Mobile Security im deutschen Mittelstand - White Paper - mVISE AG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
White Paper
Mobile Security im deutschen Mittelstand
Zum Schutz eines Unternehmens ist unter Einsatz von Mobile Devices, darauf zu achten, dass ein geeignetes
Sicherheitskonzept Bestand hat. Dieser Herausforderung haben sich die mVISE IT-Security-Experten angenommen
und ein ganzheitliches Mobile Security-Konzept entwickelt.
Zusammenfasung
Seit der Nutzung von Mobile Devices (hier: Smart- vices tragen unter anderem sensible Daten, wie Kon-
phones und Tablets) hat das Themenfeld „Mobile Se- takt- und Zahlungsinformationen, GPS-Koordinaten so-
curity“ immer mehr an Bedeutung gewonnen. Viele Un- wie private und geschäftliche E-Mail Accounts.
ternehmen stehen vor der Herausforderung, standhaft
gegenüber Security Angriffen bleiben zu können, insbe-
sondere, wenn sie Mobile Devices als selbstverständ- Vernachlässigen Sie die Mobile Security Ihres Unter-
liche Instrumente des modernen Arbeitens nutzen. nehmens, kann dies zu erheblichen Schäden führen!
Durch die Verwendung von Mobile Devices im geschäft-
lichen Umfeld lassen sich verschiedenste Aufgaben
orts- und zeitunabhängig erledigen. Dennoch sind ge-
rade Mobile Devices erheblichen Gefahren ausgesetzt.
Trotz einer Vielzahl an Sicherheitsmechanismen in den
Devices und Diensten, die Sie als Nutzer verwenden,
existieren unzählige Schwachstellen und Bedrohungen,
denen Beachtung geschenkt werden muss. Mobile De-
Die Herausforderung
Unternehmen investieren viel in den Schutz ihrer IT-Sys- umfassenden Schutz bietet. Da es dafür allerdings kei-
teme, lassen allerdings ihre Mobile Devices außer Acht. nen allgemeingültigen Lösungsweg gibt, musste über-
Eine mögliche Ursache hierfür liefert ein mangelndes legt werden, welche Bereiche für ein ganzheitliches
Verständnis sicherheitsrelevanter Fragestellungen, die Mobile Security Konzept in Betracht kommen könnten.
besonders Angreifern vielfältige Angriffsvektoren lie-
fern¹. Die Sicherheitsexperten der mVISE haben sich “Ohne Mobile Security ist
der Fragestellung angenommen, welche Maßnahmen
Mobile Enterprise undenkbar” // T-Systems
benötigt werden, um einen umfassenden Schutz der
Mobile Devices aus Unternehmenssicht zu gewähr-
leisten. Letztendlich sollte als Ergebnis ein Konzept Im Folgenden werden die verschiedenen Bereiche Vor-
erarbeitet werden, welches das Thema Mobile Security gestellt, denen aufgrund des Mobile Security Konzep-
in verschiedenen Bereichen aufnimmt und somit einen tes Beachtung geschenkt werden sollte.
___________________________
¹ Vgl. BSI (2012), S. 11.
mVISE White Paper www.mvise.de | service@mvise.de Seite 1TECHNISCHE SICHTWEISE
Für die technische Überwachung der Mobile Devices Durch die Verwendung von „Crowdsourced Threat Intel-
und zum Schutz des Unternehmens bedarf es verschie- ligence“, einem cloudbasierten Dienst, kann auf Bedro-
denster technischer Komponenten. Zu diesen zählen hungen reagiert werden, bevor diese zu einer Gefahr für
zum einen EMM-Systeme (Enterprise Mobility Manage- das Unternehmen werden.
ment), welche die Administration der Devices und einen
sicheren Umgang mit diesen ermöglichen soll und zum
anderen MTD-Systeme (Mobile Threat Defense) wel- Neben den von Gartner genannten Kernkomponenten
che zu einem proaktiven Schutz der Devices und somit finden sich weitere, die ein solches System unbedingt
des Unternehmens beitragen. beinhalten sollte³:
Die Kernkomponenten des EMM-Systems bestehen da- • Mobile Threat Prediction
bei aus den drei folgenden Systemen: • Mobile Threat Detection
• Mobile Threat Prevention
• Mobile Device Management (MDM)
• Mobile Application Management (MAM)
• Mobile Information Management (MIM) ORGANISATORISCHE SICHTWEISE
Richtlinien und Maßnahmen bilden ein Regelwerk zur
Mit diesen lassen sich unter anderem die Anwendun- Schaffung von Informationssicherheit. Anerkannte
gen auf den Devices verwalten, sowie die Informatio- Standards wie ISO27001 oder BSI IT-Grundschutz set-
nen, die diese Geräte tagtäglich verarbeiten. Ein Schutz zen diese voraus. Grundsätzlich muss bei einer Richt-
der Unternehmensdaten kann durch diese Systeme linie allerdings beachtet werden, dass es keine allge-
allerdings nur bedingt gewährleistet werden, da diese meingültige Richtlinie für ein Unternehmen gibt, die es
Systeme primär für die Verwaltung von Mobile Devices in der Zukunft nicht weiterzuentwickeln gilt. Vielmehr
ausgelegt sind. bedarf es einem Prozess der stetigen Verbesserung,
um eine Richtlinie und somit das Unternehmen vor be-
stehenden und neuen Gefahren zu schützen.
