Mobile Enterprise

Der richtige Mix an Mobile Security Services

04.05.2015 von Oliver Schonschek
Systemhäuser und IT-Dienstleister sollten die Mobile Security Services in ihr Portfolio aufnehmen, die neben den Risiken auch die Anwenderwünsche berücksichtigen.
 
  • welche Mobile Security Services Systemhäuser in ihr Portfolio aufnehmen sollten
  • was Anwender in Sachen Mobile Device Management (MDM) benötigen
  • welche Angriffe auf mobile Endgeräte besonders gefährlich sind
  • wie es in Sache Mobile Sicherheit in deutschen Unternehmen aussieht

Der Bedarf an Lösungen für mobile IT-Sicherheit ist hoch. Sämtliche Top-Bedrohungen gelten auch für mobile Endgeräte, die im Vergleich zu Desktop-Systemen immer noch schlechter abgesichert sind im Vergleich zu Desktop-Systemen immer noch schlechter abgesichert sind, so lautet zumindest die Auffassung des Branchenverbandes Bitkom.

Und laut IBM prüfen 40 Prozent der Unternehmen den Code ihrer mobiler Apps nicht auf Schwachstellen, bevor sie diese für die Mitarbeiterinnen und Mitarbeiter freigeben. Deshalb waren denn auch 2014 im Durchschnitt 11,6 Millionen mobile Endgeräte mit Schadsoftware verseucht. Umso wichtiger also, dass sich IT-Dienstleister mehr mit dem Thema "Mobile Sicherheit" beschäftigen.

Der Blick auf den Mobile Security Markt

In der Tat, Systemhäuser, die eine lohnende Erweiterung ihres Portfolios suchen, sollten Mobile Security Services nicht außer Acht lassen. Marktforscher wie IDC sehen in der Sicherheit im Umgang mit mobilen Geräten, Apps und Inhalten eine der aktuell größten Herausforderungen für deutsche Unternehmen.

Der Bedarf an Lösungen für mobile IT-Sicherheit ist hoch. Sämtliche Top-Bedrohungen gelten auch für mobile Endgeräte, die im Vergleich zu Desktop-Systemen immer noch schlechter abgesichert sind.
Foto: Bitkom

Nicht nur die wachsenden Bedrohungen aus dem Internet spielen dabei eine Rolle: Rund 80 Prozent der Unternehmen in Deutschland erwarten laut IDC in 2015 einen steigenden Einsatz von Smartphones und Tablets in ihrem Betrieb. Dabei haben erst knapp 47 Prozent der kleinen und mittelständischen Unternehmen Lösungen für die mobile IT-Sicherheit im Einsatz, wie eine Studie von techconsult ergab.

Wo die Bedürfnisse der mobilen Anwender liegen

Um passende Lösungen im Bereich Mobile Security anbieten zu können, sollten Systemhäuser und IT-Dienstleister betrachten, wo dem mobilen Anwender aktuell der Schuh drückt. Bei den kleinen und mittleren Unternehmen in Deutschland fehlen neben den mobilen Sicherheitslösungen auch Verschlüsselungslösungen und die Möglichkeit zur zentralen Verwaltung der mobilen Endgeräte (Mobile Device Management, MDM).

Dabei sollen die Sicherheitslösungen so einfach wie möglich im Ausrollen, im Management und im Support sein. Zudem scheuen die befragten Unternehmen den Einsatz von Lösungen vieler verschiedener Hersteller, sie möchten sich auf ein bis zwei Anbieter beschränken.

Wie IDC betont, werden Managed Security Services aufgrund der wachsenden Komplexität zunehmend attraktiv. Benötigt wird eine durchgehende IT-Sicherheit für alle mobilen Endgeräte, wobei die Marktforscher Sicherheitsfunktionen nennen wie Anti-Malware, Verschlüsselung, Rights Management, Remote Wipe oder App Blacklists, aber auch Maßnahmen für ein Disaster Recovery.

