Kaum eine Studie zu IT-Sicherheitsrisiken kommt ohne die Aussage aus, dass mobile Endgeräte wie Smartphones oder Tablets zu den Hauptangriffszielen der Hacker und Internetkriminellen gehören. Gerade die Sicherheitslücken in den mobilen Apps sind zu einem wesentlichen Risiko für Datenmissbrauch und Datenverlust geworden.
Das wird sich in den nächsten Jahren kaum ändern - im Gegenteil: Marktforscher wie Gartner erwarten für 2017, dass 75 Prozent der mobilen Sicherheitsvorfälle aus der fehlerhaften Konfiguration von Apps resultieren werden. Parallel dazu wird die Zahl der installierten und genutzten Apps massiv ansteigen. Mehr als 100 Apps und Dienste sollen mobile Anwender in 2017 täglich nutzen, so eine weitere Gartner-Prognose.
Mobile Device Management reicht nicht aus
Um den Einsatz mobiler Endgeräte abzusichern, setzen viele Unternehmen auf Mobile Device Management (MDM). Mit einem klassischen Mobile Device Manager lassen sich viele der mobilen Risiken minimieren, allerdings nicht alle.
So gehören zu den typischen Funktionen einer MDM-Lösung die zentrale Steuerung von Sicherheitseinstellungen wie die Forderung eines Gerätepasswortes und die Pflicht zur Verschlüsselung des mobilen Datenspeichers. Geht ein Endgerät verloren oder wird es gestohlen, können Administratoren mit einer MDM-Lösung versuchen, das Tablet oder Smartphone aus der Ferne zu löschen. Zudem kann der Gerätestatus abgefragt werden wie zum Beispiel die Version und der Patchstand des mobilen Betriebssystems - vorausgesetzt, die entsprechende mobile Plattform wird vom Mobile Device Manager unterstützt.
Meist lassen sich weitere Vorgaben mit MDM durchsetzen wie die Freigabe oder Blockade bestimmter Schnittstellen und Netzwerkverbindungen. Je nach MDM-Lösung können grundsätzliche Sicherheitsvorgaben auf der Ebene von Apps gemacht werden. Für eine umfassendere App-Kontrolle jedoch wird bereits ein Mobile Application Management (MAM) oder aber Dual-Use-Konzepte wie App-Container zur Kapselung privater oder betrieblicher Apps benötigt. Gartner zum Beispiel empfiehlt, MDM-Lösungen um App-Shielding oder Daten-Container zu ergänzen.
Selbst Mobile Application Management ist zu wenig
Als Erweiterung klassischer MDM-Lösungen bieten Mobile Application Manager zahlreiche Funktionen, um die Verwendung einzelner Apps zu regeln und abzusichern. MAM-Lösungen unterstützen meist einen Enterprise App Store, der alle betrieblich freigegebenen Apps enthält, andere Quellen für App-Downloads werden nicht zugelassen.
Der App-Bestand auf den Endgeräten und die App-Nutzung werden mittels MAM überwacht, Apps lassen sich unterscheiden in betrieblich und privat, bestimmte Gerätefunktionen wie die Nutzung der Kamera können beschränkt, andere Funktionen wie VPN können für Apps zwingend vorgeschrieben werden.
Mobile Datensicherheit darf sich aber nicht auf Endgeräte und Apps beschränken, sondern muss die Daten, die Nutzer, die Einsatzsituation und die mobile Umgebung berücksichtigen. Unternehmen sollten ihre Sicht auf mobile Risiken erweitern und die mobilen Sicherheitslösungen vervollständigen.
Mobile Risiken sind sehr vielschichtig
Risikobewertungen zur mobilen Datensicherheit wie die Top Ten Smartphone Risks der EU-Agentur für Netz- und Informationssicherheit (ENISA) zeigen auf einem Blick, wie vielfältig die Bedrohungen bei Mobile Computing sind. Als besonders riskant werden der Datenverlust durch Geräteverlust und -diebstahl, der ungewollte Datenabfluss durch Fehler der Anwender und die fehlende Sicherheit bei der Ausmusterung von Smartphones bewertet.
