Mobile-Computing-Wildwuchs vermeiden
Sind Windows-Mobile-Geräte im Unternehmenseinsatz sicher?

IT-ManagementIT-ProjekteMobileNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Mobile Windows-Geräte sind ein Sicherheitsrisiko, wenn sie nicht richtig kontrolliert werden können. Lösungen, die Geld sparen und sicheres Arbeiten bieten, existieren aber bereits.

Schlummernde Risiken

Mobile-Computing-Wildwuchs vermeiden

Klein, handlich und leistungsfähig – Smartphones sind heute ein unverzichtbares Werkzeug von Managern und Serviceteams im Außendienst. Allerdings fehlen den funktionellen Multitalenten zentrale Sicherheits- und Managementfunktionen, d. h. der Benutzer kann firmeneigene Sicherheitseinstellungen auf seinem Gerät jederzeit ändern. So entscheidet der Vertriebsagent auf dem Weg zum Kunden, ob er die Marktanalyse schnell über den HotSpot im Red Coffee-Shop oder über die firmeneigene, sichere VPN-Verbindung herunterlädt. Erst durch ein zentrales Mobile Device Management mit integriertem Policy Enforcement hält der Administrator die Zügel wieder in der Hand.

Grundsätzlich gibt es zwei sicherheitsrelevante Schwachstellen beim Einsatz von PDAs und Smartphones im Unternehmen: den Benutzer und das Gerät selbst.

In jedem zweiten Unternehmen schlummern “ungesichert” sensible Daten auf PDAs und Smartphones, darunter vertrauliche E-Mails und Dokumente, Netzwerkzugangsdaten, Kundenkontakte und Lieferantendaten. Mitarbeiter erhalten die Unternehmensvorgaben für die PDA- und Smartphone-Nutzung einfach mündlich oder per Dokument. Das ist jedenfalls das Ergebnis einer PDA- und Smartphone- Security-Studie, die der Mobile-Business-Spezialist ubitexx erhoben hatte. Der Mitarbeiter soll in den meisten Fällen als sein eigener Daten-Wächter fungieren. Dies scheitert aber in vielen Fällen an der Arglosigkeit oder dem fehlenden technischen Verständnis des Einzelnen.

Der Faktor Mensch bleibt selbst dann das größte Sicherheitsrisiko, wenn der PDA oder das Smartphone von der IT gemäß Security Policy konfiguriert wurde. Diese Nutzerprofile und Sicherheitseinstellungen lassen sich auf Smartphones und PDAs aber nicht fixieren:; Der Benutzer ist immer auch Administrator. Mit den entsprechenden technischen Kenntnissen kann er die voreingestellten Netzwerk-Verbindungen ändern, Dateien löschen und nach Belieben Software installieren. Dies führt nicht selten dazu, dass er den reibungslosen Ablauf firmenspezifischer Anwendungen wie z. B. Push-Mail verhindert. Die Erfahrung zeigt, dass die mangelnde Einbindung in die Unternehmens-IT und die damit verbundenen indirekten Kosten im Support den Return-on-Investment mobiler Lösungen erheblich verzögert.


Schutzlose Registry auf mobilen Geräten

Mobile-Computing-Wildwuchs vermeiden

Windows Mobile unterstützt zum Beispiel Sicherheitsmechanismen auf Keys, die auf PDAs aber erst aktiviert werden müssen. Die Konfigurationsdatenbank des Betriebssystems, die Registry, ist auf PDAs im Auslieferungszustand frei zugänglich.

Ein versierter Benutzer kann hier zum Beispiel Verschlüsselungssoftware und Firewall deaktivieren. Um die sicherheitskritischen Einstellungen in der Registry gegen Schreibzugriffe zu schützen, muss das Ausführen von Registry-Editoren verhindert und der Import von Registry-Änderungen unterbunden werden.

Dies lässt sich durch den Einsatz eines dedizierten Kontroll-Moduls erreichen, das als sicherer Systemprozess in Windows Mobile integriert wird und nicht durch Buffer-Overflow-Attacken geschlossen und außer Kraft gesetzt werden kann.

(Microsofts Strategie für die Integration mobiler Geräte ins Unternehmen)


Angriff aufs Unternehmensnetz via Hotspot

Mobile-Computing-Wildwuchs vermeiden

Geht ein Vertriebsmitarbeiter mit seinem Firmen-Smartphone über eine ungesicherte Verbindung etwa von einem Hotspot am Flughafen in das Unternehmensnetz, um sich ein wichtiges Chart in seine Präsentation zu laden, ist ein unkontrollierter Zugriff durch Dritte auf das Firmennetz möglich. Dieses Sicherheitsrisiko können IT-Manager ausschalten, indem sie ein VPN-Gateway im Unternehmensnetz installieren.