40 Prozent der Unternehmen prüfen den Code mobiler Apps nicht auf Schwachstellen, bevor sie diese für die Mitarbeiterinnen und Mitarbeiter freigeben.
Foto: IBM

Ein geeignetes Mobile Security Portfolio lässt sich auch daran erkennen, dass die wesentlichen Bedrohungen im mobilen Bereich adressiert werden. Entsprechende Übersichten bietet zum Beispiel OWASP Top 10 Mobile Risks und die Top Ten Smartphone Risks von ENISA (European Union Agency for Network and Information Security).

Vom Anwender benötigt und für ein Mobile Security-Portfolio geeignet sind deshalb insbesondere Services für MDM, mobiles Anti-Malware und die Trennung privater und betrieblicher Daten auf mobilen Geräten.

Mobile Device and Application Management

Wie zum Beispiel eine aktuelle IBM-Studie zeigt, fehlt in vielen Unternehmen die regelmäßige Kontrolle der mobilen Apps, die auf den Tablets und Smartphones aktiv sind. Nur 15 Prozent der befragten Unternehmen machen bereits die notwendigen Sicherheitsprüfungen. Ohne eine Kontrolle der Geräte und Apps jedoch liefern sich die Unternehmen dem Risiko aus, dass bösartige oder zumindest unsichere Apps vertrauliche Daten preisgeben.

Mit einer Lösung wie AVG Managed Workplace MDM oder Sophos Mobile Control lassen sich die mobilen Endgeräte der Kunden verwalten, werden mögliche Sicherheitsprobleme der Geräte in einem Dashboard dargestellt, lassen sich Sicherheitsvorgaben auf die verwalteten Geräte ausrollen, können verlorene Geräte gesperrt oder aus der Ferne gelöscht und verschiedene Kundenkonfigurationen bei den Geräten abgebildet und umgesetzt werden.

Im Jahr 2014 waren im Durchschnitt 11,6 Millionen mobile Endgeräte mit Schadsoftware verseucht.
Foto: IBM

Abwehr mobiler Attacken

Security Services, die Angriffe auf mobile Endgeräte erkennen und abwehren können, lassen sich meist mit den MDM-Funktionen kombinieren. Dies ist bei den zuvor genannten Lösungen von AVG und Sophos ebenso möglich wie bei G DATA Managed Endpoint Security, Webroot SecureAnywhere, Zscaler Mobile Security und Junos Pulse Mobile Security Suite.

Neben der Verwaltung mobiler Endgeräte und Apps können Systemhäuser und IT-Dienstleister mit entsprechenden Mobile-Security-Plattformen z.B. einen Anti-Malware-Schutz, einen Anti-Spam-Schutz, eine mobile Firewall und einen Web-Filter anbieten.

Eine Abschirmung mobiler Geräte gegen Malware, Spam, bösartige Links und gefährliche Apps bieten auch Cloud-basierte Dienste wie F-Secure Protection Service for Business, secucloud Mobile Security und Trend Micro Worry-Free Business Security. Systemhäuser können damit ihren Kunden einen Smartphone- und Tablet-Schutz aus der Cloud anbieten.

Zwischen BYOD und CYOD

Ein hoher Schutzbedarf besteht auch bei Unternehmen, die private Endgeräte betrieblich nutzen lassen (BYOD, Bring your own device) oder dem Beschäftigten die Wahl des mobilen Endgerätes überlassen (CYOD, Choose your own device). Laut der zuvor genannten IBM-Studie erlauben 55 Prozent der befragten Unternehmen das Herunterladen von Geschäftsanwendungen auf private Geräte.

IDC-Ergebnisse besagen, dass deutsche Unternehmen durch BYOD- oder CYOD-Konzepte in den kommenden Monaten verstärkt auf die Wünsche der Mitarbeiter eingehen werden, aber die IT-Sicherheit nicht gefährden wollen. Diese Unternehmen suchen deshalb nach Security-Lösungen, die private und dienstliche Daten und Anwendungen sauber trennen können.

