Geofencing und Co.: Mit kontextbasierter Sicherheit mobile Endgeräte schützen

Mobile Geräte sind allgegenwärtig, ebenso wie die Angriffe darauf. Kontextbasierte Sicherheit kann Unternehmensdaten vor gierigen Hackern schützen.

Die zunehmende Verbreitung von „Bring your own Device“ (BYOD) in Unternehmen sorgt zwar für ein größeres Bewusstsein für das Thema Mobile Security, allerdings stellen mobile Endgeräte immer eine Herausforderung für die Sicherheit unternehmenskritischer Daten dar. Angreifer suchen kontinuierlich nach Wegen, um an sensitive Unternehmensinformationen zu gelangen, und mobile Geräte wie Smartphones und Tablets stellen oft einen verwundbaren Punkt dar.

Mobile Endgeräte sind aus einem einfachen Grund schwer zu schützen: Sie sind mobil. Sie können verloren gehen, gestohlen werden oder in unsichere Umgebungen getragen werden. Eine der besten Möglichkeit, diesen Problemen zu begegnen, ist die Einbeziehung von kontextbasierten Sicherheitselementen. Diese entscheiden aufgrund von Gerätetyp, Ort (Stichwort „Geofencing“) oder zum Beispiel auch je nach Firmen- oder Privatgerät, welche und wie viele Sicherheitsebenen zu existierenden Verteidigungsmaßnahmen hinzugefügt werden.

Jede Organisation muss die eigenen mobilen Zugriffsrichtlinien definieren, bevor die einzelnen Sicherheitsmaßnahmen ergriffen werden. Muss überhaupt ein Zugriff erlaubt werden? Falls ja, auf welche Daten und Applikationen müssen Mitarbeiter zugreifen können? In einigen Fällen reicht der mobile Zugriff auf E-Mails, meist müssen Mitarbeiter aber auch auf sensitive Unternehmensdaten zugreifen. Soll der Zugriff mit Hilfe kontextueller Elemente, etwa mit Bezug auf Ort oder Gerät, beschränkt werden?

Kontextbasierte Sicherheit muss in bestehende Verteidigungskonzepte integriert werden. In vielen Fällen haben sich Mitarbeiter seit Jahren von zu Hause aus in Unternehmenssysteme eingeloggt. Die bestehende Datenbank enthält also bereits die Definitionen für Nutzernamen und Passwörter, ebenso wie andere Kriterien, etwa die Rolle des Mitarbeiters und seine Zugriffsrechte. Diese Datenbank muss also nur noch aktualisiert werden, um auch alle hinzugefügten, kontextbasierten Elemente zu enthalten.

BYOD zwingt Unternehmen zu vielen Entscheidungen

Die Entscheidung, welche Arten von Geräten erlaubt werden und ob Angestellte eigene Geräte ins Unternehmen einbringen dürfen, ist wichtig und muss frühzeitig getroffen werden. Viele IT-Abteilungen sehen sich gezwungen, im Nachhinein BYOD-Richtlinien zu erstellen, weil viele Mitarbeiter bereits ohne ausdrückliche Erlaubnis eigene Smartphones verwenden.

Dabei geht es nicht einfach nur darum, private Endgeräte zu erlauben oder nicht. Die mit BYOD einhergehenden Fragen sind viel mannigfaltigerer Natur: Darf jedes Gerät genutzt werden oder nur bestimmte aus einer vorgegebenen Liste? Dürfen Mitarbeiter nur mit unternehmenseigenen Geräten auf sensitive Informationen zugreifen oder werden spezielle, privat eingekaufte Geräte ebenfalls zugelassen? Kann die IT-Abteilung darauf bestehen, dass Programme zur Verwaltung der mobilen Geräte zwingend auf den privaten Handys und Tablets installiert werden? Die Minimalanforderung hierfür wäre wohl ein Anti-Virus-Paket und der Verwaltungszugriff über eine Mobile-Device-Management- (MDM-) Lösung. Das andere Extrem wäre eine komplette Verwaltung der mobilen Systeme, der Nutzer würde also einiges an Freiheit an das Unternehmen abgeben. Welche Applikationen dürfen Nutzer installieren? Und dürfen sie an dieser Entscheidungen teilhaben?