Aus diversen, frei zugänglichen Richtlinien vom BSI
Tipp: oder dem SANS-Institut gehen verschiedene Schutz-
MTD-Systeme lassen sich problemlos bereiche hervor, die in einer Mobile Security Richtlinie
in EMM-Systeme verschiedenster Anwendung finden sollten. Zu diesen gehören unter an-
Hersteller integrieren.
derem:
• Netzwerksicherheit
Einen anderen Ansatz strebt ein MTD-System (Mobile
• Gerätesicherheit
Threat Defense) an. Es verflogt eine proaktive Vorge-
hensweise zum Schutz des Device und den Unterneh- • Datensicherheit
mensdaten. Gartner definiert MTD in seinem „Market
Guide for Mobile Threat Defense Solutions“ als techni-
sche Lösung, die einen oder mehrere Teile der nachfol-
genden Gliederungspunkte beinhaltet²: Tipp:
KVP-Mechanismen für eine ständige und
• Device Behavioral Anomalies nachhaltige Verbesserung der
• Vulnerability Assessments Mobile Security Richtlinie.
• Network Security
• App Scans
___________________________
² Vgl. Girad/Zumerle (2016)
³ Vgl. Check Point (2017)
mVISE White Paper www.mvise.de | service@mvise.de Seite 2Schulung und Sensibilisierung
Zur Schaffung und Aufrechterhaltung eines Sicher- Grund sollte sich jedes Unternehmen das Ziel setzen,
heitsbewusstseins für die IT ist es zwingend notwen- IT-Sicherheit an alle Mitarbeiter zu vermitteln. Dies hat
dig, die Mitarbeiter in regelmäßigen Abständen zum eine besondere Bedeutung für den Fortbestand des
Thema IT-Sicherheit zu sensibilisieren und zu schu- Unternehmens. Gleichzeitig sollte IT-Sicherheit bei allen
len. Dabei bedarf es einem Verantwortlichen für die Mitarbeitern ein fester Bestandteil im Arbeitsalltag wer-
Konzeption und Umsetzung eines Schulungs- und den. Dazu müssen diese Regelungen und Maßnahmen
Sensibilisierungsprogramms innerhalb des Unterneh- einhalten. Dies kann allerdings nur dadurch erreicht
mens. Allgemein wird der Prozess einer Konzeption werden, indem die Mitarbeiter kontinuierlich geschult
eines solchen Programms durch die Unternehmens- und sensibilisiert werden. Möglich ist dies bspw. durch
führung, dem IT-Sicherheitsbeauftragten oder dem Schulungseinheiten oder Kampagnen4. Zu empfehlen
Personalleiter angestoßen. Auslöser sind meist neue ist, den Schulungs- und Sensibilisierungsprozess fest
Vorgaben. Aufgrund dessen, dass der Mitarbeiter als im Unternehmen zu etablieren. Gleichzeitig ist darauf
Schlüsselfaktor eines jeden Unternehmens anzusehen zu achten, dass IT-Sicherheit von der obersten Orga-
ist und sprichwörtlich eine Kette nur so stark wie das nisationsebene akzeptiert wird, da diese nicht immer
schwächste Glied ist, wird grundsätzlich empfohlen auf Akzeptanz unter den Mitarbeitern stößt. Das Ma-
Schulungs- und Sensibilisierungsprogrammen regel- nagement sollte IT-Sicherheit unterstützen und fördern,
mäßig durchzuführen. Generell tragen Mitarbeiter zum sowie die dafür notwendigen Ressourcen zur Planung,
Unternehmenserfolg und dessen Schutz bei, indem sie Umsetzung und Weiterentwicklung bereitstellen. Wird
Richtlinien und Vorgaben einhalten sowie die IT-Sicher- all diesen Aspekten Beachtung geschenkt, kann ein
heit von Systemen sicherstellen. Durch Unkenntnis Schulungs- und Sensibilisierungsprogramm nach be-
oder auch Vorsatz können durch Mitarbeiter sicher- stimmten Kriterien entwickelt werden.
heitsrelevante Fehler verursacht werden. Aus diesem
Zusammenspiel von EMM und MTD
EMM-Lösungen konzentrieren sich auf die unter- regelt werden kann5. All diese Funktionen bieten aber
nehmensinterne Verwaltung von Mobile Devices und keinen umfassenden Schutz im Hinblick auf Risiko-
schaffen zum Teil eine gewisse Basissicherheit. Diese minimierung und Bedrohungsabwehr vor Angreifern.
