Aufrufe
vor 1 Woche

Netzwoche 2/2019

24 Technology Focus

24 Technology Focus Gefahrenabwehr bei Smartphones und Tablets ins Risikomanagement einbeziehen Obwohl Mitarbeitende immer häufiger mit Tablets und Smartphones unterwegs sind, beschränken sich nach wie vor viele Sicherheitsverantwortliche bei ihren Sicherheitsstrategien auf die herkömmliche PC- und Laptop-Flotte. Zur Absicherung mobiler Geräte bedarf es aber spezieller Endpoint-Security-Lösungen. DER AUTOR Lorenz Zollikofer Leiter Kommunikation, Nomasis EMM- und MDM- Anwendungen bieten teilweise Sicherheits- Features, können aber niemals einen vollständigen Schutz garantieren. Beim Risikomanagement der Endgeräte liegt bei vielen Unternehmen der Fokus nach wie vor auf PC und Laptops. Obwohl aus der heutigen Arbeitswelt Smartphones nicht mehr wegzudenken und auch Tablets immer stärker im Kommen sind. Und diese Geräte sind zusätzlichen Sicherheitsrisiken ausgesetzt. Die bestehende Sicherheitsstrategie der PC-Geräte auf Smartphones und Tablets ausweiten, birgt dementsprechend Gefahren, die sich auch mit den Lösungen zum Management mobiler Geräte nicht in den Griff kriegen lassen. Solche EMM- und MDM-Anwendungen (Enterprise Mobility Management und Mobile Device Management) sind zur Verwaltung der Geräte, zum Löschen von Daten, zur Trennung geschäftlicher von privaten Daten, zur Authentifizierung der Nutzer und zur Erteilung von Zugriffsberechtigungen gemacht. Sie bieten auch teilweise Sicherheits-Features, können aber niemals einen vollständigen Schutz garantieren. Bedrohungen auf mehreren Ebenen Denn die Sicherheitsrisiken sind vielseitiger und stärker herstellerabhängig als die von PCs und Laptops. Gefahren lauern nicht nur aufgrund bösartiger Apps, sondern auch auf Geräte-, Netzwerk- und Web- respektive Inhaltsebene. Es geht dabei um Bedrohungen, Schwachstellen sowie Verhaltens- und Konfigurationsrisiken. Heimtückische Apps lesen Informationen aus, schädigen Hardware oder gewähren Unberechtigten Fernzugriff. Weil auch seriöse Apps Schwachstellen enthalten können, liefern namhafte Anbieter regelmässig Patches zur Schliessung der Lecks. Allerdings meistens erst, wenn konkrete Vorfälle die Schwachstelle aufdecken. Voraussetzung aber ist, dass die Nutzer die Updates auch installieren. Auch Absicherungsmechanismen wie Certificate-Pinning mindern die Risiken. Allerdings sind Mitarbeiter immer häufiger mobil unterwegs. Entsprechend länger sind die Geräte Risiken in unternehmensfremden Netzwerken ausgesetzt. Stichwort Endpoint-Security Sicherheitsbedrohungen auf Geräteebene können zu Datenverlust oder ungewollter Überwachung via Mikrofon oder Kamera führen, indem sich etwa der Angreifer mit einer Phishing-SMS höhere Berechtigungsstufen verschafft. Reine EMM- und MDM-Lösungen setzen nun voraus, dass die verwalteten Geräte nicht kompromittiert sind. Ist ein Endgerät aber infiziert, können Cyberkriminelle mit Trojanern Benutzerpasswörter während der Eingabe abfangen und sogar Einmalpasswörter bei mehrstufigen Authentifizierungslösungen auslesen. Für Smartphones und Tablets sind deshalb speziell dafür entwickelte «Endpoint Security»-Lösungen unerlässlich. Solche Lösungen beinhalten eine App, die über die MDM-Software ausgerollt wird. Mit der Installation durch den Nutzer wird sein Gerät automatisch in einer Administratorkonsole sichtbar, sodass Bedrohungen und Datenlecks in Echtzeit erkannt und Vorkehrungen dagegen getroffen werden können. Wenn immer möglich sollen diese für den Anwender unbemerkt ablaufen. Allfällig nötiges Handeln des Nutzers kann mittels E-Mail und einem darin enthaltenen Button initiiert werden. Ein Klick genügt dann, um unzulässige Apps zu deinstallieren. Tut er dies nicht, kann der Administrator das Gerät in Quarantäne nehmen. Endpoint-Security-Lösungen vervollständigen das Risikomanagement, bedürfen aber auch dediziert auf die Situation der Unternehmen zugeschnittener Sicherheitsmodelle. Grafik: alashi / iStock.com 02 / 2019 www.netzwoche.ch © netzmedien ag

