Management Schutz vor Cyberattacken auf Smartphones und Tablets

Aus dem Unternehmensalltag sind die schicken Alleskönner nicht mehr wegzudenken. Doch Tablet-Computer und Smartphones entpuppen sich in vielen Unternehmen zunehmend als großes Einfallstor für Datenklau und Cyberangriffe. Am häufigsten betroffen sind Mittelständler.

Das Bier muss fließen. Genug Kästen bereitstehen, wenn die Kunden die Läden stürmen, weil plötzlich Grillwetter herrscht. Damit der Nachschub nicht zu spät kommt, kontrollieren Außendienstmitarbeiter der Krombacher Brauerei regelmäßig Getränkemärkte zwischen Nordsee und Alpen. Per Minicomputer, sogenannten Personal Digital Assistants, fragen sie die Bestände ab und schicken die aktuellen Daten in die Zentrale nach Krombach im Siegerland.

Oder sie loggen sich selbst ins Firmensystem ein, weit entfernt von ihrem Arbeitgeber und doch ganz nah. Der stetige Fluss der Bits und Bytes ist mitentscheidend für den Geschäftserfolg.

Anzeige

Was Manager und Mitarbeiter längst selbstverständlich finden, bereitet den für die Datensicherheit verantwortlichen IT-Chefs zunehmend Kopfschmerzen. Täglich gibt es neue Meldungen über die Schwachstellen der mobilen Geräte. Sie entpuppen sich in vielen Unternehmen als das größte Einfallstor für Angriffe aus dem Internet.

Schäden in Milliardenhöhe

Die Zahl der Cyberattacken auf Smartphones hat sich allein in den vergangenen Monaten verdoppelt, so eine Studie des Sicherheitsdienstleisters Symantec. Schon jetzt sind weltweit eine Milliarde Smartphones in Umlauf, das sind fast so viele wie klassische PC. Je mehr Geräte mit mobilem Internetzugang im Unternehmen vorhanden sind, desto größer die Angriffsfläche.

Die intelligenten Telefone und Tablets können zwar genauso viel wie die Computer im Büro. Doch sie zu schützen ist wesentlich schwieriger. Täglich dringen Wirtschaftsspione in Firmennetzwerke ein und verursachen Schäden in Milliardenhöhe.

Attacken auf Konzerne wie Sony bestimmen zwar die Schlagzeilen, viel häufiger betroffen sind jedoch Mittelständler. Kaum einer will darüber sprechen, zu groß ist die Furcht, Sicherheitslücken preiszugeben. Denn die Folgen eines Angriffs können gravierend sein, im schlimmsten Fall sogar eine Firma in die Pleite treiben. Wenn zum Beispiel der schärfste Konkurrent plötzlich ein Produkt auf den Markt bringt, das seinen Ursprung in der eigenen Entwicklungsabteilung hat – die Daten wurden einfach abgefischt.

„Die erste Sicherheitslücke sind die Nutzer selbst“

Gerade in kleinen und mittelgroßen Firmen sehen Sicherheitsexperten erheblichen Nachholbedarf beim Cyberschutz. „Bei E-Mails und mobilen Geräten, die viele unternehmenskritische Daten enthalten, sind die Unternehmen nachlässig“, heißt es in einer Studie der Initiative „Deutschland sicher im Netz“. So verzichtet die Hälfte der 1400 befragten Firmen vollständig auf den Schutz ihrer E-Mails vor unberechtigter Einsichtnahme. Elektronische Dokumente mit sensiblen Inhalten wie Rechnungen, Patenten oder Verträgen werden meist wie jede andere E-Mail verschickt und nicht besonders verschlüsselt.

Ein grober Fehler. Eine weitere Entwicklung verschärft das Problem: Jeder Mitarbeiter hat seine eigenen Vorlieben. Der eine schwört auf sein iPhone, der Nächste beharrt auf der Marke Blackberry, der Dritte kann und will nur mit Android arbeiten.

