Umsatzbringer Mobile Security

Immer mehr Mitarbeiter bringen ihre eigenen privaten mobilen Endgeräte mit in die Firma und wollen mit ihren Smartphones oder Tablets ins Unternehmens-LAN. ChannelPartner hat sich bei Security-Anbietern umgehört, was sie Resellern in einem solchen Fall empfehlen.

Für Lars Kroll, Mobile-Security-Experte bei Symantec, ist die Sache entschieden: Smartphones und Tablets sind in den Firmennetzwerken genauso zu behandeln wie Notebooks und Desktop-PCs. Denn über diese "neuen" mobilen Endgeräte greifen Mitarbeiter immer öfter wie selbstverständlich auf oft sensible und geschäftskritische Daten zu. Nach Ansicht von Kroll haben Unternehmen bisher kaum Sicherheitsvorkehrungen für diese mobile Endgeräte getroffen, "erst recht nicht, wenn es sich um die privaten Geräte der Mitarbeiter handelt".

Was die arrivierten Security-Hersteller zum Thema BYOD zu sagen haben:

Andreas Krause, Vertriebsleiter Deutschland bei Westcon Security: "Kleine Betriebe neigen dazu, Smartphones einfach in die bestehende Endpoint-Security einzubinden."

Sascha Plathen, McAfee: ""Mobile Geräte müssen nach den Sicherheitsrichtlinien des Kunden konfiguriert werden." (bearbeitet, bitte nehmen)

Udo Schneider, Senior PR-Manager PR D-A-CH bei Trend Micro: "Beim Einpflegen neuer Geräte sind viele Kunden auf Hilfe der Reseller angewiesen."

Klaus Jetter, Country Manager D-A-CH & CEE bei F-Secure: "Eine SaaS-Lösung erlaubt einfaches Management und schnelle Signatur-Updates."

Armin Recha - Corporate Sales Manager Kaspersky Lab: "Mobile-Security-Lösungen sollten Diebstahlschutz, Anti-Malware und Verschlüsselung abdecken."

Lars Kroll, Mobile Security Experte bei Symantec: ""Ein einfacher Antivirenschutz reicht nicht aus."

Udo Schillings, Vertriebs- und Marketingleiter bei ADN: "Je größer das Unternehmen, desto wichtiger wird das Managerment von Mobile-Security-Lösungen"

Ähnlich äußert sich Armin Recha, Director Corporate Sales bei Kaspersky Lab D-A-CH: "Da mobile Geräte durch ihre große Flexibilität mittlerweile nicht nur privat, sondern auch in Unternehmen immer beliebter werden, müssen Reseller auch penibel darauf achten, dass Smartphones und Tablets ihrer Kunden die annähernd gleichen Sicherheitsstandards aufweisen wie herkömmliche PCs."

Für Udo Schneider, Senior-PR-Manager bei Trend Micro, stellen die mobilen Devices sogar eine Art Trojanisches Pferd dar: "Nachdem man erst versucht hat, durch das erlaubte Einbringen privater mobiler Endgeräte in eine Firmenumgebung einen Anreiz für Mitarbeiter zu schaffen und nebenbei auch noch Geld zu sparen, merkt man jetzt auf einmal, dass vertraute Sicherheitsmechanismen versagen."

Klaus Jetter, Country Manager D-A-CH & CEE bei F-Secure, geht mit seiner Analyse der Ist-Situation noch tiefer: "Auf der hochmobilen C-Level-Etage ist das Smartphone ein Must-have. Bei der oft auch halb privaten Nutzung ihrer Smartphones stellen CEOs häufig Effektivität und Erreichbarkeit über die Sicherheit." Das hat kürzlich sogar unser Bundeswirtschaftsminister Philipp Rösler zugegeben: "Jeder weiß, dass wir unsere privaten Telefone benutzen, obwohl es verboten ist", so der FDP-Chef während seines USA-Aufenthalts zu Christy Wyatt, der Präsidentin von Good Technology, einem Anbieter von Mobile-Device-Management-Systemen.

