Betriebshandys vor Zugriffen Dritter schützen

Die Zeiten, als nur Computer von Schadsoftware wie Viren, Trojanern etc. betroffen waren, sind lange vorbei. Immer häufiger werden auch mobile Geräte wie Smartphones oder Tablets von Schadsoftware oder Virenangriffen heimgesucht. Speziell bei Handys von Unternehmen, sogenannten Betriebshandys, kann das schlimme Auswirkungen haben. Werden sie Ziel von Spionageattacken, können Betriebsgeheimnisse oder sensible Daten abgegriffen werden. Mit geringen Vorkehrungen kann der Schutz jedoch erheblich verbessert werden.

Nicht erst seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai letzten Jahres, sind Daten ein sensibles Thema. Das Bewusstsein darüber, wer welche personenbezogenen Daten beitzt und was damit unternommen wird, war noch nie so groß wie heute. Datenschutz am Computer am Arbeitsplatz wird weitestgehend durch Rechteeinschränkung und bewusstem Umgang gewährleistet. Doch was ist mit dem Diensthandy? Moderne Smartphones haben wenig gemein mit den Tastenhandys der Vergangenheit. Sie sind voll funktionsfähige Computer mit einer permanenten Onlineverbindung, denn das Handy ist sozusagen ständig erreichbar.

Handys sinn vollwertige Computer geworden

Genau wie ein Computer am Arbeitsplatz kann auch das Handy gehackt und komplett übernommen werden. Die Kontaktliste, E-Mails, Textnachrichten, Bilder, Termine, Passwörter oder auch VPN-Zertifikate für den Fernzugriff auf den Bürocomputer im Firmennetzwerk etc., ein Selbstbedienungsladen für Datenräuber. Über WLAN oder Bluetooth kann sich der Datendieb Zugang zum Smartphone verschaffen. Das Handy speichert quasi alles, selbst Daten zu Eigenschaften von Server-Systemen mit denen das Smartphone in Kontakt steht oder sich auch nur ein einziges Mal eingeloggt hat. Auf diese Weise sind Smartphones die Schlüsselschablonen, mit denen sich Unbefugte Zugang zum Firmennetzwerk verschaffen könnten. Der Handynutzer merkt davon meist gar nichts und ist sich seiner Rolle dann auch nicht bewusst.

Viele Varianten

Die Angebotsvielfalt der Smartphones und die daraus resulierenden multiplen Erfordernisse an die Firmensicherheit, gestalten es zunehmend schwerer, das Firmennetzwerk komplett Save zu halten. Jedes Modell und jedes Betriebssystem hat seine individuellen Baustellen, die die IT-Sicherheit im Firmennetzwerk vor großer Herausforderungen stellen. Außerdem werden die Handys immer öfter geschäftlich und privat genutzt. Selbst wenn die Firma klare Vorgeben mit der Nutzung des Firmenhandys verknüpft, ist der Mensch der Unsicherheitsfaktor Nummer Eins, denn inwiefern er sämtliche Vorgaben konsequent in die Tat umsetzt, ist sein Ermessen.

Interesse beim Nutzer erwecken

Ein Problem ist ein gewisses Desinteresse für sensible technische Details, gepaart mit der Unbekümmertheit darüber, dass man selbst ja gar nicht so wichtig sei und deshalb keinesfalls Ziel einer Cyberattacke werden könne. Für das Thema Sicherheit fehlt es teilweise einfach an der entsprechenden Senibilität, denn faktisch jeder kann den Schlüssel ins Netzwerk liefern. Da gibt es keine wichtigen oder unwichtigen Personen. Für den Datendieb zählt einzig der Besitz der notwendigen Daten und darüber sind sich die wenigsten im Klaren. Quasi jedes Diensthandy kann gezielt manipuliert werden. Nicht zu vergessen die Themen Diebstahl oder Verlust.

Unsicherheitsfaktor Nummer eins

Die Firmen-IT kann noch so ausgeklügelte Sicherheitsmaßnahmen ergreifen. Letztendlich liegt es an jedem Nutzer selbst, die Vorgaben zu kennen, zu verstehen und umzusetzen. Das wird dadurch erreicht, dass das Bewusstsein der Belegschaft für die Sicherheit gefördert wird. Einsicht in die Notwendigkeit, auch wenn diese etwas aufwändiger und unbequemer sein sollte, müssen bei jedem Mitarbeiter gegeben sein. Darüber hinaus empfiehlt es sich, Endgeräte nur mit den für den Nutzer und seine Arbeit notwendigen Rechten zu versehen.

Sensible Firmendaten schützen

Alles beginnt in der Firmen-IT. Ein Unternehmer, der bei seiner IT an der Sicherheit spart, lädt potenzielle Kriminelle quasi ein. Ein individuelles, den Unternehmenserfordernissen entsprechend gestaltetes Sicherheitskonzept ist eine sehr sinnvolle Investition. Sicherheit hat seinen Preis, das versteht sich von selbst. Allerdings werden die Kosten bei Datenverlust, Datendiebstahl oder anderen Problemen in der Regel viel höher, von Ausfallzeiten mal ganz abgesehen.

