Welcher Kunde braucht welche Lösung?
In einem waren sich alle Hersteller und Security-Distributoren einig: Es kommt nicht auf die Größe des Kunden an, jeder braucht eine ausgereifte und reich ausgestattete Mobile-Security-Lösung. "Entscheidend ist, welches Sicherheitsniveau ein Unternehmen anstrebt", differenziert Krause von Westcon Security. ."Kleine Betriebe neigen dazu, Smartphones einfach in bestehende Endpoint-Security-Systeme einzubinden; mittelständische Firmen sind eher bereit, in dedizierte Mobile-Security- und Mobile-Management-Lösungen zu investieren." Denn nur mit Letzteren lassen sich laut Krause Smartphones zentralisiert verwalten sowie die darauf befindlichen Daten sichern und im Notfall auch löschen.
Die gleiche Ansicht vertritt Sascha Plathen von McAfee, weist aber im gleichen Atemzug auf die in größeren Unternehmen grundsätzlich größere Gerätevielfalt hin. Deshalb müssten unterschiedliche Betriebssysteme unter die Lupe genommen werden. "Schlussendlich ist jedes mobiles Gerät nichts anderes als ein weiterer Endpunkt", merkt der McAfee-Manager an und empfiehlt deshalb, Insellösungen nur für Smartphones und Tablets zu vermeiden. Denn nur mit einem alle Endgeräte umfassenden Security-System ist ein durchgängiges Sicherheitskonzept umsetzbar. Unternehmen mit mehr als 50 Mitarbeitern empfiehlt Kaspersky-Mann Recha ein MDM-System (Mobile Device Management). In Kombination mit passender Schutzsoftware kann ein Reseller die mobile Infrastruktur seines Kunden wirksam verwalten und ihn vor Datenverlust bewahren.
- Sylke Baumann, Sourcefire: "Großes Wachstumspotenzial für mobile Sicherheit"
- Stefan Bichler, Infinigate: "Mobile Daten gehören verschüsselt"
- Mathias Wenig, Symantec: "Neue Sicherheits- und Sicherungskonzepte für mobile Daten"
- Klaus Jetter, F-Secure: "Neuartige mobile Bedrohungen"
- Thomas Mammitzsch, Infoblox: "Neue Sicherheitsrisiken durch Smartphones und PDAs"
- Notebooks und Smartphones müssen im LAN und außerhalb vor Gefahren geschützt werden
- ex-Juniper-Manager, Sepp Lausch: "Viele Eltern wissen nicht, was ihre Kinder so mit dem Handy treiben"
- Vertrauliche Daten auf Laptops sollte stets verschlüsselt werden
Für Kroll von Symantec kommt es darauf an, welche Anwendungen die Mitarbeiter auf ihren mobilen Endgeräten nutzen und auf welche Informationen sie mit diesen Geräten zugreifen dürfen. Falls es hier einen erweiterten Spielraum geben soll, dann kommt man an einer Mobile Management Suite nicht vorbei, meint Kroll. Durch entsprechende Identifizierung kontrolliert diese Software den Zugriff der User auf freigegebene Apps; außerdem schützt sie diese Apps und die dort durchgeschleusten Daten vor Missbrauch.
Foto: Westcon Security
Natürlich kann der externe Dienstleister mit einem derartigen System auch private, geschäftlich genutzte Tablets und Smartphones auch aus der Ferne kontrollieren. Wer auf welche Daten und Apps zugreifen darf, das regeln die einmal festgezurrten Unternehmensrichtlinien. Und natürlich sollte eine derartige Management Suite mobile Endgeräte auch vor allen möglichen Bedrohungen schützen. Vor ihnen sind laut Kroll insbesondere Android- und Window-8-Devices nicht gefeit.
In diesem Zusammenhang weist McAfees Channel-Chef Plathen auf die gesetzlichen Anforderungen ("Compliance") noch vor dem eigentlichen Netzwerkzugang hin, wonach sich schlussendlich die Firmenrichtlinien richten müssen. Und sie müssen nicht nur dafür sorgen, dass mobile Endgeräte gegen Malware immun sind, auch alle darauf gespeicherten E-Mails, Kalender- und Kontakteinträge müssen vor Missbrauch geschützt werden.
Manchmal reicht auch eine Einzelplatzlösung
Setzt der Kunde nur eine Handvoll mobiler Endgeräte ein, kann unter Umständen eine Einzelarbeitsplatzlösung mit integriertem Schutz ausreichen, so Udo Schneider von Trend Micro. Sobald jedoch eine zentrale Verwaltung oder Inventarisierung der Geräte notwendig wird, rät der Manager seinen Resellern zu gehosteten Mobile-Security-Lösungen, die in Kundenlandschaften mit bis 250 Endgeräten gute Dienste leisten.
In größeren Umgebungen kommt man (vorerst) um ein beim Kunden vor Ort installiertes System nicht herum. Hier überlässt Trend Micro den Vertriebspartnern die Entscheidung: Entweder sie wählen für ihren Kunden die Stand-alone-MDM-Lösung, oder sie integrieren diese als Plug-In in eine bestehende Endpoint-Protection-Infrastruktur.
Foto: McAfee
Eine etwas andere Meinung vertritt Uwe Rehwald, Channel-Chef bei G Data: "Oft verliert schon eine kleine Firma den Überblick über die an ihr Netz angebunden Mobilgeräte - von deren Absicherung ganz zu schweigen." Daher ist für Rehwald auch bei diesen Kunden eine umfassende und zentral administrierbare Security-Lösung die erste Wahl. "So behalten die externen Dienstleister stets den Überblick über die Nutzung der mobilen Clients im Netzwerk, und sie können bei Bedarf eingreifen."
