Problem nicht erkannt, Gefahr nicht gebannt
Die zunehmende Verbreitung und Professionalisierung mobiler Infrastrukturen stellen allerdings besondere Anforderungen an die Datensicherheit – ein Aspekt, der in der allgemeinen Mobilfunk- und Wireless-Euphorie gerne übersehen wird. Eine gemeinsame Studie des US-Netzwerkriesen Cisco und der US-Branchenorganisation National Cyber Security Alliance (NCSA) belegt das. Demnach räumten 73 Prozent der interviewten Business-User ein, bei der Nutzung ihrer Mobilgeräte nicht immer Sicherheitsrisiken zu bedenken und 28 Prozent gaben zu, kaum an Vorsichtsmaßnahmen zu denken. Und: Ein gutes Drittel der Mitarbeiter schließen ein beruflich genutztes Notebook oder Smartphone ohne Bedenken an fremde Funknetze an – besonders sorglos sind laut Umfrage die Chinesen (54 Prozent), gefolgt von den Deutschen (46 Prozent) und Südkoreanern (44 Prozent). Cisco und NSCA hatten für die Studie insgesamt 1400 Firmenmitarbeiter und IT-Entscheider in Nordamerika, Europa und Asien befragt. Die Komplexität mobiler Systeme gilt als wesentlicher Grund für das mangelnde Sicherheitsbewusstsein. Schließlich ist beim stationären PC auch dem Laien klar, wie die IT-Infrastruktur funktioniert und wer sicheres Arbeiten gewährleister: Der hauseigene EDV-Support oder der externe Dienstleister, der für eine geeignete Firewall und für leistungsstarke Antivirenprogramm sorgt.
Quer durch den Mobile-Dschungel
Im Mobil-Bereich ist die Sache schon schwieriger. Allein schon die Vielzahl unterschiedlicher Technologien stiftet schnell Verwirrung: Es gibt Wireless LANs als Ergänzung zu den klassischen kabelgebunden Local Area Networks, Bluetooth zur Übertragung von Sprache und Daten in der unmittelbaren persönlichen Umgebung, Sprach- und Datenkommunikationssysteme nach dem DECT-Standard (Digital Enhanced Cordless Telecommunications), WiMAX (Worldwide Interoperability for Microwave Access) zur Anbindung von Feststationen und für mobile Endgeräte, Richtfunk-Techniken zur drahtlosen Überbrückung größerer Entfernungen zwischen Gebäuden, die ZigBee-Technologie für Sensor- und Steuernetzwerke, Infrarot-Module nach IrDA zur Kommunikation mit Peripheriegeräten wie Drahtlose Tastaturen, Mäuse und andere Eingabegeräte und schließlich UWB (Ultra-wideband) zur Anbindung von Peripheriegeräten mit hohen Datenraten.
Das Bundesamt für Sicherheit in der Informationstechnologie (BSIK) unterscheidet zwischen mehreren Gefährdungsszenarien. Dabei geht es um mehr als nur um herkömmliche Virensysteme, Allein schon die Transportabiliät von mobilen Geräten macht sie anfälliger als Desktopsysteme. Kommunikationssysteme wie GSM oder UMTS für den Weitbereich besitzen außerdem eine weitere sicherheitsrelevante Eigenschaft. Sie benötigen im Gegensatz zu WLAN oder Bluetooth eine komplexe Kommunikationsinfrastruktur, die in der Regel vom Provider zur Verfügung gestellt wird. Ihm muss der Anwender vertrauen, da auf dem Kommunikationsweg Daten sowohl verändert, als auch abgehört werden könnten.
Eine weitere Gefahr ist nur den wenigsten Anwendern bewusst: Viele mobile Endgeräte lassen sich zudem über Erweiterungssteckplätze wie CF-Card-Slots oder SDIO-fähige SD-Card-Slots um weitere Funktionen erweitern. Zur Datensynchronisation mit anderen Geräten werden meist sowohl leitergebundene, als auch drahtlose Verbindungen angeboten. Auf der Gegenseite, meist ein normaler PC, muss dazu eine spezielle, zum Betriebssystem des mobilen Endgerätes passende Software installiert werden. Damit lassen sich dann die Daten mit dem stationären Rechner abgleichen. Zudem kann auf diesem Weg auch zusätzliche Software auf dem mobilen Endgerät installiert werden. Neben den für den Endbenutzer wichtigen Kommunikationswegen existieren zudem oft Schnittstellen, die für den Händler und den Service der Provider zur Verfügung stehen. Diese Kommunikationsschnittstellen sollen beispielsweise im Fehlerfall eine Reparatur ohne Öffen des Gerätes ermöglichen. Auch wenn die Schnittstellen meist nicht öffentlich dokumentiert sind, können Angreifer trotzdem Werkzeuge besitzen, sie zu nutzen.