Doch betrachtet man diese Risiken genauer, zeigt sich, dass das tatsächliche Ausmaß der mobilen Bedrohung von weiteren Faktoren abhängt: Wo genau wurde das Endgerät verloren? Wer war der Nutzer und welche Art von Daten wurden mobil genutzt? An wen wurde das Smartphone abgegeben oder wie wurde es entsorgt?
Die genauen Antworten auf diese Fragen haben Einfluss auf das tatsächliche Risiko und die erforderlichen Schutzmaßnahmen. So macht es einen Unterschied, ob ein Smartphone im zutrittsgeschützten Serverraum oder am Hauptbahnhof verloren geht, ob der Nutzer Vorstand oder Praktikant war und ob das Endgerät sicher entsorgt oder im Internet versteigert wurde.
Es ist Zeit für ein Mobile Risk Management
So wichtig der Einsatz von MDM- und MAM-Lösungen und so hilfreich eine grundsätzliche Risikobewertung für Tablets und Smartphones auch sind - für eine Abwehr mobiler Risiken, die dem aktuellen Schutzbedarf entspricht, braucht es mehr. Dabei bedeutet "mehr" nicht unbedingt zusätzliche Sicherheitsmaßnahmen, sondern vielmehr passende Sicherheitsmaßnahmen.
Foto: Appthority
Eine Anpassung der mobilen Datensicherheit an die tatsächlichen Risiken hilft nicht nur der Compliance und dem Datenschutz, es ist auch wirtschaftlicher: So fordert selbst der strenge deutsche Datenschutz nur verhältnismäßige Schutzmaßnahmen, entsprechend dem Schutzbedarf. Verhältnismäßigkeit kann Kosten senken und die Nutzerakzeptanz steigern und sollte Ziel jedes Datensicherheitskonzeptes sein.
Für den Schutz mobiler Endgeräte bedeutet dies, Mobile Device Management, Mobile Application Management und Mobile Information Management (MIM) in Richtung eines umfassenden und fortschrittlichen Mobile Risk Managements zu entwickeln.
Mobile Risk Manager sind bereits verfügbar
Ein Mobile Risk Management kann durch die Kombination von MDM- und MAM-Lösungen mit kontextsensitiver Sicherheit erzielt werden. Vorausgesetzt es bestehen entsprechende Schnittstellen, können Lösungen für eine kontextsensitive Security genutzt werden, um die zur aktuellen Risikolage passenden Sicherheitsmaßnahmen zu ermitteln und zusammen mit MDM und MAM umzusetzen.
Es gibt aber bereits spezielle Tools, die sich dem Mobile Risk Management (MRM) verschrieben haben. Dabei werden je nach Lösung mobile Risiken ermittelt und bewertet auf der Ebene von Geräten, Betriebssystemen und Apps, auf Nutzerebene, auf Basis der aktuellen IT-Umgebung (wie verbundene Server), unter Berücksichtigung des aktuellen Standorts, der genutzten Daten, aber auch der jeweiligen Compliance-Vorgaben, die zum Teil von der Branche des Nutzers abhängen.
Die mobilen Risiken werden von den MRM-Lösungen nicht nur aus reiner Datenschutzsicht bewertet. Je nach Vorgabe des Anwenderunternehmens werden zusätzlich die möglichen finanziellen Auswirkungen, ein denkbarer Schaden für das Unternehmensimage und die Positionierung im Wettbewerb betrachtet. Es geht also um eine umfassendere Sicht auf die Folgen mobiler Gefahren, als dies bei klassischen Ansätzen der Datensicherheit üblich ist.