„Bring your own device“ heißt der Trend im Fachjargon. Am liebsten werden private Smartphones und Tablet-PC auch zum Arbeiten genutzt.

„Vor anderthalb Jahren konnte die IT-Abteilung noch bestimmen, welches Handy eingesetzt wird“, sagt Ulrich Gärtner, Vertriebschef beim Kölner IT-Spezialisten Pallas. „Heute geht das oft nicht mehr. Die Leute wollen eine ganz bestimmte Marke. Und sie wollen nicht mit zig verschiedenen Geräten hantieren.“ Hermann Grotmann, bei Krombacher für die IT-Sicherheit zuständig, hat dafür Verständnis.

Aber er sieht auch die Probleme. „Die erste Sicherheitslücke sind die Nutzer selbst.“ Wie viele IT-Chefs kennt er zuhauf Horrorgeschichten von schlampigen oder einfach unwissenden Mitarbeitern, die den Angreifern aus dem Netz Tür und Tor öffnen. Deshalb arbeiten Grotmann und sein Team gerade an neuen Richtlinien für die Angestellten – und überprüfen permanent alle Sicherheitsmaßnahmen.

„Oft sind die Geräte nicht mal durch ein Passwort geschützt“

„Die häufigsten Angriffe auf Smartphones passieren aus Neugier der Benutzer“, sagt auch Candid Wüest, Virenjäger beim Virenschutzanbieter Symantec. „Unbedacht werden infizierte Apps auf das Gerät geladen.“ Hinzu kommt: Bürocomputer kann niemand vergessen oder verlieren.

Smartphones dagegen bleiben ständig im Zug oder Flugzeug liegen. Allein am Frankfurter Airport waren es vergangenes Jahr mehr als 200 Laptops und Mobiltelefone – pro Monat. Wenn dann nicht nur das Gerät, sondern auch der gesamte Datenschatz in falsche Hände fällt, sind Firmen selbst schuld. „Oft sind die Geräte nicht mal durch ein Passwort geschützt“, sagt Ulrich Gärtner von Pallas.

Der IT-Experte ist manchmal richtiggehend entsetzt, wenn er mal wieder in ein Unternehmen kommt, wo es am einfachsten Basisschutz mangelt. Das passiert oft. Dabei verfügt jedes Smartphone selbst in der Standardversion über eine Vielzahl von Sperren, die sich leicht einstellen lassen und den Schaden begrenzen.

Schwarze Listen für SMS

Eine erste Verteidigungsmauer kann schon für wenig Geld installiert werden. Ein Abonnement kostet rund 25 Euro pro Jahr und Gerät, etwa beim Schutzanbieter Kaspersky Lab. Ein typisches Sicherheitspaket sieht so aus: ein Virenscanner, der die Masse der Angriffe erkennt und abwehrt, ein System aus Passwörtern, das vor Zugriffen auf das Smartphone schützt, und die Einführung von sogenannten weißen und schwarzen Listen – mit dieser Funktion können beispielsweise eintreffende E- Mails und SMS-Nachrichten als sicher oder als unsicher kategorisiert werden. Gefährliche Post wird so abgeblockt. Auf diese Weise können Unternehmen die Daten relativ sicher zwischen Firma und Nutzer hin- und hersenden.

Zudem setzen sicherheitsbewusste IT-Chefs zunehmend auf Tracking – mit dieser Option lässt sich der aktuelle Standort eines Smartphones oder Tablets verfolgen. Wird ein Gerät gestohlen, kann es die Polizei so schnell finden.

Bevor Tracking zum Einsatz kommt, muss die Unternehmensführung sich allerdings mit dem Betriebsrat zusammensetzen, das verlangt das Gesetz. Schließlich kann die IT-Abteilung mittels der Software jederzeit den Aufenthaltsort eines Mitarbeiters ermitteln.

Mobile Device Management wird notwendig

Sind mehr als 50 Smartphones im Umlauf – womöglich noch unterschiedliche Typen -, reichen die kleinen Sicherheitspakete nicht aus. Spätestens dann muss nach Ansicht von Experten ein zweiter Schutzwall her: eine zentrale Sicherheitsinfrastruktur.

