Admins Albtraum: Mobile Computing

MobileSicherheitVirusWorkspaceZubehör

Die rasante Verbreitung von Smartphones, Netbooks und USB-Sticks macht Sicherheitsexperten nervös. Zu Recht, denn die Security-Richtlinien vieler Unternehmen sind auf die Mobilgeräte nicht vorbereitet.

Schicke Smartphones, preiswerte Netbooks, mobile Festplatten und USB-Sticks mit 4 oder mehr GByte Speicher – die schöne neue Welt der Mobilgeräte drängt mit Macht in die Unternehmen. Schließlich sollen die Mitarbeiter auch unterwegs erreichbar sein und möglichst effizient arbeiten.

Einige Kollegen können sich aber über den Mobiltrend nicht wirklich freuen, die IT-Administratoren und Sicherheitsbeauftragten in Unternehmen. Denn der Trend bedeutet sicherheitstechnisch gesehen nichts anderes als die Ausweitung des Unternehmensnetzwerks. Und die kunterbunte Vielfalt der Mobilgeräte macht die Sache auch nicht leichter.

Wie reagieren Unternehmen auf diesen Trend und wie steht es um die Sicherheit? Das wollten die Marktforscher von IDC wissen und haben dazu im November 2008 eine Umfrage unter 150 Unternehmen in Deutschland gestartet. Die befragten Firmen hatten jeweils mehr als 100 Mitarbeiter und mehr als 100 Mobilgeräte im Einsatz.

Conficker verbreitet sich über USB-Sticks
Vor allem die gesunkenen Preise bei Notebooks haben in den letzten Jahren den Mobiltrend in Unternehmen gefördert. 2008 zählten schon gut 36 Prozent der Mitarbeiter in den befragten Unternehmen zur mobilen Truppe, nächstes Jahr sollen es dann schon knapp 48 Prozent sein. Erstaunlich die weite Verbreitung von Smartphones, die schon in 82 Prozent der Betriebe eingesetzt werden.

»150 Unternehmen in Deutschland befragt« IDC-Research Director Martin Haas. (Bild: IDC)

Admins machen sich unbeliebt
In 97 Prozent der befragten Betriebe nutzen die Mitarbeiter auch USB-Sticks, und diese bereiten den Security-Spezialisten große Kopfschmerzen. So ist kaum kontrollierbar, welche Daten der Anwender etwa vom Home Office via Stick ins Büro mitbringt und welche Daten er wieder hinausträgt. Die einzige Möglichkeit wäre, die USB-Ports am Arbeitsplatz zu deaktivieren, eine Maßnahme, mit der sich Admins bei den Kollegen unbeliebt machen.

Raimund Genes, Chief Technology Officer bei Trend Micro, zählt die praktischen Speichersticks zu den »am schnellsten wachsenden Gefahren«. Gerade der aktuelle Wurm Conficker verbreite sich häufig über die Sticks.
Natürlich sind nach wie vor auch ungepatchte Systeme ein gern genutztes Einfallstor für Malware aller Art.

Hinzu kommt: »Die bösen Buben sind kreativer geworden«, wie Genes formuliert. Kreative Hacker, unkontrolliert eingesetzte USB-Sticks und Notebooks, die auch privat genutzt werden, diese Kombination hat den Job der Administratoren um einiges komplizierter gemacht.

Lesen Sie auf Seite 2: Lückenhafte Security Policy

Ein Drittel aller Unternehmen ohne Mobile Security Policy
Umso wichtiger ist eine durchdachtes Sicherheitskonzept. Hier stimmen die Ergebnisse der Umfrage, die IDC-Director Martin Haas vorstellte, nicht eben optimistisch. So glauben zwar immerhin 65 Prozent der Betriebe, dass Mobile Security wichtiger Bestandteil einer umfassenden IT-Sicherheitslösung sein müsse, doch nur bei 47 Prozent existiert eine Security-Richtlinie, die auch mobile Endgeräte miteinbezieht.

Nur 22 Prozent planen dies für die »nächsten 12 – 24 Monate«. 12 Prozent gaben sogar an, dass keine Security-Richtlinie für Mobilgeräte geplant sei.

Nur 65 Prozent der Firmen sehen Mobile Security als Teil der umfassenden IT-Sicherheitslösung. (Grafik: IDC)

Mangelndes Sicherheitsbewusstsein bedroht Existenz
Dabei sollten es die Firmenmanager eigentlich besser wissen. Denn 44 Prozent haben schon Bekanntschaft mit Malware, Trojanern oder Datendiebstahl gemacht. IDC-Director Haas vermutet, dass die Dunkelziffer hier wesentlich höher ist, da die Firmen »nur ungern darüber reden«.

»Nur Geräte nutzen, die vollständig verschlüsselt sind« Utimaco-Manager Malte Pollmann. (Bild: Utimaco)

Zudem wissen die IT-Verantwortlichen der Umfrage sehr wohl, dass mangelndes Sicherheitsbewusstsein der Mitarbeiter oder auch nur unabsichtliches Fehlverhalten für jedes Unternehmen existenzbedrohend sein.

Lesen Sie auf Seite 3: Der oberste Sicherheitsgrundsatz

Fehlendes Know-how, keine Unterstützung vom Chef
Spannend ist in diesem Zusammenhang die Frage nach den Gründen der lückenhaften Sicherheitsstandards vieler Unternehmen. Hier nennen die Befragten Faktoren wie »Budgetsituation« oder »fehlende personelle Ressourcen«. Diese Angaben sind wenig überraschend und dürften sich seit der Umfrage im November 2008 angesichts der aktuellen Wirtschaftskrise noch weiter verfestigt haben. Aber auch »fehlendes internes Know-how« und »fehlende Unterstützung der Unternehmensleitung« werden beklagt.

Beunruhigend: 12 Prozent der Firmen haben nicht vor, eine Mobile Security Policy einzuführen. (Grafik: IDC)

Nur verschlüsselte Geräte und Sticks anschließen
Dass angesichts der ständigen Zunahme der Cyberkriminalität die Security-Verantwortlichen in Unternehmen gut beraten sind, den Thema Mobil-Trend in Zukunft stärker zu berücksichtigen, liegt auf der Hand. Malte Pollmann, Chief Product Officer beim Sicherheitsspezialisten Utimaco, empfiehlt als obersten Grundsatz: »Mitarbeiter dürfen nur solche Geräte und Datenträger nutzen, die vollständig verschlüsselt sind.«

»Die bösen Buben sind kreativer geworden« Trend Micro-Technik-Chef Raimund Genes. (Bild: Trend Micro)

Mitbewerber Trend Micro will demnächst eine Software bringen, die auch das leidige Thema der USB-Sticks in Griff kriegt. Damit kann der Mitarbeiter dann nur noch den Stick an den Firmen-PC oder das Notebook anstecken, der vorher registriert und zugelassen wurde.

In einem Punkt können die geplagten IT-Admins aber erst mal durchschnaufen. Die Meldungen über Viren für Smartphones und Handys gehören nach Meinung der Security-Experten derzeit noch ins Reich der Panikmache, sind aber (noch) keine echte Gefahr.
(Mehmet Toprak)

Weblinks
IDC Deutschland
Trend Micro
Kaspersky Lab
Utimaco
Security-News auf IT im Unternehmen
Bundesamt für Sicherheit in der IT
Großes Bild: Symantec-Monitoring-Center