Klaus Jetter von F-Secure zieht die Obergrenze für gehostete Mobile-Security-Lösungen bei 150 Arbeitsplätzen: "Größere Unternehmen werden nach weitergehenden Policies verlangen. Dann sind spezielle Lösungen nötig - etwa zum Verhindern von Rooting (Übernahme der SysAdmin-Rechte) von Jailbraking (Aufbrechen des gehärteten mobilen Betriebssystems, beispielsweise iOS) und von Wiping (Löschen aller Apps und Daten auf dem Mobilgerät) beim Ausscheiden der Mitarbeiter aus dem Unternehmen. Wichtig ist aber immer auch ein zentrales Management."
Was man bereits im Vorfeld tun kann, damit die Daten im Unternehmens-LAN verbleiben, erklärt Andreas Krause von Westcon: "Der Trend geht ganz klar zu Container-Lösungen. Dabei werden die Business-Apps in einer speziell gekapselten Umgebung vorgehalten, was unter Sicherheits- und Compliance-Gesichtspunkten sehr attraktiv ist. Dieser Ansatz steht auch in Enterprise-Umgebungen hoch im Kurs. Allerdings ist die Zahl der Variablen zu groß, als dass man eine Standardlösung skizzieren könnte." Auf diese Weise könnten aber Geschäftsdaten wirksamer vor Diebstahl bewahrt werden.
Reputationsdienste, Anti-SMS-Spam und App-Kontrolle
Deswegen plädiert der VAD-Vertreter auch für über die Firewall und Anti-Malware hinausgehende Security-Features wie Reputationsdienste, Anti-SMS-Spam und App-Kontrolle. Natürlich müssen auch die Zugänge ins Firmen-LAN bewacht werden, "in der Regel über ein SSL- oder IPsec-VPN und starke Authentifizierung". Hinzu kommt die Absicherung der Anwendungen selbst, "etwa über App-Wrapping oder App-Tunneling".
Foto: ChannelPartner
Genauso wie Jetter hält auch Krause viel von der automatischen Löschfunktion bei ausscheidenden Mitarbeitern ("Wiping"). Die Verschlüsselung der Daten auf den mobilen Devices erscheint da schon fast selbstverständlich, und natürlich sollten all diese Geräte mithilfe eines DLP-Systems (Data Loss Prevention) überwacht werden,
Auch die Güte der Passwörter sollte zentral festgelegt sein, meint Schneider von Trend Micro: "Auf den privaten, potenziell unsicheren Geräten landen oft sensible Informationen." Umso wichtiger ist, dass diese steht verschlüsselt und bei Verlust des Geräts oder Ausscheiden des Mitarbeiters auch remote entfernt werden. Beruflich genutzte Handys sollten laut Schneider stets auch einen Anruffilter beinhalten, um unerwünschte Telefonate von vornherein zu unterbinden. Smartphones, die manipuliert wurden, sollten vom Firmen-LAN sofort abgeklemmt werden, so Schneider weiter. "Ansonsten würden diese nicht dementsprechend überwachten Geräte ein unkalkulierbares Risiko bilden."
Zentral, von einer Konsole aus zu verwaltende Mobile-Security-Plattformen sollten außerdem mit allen gängigen Betriebssystemen zurechtkommen, also nicht nur mit Android und iOS, sondern auch mit Symbian, RIM BlackBerry und Windows Mobile/8. "Gerade bei privaten beruflich genutzten Endgeräten ist es in der Regel. illusorisch, den Mitarbeitern bestimmte Smartphones oder Tablets vorzuschreiben. Um hier einer möglichen Lücke in der Abdeckung zu entgehen, ist eine breite Plattformunterstützung notwendig", meint der Trend-Micro-Manager.
Für Recha von Kaspersky Lab ist die Entfernung der SIM-Karte bereits Anlass genug, das dazugehörige Gerät fürs Firmen-LAN zu sperren. Außerdem sollten beruflich genutzte Smartphones stets ihren Standort bestimmen und diesen dem Systemadministrator in regelmäßigen Abständen mitteilen. So lässt sich ein verloren gegangenes oder gestohlenes Gerät leichter als solches identifizieren und vielleicht sogar wieder auffinden. Cloud-basierte Komponenten gegen Malware sind den on-premise-installierten wegen der sogenannnten "Zero-Day-Bedrohungen" vorzuziehen, und natürlich sollten diese Systeme mehrere Erkennungsebenen aufweisen.
"Ein einfacher Virenschutz reicht bei mobilen Endgeräten nicht aus", argumentiert Lars Kroll von Symantec. Auch in Sachen Mobile Security sollten Reseller ihren Kunden eine auf ihre Anforderungen zugeschnittene Kombination von Sicherheitslösungen verkaufen: Funktionen wie Fernlöschung, rollenbasierter Datenzugriff, Zertifikatsverwaltung, Konfigurationssteuerung, Inventarisierung und Versionskontrolle der Applikationen. Ferner legt der Symantec-Manager seinen Resellern ans Herz, die Belegschaft ihrer Kunden mit ins Boot zu nehmen: "Nur wenn die Mitarbeiter für die Gefahren sensibilisiert sind, werden sie die Notwendigkeit der Sicherheitsrichtlinien einsehen und sie aktiv umsetzen, um die Daten auf ihren mobilen Endgeräten sicher zu halten."
Bei der Fernüberwachung der Handys hegt Jetter von F-Secure Bedenken, was den Datenschutz betrifft: "Nicht alles technisch Mögliche ist auch erlaubt." Eine Mobile-Security-Lösung sollte einen Echtzeitschutz beim Surfen einschließen", ergänzt Uwe Rehwald von G Data. (rw)