Mobile Device Management nennen Fachleute diese Disziplin. Dahinter verbirgt sich die Einbindung der unterschiedlichen mobilen Endgeräte in das Unternehmensnetz und der Schutz des Datenverkehrs.

Florian Schäfer entschied sich für eine Lösung des Anbieters Good. Er ist IT-Chef der Dienstleistungsfirma Egrima, die 340 Mitarbeiter beschäftigt und unter anderem Tankkarten anbietet. „Plötzlich wollten die Manager auch iPhones haben“, berichtet Schäfer.

„Mit dem iPhone waren der Late-Night-Checkin bei der Lufthansa und auch andere Aufgaben einfacher zu erledigen als mit den Blackberrys, die bei uns üblich sind.“ Eine Lösung musste her, um die zunehmende Anzahl der unterschiedlichen mobilen Endgeräte besser kontrollieren zu können, ein Mobile Device Management eben.

„Zentral getunnelt“ für eine sichere Verbindung

Zuerst installierte das Unternehmen einen zentralen Server, von dem aus alle Smartphones gesteuert werden können. Dann ließ Schäfer spezielle Programme auf die einzelnen Geräte spielen. Das ging ganz einfach. Die Nutzer mussten sich lediglich die passende App des Herstellers aus dem App-Store herunterladen.

Nach einer vier Monate dauernden Testphase gab Schäfer grünes Licht, nun greifen die Manager mit ihren iPhones genauso sicher auf Firmenmails zu wie zuvor mit den Blackberrys. „Es können keinerlei private Daten mit geschäftlichen auf dem Gerät miteinander ausgetauscht werden“, sagt Schäfer.

Die Software schließt Firmenkommunikation und -daten in einer Art Kapsel ein. Kontakte zu Oma, Bruder und Freunden werden in einem anderen Ordner verwaltet als die zu Kollegen. Die Systeme laufen parallel nebeneinander, als hätte der Nutzer zwei Geräte.

Bei Krombacher arbeitet IT-Chef Hermann Grotmann mit einem ähnlichen System, es heißt Smart Man und stammt vom deutschen Hersteller Dialogs. Grotmann kann damit alles zentral steuern: Sicherheitseinstellungen, Updates, Freischaltung oder Sperrung der firmeneigenen Mobilgeräte.

Damit die Daten vom Smartphone sicher auf den Unternehmensserver rauschen, werden sie „zentral getunnelt“, wie Experten sagen. Darunter versteht man den Aufbau einer sicheren Verbindung. Eine ausgeklügelte Firewall wehrt Cyberattacken auf das System ab. Ähnliche Mobile-Device-Management-Lösungen werden von rund einem Dutzend verschiedene Hersteller angeboten. Sie vereinen in der Regel alle gängigen Sicherheitsfunktionen. Unternehmen, die sich nicht selbst darum kümmern wollen, können auch Dienstleister wie Pallas, EBF oder T- Systems beauftragen, ihre Smartphones zu schützen.

Je sensibler die Daten, desto höher die Kosten

Die Kosten hängen vor allem von der Firmengröße ab. Da jedes Unternehmen andere Ansprüche hat, kommen Chefs in der Regel nicht daran vorbei, eine detaillierte Analyse erstellen zu lassen, für die Beratungsgebühren fällig werden.

Die Lizenzgebühren für die Softwareprogramme liegen dann bei 60 bis 100 Euro pro Gerät und Jahr. Ab 50 mobilen Endgeräten lohnen sich Komplettangebote, die je nach Anbieter und den Bedürfnissen des Unternehmens schon für einige Tausend Euro zu haben sind.

Als Faustregel gilt: je größer die Firma, je mehr Geräte im Umlauf, je sensibler die Daten, desto höher die Kosten: 50.000 Euro für ein Sicherheitssystem sind keine Seltenheit.

