IT-Sicherheit to go

Die zunehmende Digitalisierung führt in den Unternehmen jeder Größenklasse zu Veränderungen in den Produktions- und Arbeitsprozessen. So findet ein Großteil der Kommunikation mit Kunden und anderen Unternehmen sowie auch mit den eigenen Mitarbeitern zunehmend digital statt. Die Einrichtung und Nutzung der dafür erforderlichen Systeme bedingt oft spezielles Fachwissen über Informationstechniken (IT), die aber oft in kleinen und mittleren Unternehmen nicht gegeben ist. Das birgt das Risiko, dass manche Sicherheitsgefahren nicht oder nur unzureichend erkannt werden.

Die unternehmensspezifische Ausgestaltung der firmeneigenen Informationssicherheit ist von zahlreichen individuellen Gegebenheiten abhängig. Eine pauschale Empfehlung kann es deshalb nicht geben. Gleichwohl müssen die Aspekte der Basissicherheit in jedem Fall berücksichtigt werden, um ein Mindestmaß an Sicherheit zu gewährleisten. Doch je nach Branche, Betriebsgröße und Ausrichtung sind weiterführende Schutzmaßnahmen notwendig.

Sicherheit bei mobilen Endgeräten

Mobile Endgeräte haben sowohl im privaten als auch im geschäftlichen Umfeld eine enorme Verbreitung erreicht. Immer mehr Beschäftigte nutzen ein geschäftliches oder ein privates Gerät, um auf E-Mails, Aufträge oder Kundendaten ihrer Firma zuzugreifen. Die hohe Mobilität und Kommunikationsfähigkeit der Geräte sind dabei geschätzte Eigenschaften. Diese Vorzüge sind aber auch potenzielle Nachteile in Bezug auf die IT-Sicherheit. Deshalb gelten prinzipiell ähnliche Gefährdungen wie bei Arbeitsplatzrechnern.

Sensible Unternehmensdaten sind auf mobilen Geräten einem besonders hohen Risiko ausgesetzt: Geräte gehen verloren, werden gestohlen oder sind über falsch konfigurierte und unsichere Verbindungen angreifbar. So können die Zugänge zu Bank- und E-Mail-Konten, zu geschäftlichen Daten und sozialen Netzwerken schnell in falsche Hände gelangen. Vorsorgliche Schutzmaßnahmen sind daher unerlässlich. Das gilt insbesondere, wenn private Geräte auch geschäftlich genutzt werden.

Umgang mit Apps

Erst durch die Nutzung zusätzlicher Anwendungen (Apps) werden Smartphones und Tablets zu Alleskönnern. Doch es ist Vorsicht geboten: Zahlreiche Apps geben persönliche Daten, z. B. aus dem Adressbuch, vom Nutzer gewollt oder ungewollt weiter. Eine Kontrolle durch den Anwender ist dann schwer möglich. Apps können darüber hinaus auch Viren oder Trojaner enthalten, die Daten ausspähen oder in das Firmennetzwerk eindringen. Daher sollten Apps ausschließlich aus sicheren Quellen geladen werden. Vor einer Installation muss also gut überlegt werden, ob eine App tatsächlich notwendig ist und ob diese aus einer vertrauenswürdigen Quelle stammt. Dazu kann im Internet nach Bewertungen bzw. Testberichten gesucht werden.

Schutz der Daten

Mit das Wichtigste auf dem Handy oder Tablet sind die Daten, die gespeichert sind oder auf die der Nutzer zugreifen kann. Sie gilt es vor unbefugtem Zugriff zu schützen. Dafür gibt es mehrere Optionen.

Zugriffskontrolle

Smartphones und Tablets gehen schnell verloren oder sind zeitweise unbeaufsichtigt. Aus diesen Gründen ist ein funktionierender Zugangsschutz mittels einer PIN, eines Passwortes oder einer biometrischen Lösung, z. B. Fingerabdruck, sinnvoll. Es sollte jeweils eine PIN für die SIM-Karte, für das Gerät selbst und z. B. für eine Datensynchronisation vergeben werden. Eingeschaltete Bluetooth- und WLAN-Verbindungen sind ebenso mögliche Einfallstüren für einen unbefugten Zugriff.