Vorsicht besser als Nachsicht

Prävention ist eine undankbare Sache, denn die Vorsorge liefert im Resultat nur einen ereignisfreien Funktionsverlauf der IT. Wer aber schon einmal eine Cyberattacke aufgrund unzureichender Sicherheit hatte und sogar Datenverlust hinnehmen musste, weiß, dass jeder Euro in der IT-Sicherheit gut angelegt ist. Außerdem sind die Folgen von Angriffen kaum absehbar. Datendiebstahl, der öffentlich wird, könnte das Unternehmen so stark schädigen, dass es sich von dem erlittenen Image- oder Vertrauensverlust nicht mehr erholt.

Zielgruppen von Angriffen

Ziel digitaler Verbrechen kann jeder Unternehmer werden. Nicht nur große Konzerne sondern auch der Mittelstand ist ein lohnendes Ziel für Cyberkriminelle. Je kleiner der Betrieb ist, desto leichter ist es oft für die Kriminellen, sich Zugang zu verschaffen. Wenn Unternehmen zum Beispiel zu klein für eine eigene IT-Abteilung sind und sie Server in wenig gesicherten, zum Teil nicht einmal abgeschlossenen Räumen stehen. Jeder könnte sich dann Zugriff verschaffen, z. B. getarnt als Kunde, Interessent, Handwerker oder auch Bote. Fremde nicht unbeaufsichtigt zu lassen oder einfach sensible Bereiche abzuschließen, wären ein leicht umsetzbarer Schritt in die richtige Richtung.

Zugang erschweren

Zugangsschutz ist mit wenigen Mitteln leicht umsetzbar. Was Smartphones betrifft, fängt es damit an, dass der Zugriff durch eine PIN oder ein Passwortes erschwert wird. Sinnvoll ist es hier, nicht ein und dieselbe PIN für jedes Event mit dem Smartphone zu benutzen, sondern verschiedene für z.B. Entsperren des Handys, Entsperren der SIM-Karte oder für die Kopplung an das Firmennetzwerk. Und wenn man sich schon Passwörter ausdenkt, dann sollten diese auch sicher und nicht durch Dritte sofort zu erraten sein.

Die Konfiguration des Firmenhandys sollte durch die IT der Firma erfolgen und in diese sollte seitens des Nutzers nicht eingegriffen werden. Selbst wenn mal etwas nicht funktioniert, sollte nie selbst Hand angelegt werden, sondern immer der Experte für die Firmensicherheit konsultiert werden. Nur der Fachmann kann den Zugriff auf virtuelle Netzwerke, Datenbanken oder Office-Anwendungen sicher konfigurieren.

Daten bei Betriebshandys verschlüsseln, vor Viren schützen

Auch mit dem Smartphone ist die Verschlüsselung der Nutzerdaten möglich. E-Mailversand mit SSL-Verschlüsselung wird in der Regel durch den Anbieter des Postfaches angeboten. Falls nicht, kann die Firmen-IT auch geeignete Software-Lösungen nutzen. Gleiches betrifft Messaging-Dienste. Die verbreitetsten Dienste lassen in Sachen Sicherheit oft zu Wünschen übrig. Hier bieten andere Apps die gleiche Funktionalität bei erheblich höherer Sicherheit an. Die Installation einer Firewall und eines wirksamen, regelmäßig zu aktualisierenden Virenschutzes ist auf betrieblich genutzten Smartphones erforderlich.

Verbindungen kappen

Zugangswege für Mobilgeräte sind die üblichen Verbindungskanäle wie W-LAN oder auch Bluetooth. Insbesondere Bluetooth bietet viele Bequemlichkeiten für Handynutzer wie Freisprecheinrichtungen, Headsets usw.. Oft werden diese Annehmlichkeiten regelmäßig genutzt und die Bluetooth-Verbindung des Handys deshalb immer aktiv gelassen. Ähnlich verhält es sich mit W-LAN. W-LAN ermöglich nicht nur die Verbindung vom Handy zu einem Access-Point sondern auch anders herum. Für Datendiebe sind das willkommene Zugangswege, die es ihnen ermöglichen, unbemerkt Daten abzurufen. Aus diesem Grund sollten diese Verbindungen nur dann aktiviert werden, wenn sie tatsächlich genutzt werden sollen. Für das Surfen via W-LAN sollte stets ein verschlüsseltes W-LAN-Netz ausgewählt werden.

Freigegebene Apps

Firmensmartphones sollten durch die Firmen-IT eingerichtet werden. Das betrifft auch die zur Verfügung gestellten App. Hier gilt, weniger ist mehr. Deshalb sollten nur die Apps installiert werden, die unbedingt erforderlich sind. Für Apps, mit denen Firmendaten verarbeitet werden, sollte eine Passwort- oder PIN-Sperre eingerichtet werden.

Verhalten bei Zugriffen von Außen

Sollte es zu einem Zugriff, einer Virenverseuchung oder zum Einfangen eines Trojaners kommen, sollte die IT sofort verständigt werden. Falscher Stolz oder Furcht, als Verursacher bestraft zu werden, sind völlig fehl am Platz, denn der Faktor Zeit ist entscheidend, wenn es darum geht, den aufgetretenen Schaden zu regeln. Ähnlich verhält es sich mit verlegten oder veroren gegangenen Endgeräten. Diese sollten unverzüglich aus der Serverdomäne entfernt werden. Außerdem kann der Administrator auf dem Mobilgerät gespeicherte Daten per Synchronisierung mit dem Server oder per Fernzugriff zu löschen, bevor ein Schaden entsteht.

Grundsätzlich lassen sich Sicherheitslücken durch den bewussten Umgang mit der Technik leicht vermeiden.

Bildrechte: Fotolia, Urheber: Tan Kian Khoon, ID: #103608