Technology Focus 25 Über den Datenschutz hinaus: Datensicherheit als Wettbewerbsvorteil nutzen Mitarbeiter benötigen sichere und nutzerfreundliche Lösungen, um vertrauliche Daten angemessen behandeln zu können. Für Unternehmen bedeutet das, ihr Informationssicherheitsmanagement von E-Mails zu verbessern. Dazu zählt die Datenverschlüsselung – für den Datenschutz und den Geschäftserfolg. Grafik: aurielaki / iStock DER AUTOR Marcel Mock CTO und Mitbegründer von Totemo Unternehmen sollten folgenden Zusatz unter jede E-Mail setzen, die versendet wird: «Diese E-Mail ist nicht gesichert oder verschlüsselt und sollte nicht für die Übermittlung sensibler Daten genutzt werden.» Das könnte ein Anfang sein, Mitarbeitern und Geschäftspartnern bewusst zu machen, wie schnell Datenschutz und Datensicherheit in Gefahr geraten. Besonders in der Cloud lassen sich E-Mails durch Verschlüsselung schützen. Selbst wenn es Unbefugten gelingt, verschlüsselte Nachrichten abzugreifen, können sie damit nichts anfangen. Unternehmen, die ihre Schlüssel im eigenen Rechenzentrum aufbewahren und verwalten, behalten die volle Kontrolle. In diesem Fall werden alle Nachrichten direkt am E-Mail-Client oder am mobilen Endgerät ver- und entschlüsselt. Generell gilt es, sicherzustellen, dass die Sicherheit von Unternehmensdaten nicht vom Speicherort abhängt, sondern auf zuverlässiger Verschlüsselung beruht. Betrieblicher Datenschutz schützt personenbezogene Daten Nicht alle Daten, die ausgetauscht werden, sind gleich schützenswert. Zwingend sensibel zu behandeln sind Personaldaten. Das Übermitteln personenbezogener Informationen an externe Partner wie Treuhänder muss verschlüsselt erfolgen. Selbst für das interne Versenden von Lohnabrechnungen und anderen persönlichen Unterlagen empfiehlt es sich, Verschlüsselung einzusetzen. Unternehmen sollten mit Externen stets verschlüsselt kommunizieren, auch wenn diese selbst nicht verschlüsseln können. Verschlüsselung sichert den Geschäftserfolg Über den betrieblichen Datenschutz hinweg entwickelt sich die Vertraulichkeit der Kommunikation zu einem Wettbewerbsvorteil oder schützt die Marktposition von Unternehmen. Besonderer Schutzbedarf beispielsweise ergibt sich für Forschungs- und Entwicklungsabteilungen. Kommt das geistige Eigentum abhanden, kann dies für Unternehmen existenzbedrohend sein. Dies gilt besonders für Industrien wie Pharmaproduktion, Maschinenbau oder Technologieherstellung. Datensicherheit als Differenzierungsmerkmal Ein weniger bekanntes Beispiel stammt aus der Medienbranche. Hier sind exklusive Informationen das Produkt, das es zu schützen gilt. Darüber hinaus sind die Sicherheit und Anonymität von Informanten und Whistleblowern entscheidend. Wer also den Schutz vor fremden Blicken sicherstellen kann, hat es im Medienumfeld leichter, an rare und damit wertvolle Informationen zu kommen. Des Weiteren gibt es zahlreiche Unternehmen, deren Kerngeschäft darin besteht, vertrauliche und persönliche Daten zu nutzen und zu verarbeiten. Stehen wie bei Finanzdienstleistern und im Gesundheitswesen Daten im Zentrum der Wertschöpfung, ist Vertrauen das höchste Gut. Unternehmen sollten mit Externen also stets verschlüsselt kommunizieren, auch wenn diese selbst nicht verschlüsseln können. Je einfacher sie ihren Partnern die sichere Kommunikation machen, desto eher können sie sich hervorheben. Gelöst wird dies durch das Anbieten sicherer Kommunikationskanäle, die ohne technische Infrastruktur oder Know-how genutzt werden können. Sicher in die Zukunft Mit modernen Lösungen für E-Mail-Verschlüsselung lassen sich Daten heute sicher übertragen. Indem sie alle bekannten Anwendungsfälle und Infrastrukturen abdecken und eine hohe Nutzerfreundlichkeit bieten, wird sichergestellt, dass die E-Mail-Kommunikation nicht nur den Anforderungen des betrieblichen Datenschutzes entspricht, sondern als Wettbewerbsvorteil dient. www.netzwoche.ch © netzmedien ag 02 / 2019

Archiv