Beispiele für Mobile Risk Manager (MRM)
Die Mobile Security Management Plattform von Marble Security enthält neben klassischen Sicherheitsfunktionen wie Anti-Malware, VPN, App-Scanner und mobiler Webfilter auch die Funktion "Dynamic Risk Scoring & Remediation". Diese berechnet abhängig von Nutzer, Gerät, Apps und Verbindungen einen aktuellen Risikowert sowie eine risikoabhängige Zugangskontrolle zu Apps und dem Unternehmensnetzwerk. Ab einem definierten Risikowert erfolgt dann eine Zugangssperre.
Rapid7 MobiliSafe bestimmt einen sogenannten TrustScore für jedes verwaltete mobile Gerät. Basis des TrustScore sind die entdeckten Schwachstellen und deren Kritikalität. Abhängig von definierten Schwellwerten für den TrustScore wird der Zugang zum Unternehmensnetzwerk erlaubt oder blockiert, erhalten die Nutzer Sicherheitshinweise oder die Administratoren entsprechende Warnungen.
Lösungen wie Appthority App Risk Management analysieren dynamisch die App-Nutzung und das App-Verhalten für die überwachten Endgeräte und bewerten die bestehenden App-Risiken. Anders als bei statischen Black Lists und White Lists wird die Nutzung bestimmter Apps nicht einfach verboten oder erlaubt, sondern regelmäßig bewertet. Die Sperre oder Freigabe einer App wird dabei vom aktuellen App-Risiko, von der jeweils ermittelten App Reputation (Appthority Trust Score) abhängig gemacht. Einen ähnlichen Ansatz verfolgt Mojave Application Reputation.
Foto: Appthority
Ob ein mobiles Endgerät Zugang zum Unternehmensnetzwerk erhält oder nicht, machen Lösungen wie der IBM Security Access Manager for Mobile ebenfalls von einem aktuellen Risikowert abhängig, der unter anderem mit dem aktuellen Standort des Nutzers und dem Status des jeweiligen Endgeräts zusammen hängt.
MRM darf nicht selbst zum Risiko werden
Der wesentliche Vorteil des Mobile Risk Managements gegenüber klassischem MDM besteht darin, den aktuellen Schutzbedarf und das aktuelle Risiko für das einzelne mobile Gerät dynamisch zu bestimmen. Dabei spielt meist der mobile Nutzer eine entscheidende Rolle, seine Berechtigungen, seine gegenwärtige App-Nutzung, sein Standort und seine Daten.
Wenn jedoch der Anwender und die Nutzung so detailliert durchleuchtet werden, ist zumindest theoretisch ein umfassendes mobiles Nutzerprofil nicht fern, zumal viele Lösungen nicht mit Pseudonymen, sondern mit der tatsächlichen Nutzerkennung und Geräte-ID arbeiten, über die eine Verknüpfung zum einzelnen Anwender hergestellt werden kann.
Foto: MobileIron
Unternehmen sollten deshalb ihre Mobile-Risk-Management-Lösung vor Zweckentfremdung und Missbrauch schützen. Die Nutzeranalysen unterliegen einer besonderen Zweckbindung und dürfen nur für die Risikobewertung, nicht aber für eine Verhaltens- und Leistungskontrolle der Anwender eingesetzt werden. Damit also MRM nicht selbst zum Risiko für den Datenschutz wird, sollte der Zugang zur MRM-Lösung am besten über eine Zwei-Faktor-Authentifizierung geschützt werden. Der Zugriff auf die Protokolle der MRM-Lösung sollte nur nach dem Vier-Augen-Prinzip möglich sein.
Es empfiehlt sich wegen des zu erwartenden Personenbezugs der Protokoll- und Analysedaten vor der Einführung einer MRM-Lösung mit dem betrieblichen Datenschutzbeauftragten zu sprechen, über die Vorteile für die mobile Datensicherheit, aber auch über den notwendigen Schutz der Nutzerdaten. (sh)