Inhalt
IT Sicherheit – Schutz für und vor mobilen Endgeräten
Die jüngste Entwicklung während der weiterhin anhaltenden Corona-Pandemie ist das Homeoffice. Die Beschäftigten arbeiten ganz bewusst außerhalb ihrer festen Arbeitsstätte. Sie kommen nicht umhin, Zugang zur IT ihrer Firma zu erlangen. Bildlich wird die an sich hermetisch abgeregelte Tür ganz gezielt und einen Spalt weit geöffnet. Doch das reicht dazu aus, dass sich auch ungebetene Gäste Zutritt verschaffen. Die Sicherheit der IT wird löcherig und im schlimmsten Fall das Ziel für Cyberkriminalität.
Sind die Cyberkriminellen einmal drin, dann sind sie kaum noch zu stoppen. Sie verschlüsseln die IT und legen sie komplett lahm, oder sie entpuppen sich als Erpresser und verlangen eine Lösegeldbezahlung als Gegenleistung für die Aushändigung des Schlüssels zum IT-Entschlüsseln.
Gefahren für mobile IT Sicherheit
Opfer von Cyberkriminellen werden vorwiegend mittelständische Unternehmen mit einer oftmals schwachen bis vernachlässigten IT Sicherheit. Doch auch Rechencenter bis hin zu Multikonzernen werden Cyberopfer, wie zwei Beispiele aus der jüngeren Vergangenheit zeigen.
Hackerangriffe aus unterschiedlichen Motiven
Im Dezember 2019 wurde die IT des Klinikums im bayerischen Fürth gehackt. Ursache war ein gezielt eingeführter beziehungsweise „eingeschleppter“ Trojaner. Die Klinikleitung sah sich veranlasst, vorübergehend von online auf offline umzuschalten. Damit war das Klinikum Fürth im wahrsten Sinne des Wortes lahmgelegt.
Ähnlich war die Situation im September 2020, dieses Mal am Uniklinikum Düsseldorf. Angeblich war es die Absicht der Cyberkriminellen, die Heinrich-Heine-Universität Düsseldorf zu hacken und zu erpressen. Als sie ihren Irrtum bemerkten, übermittelten sie den Schlüssel zum Entschlüsseln der Uniklinik-IT. Das ändert nichts an der Straftat, zumal die Staatsanwaltschaft ermittelt. Die Uniklinik Düsseldorf konnte eine Notfallpatienten nicht aufnehmen. Der verstarb auf der zusätzlich 30-minütigen Fahrt nach Wuppertal.
Viel mobile Geräte – viele Gefahren
Je höher die Zahl an BYODS, desto größer sind die damit verbundenen Risiken und Gefahren. BYOD steht für das englische bring your own device und ist ins Deutsche übersetzt das Integrieren von mobilen Geräten der Arbeitnehmer in das IT-Netzwerk des Unternehmens. Zu denen gehören überwiegend Notebook, Tablet und Smartphone. Ob im zwei-, drei- oder im vierstelligen Bereich für die Firma unterwegs; die mobilen Geräte selbst müssen einheitlich geschützt sein, und darüber hinaus auch deren Integration und Kommunikation mit der an sich sicheren und gesicherten Firmen-IT.
Endgerätebenutzer – Schwachpunkt Mensch
In das IT-Sicherheitskonzept müssen einerseits die mobilen Geräte selbst und andererseits auch deren Benutzer einbezogen werden. Sie sollten laufend geschult sowie informiert werden. Die technische Absicherung allein ist nicht ausreichend. Eine erhöhte Aufmerksamkeit des Einzelnen im Umgang mit seinem Endgerät und mit der Firmen-IT ist dringend vonnöten. Erst das Zusammenspiel des denkenden Menschen mit der Technik sorgt für ein Optimum an Sicherheit der Firmen-IT intern und extern. Mit unseren Partner IT-SEAL bieten wir kontinuierliche Awareness Kampagnen an.
Lösungsansätze zur Integration mobiler Endgeräte in das Unternehmensnetz
Container-Lösung
Der Betreiber von kritischen Infrastrukturen sollte auf den betreffenden mobilen Geräten voneinander trennen und regelrecht abschotten
- dienstliche Firmendaten
- private Daten sowie sonstige Anwendungen des Gerätebenutzers
Möglich wird das mit der Container-Lösung als einem Zwei-Systeme-Konzept. Der Container ist ganz allgemein ein abgeschlossener Behälter zum Transportieren von Fracht; in diesem Fall sind es Daten und Zugriffsmöglichkeiten.
- Die Container-Lösung sorgt geräteintern für eine strikte Trennung.