Kunden sind bereit zu investieren

Dennoch spricht vieles für den Einsatz der privaten Endgeräte der Mitarbeiter in den Unternehmensnetzen: "Menschen kommen mit ihren vertrauten privaten Smartphones und Tablets einfach besser zurecht und sind damit produktiver und besser erreichbar", argumentiert beispielsweise Andreas Krause, Vertriebsleiter beim VAD Westcon Security. Seiner Ansicht nach müssen daher IT-Abteilungen beziehungsweise die mit dieser Aufgabe betrauten externen Dienstleister für die nötigte Infrastruktur sorgen. "Unter Sicherheitsgesichtspunkten wirft das unzählige Fragen auf - und das schlägt sich eben auch in einer hohen Investitionsbereitschaft der Kunden nieder", glaubt Krause.

Uwe Rehwald, Leiter des Partnervertriebs bei G Data, weist auf eine neue Entwicklung bei der Nutzung von Smartphones und Tablets in Unternehmensnetzen hin. Seiner Meinung nach steigt nicht nur die Zahl der mobilen Endgeräte im LAN, auch das Anschaffungsverhalten der Kunden ändert sich. Waren zum Beginn des BYOD-Booms hauptsächlich Apple-Devices beliebt, so stieg laut Gartner der Anteil der Android-Plattform im ersten Quartal 2013 auf fast 75 Prozent an.

Und hier wittern alle Security-Software-Anbieter ihre große Chance. Galten iPhones und iPads noch als relativ sicher, so sieht es bei Smartphones und Tablets mit dem Google-Betriebssystem schon völlig anders aus. "Allein in den ersten drei Monaten dieses Jahres haben wir mehr als 181.000 neue Android-Schädlinge gezählt", berichtet der G-Data-Manager. Rehwald meint, dass dahinter Cyber-Kriminelle stecken, die sensible Firmeninformationen stehlen oder sich Zugang zum Unternehmensnetzwerk verschaffen wollen. "Kritische Unternehmensdaten müssen daher immer geschützt sein, egal ob auf dem Smartphone oder am PC", postuliert Recha von Kaspersky.

Unternehmen sind sich der Gefahren nicht bewusst

Sascha Plathen, Manager Channel Sales Central Europe bei McAfee, weist auf die sich rasch verschärfende Gefahrenlage im mobilen Sektor hin: "95 Prozent aller bekannten mobilen Schadprogramme tauchten erst voriges Jahr auf." Dass mobile Geräte und Anwendungen immer stärker ins Visier von Cyber-Kriminellen geraten, ist seiner Erfahrung nach den meisten Kunden noch gar nicht bewusst.

McAfee-Manager Plathen rät Resellern, ihre Kunden auf diese Gefahrenlage aufmerksam zu machen. Seiner Meinung nach gilt es in erster Linie darum, die auf mobilen Geräten befindlichen Informationen, einschließlich Passwörtern und Adressbüchern, vor Diebstahl zu schützen. "Mobile Sicherheit wird deshalb eine immer wichtigere Rolle in der Security-Strategie von Unternehmen spielen", so Plathen gegenüber ChannelPartner.

Für den Trend-Micro-Manager Schneider ist die Sache klar: Alles wäre heute viel einfacher, wenn man von Anfang klare Grenzen bei der Nutzung der privaten Endgeräte im LAN gesetzt hätte. Denn das früher vom Unternehmen dem Arbeitnehmer zur Verfügung gestellte ITK-Equipment war aus sicherheitsrelevanten Erwägungen "zugenagelt" - keine USB-Schnittstelle, kein externes Laufwerk, kein E-Mail-Zugang. "Das ist bei privaten Geräten nun nicht mehr möglich", so Schneider weiter. "Diese Devices sind zwischenzeitlich mit einer Unmenge an Apps bestückt und daher einem sehr hohen Malware-Risiko ausgesetzt."

Letzteres bestätigt auch Symantec-Manager Kroll: "Mobiler Schadcode stieg 2012 um 58 Prozent an, bei 32 Prozent der Angriffe auf mobile Geräte stand der Diebstahl von Informationen wie E-Mail-Adressen und Telefonnummern im Vordergrund", zitiert der Security-Experte aus einer Symantec-eigenen Datenerhebung.

Vielen Urlaubern ist der hoteleigene Internet-Zugang zu teuer und da greifen sie lieber auf dubiose WLAN-Angebote

Diese Frau weiß Bescheid: "Finger weg von diesem Hotspot!"