Eine Lösung wie Sophos Mobile Control oder MaaS360 Secure Productivity Suite macht es möglich, passende Mobile Security Services zu offerieren und Anwenderunternehmen dabei zu unterstützen, BYOD oder CYOD-Projekte abzusichern.

Mobile Security
Was Unternehmen erwarten
Einer Studie von IDC Deutschland zufolge erwarten sich deutsche Unternehmen vom Einsatz von Mobilsystemen handfeste wirtschaftliche Vorteile. Eine höhere Zufriedenheit von Mitarbeitern spielt eine untergeordnete Rolle.
Hürden in Sachen Mobility
Einer Umfrage von Citrix unter IT-Fachleuten zufolge sind potenzielle Sicherheitsrisiken ein Grund dafür, dass Mobility-Strategien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden.
Apple vor Android
Apples iOS knapp vor Android: In Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz waren nach einer Untersuchung der Beratungsfirma Pierre Audoin Consultants (PAC) im vergangenen Jahr im Schnitt 2,4 Mobilbetriebssysteme im Einsatz. Auch Blackberry hielt sich trotz der wirtschaftlichen Probleme des Herstellers RIM beachtlich.
Länderverteilung
Nach Angaben des Marktforschungsinstituts PAC setzen deutsche Firmen vor allem auf Mobilgeräte mit Apples Betriebs iOS und Android-Systeme. Immer noch stark vertreten ist RIM mit Blackberry.
Strikte Regeln
PAC zufolge bestehen vor allem deutsche Unternehmen auf strikten Regeln bei der Nutzung mobiler Geräte und dem Umfang mit entsprechenden Daten.
App-Regeln
Viele Firmen verzichten darauf, Regeln für die Nutzung von Apps auf Mobilgeräten zu definieren. Im Gegensatz dazu existieren in den meisten Organisationen Vorgaben, welche Mobilsysteme verwendet werden dürfen.
Private Apps
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen.
Der Citrix-Ansatz
Mit MDX von Citrix kann ein User von seinem Mobilgerät aus über ein Virtual Private Networks auf Daten und Anwendungen im Firmenrechenzentrum zugreifen. Die Apps und lokalen Daten auf dem Mobilsystem werden mithilfe von Wrapping und Containern geschützt.
Schutzwirkung
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend.
Zugriffs-Policies
Eine Beispiel für abgestufte Zugriffsregelungen für Nutzer von Mobilgeräten: Nutzer von Android-Geräten mit dem Original-Betriebssystem und MDM können auf weniger IT-Ressourcen zugreifen als User von Android-Systemen, deren Betriebssystem-Kernel für ein umfassendes Remote-Management modifiziert wurde.
Pro und Contra
Vor- und Nachteile unterschiedlicher Mobile-Security-Verfahren aus Sicht des amerikanischen Mobility-Spezialisten Mobile Spaces
Die Techniken
Unterschiedliche Ansätze: Um mobile Applikationen und Daten auf sichere Weise bereitzustellen, haben IT-Abteilungen die Wahl zwischen einer Vielzahl von Verfahren. Etliche, etwa das Wrapping von Anwendungen, erfordern teilweise den Einsatz von Software Development Kits (SDKs) und Eingriffe in den Programmcode von Applikationen.
Urteil des Fachmanns
Rüdiger Trost, Sicherheitsfachmann von F-Secure: "Zu einer Mobile-Security-Strategie gehören nicht nur Container für Apps und Daten, sondern auch die Absicherung der Verbindungen zwischen Mobilgerät und Firmennetz sowie speziell abgesicherte Online-Plattformen für den Datenaustausch zwischen Mitarbeitern."

Die genannten Lösungen für MDM, Mobile Security und BYOD / CYOD zeigen beispielhaft, dass der Security-Anbietermarkt passende Services vorhält, um den Anwenderwünschen und den Risiken gleichermaßen gerecht zu werden. Da der Anbietermarkt ebenso dynamisch ist wie die Risikolage für mobile Endgeräte, wird ChannelPartner den Markt weiter beobachten und kommentieren. (rw)