- So kann der Mitarbeiter über die private App auf seinem Endgerät nicht auf den gesicherten Firmenbereich zugreifen und Daten via Copy-and-paste in den eigenen, privaten Bereich ziehen.
- Anderweitige Anwendungen haben keinen Zugriff auf den Container und seine Firmeninhalte.
- Über WhatsApp sind keine Kontaktdaten auslesbar.
- Jegliche Unternehmensdaten sind zusätzlich verschlüsselt; einerseits bei der Übertragung, andererseits auf dem Mobilgerät.
- Der Zugriff auf Systeme wie Intranet oder wie Filesharing sind ausschließlich über einen abgesicherten Kanal möglich.
- Kommunikationsteilnehmer müssen sich bei und für jeden Zugriff identifizieren. Das geschieht wahlweise per PIN oder mit der Touch- respektive Face-ID Authentifizierung.
- Oftmals lückenhaft sind öffentliche Messenger wie WhatsApp. Hier erfolgt die Teilnehmererkennung per Telefonnummer. Wer sie benutzt, das lässt sich nicht feststellen.
Eine umfängliche Container-Lösung muss zwingend alle Funktionen für das mobile Arbeiten abdecken. Dazu gehören auf jeden Fall die Verschlüsselung von Messaging und von Telefonie, der gehärtete Internetbrowser sowie das sichere Filesharing.
Diese Abgrenzung per Container schützt nicht nur die IT des Unternehmens, sondern auch die Privatsphäre des Endgerätebenutzers. Sie gewährleistet eine hundertprozentige DSGVO-Konformität. Der IT-Administrator hat zwar Zugriff auf das mobile Endgerät, dort allerdings dank der Container-Lösung ausschließlich auf die geschäftlichen Daten.
Enterprise Mobility Management (EMM) – ganzheitliche Verwaltung von mobilen Geräten
EMM Suites sind spezielle Softwarelösungen, mit denen Mobilgeräte im Unternehmen verwaltet werden. Das geschieht in den Schritten:
- Kontrolle der Installation inklusive aller Updates von Apps auf das mobile Endgerät
- kontrollierte Kommunikation im Firmennetzwerk mit sicherem Messenger
- Integration von BYOD-Geräten in das EMM
- Einführung einer UEM-Lösung ( Unified Endpoint Management ) als Integration von Desktop-Rechner + Internet of Things, kurz IoT als Sammelbegriff für alle Technologien.
In die ganzheitliche IT-Management-Lösung sind alle Funktionalitäten zur Verwaltung mobiler Endgeräte integriert. Das ist für diejenigen kleinen und mittelständischen Unternehmen besonders wichtig, die über keine aufwändige IT-Administration verfügen. Die Unternehmensleitung ist auf ihre Kernaufgabe fokussiert, Aufträge zu generieren und abzuwickeln. Die Firma ist zu groß um auf IT Sicherheit zu verzichten und zu klein, um sich eine aufwändige Sicherheit ihrer IT personell und finanziell leisten zu können.
Ein weiteres Risiko im Benutzeralltag von mobilen Endgeräten ist das Einwählen. Der Gerätebenutzer sollte darauf achten, sich nicht wahllos, sondern nur gezielt in öffentliche WLAN-Netze einzuwählen. Die Nutzung der Unternehmens-VPN hilft dabei, das öffentliche WLAN und die damit verbundenen Risiken zu umgehen.
Sicherheitscheck nötig – Wir sind zur Stelle
Vertrauen ist gut, Kontrolle ist besser!
Nach diesem Grundsatz sollten Sie sich nicht auf das Vorhandene verlassen, sondern sich vergewissern, wie die IT Sicherheit in Ihrem Unternehmen aussehen müsste oder zumindest könnte. Möglicherweise besteht ein eklatanter Unterschied zwischen Ist und Soll.
Mit unserem Sicherheitscheck erkennen wir mögliche Lücken innerhalb und außerhalb Ihres Unternehmens. Wir schließen diese Lücken und sorgen dafür, dass alle mobilen Endgeräte zukünftig absolut sicher in das ohnehin schon gesicherte Unternehmensnetz integriert werden.
Weiterführende Links
Sicherheitstipps für Ihre Mitarbeiter
https://www.bristol.de/sicherheitstipps-sicherheitsbewusstsein/
IoT und IT-Sicherheit – Risiken und Chancen
https://www.bristol.de/iot-und-it-sicherheit-risiken-und-chancen/
Back-up – Lebensversicherung für Unternehmensdaten und Konfigurationen
https://www.bristol.de/backup-strategien-und-loesungen-aus-sicht-der-it-sicherheit/