• Business
• Datensicherheit
• Kommunikation

Mobile Security: Warum der Schutz mobiler Geräte wichtig ist

Smartphones sind im beruflichen Alltag nicht mehr wegzudenken. Sie vereinfachen Kommunikationswege und ersetzen durch gestiegene Leistungsfähigkeit teilweise Laptop, Desktop-PCs und Co. Für das Thema Information Security innerhalb eines Unternehmens bedeutet das neue Herausforderungen, um Daten vor unbefugtem Zugriff zu schützen. Damit beschäftigen sich Mobile Security und ganzheitliche Ansätze wie Enterprise Mobility Management (kurz: EMM). Wir haben mit Bernhard Hofbauer, Mobile Security Experte bei A1, über Risiken und mögliche Datenschutzmaßnahmen im mobilen Bereich gesprochen.

Mobile Security & BYOD | Risiken mobiler Geräte | WhatsApp & berufliche Daten | Trends Mobile Security

A1 Blog: Lieber Bernhard, kannst du dich unseren Lesern vorstellen?

Bernhard Hofbauer: Ich arbeite seit 16 Jahren im Unternehmen. Mein Hintergrund ist stark technisch geprägt, beruflich sowie hinsichtlich meiner Ausbildung. Die IT habe ich mit klassischen IP Infrastruktur- und Festnetz-Themen von der Pike auf gelernt. Von dort aus habe ich mich dann in Richtung Security entwickelt. Seit 6 Monaten manage ich nun die mobilen Security-Themen in der A1 Business Unit Enterprise. Dort verantworte ich die Themen Mobile Encryption und Enterprise Mobility Management (EMM), welches nicht nur das Management von Endgeräten (Mobile Device Management / MDM) umfasst, sondern unter anderem auch die Punkte Content-Management (Mobile Content Management / MCM) und Applikations-Management (Mobile Application Management / MAM).

A1 Blog: Wie unterscheiden sich die Fesnetz- und mobile Security voneinander?

Bernhard Hofbauer: Das klassische Beispiel ist „Bring your own Device (BYOD)“. Salopp formuliert bringt der Endbenutzer sein privates Gerät mit an den Arbeitsplatz und verwendet es im täglichen Arbeitsleben. Im klassischen Arbeitsplatzbereich, also bei Laptops zum Beispiel, ist BYOD bis heute nicht richtig durchgestartet. Bei mobilen Endgeräten ist die Handhabung anders, denn in vielen Unternehmen ist es möglich, private Smartphones auch im beruflichen Umfeld zu verwenden. Hier klaffen die Anforderungen für dasselbe Thema auseinander, denn bei Laptops kann einfacher kontrolliert werden, wie und ob die Geräte außerhalb des Unternehmens genutzt werden können. Bei mobilen Devices hingegen ist das nicht ganz so leicht möglich. Ähnlichkeiten bestehen jedoch bei Viren und Malware – sie sind auf beiden Systemen zu finden und auf beiden Seiten müssen Sicherheitsmaßnahmen ergriffen werden. Unternehmen müssen daher ganzheitliche Ansätze wie EMM für das Management der Security finden.

A1 Blog: Welche potenziellen Risiken bezüglich Datenschutz sind bei mobilen Devices vorhanden?

Bernhard Hofbauer: Es gibt eine Vielzahl von Angriffspunkten im mobilen Bereich. Defacto sind heute viele unternehmenskritische Daten auf dem Smartphone gespeichert. Hierbei geht es um das gesamte Spektrum an Informationen am Smartphone. Unternehmen müssen sich bewusst sein, dass Informationen über ein- und ausgehende Anrufe genauso Ziele von Angriffen sein können wie das unbefugte Lesen von E-Mails. Sprachkommunikation ist ein weiterer Risikofaktor, welcher auch mittelständische Unternehmen betrifft, da diese oftmals Innovationsführer sind und daher ein beliebtes Angriffsziel darstellen. Die im GSM-Standard definierten Sicherheitslösungen gelten mittlerweile als nicht lückenlos. Vor einigen Jahren musste man große Summen investieren, um Sprachtelefonie abhören zu können. Mittlerweile ist das einfach und kostengünstig mit einer Soft- und Funkhardware möglich. Es ist aber schwierig, auf Netzebene eine Verschlüsselung zu etablieren, da man so einen Großteil der Nutzer aufgrund fehlender Kompatibilität der Endgeräte ausschließen würde. Das ist ein Thema, das wir bei A1 mit Mobile Encryption angehen. Sprache und Textnachrichten werden dabei End-to-End verschlüsselt übertragen.
Auch das Thema Passwortschutz oder die Verschlüsselung von Festplatten sind bei Smartphones anders: Bei Devices wie Laptops ist es Usus, einen Passwortschutz einzurichten. Außerdem sind Festplatten auf Desktop-PCs oder Laptops mittlerweile verschlüsselt. Beide Faktoren waren oder sind bei Smartphones nicht der Fall. Diese Anforderungen resultieren nicht zuletzt aus der Tatsache, dass am Smartphone Markt mehrere Hersteller und Betriebssysteme bekannt sind als beispielsweise in der Client-PC Welt.

