Es gibt Auszeichnungen, auf die verzichten Hersteller gerne – dazu gehört unbestreitbar auch die schlechteste Sicherheitseinschätzung aller gängigen IT-Infrastrukturkomponenten. Die mehr als 130 im Rahmen der <kes>/Microsoft-Sicherheitsstudie 2012 befragten IT-Profis bescheinigen mobilen Endgeräten wie Smartphones schon zum zweiten Mal einen noch nicht mal durchschnittlichen Sicherheitsstandard.
Smartphones & Co. sind mit einer Durchschnittsnote von 3,6 das neue Schlusslicht der Studie – mehr als die Hälfte der Teilnehmer vergab keine befriedigende Note. Die Gründe hierfür dürften längst bekannt sein: Kritische Informationen landen in Umgebungen, die gar nicht oder nicht unmittelbar von der Unternehmens-IT verwaltet werden; die Geräte sind prädestiniert, verloren zu gehen oder geklaut zu werden. Verkompliziert wird die Situation durch das weiterhin um sich greifende Konzept von "Bring your own Device", was letztlich bedeutet: Mitarbeiter schaffen sich die entsprechenden Geräte privat oder subventioniert an. Dies erschwert die Kontrolle des Smartphones oder Tablets durch die IT-Abteilung zusätzlich.
Dazu kommt, dass insbesondere im Umfeld von Googles Smartphone-Betriebssystem Android Schadsoftware eine relevante Rolle spielt. Gibt es für das Blackberry OS, Windows Phone oder Apples iOS so gut wie keine in freier Wildbahn kursierenden Schädlinge – kommerzielle Spionagesoftware wie FinSpy Mobile oder Mobile Spy einmal außen vor gelassen –, so findet man in den App-Stores für Android zigtausende von Trojanern. Die Schädlinge schleichen sich als unerwünschte und unsichtbare Dreingabe von ansonsten legitimen Apps auf die Geräte und saugen dann, genau wie ihre Verwandten auf PCs, relevante Daten ab. Es ist allerdings damit zu rechnen, dass mit steigendem Absatz der Geräte anderer Hersteller auch diese zu potenziellen Zielen der Angreifer werden – die Umsetzung der möglichen Sicherheitsmaßnahmen hinkt bei allen Smartphones und Tablets dem PC-Markt um Jahre hinterher.
Ganz verhindern lassen sich solche Infektionen wahrscheinlich ohnehin nicht – auch gut informierte Anwender gehen Betrügern regelmäßig auf den Leim und installieren verseuchte Apps. Anti-Viren-Software senkt das Risiko, stellt aber keinen 100%igen Schutz dar.
Information im Mittelpunkt
Verabschiedet man sich gedanklich zumindest in Teilen von der Idee, das Heer der mobilen Endgeräte "wasserdicht" absichern zu können, bleibt nur noch, neben der Bereitstellung von geschützten virtuellen Umgebungen oder "Sandboxes", die auf den Geräten gespeicherten Informationen selbst mit mehr Schutz zu bedenken: Das Ziel muss also Informationsschutz für Integrität und Vertraulichkeit sein – der Infrastrukturschutz dient lediglich der Verfügbarkeit.
Nachdem mobile Endgeräte heute bereits unverzichtbar sind und der Trend hin zu "Bring your own Device" auch nur schwer zu stoppen sein wird, sind Unternehmen quasi gezwungen, dezentral verwaltete Geräte ins eigene Netzwerk hinein zu lassen. Es müssen künftig also Lösungen geschaffen werden, mit denen sich privat angeschaffte Tablets und Smartphones zum Zugriff auf Unternehmensdaten mit verträglichem Risiko verwenden lassen, auch ohne diese Endgeräte zentral zu managen. Der Zugriff auf Daten und Informationen sollte zudem variabel erfolgen, je nachdem, ob ein vertrauenswürdiges oder aber ein nicht-verwaltetes Gerät Einlass begehrt. Eine ebenfalls zu beantwortende Frage in diesem Zusammenhang lautet: Wie kann all das automatisiert erfolgen?
Hilfreich an dieser Stelle sind die an sich längst bekannten Themen Digital-Rights-Management (DRM) beziehungsweise Rights-Management-Service (RMS). Prinzipiell sind diese Konzepte wunderbar geeignet, um wichtige und sensitive Informationen auch in unsicheren Umgebungen sicher bearbeiten zu können. Dabei gehen diese Techniken über das heute bekannte Mobile-Device-Management (MDM) hinaus, da sie eben nicht auf die Hardware, sondern auf die mit dieser Hardware bearbeiteten Daten fokussieren.
Grundlage für ein funktionierendes Rights-Management ist ein Klassifizieren der Daten: Nachdem dies prinzipiell auch die Grundlage für Data-Loss-Prevention-(DLP)-Lösungen ist, wurde die Arbeit bei vorhandenem DLP bereits erledigt – spielt DLP bislang keine Rolle, ist es nicht zuletzt angesichts der Flut mobiler Endgeräte an der Zeit, sich mit dem Thema zu befassen.
Akuter Nachholbedarf
Dass technischer Nachholbedarf besteht, untermauert einmal mehr die aktuelle <kes>/Microsoft-Sicherheitsstudie: Auf die Frage nach den in der jüngeren Vergangenheit bekannt gewordenen Datenlecks und dem Auftreten fortgeschrittener Angriffstechniken (Advanced Persistent Threats, APT) antworteten 94 % der Befragten, dass Unternehmen in dieser Hinsicht mehr tun müssten. Mobile Endgeräte können bei diesen brandgefährlichen, schwer zu stoppenden Angriffen durchaus eine tragende Rolle spielen – nämlich dann, wenn sie infiziert und somit zur Datenschleuder werden. Gelangen über ein Smartphone geklaute Logindaten in die Hände von Cyberkriminellen, kann dies zum Beispiel der erste Schritt auf dem Weg zum APT sein.
Knapp über 40 % waren zudem der Meinung, dass in ihrem Unternehmen noch keine geeigneten Sicherheitsmaßnahmen existieren. Zwar nimmt ein Großteil der Studienteilnehmer an, dass Data-Leakage-/-Loss-Prevention-Lösungen bei der Abwehr solcher Angriffe helfen – doch weniger als die Hälfte fühlt sich in Sachen DLP hinreichend informiert. Es gilt also, nicht nur die Endanwender über aktuelle Gefahren und Angriffsarten zu informieren: Auch IT-Experten im Unternehmen müssen mehr verwertbares Wissen bekommen, um sich punktgenau der Herausforderung durch mobile Endgeräte stellen zu können.
Der wichtigste Punkt ist jedoch, dass Entscheider verstehen, welchen Risiken ihre Informationen ausgesetzt sind, und dass die sorglose Nutzung mobiler Endgeräte zu erheblichen Schäden beitragen kann. Die Investition in entsprechende Maßnahmen, in Prozesse, Technik und Wissen sind entscheidend für eine vertrauswürdige und sichere Umgebung – und die wollen wir doch alle, oder?
Michael Kranawetter ist Head of Information Security der Microsoft Deutschland GmbH.
