, bei Roh­de & Schwarz Cy­ber­se­cu­ri­ty für Business De­ve­lop­ment und Stra­te­gie zu­stän­dig. „One-fits-all wird nicht funk­tio­nie­ren.“Der Schutz müs­se für die Nut­zer in je­dem Fall trans­pa­rent sein. Aus Rosts Sicht be­deu­tet das, dass ei­ne Si­cher­heits­lö­sung fun­da­men­tal si­cher sein muss und mög­lichst we­nig An­griffs­punk­te bie­ten darf.

Dem stimmt Mo­bi­leIron-Di­rec­tor Machat zu: „Si­cher­heits­me­cha­nis­men müs­sen so ge­stal­tet sein, dass sie op­ti­mal grei­fen, oh­ne dass das Nut­zer­er­leb­nis und da­mit die per­sön­li­che Pro­duk­ti­vi­tät be­ein­träch­tigt wer­den.“Und Ju­dith Hoff­mann, Se­ni­or Ma­na­ger IT Chan­nel, IT & Mo­bi­le Com­mu­ni­ca­ti­on bei Samsung Elec­tro­nics, er­gänzt, dass man schon ver­lo­ren ha­be, wenn ein si­che­res Mo­bil­ge­rät nicht ein­fach und in­tui­tiv zu be­die­nen sei. Dies kom­me vor al­lem zum Tra­gen, wenn Un­ter­neh­men ih­ren Mit­ar­bei­tern die Nut­zung pri­va­ter End­ge­rä­te für ge­schäft­li­che Zwe­cke ver­bie­ten. Die IT ha­be oft Be­rüh­rungs­ängs­te mit ByoD, da der An­wen­der da­mit qua­si ei­ge­ne IT-Di­enst­leis­tun­gen er­brin­gen kann. „Der Mit­ar­bei­ter wird zum Hi­red Ha­cker, er sorgt für Si­cher­heits­pro­ble­me. Die IT muss beim The­ma Si­cher­heit auf die Fach­be­rei­che zu­ge­hen“, so Hoff­mann wei­ter.

In der Pra­xis hat Bernd Leh­mann die Er­fah­rung ge­macht, dass die An­wen­der ei­gent­lich mit der Si­cher­heit nichts zu tun ha­ben wol­len. Se­cu­ri­ty sei im­mer nur dann ein The­ma, wenn et­was pas­sie­re – die­se Er­fah­rung teil­ten die meis­ten in der Run­de. Die Kom­ple­xi­tät beim Schutz mo­bi­ler End­ge­rä­te ma­che das The­ma auch für die Wirt­schaft schwie­rig, be­rich­tet Check-Point-Ma­na­ger Schna­bel: „Das Wis­sen über Mo­bi­le Se­cu­ri­ty hängt stark von der Un­ter­neh­mens­grö­ße ab, vor al­lem klei­ne­re Un­ter­neh­men füh­len sich da­von oft nicht be­trof­fen.“Es feh­le hier wie dort das Ver­ständ­nis der Ri­si­ken, auch im Hin­blick auf not­wen­di­ge In­ves­ti­tio­nen.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.