Allerdings muss die Verbindung fest eingestellt werden, denn auch für den Verbindungsaufbau besitzt der kundige Benutzer die Administrationsrechte. So kann er die Sicherung des Verbindungsaufbaus der diversen Funknetze wie GSM, GPRS, UMTS, Bluetooth und WLAN aushebeln und auch eigene POP3-Konten für seine private E-Mail-Kommunikation einrichten.


Angriffe über Malware-Attacks

Mobile-Computing-Wildwuchs vermeiden

Die mobilen Endgeräte müssen durch Firewall-Mechanismen gesichert werden, um den unkontrollierten Download von Software und Dateien zu unterbinden und Angriffe mit Malicious Code erfolgreich abzuwehren.

Doch die Installation eines Virenscanners belastet die Kapazitäten und Akkulaufzeit von Smartphones und PDAs meist zu stark. Besser, man installiert eine Firewall oder eine feste VPN-geschützte Verbindung zum Unternehmensnetz, die das direkte Surfen im Internet verhindert. So baut das Gerät nur noch über das Unternehmensnetz und die dort installierten Sicherheitslösungen wie Firewall, Virenscanner und Intrusion Detection Systeme eine Verbindung zum Internet auf.

Wichtig ist aber auch hier, dass diese Verbindungseinstellungen nicht nur konfiguriert, sondern mit Hilfe eines Policy-Enforcement-Moduls wirklich durchgesetzt werden.

(So vermarktet Hersteller ubitexx seine Lösungen zur Sicherung mobiler Geräte)


Nur die Einhaltung bestimmter Regeln macht Windows Mobile geschäftsfähig

Mobile-Computing-Wildwuchs vermeiden

Damit Unternehmen kosteneffizient professionelles Mobile Business betreiben können, müssen die sicherheitsrelevanten Schwachstellen ausgeschaltet werden. Administratoren sollten die mobilen Geräte sollten ebenso komfortabel sichern und administrieren können wie die Rechner in ihrem Unternehmensnetzwerk.

Folgende Anforderungen müssen erfüllt sein:

-Zentrales komfortables Management mobiler Endgeräte

-Automatische(s) 1st Deployment und Konfiguration

-Enforcement von Sicherheitsapps / Benutzerrechten

-Kostengünstige Verteilung von Anwendungen / Services


Die Handheld-Flotte sicher steuern

Mobile-Computing-Wildwuchs vermeiden

Unternehmen benötigen folglich ein System, mit dem IT-Administratoren ohne hohen Aufwand die gesamte Handheldflotte unternehmensweit komfortabel und skalierbar administrieren können: ein Mobile-Device-Management-System (kurz MDM). Empfehlenswert ist ein integriertes MDM, das die OMA-Standards für Device- und Konfigurationsmanagement sowie Sicherheit erweitert. Es ermöglicht CIOs und IT-Administratoren Benutzerprofile, Setups, Konfigurationen, Services und Softwarepakete wie VPN-Tunnel und Verschlüsselungssoftware unternehmensweit auf PDAs oder Smartphones zu spielen, und diese komplett und zuverlässig zu kontrollieren.

Die Kontrolllösung soll vom Anwender nicht deinstalliert werden können und muss auch die Einbindung externer USB-Geräte kontrollieren. Die Verbindung zum Zentralserver sollte zudem verschlüsselt laufen.

Mit dem Einsatz einer solchen integrierten Mobile-Device-Management-Lösung reduzieren Unternehmen die internen Supportkosten, weil so weniger Systemausfälle auftreten – egal wie sehr die Nutzer darüber klagen, dass sie ihre mobilen Geräte nicht mehr selbst konfigurieren können. Entsprechende Tools beschleunigen jedoch das “Rollout” mobiler Geräte, sorgen für Sicherheit mit der Durchsetzung der Company Policies und erhöhen die Stabilität von Smartphones und PDAs, ohne deren Performance zu beeinträchtigen.

Der Autor:
Hans-Jürgen Rinser is technischer Leiter von ubitexx, einem Unternehmen, das entsprechende Lösungen für unternehmensweite Mobil-Sicherheit anbietet.