IT-Experten empfehlen, Mobile Security schon bei der Anschaffung der Hardware vorauszuplanen. So sollte sich das Gerät in die bestehende Unternehmenspolicy einbinden lassen, ohne dass große Änderungen nötig sind. Natürlich sollte auch die integrierten Sicherheitsmechanismen des Gerätes und der Betriebssoftware den Anforderungen des Unternehmens entsprechen. „Auf die Vertrauenswürdigkeit der Lieferanten und Hersteller ist zu achten“, heißt es außerdem beim BIF.. Insbesondere sollte die Herstellungskette vertraut sein, da bei modernen mobilen Endgeräten neben dem Hardwarehersteller auch Provider Software auf das Gerät aufbringen können.
Veranstaltungshinweis
Am 15. November 2007 findet der do it.kongress für mehr Innovation mit IT und Medien im ICS Internationales Congresscenter Stuttgart statt. Das Programm umfasst sechs Teilkongresse sowie Projektpräsentationen der BWeb 2.0 Challenge: Leben und arbeiten mit Social Software.
Der Teilkongress „Business goes Mobile - Effizienz und Sicherheit beim mobilen Arbeiten“ beschäftigt sich von 11.45 bis 17.30 Uhr unter anderem mit der Sicherheit von mobilen Endgeräten.
Auszug aus dem Programm:
Unterwegs arbeiten – aber sicher Wer sich mit sensiblen Informationen und vertraulicher Kommunikation nicht nur auf dem Firmencampus, sondern dank Smartphone und Notebook auch unterwegs bewegt, arbeitet inmitten einer sich stets und rasch verändernden Landschaft mobiler Bedrohungen. Warum sollten Entscheider dies nicht ignorieren? Wie können sich Unternehmen dagegen schützen? Travis Witteveen, Vice President, F-Secure Corporation, München
Arbeitsrechtliche Aspekte beim mobile Business Was bedeutet die Nutzung mobiler E-Mail bezüglich der Arbeitszeitregelungen? Auch Haftungsfragen werden von dem stuttgarter Arbeits- und Internetrechtler Markus Schließ beleuchtet: Was geschieht, wenn Mitarbeiter ihr Smartphone oder Notebook zum Schaden des Unternehmens verlieren? Rechtsanwalt Markus Schließ, RA Neuner-Jehle & Partner GbR, Stuttgart
Enterprise 2.0 – do it now! Unternehmen stehen vor großen Herausforderungen: die Vorteile von IT-basierten Kommunikationsformen mit den Anforderungen nach verlässlicher und kostengünstiger Kommunikation zu verbinden. Die Verschmelzung von sprach-, daten- und IT-basierter Kommunikaton wird die Kommunikationsarchitektur eines Unternehmens grundlegend verändern. Gerhard Otterbach, Chief Markt Operations Officer, Siemens Enterprise Communications GmbH & Co. KG, München |
Der Kongress ist Schaufenster der baden-württembergischen Leistungsfähigkeit und die zentrale Networking-Plattform in Baden-Württemberg für alle IT- und Medienakteure, Entscheider aus Wirtschaft, Forschung, Politik und Gesellschaft. Diskutiert werden aktuelle Themen und Trends der Kreativwirtschaft. Im Mittelpunkt stehen dabei IT und Medien als Querschnittstechnologien in unterschiedlichen Branchen, Anwendungsfeldern und Dienstleistungsbereichen. Zum 8. Mal organisiert die MFG Baden-Württemberg den Kongress für mehr Innovation mit IT und Medien aus Baden-Württemberg.
Das vollständige Programm sowie die Möglichkeit zur Anmeldung finden Sie unter www.doit-kongress.de.
&HTRE)
