7. November 2011 - Smartphones & Co.

Smartphone-Sicherheit: Alle mobilen Geräte oder alle Mitarbeiter im Blick?

Smartphones entwicklen sich zu Hauptangriffszielen der Datendiebe. Unternehmen sollten prüfen, ob der Schutz für ihre Smartphones wirklich ausreichend ist. Allerdings sollten die Sicherheitsmaßnahmen auch nicht zu weit gehen und zu einer anlasslosen Überwachung der Mitarbeiterinnen und Mitarbeiter führen.

mobile-datensicherheit-alle-mobilen-gerate-oder-alle-mitarbeiter-im-blick.jpeg
Mobile Datensicherheit ist unerlässlich, sie darf aber nicht zu einer anlasslosen Mitarbeiter-Überwachung werden (Bild: Thinkstock)

61 Prozent der Unternehmen räumen der Sicherheit beim Mobile Computing einen hohen oder sogar sehr hohen Stellenwert ein, so das Ergebnis der eco-Umfrage „Internet-Sicherheit 2011“.

Das ist ermutigend, auch wenn in der bisherigen Praxis die Sicherheit für mobile Geräte noch unzureichend ist. Wie sieht es in Ihrem Zuständigkeitsbereich damit aus?

Kein mobiles Hintertürchen lassen

Smartphones und die darauf gespeicherten Daten sind inzwischen so interessant für die Datendiebe, dass ein Rundum-Schutz für mobile Endgeräte erforderlich ist. Geben Sie sich deshalb mit einer mobilen Datensicherheit nicht zufrieden, die zum Beispiel nur aus einem einfachen mobilen Anti-Viren-Programm besteht. Der mobile Datenschutz braucht mehr.

Auf welche mobilen Sicherheitslösungen Sie besonders achten sollten, finden Sie deshalb als Checkliste im Downloadbereich.

Aber auch keine mobile Überwachung

Vorsicht ist allerdings geboten, wenn Sicherheitsmaßnahmen selbst zum Risiko für die Privatsphäre werden können. So darf zum Beispiel ein Diebstahlschutz nicht zur Überwachungsmaßnahme ausarten. Die als kritisch zu bewertenden Möglichkeiten der IT-Sicherheit gehen jedoch noch weiter, wenn es um die Absicherung möglicher Endgeräte wie zum Beispiel Smartphones geht.

Geräte überwachen, nicht Mitarbeiter

Seit Kurzem gibt es zum Beispiel die mobile Sicherheitslösung ZoneDefense von AirPatrol. Diese Lösung ist bereits von verschiedenen Fachmagazinen für ihren besonderen Sicherheitsansatz lobend erwähnt worden. Tatsächlich aber könnten die Möglichkeiten dieser Lösung für die mobile Datensicherheit auch missbraucht werden.

Lageplan zeigt Position und Status aller mobilen Geräte

ZoneDefense nimmt sich verschiedener Herausforderungen im Bereich der mobilen Geräte an:

  • Welche mobilen Endgeräte sind innerhalb des Unternehmens im Einsatz (Erkennung über eindeutige Gerätekennzeichen wie die MAC-Adresse)?
  • Sind diese mobilen Endgeräte bekannt, gehören sie also zum Unternehmen?
  • Welchen Sicherheitsstatus haben die mobilen Endgeräte?
  • Gibt es Eindringlinge im mobilen Netzwerk?

Dabei meldet ZoneDefense nicht nur die Anzahl der Geräte und deren Status, sondern jedes entdeckte mobile Endgerät wird mit einer auf zwei bis fünf Meter genauen Position auf dem Lageplan des betreffenden Gebäudes angezeigt.

Positionsabhängige Sicherheitsrichtlinien

Der große Vorteil einer solchen Lösung besteht darin, dass sich für unterschiedliche räumliche Bereiche auch verschiedene Sicherheitsvorgaben erstellen und überprüfen lassen. So kann die Lösung auf mobile Aktivitäten hinweisen, die in sensiblen Bereich verboten sind, in anderen Bereich jedoch erlaubt wären.

Positionen der Mitarbeiter könnten transparent werden

Die Positionsangabe zu jedem mobilen Endgerät hat jedoch auch einen Haken. Die Mitarbeiterinnen und Mitarbeiter könnten unter Umständen nahezu auf Schritt und Tritt verfolgt werden, wenn dies nicht durch entsprechende Einstellungen und eingeschränkte Auswertungen in einer solchen Sicherheitslösung verhindert wird.

Theoretisch lässt sich jedes lokalisierte Endgerät über das eindeutige Gerätekennzeichen mit bestimmten Nutzern verknüpfen, wenn diese Zuordnung hinterlegt wird. Dann aber werden indirekt auch die Bewegungen der Nutzer transparent auf einem Gebäudelageplan dargestellt.

Personenbezug nur bei Sicherheitswarnung herstellen

Statt die einzelnen mobilen Endgeräte und unter Umständen auch bestimmte Personen durchgehend zu lokalisieren, sollte eine Position nur dann angezeigt werden, wenn zum Beispiel eine sicherheitsrelevante Warnung ausgegeben wird, wenn also die IT-Sicherheit konkret aktiv werden muss. Die Lokalisierung von Endgeräten (und damit Benutzern) muss dagegen entfallen, wenn kein Sicherheitsvorfall gemeldet wird.

Wenn in Zukunft weitere mobile Sicherheitslösungen zum Einsatz kommen sollen, schauen Sie sich an, welche Auswertungen und Berichte mit möglichem Personenbezug realisierbar sind. Sprechen Sie mit der IT-Sicherheit bzw. der IT-Leitung über die besondere Zweckbindung bei sicherheitsrelevanten Protokollierungen.

Schließlich sollen die Sicherheitskontrollen den mobilen Endgeräten gelten und nicht der anlasslosen Überwachung der Beschäftigten.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln