Ob Smartphone, iPad oder klassisches Mobiltelefon – mobile Geräte werden immer mächtiger. Der private und geschäftliche Zugriff auf E-Mails, Anwendungen und Apps gehört zur Normalität. Doch angesichts zunehmender Gefahren wie Malware in Android Apps stellt sich die Frage: Sind die Geräte nicht eine Hintertür für Angreifer?
Das Problem der mobilen Sicherheit ist schnell umrissen: Mobile Endgeräte haben in den allermeisten Fällen ungefähr das Sicherheitsniveau eines PCs der 80er. Sie sind aber vernetzt und sehr viel mächtiger, als es die Computer seinerzeit waren.Ihre Nutzung erfolgt flexibel über Mobilfunk- und IP-Netze, mit dem Unternehmen sind sie ebenso verbunden wie vielleicht mit privaten Geräten. Zunehmend kommen auf ihnen Apps zum Einsatz, die sich der zentralen Kontrolle durch Unternehmen vollständig entziehen. Mehr noch: Apps sind auch deshalb kaum kontrollierbar, weil sich klassische Modelle wie Browser-Sicherheit hier nicht anwenden lassen.
Welches Unternehmen weiß schon, welche Mitarbeiter welche App auf welchen mobilen Endgeräten nutzen. Unter Umständen kann mit ihrer Hilfe auf Firmen-E-Mails oder gar remote auf Anwendungen wie beispielsweise SAP oder Monitoring-Anwendungen für das Netzwerk oder Datenbanken zugreifen?
Die Konzepte der Apps sind – wie die meisten Entwicklungen im Bereich der mobilen Endgeräte – mit Fokus auf den Endanwender (im Sinne des „Consumers“) vorangetrieben worden, nicht für Business-Anwender. Dies ist eine Antwort auf die Frage, warum das Thema Sicherheit auch heute bei mobilen Endgeräten noch eine untergeordnete Rolle spielt.
Ebenso lässt sich damit erklären, warum es kaum mehr ein Gerät ohne Kamera gibt. Immerhin ist es für geschäftliche Nutzer lästig, wenn sie ihr Mobiltelefon an der Pforte vieler Unternehmen abgeben müssen. Zum Teil lässt sich vor diesem Hintergrund auch erklären, warum Technologien wie digitale Zertifikate oder starke bzw. biometrische Authentifizierung trotz der verfügbaren Leistung und Erweiterbarkeit noch kein Standard sind.
Das heißt aber nicht, dass man Sicherheit bei mobilen Endgeräten nicht brauchen würde. Eine Out-of-Band-Authentifizierung, die immer populärer wird, ist in Verbindung mit unsicheren Endgeräten deutlich weniger wert. Der mobile Zugriff auf Firmen-E-Mails oder auf sensitive Anwendungen bewegt sich – bezüglich der rechtlichen Vorgaben zu Sicherheit und Risikomanagement – beim heutigen Stand der Sicherheitstechnik schon in der Grauzone.
Hier sind beide Seiten zum Handeln aufgefordert. Unternehmen müssen Richtlinien formulieren und umsetzen, die die Nutzung von mobilen Endgeräten regeln. Mit Blick auf die potenziellen Risiken muss es den Anwender bei Bedarf einschränken – sowohl mit Blick auf die zulässigen Geräte als auch auf deren Nutzung.
Die Hersteller müssen endlich beginnen, Geräte für die geschäftliche Nutzung anzubieten, bei denen „Security by Design“ im Vordergrund steht. Es geht aber auch um das technische Management von Konfigurationen und die Überwachung der Sicherheit, die zum Standardwerkzeug in Unternehmen werden müssen.
Derzeit ist die offensichtliche Situation, dass man – weil man die Gadgets nutzen möchte und sich auch nicht traut, dem Management die Sicherheitsrisiken vieler der Gadgets aufzuzeigen – sehenden Auges ein Sicherheitsrisiko in Kauf nimmt. Das ist aber nicht nur gefährlich, sondern auch rechtlich sehr fragwürdig.