Der Remote-Zugriff auf betriebliche Daten ist für viele Arbeitnehmer unerlässlich. Das kommt der Produktivität zugute, geht aber zulasten der Datensicherheit, warnt das IT-Systemhauses LANOS und plädiert für ein ganzheitliches Sicherheitskonzept.
Die Hälfte aller nutzt zur Ausübung seines Jobs regelmäßig ein Notebook oder Smartphone für E-Mails und für den Dateiaustausch sowie die Messenger-Kommunikation und Web-Interfaces von Unternehmensanwendungen. Allerdings bekommt lediglich ein Fünftel das Mobilgerät von ihrem Arbeitgeber. Zu diesem Ergebnis kommt eine repräsentative Befragung von Deloitte unter 2.000 deutschen Arbeitnehmern im Rahmen der Studie ‚Mobile Readiness for Work 2019‘. Alle anderen Anwender nutzen das private Mobilgerät für den externen Zugriff auf betriebliche Daten und Anwendungen. Einerseits ist diese Entwicklung erfreulich, da nahezu jeder Arbeitnehmer heute über mindestens ein privates Mobilgerät verfügt und dieses bisweilen sogar eine bessere Ausstattung mitbringt, als das, was der Arbeitgeber bereitstellt. Andererseits geht mit dem zunehmenden Einsatz von Mobilgeräten auch eine große Gefahr für die Datensicherheit einher.
„Smartphones kommen heute häufiger für Apps und Internet-Zugriffe zum Einsatz als zum Telefonieren“, erläutert Hans-Jürgen Fockel, Geschäftsführer des IT-Systemhauses LANOS. „Kritisch dabei ist es, dass viele Nutzer ihr Smartphone nicht als mobilen Computer wahrnehmen, wenn es um Betriebsrisiken oder notwendige Schutzmaßnahmen geht. Das fehlende Risikobewusstsein äußert sich auch darin, dass nur etwa jeder dritte Smartphone-Nutzer über Anti-Malware-Schutz verfügt, wohingegen sich rund 85 Prozent der Desktop-Nutzer aktiv vor Bedrohungen schützen.“
‚Bring your own Device‘ wirft Schatten voraus
Viele Arbeitnehmer nutzen Messenger-Dienste und kostenloses Cloud-Lösungen wie Dropbox betrieblich. Diese Services bieten ihnen im Gegensatz zu den IT-Lösungen, die ihnen der Arbeitgeber zur Verfügung stellt, oft einen höheren Komfort und flexiblere Einsatzmöglichkeiten. Allerdings können von Smartphone Apps auch zahlreiche Gefährdungen für das Firmennetzwerk ausgehen. So sind auf diesem Wege beispielsweise unerlaubte Zugriffe auf Firmendaten sowie das Einschleusen von Schadsoftware möglich und es lassen sich Compliance-Vorgaben aushebeln. Hinzu kommt, dass zahlreiche Apps über weitreichende Rechte verfügen, die mit der eigentlichen Funktion oft kaum etwas zu tun haben. Sie können oft auf den lokalen Datei- oder Medienspeicher zuzugreifen oder komplette Adressbücher an den Dienstanbieter übermitteln. „Diese Risiken sind als sehr bedenklich einzustufen“, warnt Fockel. „Laut der europäischen Datenschutzverordnung haften Arbeitgeber auch für private Geräte der Mitarbeiter, auf denen sie wissentlich oder unwissentlich Firmen- oder Kundendaten speichern und verarbeiten.“
Den IT-Abteilungen entgleitet die Kontrolle
Im Rahmen der Digitalisierung verändern sich die Arbeitsgewohnheiten und die Anforderungen an technische Infrastrukturen. So sorge die Virtualisierung von Büroumgebungen dafür, dass den IT-Abteilungen nach und nach die Kontrolle über die genutzten Endgeräte und Anwendungen und damit über das gesamte Netzwerk entgleite: „Die wachsende Zahl an Endgeräten und Zugriffspunkten, welche die Transformation zu unserem digitalen Work- und Lifestyle mit sich bringt, lassen die IT-Security vieler Unternehmen ins Leere laufen“, mahnt Fockel.
