Mobile Sicherheit durch Services

Sicherheitstechniken im Paket schützen Datenübertragung über USB-Sticks & Co.

Mobile Devices wie Laptops, Smartphones oder USB-Sticks sind aus dem Unternehmensalltag nicht mehr wegzudenken. Allerdings öffnen sie auch Schlupflöcher, durch die hochsensible Informationen leicht in die falschen Hände gelangen können. So hat eine Studie des Marktforschungsinstituts Loudhouse im Auftrag von Workshare ergeben, dass 64 Prozent der Befragten in tragbaren Geräten die zweitgrößte Gefahr für Informationslecks sehen. Als riskanter schätzten sie lediglich E-Mails ein. Um solche Lücken zu stopfen, helfen sich Unternehmen meist mit Insellösungen weiter und blockieren beispielsweise USB-Anschlüsse an den Computern ihrer Mitarbeiter. Wird eine vorher festgelegte und verbotene Device-ID erkannt, unterbricht das Sicherheitssystem automatisch die Übertragung und verhindert, dass Nutzer Daten auf dem Gerät abspeichern. Anwender dürfen so nicht mehr ihre eigenen USB-Sticks mitbringen, sondern nur registrierte Datenträger des Arbeitgebers nutzen. Doch solche Ansätze haben auch ihre Nachteile: Sie bieten den Anwendern allerdings nur einen begrenzten Mehrwert und behindern sie zudem bei ihrer Arbeit.

Daten flexibel und unabhängig von Kanälen schützen

Um Firmennetz und mobile Datenträger vor Sicherheitslecks zu schützen, greifen viele Unternehmen auf Anbieter zurück, die ihnen die Betreuung der Sicherheitsmechanismen gegen eine monatliche Bezahlung abnehmen. Diese so genannten Managed Security Services werden in der Regel für die Verwaltung und das regelmäßige Monitoring der betriebsinternen Security-Infrastruktur eingesetzt. Der Fokus der Anbieter liegt hierbei vor allem auf der externen Überwachung von Firewalls, Intrusion-Detection-Systems (IDS), Routern und Virenschutz-Gateways.

So haben sich auch viele Unternehmen in den vergangenen Jahren darauf beschränkt, ihre Schutzmechanismen, etwa Firewalls oder Antivirensysteme, gegen externe Bedrohungen zu verstärken. Dies ist besonders bei mobilen Endgeräten wichtig, die über drahtlose Netze wie WLAN, Bluetooth oder IrDA mit lokalen Kommunikationssystemen verbunden sind und darüber Daten abrufen. Ein Schutz vor Viren oder Hacker ist unter diesen Voraussetzungen unerlässlich.

Allerdings lösen solche Sicherheitstechniken auch in Form von Managed Security Services das Problem der Informationslecks nicht. Hier hilft nur eine umfassende Strategie weiter, die kanalunabhängig jedes Sicherheitsproblem individuell angeht und auf betriebsinterne Änderungen innerhalb kürzester Zeit flexibel reagieren kann - sei es für die Datenübertragung von innen oder außen, über E-Mails, andere Kommunikationskanäle oder mobile Datenträger. Schutzmaßnahmen für die mobile Datenübertragung intern verwalten

Die Gefahr, dass vertrauliche Informationen während des mobilen

Dokumentenaustauschs unbeabsichtigt in falsche Hände geraten, ist groß - fast genauso groß wie das Risiko, durch zähe Koordinierungsprozesse mit dem externen Anbieter von Security-Services die täglichen Geschäftsprozesse zu blockieren. Um dem vorzubeugen, sollten Unternehmen bei der Informationssicherheit auf spezielle Anwendungssuites setzen, mit denen autorisierte Fachanwender selbst die mobilen Endgeräte mit den nutzerspezifisch erforderlichen Schutzmaßnahmen versehen und binnen kürzester Zeit einfach ändern können.

