Computersicherheit: BYOD & Mobile IT

Smartphones und Tablets sind weitverbreitet und werden in Unternehmen eingesetzt. Um Sie in Unternehmen sicher Einsetzen können, müssen typische Gefährdungen beobachtet werden und entsprechende Gegenmaßnahmen eingesetzt werden.

Risiken, die man beim Einsatz dieser Geräte bachten muss:

  • mobile Devices können sehr leicht verloren gehen und sind ein beliebtes Ziel für Diebstähle. Deshalb können auch gespeicherte Firmendaten in falsche Hände geraten und eventuell vorhandene Passwörter zu einer Kompromittierung der Firma führen.
  • Es können durch unzureichend abgesicherte Schnittstelle von auf mobilen Geräten ( Bluetooth, WLAN, USB) Daten ausgelesen oder Schadprogramme eingeschleppt werden.
  • Es gibt Schadsoftware, die auf mobilen Geräten ausgeführt wird, Daten auslesen kann oder Passworteingaben aufzeichnet und versendet. Der Versand von Webe-SMS an Dritte oder der automatische Anruf kostenpflichtiger Telefonnummern wäre auch möglich.
  • Durch manipulierte Geräte ist es möglich, dass vertrauliche Gespräche aufgezeichnet oder abgehört werden.
  • GPS-Empfänger und Daten des WLAN-Empfängers könnten dazu verwendet werden um Bewegungsprofile zu erstellen und automatisch zu versenden.
  • Schadsoftware kann über Internetaufrufe oder infizierte Emails ins Firmennetzwerk gelangen, z.B. wenn sich Mobilgeräte über das WLAN mit dem Firmennetz verbinden.

Viele der Geräte waren eigentlich für den Einsatz im privaten Umfeld gedacht, deshalb ist eine zentrale Kontrolle von Sicherheitseinstellungen nur selten möglich. Deshalb ist eine Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für den sicheren Umgang mit mobilen Geräten besonders wichtig.

Maßnahmen, die unbedingt umgesetzt werden und schriftlich festgelegt werden sollten:

  1. Mobile Geräte dürfen nicht unbeaufsichtigt  (etwa im Hotel oder im Auto) liegen gelassen oder anderen Personen überlassen werden. Es besteht nicht nur die Gefahr des Diebstahl sondern auch immer die Möglichkeit, dass gespeicherte Daten eingesehen oder Schadsoftware installiert wird.
  2. Mobile Geräte müssen auch wie PCs durch Passwörter vor unbefugter Inbetriebnahme geschützt werden. Auch die Aufhebung einer automatischen Sperre nach Nichtbenutzung muss durch ein Passwort geschützt werden.
  3. Auf mobilen Geräten müssen Virenschutzprogramme ausgeführt werden und regelmäßig aktualisiert werden.
  4. Der Zugriff auf Firmendaten darf nur über verschlüsselte Kanäle (z.B. SSL-Verbindung) erfolgen.
  5. Nicht benötigte Schnittstellen müssen deaktiviert werden

    . Der GPS Empfänger muss inaktiv bleiben, bis er nicht benötigt werden.

  6. Auf Mobilgeräten können spezielle Apps eingesetzt werden, um sämtliche Daten auf disen zu löschen, wenn es verloren oder gestohlen wird.
  7. Ein Verlust oder Diebstahl eines mobilen Gerätes muss sofort an die Verantwortlichen gemeldet werden, damit alle Massnahmen, wie z.B. Fernlöschung, sofort ausgelöst werden können.
  8. Bei machen Installationen von Apps kann gewählt werden, auf welche Datenbestände, das neue Programm zugreifen darf. Dabei sollte nur Zugriffe auf unkritische Daten und Funktionen erlaubt werden. Man sollte dabei sich auch Fragen, warum benötigt die App auch den Zugriff.
  9. „Jailbreaking“, d.h
    . das Aushebeln von Sicherheitsmaßnahmen des Herstellers, darf auf beruflich verwendeten Mobilgeräten keinesfalls ausgeführt werden. Das Jailbreaking setzt die Geräte einer besonderen zusätzlichen Sicherheitsgefährdung aus.
  10. Wenn mobile Geräte weitergegeben oder entsorgt werden sollen, müssen alle darauf gespeicherten Daten und Einstellungen gelöscht werden. Am besten eigenet sich dazu ein „Factory Reset“, d.h. das Zurücksetzen des Gerätes in den Auslieferungszustand. Auch wenn man das Gerät auf Werkeinstellungen zurückgesetzt hat, sollte man noch mal manuell nachprüfen, ob Informationen auf den Speichern verblieben sind.