Die Freiheiten der individuellen Arbeitsweise durch mobile Lösungen bedeuten im Gegenzug ein hohes Risiko beim Verlust dieser Arbeitsgeräte. „Der Schaden kann dabei weit über den Geräteverlust hinausgehen, wenn sensible Daten wie E-Mails, Dokumente, Medien, Adress- und Kontaktlisten oder gar Passwörter in die Hände Unbefugter gelangen, und diese damit auf das Firmennetzwerk oder Cloud-Services zugreifen“, warnt der Security-Spezialist. Da Mobilgeräte heute oft 1 Gigabyte und mehr Speicher verfügen, könne deren Verlust gravierende Folgen haben. Ein weiteres Bedrohungsszenario sei das Einschleusen von Schadsoftware. Mit Hilfe eines Trojaners könnten Angreifer Tastatureingaben einsehen, Daten verfälschen oder per Remote-Zugriff löschen. Der Zugriff auf und die Kontrolle von Cloud-Diensten wie E-Mail-, Messenger- oder Speicher-Dienste werde damit zu einer großen Gefahr für die Datensicherheit.
Enterprise-Mobility erfordert ganzheitliche Sicherheitskonzepte
„Oft haben ehemalige Mitarbeiter über ihre privaten Mobilgeräte noch Zugang zu sensiblen Unternehmensdaten oder Zugriff auf dezentral gespeicherte Daten und Dokumente“, beschreibt Fockel eine weitere Gefahr. „Auch ein ausgeklügeltes Sicherheitskonzept nützt wenig, wenn es durch die Unachtsamkeit von Anwendern oder bewusste Missachtung von Sicherheitsvorgaben untergraben wird.“ Idealerweise sollten darum die Zugriffsmöglichkeiten so ausgerichtet werden, dass das betriebliche Risiko von Daten- und Malware-Incidents auf ein Minimum reduziert wird.
Eine höhere Sicherheit können Unternehmen herstellen, indem sie Smartphones, Tablets und Notebooks über eine Virtualisierung in zwei separat nutzbare Systempartitionen unterteilen, um private und betriebliche Tätigkeiten zu trennen. Um eine lokale Speicherung betrieblicher Daten auf Mobilgeräten zu vermeiden, eigne sich ein Application Streaming: Dabei bekomme der Anwender über sein Mobilgerät nur die Bedienoberfläche bereitgestellt. Lediglich die Bildschirmanzeigen, Maus- und Tastatureingaben würden dargestellt. Die für den Zugriff und die Verarbeitung erforderlichen Anwendungen verblieben mitsamt den Firmendaten in der gesicherten Cloud-Umgebung oder auf dem Windows Terminal Server des Unternehmens. Die Kommunikation mit dem Server erfolge über eine verschlüsselte SSL-Verbindung (Secure Sockets Layer) und werde mit Firewalls abgesichert, um ein Auslesen oder eine Manipulation der Datenpakete zu verhindern. PINs und Einmalpasswortgeneratoren stellten sicher, dass auch nur derjenige auf das Unternehmensnetzwerk zugreift, der auch dazu berechtigt ist. „Ob und welche Daten für welche Benutzergruppe auf den lokalen Speicher übertragen werden dürfen, lässt sich individuell oder nach den jeweiligen Compliance- und Sicherheitsvorgaben steuern“, erläutert Fockel. „Zudem kann wahlweise der komplette Speicher des Mobilgerätes verschlüsselt werden oder auch einzelne Daten-Container, in denen sensible Unternehmensdaten sicher hinterlegt werden.“
Device Management verwaltet die Mobilgeräte
Mit Hilfe von Mobile Device Management lassen sich die im Umlauf befindlichen und an das Firmennetzwerk angeschlossenen Mobilgeräte zentral verwalten. Sollte ein Mobilgerät abhanden kommen, kann der Dienstleister oder die IT-Abteilung für das Gerät eine PIN-Eingabe erzwingen, Rechte steuern oder die Daten per Remote-Zugriff löschen. „Eine solche Fernlöschung ist auch dann möglich, wenn betriebliche Daten unbefugt lokal auf dem Mobilgerät gespeichert werden“, erläutert Fockel. „Dies macht die Verwaltung und Gefahrenabwehr gleichwohl effektiv wie komfortabel.“ Jürgen Frisch