„Handy gehackt, Daten geklaut“ – solche Schlagzeilen betrafen bisher vor allem Prominente oder Politiker. Auf deren Mobiltelefonen hoffen Hacker, persönliche Fotos oder geheime Informationen zu finden, die sie zu Geld machen können. Doch auch auf den mobilen Geräten von Mitarbeitern befinden sich heute oft wertvolle Daten oder Zugangsrechte, die es zu schützen gilt. Tablet-PCs sind dafür ausgelegt, jederzeit und überall Inhalte abzurufen oder hochzuladen, angefangen vom individuellen Angebot über Monatsberichte und Orderprotokolle bis hin zur Vorstandspräsentation. „Genau die Eigenschaften, die Nutzer so an den Geräten schätzen, stellen Unternehmen und Organisationen in puncto Sicherheit vor Herausforderungen“, sagt Sven Schlüter von der Firma Context Information Systems. Die Londoner Sicherheitsberatung hat 2012 wichtige Sicherheitsmerkmale von verbreiteten Tablets untersucht.
Auf den EHI Technologietagen im November 2012 stellte Schlüter zentrale Ergebnisse der Studie vor. Sein Fazit: „Sich allein auf die Sicherheitsversprechen der Hersteller zu verlassen, ist keine gute Idee, wenn ein realistischer Sicherheitslevel erreicht werden soll.“ Auch wenn Markenhersteller wie Apple oder RIM (Blackberry) bereits in die Sicherheit ihrer Geräte investieren, müssen Anwender selbst mitdenken. Oberstes Gebot für den sicheren Einsatz von Mobilgeräten im Unternehmensumfeld sind starke Passwörter, um gespeicherte Daten und wichtige Funktionen vor unbefugtem Zugriff zu schützen, beispielsweise E-mail, SMS-Versand oder die Verbindung mit Corporate Social Networks, in denen sich Mitarbeiter austauschen und Dokumente teilen. Zum Aufbau und zur Nutzung von Passwörtern sollte es unbedingt klare Firmenrichtlinien geben. Ansonsten verwenden viele Anwender aus Bequemlichkeit gerne überall dieselben Kennwörter, nutzen einfach aufgebaute, leicht zu erratende Kombinationen (Geburtsdatum, Initialen) oder belassen es bei den weithin bekannten Default-Einstellungen des jeweiligen Herstellers.
Teilweise muss die Verschlüsselung durch Passwörter für einzelne Funktionen oder Zubehör auch erst aktiviert werden, beispielsweise für den Schutz von Backups oder externen Speichermedien. Wer vermeiden möchte, dass von seinem Firmenhandy Beleidigungen, Spam oder Malware verbreitet oder sensible Kunden- und Unternehmensdaten ausspioniert werden, der sollte ein mindestens sechsstelliges, alphanumerisches Passwort einrichten, so der Rat von Sicherheitsexperten. Durch sogenannte Brute-Force-Attacken (engl. für „rohe Gewalt“), also das Ausprobieren jeder möglichen Kombination, sind kürzere, rein numerisch aufgebaute Codes oft in Minutenschnelle geknackt (siehe Kasten). Je weniger Kombinationen möglich sind, und je leistungsfähiger das Gerät, desto schneller hat feindliche Schadsoftware alle Varianten durchgespielt. Wesentlich sicherer sind deshalb Passwörter, die neben Ziffern auch Buchstaben, Groß- und Kleinschreibung und Sonderzeichen zulassen.