Urlaubszeit ist WiFi-Zeit, doch man sollte beim Surfen vorsichtig sein.

Mobile Endgeräte sollte man nie unbeaufsichtigt lassen, beispielsweise im Restaurant oder am Strand

Besonders im Urlaub ist es wichtig, dass mobile Geräte gut abgesichert sind

Mobiler Malware-Schutz zählt für Android-Nutzer zum Pflichtprogramm

Vor allem bei Auslandsreisen zieht es Nutzer an öffentliche Hotspots

Das Notieren von Sperrnummern für Kreditkarten vor dem Urlaub ist Pflicht

Manch eine Website birgt eine unerfreuliche "Überraschung"

Kreditkarten-Informationen haben im WLAN nichts verloren

Auch um Urlaub sollte man beim Online-Shoppen Vorsicht walten lassen

"Hier sind wir sicher!"

Cyber-Kriminelle schnüffeln drahtlos übertragene Daten aus

War wohl doch keine gute Idee, diesen Hotspot vertraut zu haben!

Viele Mitarbeiter nutzen die Mittagspause für den Besuch des Lieblings-Cafés, doch beim drahtlosen Surfen dort sollten sie sich zurückhalten.

Auch von "offiziellen" Hotspots kann Gefahr drohen

Kurz noch die E-Mails checken, was aber, wenn Cyber-Kriminelle mitlesen?

Via VPN kann man auch vom See sicher ins Firmen-LAN.

Welcher Kunde braucht welche Lösung?

In einem waren sich alle Hersteller und Security-Distributoren einig: Es kommt nicht auf die Größe des Kunden an, jeder braucht eine ausgereifte und reich ausgestattete Mobile-Security-Lösung. "Entscheidend ist, welches Sicherheitsniveau ein Unternehmen anstrebt", differenziert Krause von Westcon Security. ."Kleine Betriebe neigen dazu, Smartphones einfach in bestehende Endpoint-Security-Systeme einzubinden; mittelständische Firmen sind eher bereit, in dedizierte Mobile-Security- und Mobile-Management-Lösungen zu investieren." Denn nur mit Letzteren lassen sich laut Krause Smartphones zentralisiert verwalten sowie die darauf befindlichen Daten sichern und im Notfall auch löschen.

Die gleiche Ansicht vertritt Sascha Plathen von McAfee, weist aber im gleichen Atemzug auf die in größeren Unternehmen grundsätzlich größere Gerätevielfalt hin. Deshalb müssten unterschiedliche Betriebssysteme unter die Lupe genommen werden. "Schlussendlich ist jedes mobiles Gerät nichts anderes als ein weiterer Endpunkt", merkt der McAfee-Manager an und empfiehlt deshalb, Insellösungen nur für Smartphones und Tablets zu vermeiden. Denn nur mit einem alle Endgeräte umfassenden Security-System ist ein durchgängiges Sicherheitskonzept umsetzbar. Unternehmen mit mehr als 50 Mitarbeitern empfiehlt Kaspersky-Mann Recha ein MDM-System (Mobile Device Management). In Kombination mit passender Schutzsoftware kann ein Reseller die mobile Infrastruktur seines Kunden wirksam verwalten und ihn vor Datenverlust bewahren.

Sylke Baumann, Sourcefire: "Großes Wachstumspotenzial für mobile Sicherheit"

Stefan Bichler, Infinigate: "Mobile Daten gehören verschüsselt"

Mathias Wenig, Symantec: "Neue Sicherheits- und Sicherungskonzepte für mobile Daten"

Klaus Jetter, F-Secure: "Neuartige mobile Bedrohungen"

Thomas Mammitzsch, Infoblox: "Neue Sicherheitsrisiken durch Smartphones und PDAs"

Notebooks und Smartphones müssen im LAN und außerhalb vor Gefahren geschützt werden

ex-Juniper-Manager, Sepp Lausch: "Viele Eltern wissen nicht, was ihre Kinder so mit dem Handy treiben"

Vertrauliche Daten auf Laptops sollte stets verschlüsselt werden

Für Kroll von Symantec kommt es darauf an, welche Anwendungen die Mitarbeiter auf ihren mobilen Endgeräten nutzen und auf welche Informationen sie mit diesen Geräten zugreifen dürfen. Falls es hier einen erweiterten Spielraum geben soll, dann kommt man an einer Mobile Management Suite nicht vorbei, meint Kroll. Durch entsprechende Identifizierung kontrolliert diese Software den Zugriff der User auf freigegebene Apps; außerdem schützt sie diese Apps und die dort durchgeschleusten Daten vor Missbrauch.