Die Entscheidung für bestimmte Geräte-Arten und MDM-Lösungen ermöglicht weitere Optionen. Ein Mitarbeiter könnte beispielsweise Zugriff auf sensitive Informationen von seinem eigenen Smartphone erhalten, wenn die komplette Verwaltungs-Software auf dem Smartphone installiert ist. Allerdings kann der Zugriff geblockt werden, wenn der Mitarbeiter ein anderes Gerät verwendet – obwohl er den gleichen Nutzernamen mit Passwort verwendet. Die Sicherheitssoftware sollte erkennen, dass es sich um ein anderes Gerät handelt und entsprechend den Vorgaben den Zugriff sperren oder ermöglichen.

Das Sperren des Zugriffs ist aber nicht die einzige Möglichkeit. Eine Richtlinie könnte etwa bestimmen, dass der CFO mit seinem eigenen, registrierten Smartphone Finanzdaten, von anderen Endgeräten aus aber nur E-Mails abrufen kann.

Kontextbasierte Sicherheit bietet mehr Einstellungsmöglichkeiten

Auf diese Weise sind viele verschiedene Einstellungen möglich. Das IT-Team kann etwa entscheiden, dass bestimmte Geräte sicherer sind als andere. Zudem können sie besonders gefährdeten Nutzern speziell gesicherte Smartphones aus einem definierten Pool anbieten. In der Vergangenheit waren etwa Blackberrys die Smartphones der Wahl für gefährdete Umgebungen. Allerdings haben andere Hersteller ihre Sicherheit inzwischen deutlich erhöht, so dass Alternativen denkbar werden.

Der Ort und das verfügbare Netzwerk können bei der kontextbasierten Sicherheit ebenfalls eine Rolle spielen. Richtlinien können etwa mittels Geofencing die GPS-Koordinaten oder zum Beispiel auch die IP-Adresse des Gerätes auslesen und den Zugriff nur aus bestimmten geografischen Gebieten erlauben. So könnte man beispielsweise den Zugriff auf sensible Daten vom WLAN im Haus des Mitarbeiters erlauben, während der Zugang von anderen Netzwerken begrenzt oder geblockt wird. Eine andere Möglichkeit besteht darin, den Zugriff von mobilen Netzwerken aus zu erlauben, Verbindungen von öffentlichen Hotspots aber zu blocken. Es gibt genügend Beispiele, bei denen Angreifer öffentliche WLAN-Zugänge genutzt haben, um mittels Man-in-the-Middle-Attacken auf sensible Daten zuzugreifen.

Allerdings gibt es auch hier potentielle Probleme: Geofencing über ortsbasierte Sicherheitseinstellungen könnten beispielswiese dazu führen, dass ein Mitarbeiter auf dem Weg vom Büro zur Kantine den Zugriff verliert, weil er die Reichweite eines als sicher eingestuften Access Points verlassen hat. Diese Probleme kann man aber mit entsprechend angepassten Richtlinien umgehen – allerdings müssen diese wahrscheinlich nachträglich optimiert werden.

Bei all den Funktionen, die die Technik bietet, kann auch kontextbasierte Sicherheit mit Geofencing etc. nicht alle Probleme beheben. Jede Organisation muss sicherstellen, dass die eigenen Anforderungen erfüllt werden können und eigene Richtlinien entwickeln. Noch wichtiger aber ist es, dass kontextbasierte Sicherheit nicht alle anderen Techniken ersetzt. Es ist eben nur eine Ebene mehr, die Unternehmensdaten gegen Attacken schützt.

Artikel wurde zuletzt im März 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Bedrohungen für Smartphones und Tablets

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close