A1 Blog: Viel wird ja auch über WhatsApp kommuniziert, stellt das eine Herausforderung dar?

Bernhard Hofbauer: Ja, das ist ein Problem. Auf das konkrete Beispiel bezogen ist es schon richtig, dass die Chat-Nachrichten selbst verschlüsselt werden, die Metadaten jedoch werden unverschlüsselt auf den Servern des Anbieters gespeichert. Ferner wird das gesamte Adressbuch des Benutzers mit diesen Servern synchronisiert. Damit haben bereits sehr viele unter Umständen kritische Unternehmensdaten den Besitzer gewechselt. Es gibt allerdings keine allumfassende, technische Lösung, um sich davor zu schützen. Auf Ebene der Unternehmenskultur müssen Regeln und Rahmenbedingungen etabliert werden, an die sich Mitarbeiter halten, damit Sicherheit auch gewährleistet werden kann. Natürlich könnte man technisch für WhatsApp im Rahmen von EMM gewisse Beschränkungen etablieren – bspw. Unternehmensdaten in einem sicheren Container speichern. WhatsApp hätte dann nur auf den privaten Container Zugriff, die beruflichen Daten sind davon getrennt. Damit macht man es den Benutzern schwieriger. Aber es hindert Nutzer nicht daran, ein berufliches Dokument zu öffnen, davon ein Foto zu machen und über WhatsApp zu verschicken. Durch Container-Maßnahmen kann die Weitergabe von Unternehmensinfos über WhatsApp erschwert, aber nicht komplett unterbunden werden.

A1 Blog: Wie können Unternehmen Security im mobilen Bereich umsetzen – in welche Richtung entwickelt sich das Thema?

Bernhard Hofbauer: Die Trends gehen klar in die Richtung EMM und End-to-End Verschlüsselung. In die EMM-Systeme werden sämtliche Endgeräte eingebunden. Das bedeutet, alle mobilen Endgeräte bis hin zu den Desktop-PCs sind dort steuerbar. Auf dieser Management-Ebene findet Wiederbelebung statt, weil man erkannt hat, dass ein Konstrukt und eine Topologie entwickelt werden muss, welche alle Systeme einbezieht.
Auch auf Seiten der Hersteller der Betriebssysteme gibt es Entwicklungen. Google hat die Android for Works Umgebung geschaffen, bei der es um die oben erwähnte Container-Trennung geht. Die Trennung zwischen beruflichen und privaten Daten ist tief im Betriebssystem verankert. BlackBerry verfolgt diesen Ansatz schon länger, auch Apple hat eine Lösung gefunden, der Unternehmens-IT vermehrte Kontrolle über die Endgeräte zu ermöglichen.
Man verlässt sich auch nicht mehr nur auf eine Sicherheitsbarriere, sondern auf mehrere. Zum Beispiel werden die mobilen Geräte in EMM verwaltet, die Echtzeit-Kommunikation wird noch zusätzlich verschlüsselt. Das führt in die Richtung Mobile Encryption. Die verschlüsselte Übermittelung der Daten erfolgt ohne Trennung oder Entschlüsselung dazwischen – also End-to-End.

Diese Trends kristallisierten sich schon die letzten zwei bis drei Jahre heraus, es braucht aber seine Zeit, um hier entsprechende Erfahrungen sammeln zu können – obwohl wir mittlerweile an einem Punkt angelangt sind, der sowohl für den Benutzer als auch für Unternehmen anwendbar ist. Meiner Meinung nach wird es daher in nächster Zeit noch weitere Evolutions-Stufen der Security-Thematik geben.

A1 Blog: Danke für das Gespräch!