Mobile Endgeräte für geschäftliche Zwecke sollten deshalb von einem fachlich kompetenten Verantwortlichen, z. B. dem Administrator, für den sicheren Zugriff auf die E-Mails oder auf das virtuelle Netzwerke (VPN) eingerichtet werden. Im Unternehmen sollten für die Nutzung privater Geräte gemeinsam mit den Mitarbeitern entsprechende Regeln definiert werden.

Wird beim Zugangsschutz ein Passwort verwendet, muss es in jedem Fall ein sicheres sein. Je länger und je kryptischer das Passwort (guter Mix aus kleinen und großen Buchstaben, Ziffern, Sonderzeichen), desto sicherer ist es.

Bluetooth- und WLAN-Verbindungen sollten erst dann eingeschaltet werden, wenn sie tatsächlich benötigt werden. Das dient nicht nur der allgemeinen Sicherheit, sondern schont auch den Akku. Sollte die Bluetooth-Verbindung oft benötigt werden, z. B. für die Freisprecheinrichtungen im Fahrzeug, kann der Modus „unsichtbar“ gewählt werden.

Datenverschlüsselung

Werden separate Karten zur Speichererweiterung eingesetzt, ist es sinnvoll, diese Daten zu verschlüsseln. Dafür gibt es entsprechende Apps. Unbefugten wird so der Zugriff verwehrt oder zumindest erschwert.

Viele Geräte erlauben mit integrierten Funktionen die Verschlüsselung aller Nutzungsdaten. Bietet ein Smartphone oder ein Tablet selbst die Einstellung der Verschlüsselung nicht, kann die Verschlüsselung ebenso wie bei einem externen Speicher über eine zusätzliche Software erfolgen.

Eine weitere Sicherheit bieten viele Netzbetreiber: Der Zugriff auf E-Mails und auf andere Elemente kann nur über Security Services erfolgen.

Schutz vor Viren und Trojanern

Sowohl durch die E-Mail-Kommunikation als auch durch den Aufruf von Internetseiten besteht wie bei PCs und Notebooks die Gefahr, dass ein Smartphone oder ein Tablet durch Schadware befallen wird. Zur Abwehr dieser Gefahren sollte immer ein entsprechendes Schutzprogramm installiert sein. Deren Aktualität wird mit den vom Softwarehersteller zur Verfügung gestellten Updates sichergestellt. Diese Aktualisierungen bringen nicht nur Verbesserungen an der Software, sondern schließen bekannt gewordene Sicherheitslücken.

Verlust des Smartphones oder Tablets

Ärgerlich, wenn ein mobiles Endgerät vermisst wird. Für diese Fälle ein Datenverlust bzw. -missbrauch vorzubeugen. Die erste Maßnahme ist, das Gerät mit einem guten Zugangsschutz zu sichern, welches das Display nach kurzer Zeit einer Inaktivität verriegelt. Die Freischaltung durch Passwort oder biometrische Informationen lässt sich zwar mit einem Hardware-Reset umgehen, aber die Daten werden dabei ebenfalls gelöscht. Außerdem muss danach die eingesetzte SIM-Karte durch eine PIN wieder aktiviert werden. Diese sollte nur dem Besitzer bekannt sein.

Sicherheitstools bieten die Möglichkeit, dass der rechtmäßige Besitzer aus der Ferne Daten kopiert, löscht oder den Standort des Smartphones oder Tablets ausfindig macht. Die meisten Anbieter mobiler Endgeräte und fast alle Sicherheitspakete bieten solche Funktionen an. Voraussetzung ist natürlich die Freischaltung bzw. Installation, und zwar vor dem Verlust des Gerätes.

Nutzer eines Apple-Gerätes müssen dazu unter www.icloud.com die Option entsprechend einrichten. Besitzer von Geräten mit einem anderen Betriebssystem nutzen vergleichbare Sicherheitspakete. Dabei gibt es für Android-Geräte mit dem Tool „Plan B“ von Lookout (www.lookout.com/de) eine zusätzliche Lösung, die selbst aus der Ferne installiert werden kann, um dann die erwähnten Funktionen zu nutzen.

Fazit

Das Beherzigen von Ratschlägen beim Umgang mit Handys, Tablets & Co. machen die eigenen Unternehmensdaten sicherer. Eine Unterweisung der eigenen Mitarbeiter ist daher unabdingbar.

Autoren: Roland Hallau (Projektleiter), Andreas Neuenfels und Mike Wäsche vom Mittelstand 4.0 – Kompetenzzentrum Chemnitz, c/o tti Technologietransfer und Innovationsförderung Magdeburg GmbH