Wie viel Geld sie investieren und an welchen Sicherheitsschrauben noch gedreht wird, verschweigen die Sicherheitschefs der Unternehmen – sie fürchten, Schwachstellen preiszugeben.

Krombachers Datenhüter Grotmann verrät nur so viel: „Bereits bestehende Schutzmauern müssen deutlich erhöht werden.“

Kurz erklärt
Mobile Security
Smartphones und Tablet-PC sind Schwachstellen im Sicherheitssystem. Dabei lassen sich viele Angriffe aus dem Netz abwehren: Viren, Würmer und auch Trojaner werden von spezieller Sicherheitssoftware abgeblockt. Virenscans, Updates, eine Firewall und die Sperrung gefährlicher Verbindungen vervollständigen den Schutz.
Mobile Device Management
Smartphones müssen extra in das Firmennetzwerk integriert werden. Dann steuern die IT- und Sicherheitsspezialisten die mobilen Endgeräte zentral – sie können zum Beispiel aus der Ferne sensible Daten löschen und neue Sicherheitssoftware installieren.
Bring your own device
Mitarbeiter wollen nicht nur selbst entscheiden, welches Modell sie verwenden. Sie wollen ihre privaten Geräte auch immer öfter dienstlich nutzen – diese müssen dementsprechend ausgestattet und geschützt werden.

So sichern Sie Ihr Smartphone

So sichern Sie Ihr Smartphone
Gegen die weltbesten Hacker können selbst Technologiekonzerne nichts ausrichten. Die meisten Angriffe aus dem Netz sind aber gar nicht so clever – und lassen sich mit einfachen Tricks abwehren.
Sicherheitsoptionen einschalten Egal ob Android, Blackberry oder iPhone: Die Hersteller statten ihre Smartphones in der Grundausstattung mit vielen Sicherheitsfunktionen aus, die genutzt werden sollten. Das reicht häufig schon, um die meisten Gefahren aus dem Internet abzuwehren. Die von den Herstellern oft kostenlos bereitgestellten Software-Updates sollten regelmäßig installiert werden.
Internetverbindung ausschalten Die Bluetooth- oder W-Lan-Funktion sollte nur dann eingeschaltet werden, wenn sie bewusst genutzt wird. Über offene Bluetooth- Schnittstellen können Fremde ansonsten unbemerkt Daten auslesen.
Kennwort- und PIN-Schutz einstellen Nicht nur das Gerät selbst, auch einzelne Anwendungen, wie zum Beispiel das E- Mail-Postfach, sollten mit verschiedenen Kennwörtern gesichert werden. Wird das Smartphone einige Minuten lang nicht genutzt, sollte es automatisch gesperrt werden. Dann ist es erst nach Eingabe des Passworts wieder zugänglich.
Sicherheitssoftware installieren Sicherheitsprogramme bieten Virenscanner, Verschlüsselung und Firewall. Die meisten Softwarepakete schützen zudem vor Diebstahl (Sperrung des Smartphones, Daten löschen, Handy über Satellitenortung ausfindig machen).
Apps nur aus sicheren Quellen Anwendungen und Programme sollten nicht einfach so aufs Smartphone heruntergeladen werden. Bestehen Zweifel, sollte – wenn vorhanden – die IT-Abteilung um Rat gefragt werden.
Rechnung kontrollieren Nutzer sollten stets ihre Rechnungen nach unbekannten Abbuchungen durchsehen.
Daten löschen Wird ein Smartphone ausgemustert, sollten alle Daten gelöscht werden. Vor dem Einschicken defekter Geräte an den Hersteller die Daten andernorts sicher abgespeichern und auf dem Endgerät löschen oder verschlüsseln.
Unternehmen können ihre Sicherheitslage unter www.sicher-im-netz.de mithilfe eines Fragenkatalogs anonym ermitteln und auswerten lassen. Auch das Fraunhofer-Institut für Arbeitswirtschaft und Organisation bietet einen „Mobilitycheck“
.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): *Captcha loading...