Natürlich kann der externe Dienstleister mit einem derartigen System auch private, geschäftlich genutzte Tablets und Smartphones auch aus der Ferne kontrollieren. Wer auf welche Daten und Apps zugreifen darf, das regeln die einmal festgezurrten Unternehmensrichtlinien. Und natürlich sollte eine derartige Management Suite mobile Endgeräte auch vor allen möglichen Bedrohungen schützen. Vor ihnen sind laut Kroll insbesondere Android- und Window-8-Devices nicht gefeit.

In diesem Zusammenhang weist McAfees Channel-Chef Plathen auf die gesetzlichen Anforderungen ("Compliance") noch vor dem eigentlichen Netzwerkzugang hin, wonach sich schlussendlich die Firmenrichtlinien richten müssen. Und sie müssen nicht nur dafür sorgen, dass mobile Endgeräte gegen Malware immun sind, auch alle darauf gespeicherten E-Mails, Kalender- und Kontakteinträge müssen vor Missbrauch geschützt werden.

Manchmal reicht auch eine Einzelplatzlösung

Setzt der Kunde nur eine Handvoll mobiler Endgeräte ein, kann unter Umständen eine Einzelarbeitsplatzlösung mit integriertem Schutz ausreichen, so Udo Schneider von Trend Micro. Sobald jedoch eine zentrale Verwaltung oder Inventarisierung der Geräte notwendig wird, rät der Manager seinen Resellern zu gehosteten Mobile-Security-Lösungen, die in Kundenlandschaften mit bis 250 Endgeräten gute Dienste leisten.

In größeren Umgebungen kommt man (vorerst) um ein beim Kunden vor Ort installiertes System nicht herum. Hier überlässt Trend Micro den Vertriebspartnern die Entscheidung: Entweder sie wählen für ihren Kunden die Stand-alone-MDM-Lösung, oder sie integrieren diese als Plug-In in eine bestehende Endpoint-Protection-Infrastruktur.

Eine etwas andere Meinung vertritt Uwe Rehwald, Channel-Chef bei G Data: "Oft verliert schon eine kleine Firma den Überblick über die an ihr Netz angebunden Mobilgeräte - von deren Absicherung ganz zu schweigen." Daher ist für Rehwald auch bei diesen Kunden eine umfassende und zentral administrierbare Security-Lösung die erste Wahl. "So behalten die externen Dienstleister stets den Überblick über die Nutzung der mobilen Clients im Netzwerk, und sie können bei Bedarf eingreifen."

Klaus Jetter von F-Secure zieht die Obergrenze für gehostete Mobile-Security-Lösungen bei 150 Arbeitsplätzen: "Größere Unternehmen werden nach weitergehenden Policies verlangen. Dann sind spezielle Lösungen nötig - etwa zum Verhindern von Rooting (Übernahme der SysAdmin-Rechte) von Jailbraking (Aufbrechen des gehärteten mobilen Betriebssystems, beispielsweise iOS) und von Wiping (Löschen aller Apps und Daten auf dem Mobilgerät) beim Ausscheiden der Mitarbeiter aus dem Unternehmen. Wichtig ist aber immer auch ein zentrales Management."

Was man bereits im Vorfeld tun kann, damit die Daten im Unternehmens-LAN verbleiben, erklärt Andreas Krause von Westcon: "Der Trend geht ganz klar zu Container-Lösungen. Dabei werden die Business-Apps in einer speziell gekapselten Umgebung vorgehalten, was unter Sicherheits- und Compliance-Gesichtspunkten sehr attraktiv ist. Dieser Ansatz steht auch in Enterprise-Umgebungen hoch im Kurs. Allerdings ist die Zahl der Variablen zu groß, als dass man eine Standardlösung skizzieren könnte." Auf diese Weise könnten aber Geschäftsdaten wirksamer vor Diebstahl bewahrt werden.