Eine Möglichkeit des Schutzes mobiler Endgeräte wäre hierbei beispielsweise ein zuverlässiger Verschlüsselungs-Key. Grundlage dafür sind kryptografische Algorithmen, die bei der Datenübertragung an den jeweiligen Systemschnittstellen wie etwa USB-Ports oder Endpunkten zum Einsatz kommen. Beim Start des Systems muss sich ein Benutzer gegenüber der jeweiligen Software authentisieren, die während des Betriebs die spezifischen Daten ver- und entschlüsselt. Auf diese Weise lassen sich Programm- und Systemdateien individuell chiffrieren. Ein umfassender Schutz wird hingegen durch eine vollständige Sektor-für-Sektor-Verschlüsselung der gesamten Festplatte eines Notebooks

Mobile Security Services in eine übergreifende Sicherheitsstrategie einbinden

Der Verschlüsselungsschutz für mobile Geräte darf jedoch nicht für sich allein stehen, sondern muss in eine umfassende unternehmensweite Sicherheitsstrategie integriert werden. Grundlage dafür ist ein ausführliches Risk Assessment, bei dem Unternehmen sämtliche Speichervorgänge aufzeichnen und herausfinden, über welche Kanäle die meisten Informationen heraussickern. Sie können so zielgerichtet ihre Endpunkte und mobilen Geräte schützen und neben USB-Sticks und Laptops auch Smartphones in ihre Sicherheitsstrategie einbeziehen. Entsprechend der jeweiligen User-Rollen und -Rechte sowie der genutzten Übertragungskanäle und Speichermedien leitet ein Mobile Security Service automatisch die passenden Schutzmaßnahmen ein.

Bei einer strategisch ausgerichteten Mobile-Security-Technik werden Sicherheitsvorgaben und Richtlinien als Regeln auf dem Server hinterlegt, wo Sicherheitsverantwortliche sie zentral verwalten und aktualisieren können. Diese Regeln leiten bei einer bestimmten Handlung eines Nutzers automatische Aktionen ein. So kann die Regel beispielsweise die folgende Anweisung ausdrücken: Wenn ein nicht registrierter USB-Stick an den Computer "XXXX" angeschlossen wird, dann werden die übertragenen und darauf abgespeicherten Daten automatisch verschlüsselt.

Um die auf dem USB-Stick gespeicherten, verschlüsselten Daten lesen zu können, braucht der Anwender einen bestimmten Entschlüsselungs-Key. Er erhält diesen Key nur, wenn er laut Regeln für die Nutzung der Daten autorisiert ist. Ein weiteres Beispiel für die Verschlüsselung mobiler Daten ist die Definition einer bestimmten Anzahl von Datensätzen, die ein Nutzer auf ein mobiles Gerät übertragen darf. So können Sicherheitsverantwortliche zum Beispiel definieren, dass jeweils nur zehn Datensätze mit Informationen wie Personal- oder Sozialversicherungsnummern sowie Bankverbindungen je Mitarbeiter auf mobile Geräte übertragen oder dort gespeichert werden dürfen. Auch kann der Sicherheitsverantwortliche beispielsweise definieren, dass die Jahresbilanz eines Finanzunternehmens vor der Veröffentlichung nur durch den CEO oder CFO auf einen dafür autorisierten USB-Stick oder Laptop übertragen und dort abgespeichert werden darf. Neben der Verschlüsselung oder Blockierung definierter Daten können Inhalte wie Kontonummern geschwärzt oder Dokumente automatisch in PDF oder ZIP-Formate umgewandelt werden.

Trends beim Schutz mobiler Geräte

Während sich Managed Security Services für eine kontinuierliche Überwachung der Security-Infrastruktur eines Unternehmens hinsichtlich möglicher Schwachstellen eignet, bietet sich eine betriebsinterne Lösung vor allem für das Management flexibler Schutzmaßnahmen im täglichen Dokumentenverkehr an. Eines steht für beide Varianten fest: Künftig wird die Nutzung mobiler Geräte nicht nur zunehmen, sondern auch anspruchsvoller und vielseitiger werden. Anwender wollen schneller und problemlos auf ihre persönlichen Daten zugreifen. Mobile Security Services müssen sich dieser Entwicklung anpassen. Dazu kommt, dass Angreifer über immer innovativere Techniken verfügen werden, mit denen sie künftig viele Hürden überwinden können, die heute noch zu hoch sind. Neben sichereren Verschlüsselungstechniken und komplexeren Algorithmen werden biometrische Verfahren künftig an Bedeutung gewinnen. Sie sorgen nach dem Vorbild persönlicher Fingerabdrücke oder Iris-Strukturen dafür, dass nur wirklich autorisierte Anwender bestimmte Daten nutzen können. Ein Beispiel dafür sind Authentisierungstechniken, die auch das Eingabeverhalten eines Nutzers in den Schutz einbeziehen. Ein Anwender lässt sich demnach durch seine Tippgeschwindigkeit und seinen Eingaberhythmus eindeutig erkennen. Selbst wenn ein Angreifer ein Passwort entschlüsselt hat, kann er solch eine Hürde nach dem bisherigen Stand der Technik nicht überwinden.

---