Virenverseuchte Apps
Auf die Tablets oder Smartphones der Mitarbeiter gelangen die digitalen Passwort-Spione und andere Malware oft über irreführende Links, beispielsweise Kurz-URLS in sozialen Netzwerken oder Kurznachrichten. Auch über virenverseuchte Apps entern Schadprogramme die Mobilgeräte und von dort sogar schlimmstenfalls das Firmennetz. Das Aufspielen von Apps aus unbekannten Quellen sollte deshalb für beruflich genutzte Handys tabu sein. Kritisch sind insbesondere Mini-Programme, die zwar offiziell nur wenig können, dafür aber weitreichende Systemfreigaben verlangen und so vom Anwender oft unwissentlich in die Lage versetzt werden, sensible Daten auszulesen oder gar sicherheitsrelevante Einstellungen zu manipulieren. Selbst die offiziellen App-Stores von Apple, Google & Co. bieten keine hundertprozentige Sicherheit vor Malware, auch wenn die dort eingestellten Programme regelmäßig kontrolliert werden. Mit der Anzahl der Schadprogramme wächst auch das Angebot an Anti-Virus-Apps für Mobilgeräte. Im Vergleich zu PC-Virenscannern sind die Schutzprogramme allerdings bislang weniger leistungsfähig.
Sehr wichtig ist deshalb, Betriebssoftware und wichtige Apps durch regelmäßige Updates stets auf dem aktuellsten und damit sichersten Stand zu halten. Wer den gesunden Menschenverstand einschaltet und ein paar grundlegende Sicherheitsregeln befolgt (siehe Checkliste), kann als Anwender bereits selbst für ein gutes Stück mehr Sicherheit sorgen. „Professionelle Lösungen für das Mobile-Device-Management oder die Authentifizierung, wie sie beim Einsatz mobiler Endgeräte im Unternehmensumfeld benötigt werden, können diese Tipps jedoch nicht ersetzen“, sagt Torsten Jüngling, Country Manager Deutschland des Sicherheitsdienstleisters Stonesoft. Auch für die berufliche Nutzung privater Mobilgeräte („Bring your own device“), wie sie insbesondere in der ITK-Branche bereits weit verbreitet ist, müssen Unternehmen sichere Regelungen finden. So sollte beispielsweise der Zugriff auf geschäftliche E-Mails nur unter Verwendung sicherer Lösungen und verschlüsselter Übertragung gestattet werden.
Protect your own device
Unter dem Motto „Bring your own device“ erlauben Unternehmen zunehmend die berufliche Verwendung von privaten Handys. Umgekehrt nutzen Mitarbeiter geschäftliche Handys auch privat. Die folgenden Regeln, zusammengestellt vom Sicherheitsdienstleister Stonesoft, sorgen für mehr Sicherheit:
- Aktualisieren Sie regelmäßig sicherheitskritische Apps sowie das Betriebssystem des mobilen Geräts.
- Installieren Sie ausschließlich Programme aus sicheren Quellen, zum Beispiel von bekannten App-Stores wie iTunes, Google Play oder Nokia Store.
- Achten Sie darauf, welche Zugriffsrechte Sie Apps gewähren und prüfen Sie Datenschutzerklärungen. Darf eine App zum Beispiel auf Standortinformationen und Netzwerkverbindung zugreifen, können Dritte Ihren Standort bestimmen.
- Ändern Sie Standard-Zugangscode und PIN Ihrer SIM-Karte. Verwenden Sie starke Passwörter (stets unterschiedliche, nie auf dem Gerät speichern!).
- Aktivieren Sie die Datenverschlüsselung, wenn Ihr Gerät diese Funktion unterstützt.
- Aktivieren Sie einen Diebstahlschutz. Verbinden Sie dazu Ihr mobiles Gerät mit einem Dienst, mit dem sich verlorene und gestohlene Geräte orten und die Daten per Fernzugriff löschen lassen.
- Informieren Sie umgehend den Netzbetreiber, wenn Smartphone oder Tablet gestohlen wurden, um den Missbrauch der SIM-Karte zu verhindern.
- Löschen Sie alle persönlichen Daten auf alten Geräten, bevor Sie sie entsorgen (auf Werkseinstellungen zurücksetzen, SIM und Speicherkarte löschen).
- Vorsicht bei privaten Backups: Übertragen Sie ohne Einwilligung des Arbeitgebers keine Unternehmensdaten in die Cloud.
- Speichern Sie geschäftliche Daten allenfalls nach Absprache mit dem Arbeitgeber auf privat genutzten Mobilgeräten.