►► Mobile Device Security
Von Dres. Heinrich Kersten und Gerhard Klett
Schöne ständig neue Welt der Datenverarbeitung. Computer sind endlich so klein und handlich, dass sie permanent mitgeführt werden können. Ihre Kommunikationsfähigkeiten verbinden sie an jedem Ort der Welt mit zahlreichen Informationsressourcen im globalen Internet und im Netzwerk des eigenen Unternehmens. „Always online“ ist Alltag und keine Fiktion mehr.
Informations- und Kommunikationstechnologien wachsen zusammen. Wir erleben diese Konvergenz in Form immer leistungsfähigeren Smartphones oder Netbooks, die mit ihren multitasking fähigen Betriebssystemen und Kommunikationsmöglichkeiten die Abarbeitung komplexer Applikationen („Apps“) gestatten.
In dieser digitalen Lebenswelt begegnen wir Vernetzungsformen mit Bezeichnungen Wireless LAN (WLAN), Bluetooth oder ZigBee. Objekte mit aufgeklebten oder implantierten Mikrochips mit RFID (Radio Frequency Identification) oder NFC (Near Field Communication) -Transpondern werden in Netzwerke eingebunden, bilden ein kommunikationsfähiges Netzwerk in unserer Einkaufstüte, vernetzen sich mit Navigationssystemen und verbinden sich ohne Weiteres mit weiter reichenden, anderen Netzwerken. Neue Anwendungen für Logistik, Warenwirtschaft oder für das tägliche Leben entstehen.
Aber wie sieht es mit dem Schutz sensibler Daten bei so zahlreichen Kommunikationsmöglichkeiten aus?
Pauschal gesagt entstehen mit dem Mobile Computing auch neue Möglichkeiten für den Datenmissbrauch – gewissermaßen die Kehrseite der Medaille.
Mobile Computing bedeutet
- Mobilität von Diensten und Applikationen wie z.B. E-Mail, Instant Messaging, Filetransfer etc., die von jedem Ort der Welt aus benutzt werden können;
- Mobilität der Endgeräte. Die Geräte müssen bequem portabel und von einer stationären Stromversorgung unabhängig sein;
- Mobilität der Netzanbindung. Die Verbindung mit dem Unternehmensnetz soll über drahtlose Netze mit vielen Zugriffspunkten oder Mobilfunknetzen von überall auf der Welt sicher möglich sein.
Und nicht zuletzt bedeutet Mobile Computing auch die Verwendung von mobiler Peripherie wie Speicherkarten, USB-Sticks und Headsets, um nur einige aufzuführen.
Das banalste aber zugleich gravierendste Sicherheitsproblem ist der Verlust des mobilen Endgerätes oder mobilen Speichers. Mobile Endgeräte begleiten uns überall hin, sind möglichst klein, leicht und „schick“. Sie sind milieuwechselnde Geräte und in Zügen, Flugzeugen, Wartesälen, Abflughallen, Mietwagen, Hotelbars, Umkleidekabinen von Saunen etc. anzutreffen. Sie sind Accessoires eines „Lifestyles“. Das Hauptproblem ist damit vorbestimmt: die Gefahr, das Gerät zu verlieren oder gestohlen zu bekommen.
Minimierung der Risiken
Zur Verminderung des Diebstahlrisikos sowie zur Verhinderung von Datenverlusten und unberechtigter Einsichtnahme gibt es eine Menge erprobter Maßnahmen. Hier eine Auswahl:
Das Gerät muss durch ein nichttriviales Passwort vor einer unberechtigten Inbetriebnahme geschützt sein. Auf keinen Fall dürfen die Initialpasswörter der Hersteller einfach weiterverwendet werden. Sie sind bekannt und im Internet veröffentlicht. Wenn die Security Policy des Unternehmens es gestattet, sensible Daten auf mobilen Geräten und Speichern abzulegen, müssen diese mit einem evaluierten Verfahren verschlüsselt werden.
Unterdrücken des „Besitzerstolzes“: Geräte nicht herumzeigen oder offen an der Kleidung tragen: Mobile Endgeräte sind unternehmenseigene Arbeitsgeräte und keine Modeaccessoires.
Geräte nicht offen sichtbar im Mietwagen (sondern im Kofferraum) oder im Hotelzimmer liegen lassen: Wenn sie nicht mitgeführt werden, müssen sie sicher in einem abgeschlossenen Behältnis aufbewahrt werden.
Administration der mobilen Geräte und Anlegen eines Gerätepasses durch eine zentrale Stelle im Unternehmen: Im Gerätepass sind mindestens die Seriennummern, Hardware-/Software-Ausstattung, Patch- und Update-Level sowie die Zugriffsberechtigungen auf unternehmenseigene Ressourcen zu verzeichnen.
Ansprechstelle im Unternehmen für Hilferufe von unterwegs einrichten: Hier ist auch der Verlust des Gerätes zu melden. Bei dieser Stelle muss ein Prozess für die nötigen Aktionen wie das Sperren von Netzzugängen, Beschaffung von Ersatzgeräten usw. vorhanden sein.
Regelmäßiges Anfertigen von Sicherungskopien der Daten auf einem stationären Rechner oder auf Nichtflüchtigen Speichern.
Einige der vorgestellten Maßnahmen sind ebenfalls Bestandteil des IT-Notfallmanagement; wir haben es bei dem Einsatz von Mobile Devices mit einer mobilen IT- Infrastruktur zu tun, die in dem Notfallmanagement mit einzubeziehen ist.
Wesentliche Inhalte zu dem Thema Mobile Device Security finden sich auch in Sachbüchern wie zum Beispiel im Buch „Mobile Device Management“ oder im Seminar „Sicherheit beim Mobile Computing“.