Reputationsdienste, Anti-SMS-Spam und App-Kontrolle

Deswegen plädiert der VAD-Vertreter auch für über die Firewall und Anti-Malware hinausgehende Security-Features wie Reputationsdienste, Anti-SMS-Spam und App-Kontrolle. Natürlich müssen auch die Zugänge ins Firmen-LAN bewacht werden, "in der Regel über ein SSL- oder IPsec-VPN und starke Authentifizierung". Hinzu kommt die Absicherung der Anwendungen selbst, "etwa über App-Wrapping oder App-Tunneling".

Genauso wie Jetter hält auch Krause viel von der automatischen Löschfunktion bei ausscheidenden Mitarbeitern ("Wiping"). Die Verschlüsselung der Daten auf den mobilen Devices erscheint da schon fast selbstverständlich, und natürlich sollten all diese Geräte mithilfe eines DLP-Systems (Data Loss Prevention) überwacht werden,

Auch die Güte der Passwörter sollte zentral festgelegt sein, meint Schneider von Trend Micro: "Auf den privaten, potenziell unsicheren Geräten landen oft sensible Informationen." Umso wichtiger ist, dass diese steht verschlüsselt und bei Verlust des Geräts oder Ausscheiden des Mitarbeiters auch remote entfernt werden. Beruflich genutzte Handys sollten laut Schneider stets auch einen Anruffilter beinhalten, um unerwünschte Telefonate von vornherein zu unterbinden. Smartphones, die manipuliert wurden, sollten vom Firmen-LAN sofort abgeklemmt werden, so Schneider weiter. "Ansonsten würden diese nicht dementsprechend überwachten Geräte ein unkalkulierbares Risiko bilden."

Zentral, von einer Konsole aus zu verwaltende Mobile-Security-Plattformen sollten außerdem mit allen gängigen Betriebssystemen zurechtkommen, also nicht nur mit Android und iOS, sondern auch mit Symbian, RIM BlackBerry und Windows Mobile/8. "Gerade bei privaten beruflich genutzten Endgeräten ist es in der Regel. illusorisch, den Mitarbeitern bestimmte Smartphones oder Tablets vorzuschreiben. Um hier einer möglichen Lücke in der Abdeckung zu entgehen, ist eine breite Plattformunterstützung notwendig", meint der Trend-Micro-Manager.

Für Recha von Kaspersky Lab ist die Entfernung der SIM-Karte bereits Anlass genug, das dazugehörige Gerät fürs Firmen-LAN zu sperren. Außerdem sollten beruflich genutzte Smartphones stets ihren Standort bestimmen und diesen dem Systemadministrator in regelmäßigen Abständen mitteilen. So lässt sich ein verloren gegangenes oder gestohlenes Gerät leichter als solches identifizieren und vielleicht sogar wieder auffinden. Cloud-basierte Komponenten gegen Malware sind den on-premise-installierten wegen der sogenannnten "Zero-Day-Bedrohungen" vorzuziehen, und natürlich sollten diese Systeme mehrere Erkennungsebenen aufweisen.

"Ein einfacher Virenschutz reicht bei mobilen Endgeräten nicht aus", argumentiert Lars Kroll von Symantec. Auch in Sachen Mobile Security sollten Reseller ihren Kunden eine auf ihre Anforderungen zugeschnittene Kombination von Sicherheitslösungen verkaufen: Funktionen wie Fernlöschung, rollenbasierter Datenzugriff, Zertifikatsverwaltung, Konfigurationssteuerung, Inventarisierung und Versionskontrolle der Applikationen. Ferner legt der Symantec-Manager seinen Resellern ans Herz, die Belegschaft ihrer Kunden mit ins Boot zu nehmen: "Nur wenn die Mitarbeiter für die Gefahren sensibilisiert sind, werden sie die Notwendigkeit der Sicherheitsrichtlinien einsehen und sie aktiv umsetzen, um die Daten auf ihren mobilen Endgeräten sicher zu halten."

Bei der Fernüberwachung der Handys hegt Jetter von F-Secure Bedenken, was den Datenschutz betrifft: "Nicht alles technisch Mögliche ist auch erlaubt." Eine Mobile-Security-Lösung sollte einen Echtzeitschutz beim Surfen einschließen", ergänzt Uwe Rehwald von G Data. (rw)