Sicherheit bezieht sich darauf, dass die Geräte vor un- Aus diesem Grund und dem Funktionsumfang diver-
autorisierten Zugriffen geschützt werden, dass Unter- ser MTD-Systeme lässt sich annehmen, dass EMM im
nehmensdaten aufgrund von einem physischen Ver- Zusammenspiel mit einer MTD-Lösung einen umfas-
lust des Gerätes nicht in die falschen Hände geraten, senden technischen Lösungsansatz für Mobile Secu-
dass vermeintlich unsichere Apps nicht auf den Gerä- rity bietet. Dies bestätigt auch der Security Spezialist
ten installiert werden und dass der Datenverkehr bzw. Check Point.
der Informationsaustausch mit Geschäftsdaten ge-
EMM und MTD bilden die technische Basis
für ein funktionierendes Mobile Security
Konzept.
___________________________
4 Vgl. BSI (2014)
5 Vgl. Kohne u. a. (2015), S. 72 ff.
mVISE White Paper www.mvise.de | service@mvise.de Seite 3Profitieren Sie von qualifizierten Lösungen Ausblick
Neue mobile Prozesse, sowie neuartige Bedrohungen Sicherheitsvorfälle ausgelöst durch Mobile Devices
für Mobile Devices zeigen, dass ein statisches Regel- führen zu immer höheren finanziellen Schäden in klei-
werk, wie es ein EMM bietet, nicht ausreicht, um sich nen und mittelständischen Unternehmen. Dies zeigt,
umfassend vor Bedrohungen zu schützen. Es bedarf dass es besonders wichtig ist, bestehende Sicher-
vielmehr einem ganzheitlichen Lösungsansatz beste- heitskonzepte zu überarbeiten und besonders im Be-
hend aus technischen und organisatorischen Kompo- reich der Mobile Security neue Konzepte einzuführen.
nenten sowie eine strikte Weiterbildung der Mitarbeiter Gerade kleine und mittelständische Unternehmen sind
in Themen der IT-Sicherheit. laut einer IDC Studie davon überzeugt, dass die Sicher-
Die mVISE AG berät, unterstützt und setzt um! Bei den heitsvorkehrungen in Mobile Devices ausreichend sind.
Herausforderungen des Schutzes Ihres Unternehmens Die Anzahl an steigenden Sicherheitsvorfällen beweist
unterstützen wir Sie im vollen Umfang. Unsere IT-Se- allerdings das Gegenteil.
curity-Experten haben in den letzten Jahren im Bereich Für die Zukunft empfehlen wir, Konzepte speziell für die
Mobile Security umfassende Erfahrungen und Erkennt- Sicherheit von Mobile Devices zu entwickeln und umzu-
nisse aus vielen verschiedenen IT-Umfeldern sammeln setzen. Nur dadurch kann ein ganzheitlicher Schutz des
können. Unternehmens gewährleistet werden.
ÜBER DEN AUTOR
Bernhard Borsch ist seit 2014 für die mVISE AG tätig. Als Manager für
das IT-Security Consulting beraten sein Team und er Kunden zum The-
ma IT-Security im Zuge der Herausforderungen der Digitalisierung.
Zu seinen persönlichen Themenfeldern gehört neben den klassischen The-
men, wie Enterprise- & Cloud-Security, PKI und Kryptographie, auch Zu-
kunftsthemen der IT Security, wie Blockchain und Deception Technology.
Professionelle und fachkompetente Beratung sind sein Schlüssel zum Erfolg.
Referenzen
BSI (2012): Leitfaden Informationssicherheit: IT-Grundschutz kompakt,
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf.pdf?__blob=publicationFile
BSI (2014): M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit,
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02312.html
Check Point (2017): Check Point Blog, https://blog.checkpoint.com/
Girard, J./Zumerle, D. (2016): Market Guide for Mobile Threat Defense Solutions,
http://techorchard.com/wp-content/uploads/2016/11/market_guide_for_mobile_threat-prevention.pdf
Kohne, A./Ringleb, S./Yücel, C. (2015): Bring Your Own Device:
Einsatz von privaten Endgeräten im beruflichen Umfeld – Chancen, Risiken und Möglichkeiten, 1. Aufl., Wiesbaden 2015.
mVISE White Paper www.mvise.de | service@mvise.de Seite 4Wir unterstützen mittelständische und große Unternehmen aller Branchen dabei, von
der digitalen Revolution zu profitieren. Die besondere Kombination aus firmeneigenen
Software-Lösungen mit ausgewählten Experten-Teams in den relevanten und aktuellen
IT-Themengebieten schafft nachhaltige Wettbewerbsvorteile für unsere Kunden.
Unsere Experten bestimmen, gestalten, kreieren und steuern IT-Infrastrukturen und Soft-
ware-Lösungen für Datenintegrations- und Enterprise-Data-Management-Projekte, mit
dem Ziel, die aktuellen Geschäftsmodelle unserer Kunden zukunftssicher zu machen
und gleichzeitig neue Geschäftsmodelle zu identifizieren.
Sprechen Sie uns an – gerne stellen wir Ihnen unser Angebot
in einem persönlichen Gespräch näher vor.
service@mvise.de | www.mvise.de
mVISE AG
Wahler Straße 2
40472 Düsseldorf
Fon: +49 211 78 17 80 – 0
mVISE-wp-id004Sie können auch lesen
