Sicherheitsrichtlinien für den Einsatz mobiler Endgeräte

Michael Föck

Die erste technische Revolution war die Einführung des PC, die zweite Revolution die Einführung des mobilen Telefons, die dritte Revolution war das Internet und jetzt wachsen alle Techniken zur Digitalwirtschaft zusammen. Dadurch ergeben sich neue Nutzungs- und Anwendungsmöglichkeiten, aber auch zahlreiche, zusätzliche Herausforderungen. Über mobile Endgeräte ist der Zugang zur IT-Infrastruktur eines Unternehmens ortsunabhängig möglich. Weil ein Smartphone immer und überall verfügbar ist, kann es aber auch immer und überall angegriffen werden.

Viele Nutzer mobiler Endgeräte sind keine IT-Spezialisten und müssen deshalb über Vorgaben zur sicheren Verwendung der mobilen Endgeräte angeleitet werden. Nur so kann unbeabsichtigtes Fehlverhalten der Anwender proaktiv verhindert werden. Die Konzentration auf rein technische Möglichkeiten würde zu kurz greifen. Es gibt Herausforderungen, denen ausschließlich über organisatorische Maßnahmen begegnet werden kann. Nur eine integrierte Lösung bestehend aus Richtlinien und technischen Abwehrmaßnahmen bringt ein Höchstmaßan Sicherheit.
Ein Computersystem mit einem Hauptspeicher, in der Endausbaustufe von 4 Kilowords (Ki) RAM und 32 Ki Storage, war ausreichend, um sicher zum Mond hin und wieder zurück zufliegen. Jede, noch so einfache App, benötigt heute wesentlich mehr Speicher. Inzwischen sind Smart-phones mit 2 GB RAM-Speicher (das entspricht ca. 1,5 Mio. Ki) der Standard. Damit sind mobile Anwendungen möglich geworden, die vor einigen Jahren noch nicht denkbar waren.
Wenn in den folgenden Ausführungen der Begriff Smartphone verwendet wird, dann werden unter dem Begriff Smartphone auch Tablet Computer verstanden.

Notwendigkeit von Richtlinien
Mit tragbaren Geräten, die einen Zugang zum Internet haben, entstand eine neue Situation in den Unternehmen. Endgeräte konnten jetzt auch außerhalb des Firmengeländes und der Büros angegriffen werden. Außerdem bestand zum ersten Mal die Situation, dass Geräte verloren gehen konnten. Einige Unternehmen haben in dieser Situation bereits Richtlinien für Laptops und Notebooks eingeführt.
Beispiel: Bei Banken und Versicherungen wurden zugleich mit der Einführung der tragbaren Geräte auch gleich entsprechende Richtlinien entwickelt. So war es u. a. durch die Richtlinien verboten, das Notebook im Zug am Sitzplatz zurückzulassen. Egal wohin sich der Besitzer im Zug bewegte, er musste sein Notebook immer bei sich haben.
Heute kann ein noch leistungsfähigerer Rechner sogar in die Tasche gesteckt werden. Dies hat nicht nur eine Vielzahl neuer Angriffsmöglichkeiten ergeben, sondern auch die Anzahl der kriminellen Nutzer dramatisch erhöht. Anfang 2015 hatten 3 Mrd. Menschen ständig Zugriff auf das Internet.
Beispiel: Mancher Nutzer lässt sein Smartphone im Mantel und gibt ihn an der Garderobe ab. Wenn das Smartphone nicht durch einen PIN geschützt ist, haben, ab dem Moment der Abgabe, möglicherweise fremde Personen Zugriff auf Firmendaten oder die IT-Infrastruktur des Unternehmens. Eine PIN mit vier Stellen ist jedoch noch keine ausreichende Lösung. Bei einer vierstelligen PIN, die nur Ziffern erlaubt, entstehen 104 Möglichkeiten. Wenn nur drei falsche Eingaben zulässig sind, beträgt die Wahrscheinlichkeit die PIN zu erraten 1 :䁝⑵. Aus diesem Grund muss der Umgang damit über Richtlinien geregelt werden. Dazu gehören wichtige Festlegungen wie z. B. Länge der PIN, Änderungsrhythmus usw.
Mit Smartphones sind erstmalig Endgeräte im Unternehmensnetz verfügbar, auf denen die parallele Nutzung privater und gewerblicher Applikationen der Standardfall ist. Auch aufgrund der Regelungen des Bundesdatenschutzgesetzes (BDSG) müssen private und gewerbliche Daten streng voneinander getrennt werden.

[ Wenn Sie den kompletten Beitrag lesen möchten, klicken Sie hier ]