Mitarbeiter haben mit Ihrem Smartphone nicht nur Zugriff auf E-Mails und Kontakte, sondern zunehmend auch auf andere kritische Informationen wie beispielsweise aus ERP-Systemen. Für Angreifer ist es einfach, ebenfalls Zugriff auf die Firmendaten zu bekommen.
Aktuell gibt es aus Sicht der Security bei Smartphones zwei Themenbereiche, die gelöst werden müssen. Zum einen gilt es, die Daten auf dem Gerät vor dem Zugriff Fremder zu schützen. Bei den aktuellen Betriebssystemen können Daten zumindest teilweise auf den Geräten verschlüsselt werden. Der Schlüssel für den Zugriff ist aber die PIN, die zum Freischalten des Gerätes verwendet wird. Je nachdem wie lang und komplex sie ist, ergibt sich dadurch der Schutz der Daten. Eine Vorgabe für die Qualität und die Länge der PIN lässt sich mit Bordmitteln oder mit Mobile Device Management (MDM) erreichen. Zusätzlich gibt es hier in der Regel die Möglichkeit, im Falle des Verlustes eine Fernlöschung durchzuführen. Eine Alternative dazu ist die Installation eines verschlüsselten Containers, in dem die vertraulichen Daten abgelegt werden. Dabei erkauft man sich den höheren Schutz der Daten mit einem Verlust der Usability, da sich der Benutzer zuerst gegenüber dem Container authentisieren muss, bevor er auf die dort enthaltenen Apps und Daten zugreifen kann.
Der zweite kritische Punkt ist der App Store. Lädt sich der Anwender eine neue Anwendung herunter, die einen Trojaner enthält, muss das Smartphone erst gar nicht gestohlen werden. Es versendet beispielsweise kritische Daten automatisch an Dritte. Der Schutz hängt hier ausnahmslos am Betreiber des App Stores. Der einzige Schutz über eine MDM-Lösung ist es, dem Anwender die Installation von Apps zu verbieten – und damit die Nutzung des Smartphones einzuschränken.
Derzeit gibt es keine Lösung, die Daten zu schützen, ohne die Usability des Gerätes zu reduzieren. Security wird in der Regel nur dann akzeptiert, wenn sie wirtschaftlich sinnvoll und für den Benutzer vollkommen transparent ist. Wie bereits beschrieben, gibt es die Möglichkeit einen Teil der Daten auf dem Smartphone verschlüsselt abzulegen. Die Sicherheit hängt dabei allerdings an der PIN, die für die Freischaltung des Gerätes verwendet wird. Diese ist in der Regel vier Zeichen lang, kann zwar verlängert werden, aber wer tippt gerne zehn Zeichen jedes Mal ein, wenn sich das Gerät sperrt?
In der IT-Sicherheit gibt es zur Verbesserung die Zweifaktor-Authentisierung, also zwei Faktoren aus den Varianten Wissen, Besitz und Sein. Die optimale Lösung wäre es, wenn zum Freischalten des Gerätes die Eingabe einer PIN erforderlich ist, und der Fingerprint bei dieser Eingabe direkt am Touchscreen ausgelesen wird. Dies bedeutet für den Benutzer keinerlei Änderung zur aktuellen Situation, aber für die Sicherheit einen großen Schritt vorwärts, da dies eine echte Zweifaktor-Authentisierung darstellt. Die Daten liegen verschlüsselt auf dem Gerät und der Zugriff hängt vom Wissen (PIN) und dem Sein (Fingerprint) ab.
Bleibt noch das Problem mit den Trojanern, die über die Apps kommen. Zum einen werden wir uns daran gewöhnen müssen, dass zukünftig auch Virenscanner oder ähnliches auf einem Smartphone Anwendung finden, andererseits hilft hier speziell für die Speicherung von Daten die Verwendung von IRM-Lösungen. Da ein Smartphone immer online ist, stellt die Anfrage des IRM-Clients an den zentralen Service im Unternehmen kein Problem dar. Eine Überprüfung, welche Rechte der Anwender hat, und was er mit der Datei machen darf, ist also jederzeit möglich. Wird die Datei von einem Trojaner versendet, ist diese trotzdem geschützt.
Ein adäquater Schutz von kritischen Informationen auf dem Smartphone ist durchaus möglich. Wann die Hersteller soweit sind, wird stark davon abhängen, ob sich Anwender in verstärktem Maße für Datenschutz- und Datensicherungsthemen interessieren und Unternehmen Druck auf die Hersteller ausüben.
Udo Adlmanninger Vertrieb, Secaron AG, Hallbergmoos
Unsere Webinar-Empfehlung
Teilen:
