Best Practices zur Verbesserung der mobilen Datensicherheit

Viele Firmen sind besorgt um die mobile Datensicherheit. Diese Best Practices helfen der IT dabei, die von Mobilgeräten ausgehenden Risiken zu reduzieren.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

IT-Administratoren können viele der Risiken bei der mobilen Datensicherheit im Zusammenhang mit mobilen Geräten...

und Anwendungen eindämmen, indem sie Best Practices und standardmäßige Sicherheitsmaßnahmen verbindlich einführen.

Als die ersten Smartphones aufkamen, besaßen sie wenige integrierte Sicherheitsfunktionen. Mit seiner systemeigenen Verschlüsselung und Over-the-Air-Geräteverwaltung war BlackBerry eine rühmliche Ausnahme und sorgte für eine breite Akzeptanz im Businessbereich, so dass andere Hersteller dem Ansatz von BlackBerry folgten.

Beispielsweise verfügte das Apple iPhone bei seiner Einführung weder über Verschlüsselung noch über IT-Verwaltungsfähigkeiten. Heute besitzt jedes Gerät mit Apple iOS von Haus aus ein verschlüsseltes Dateisystem, kann mit einem langen, komplexen Passcode gesperrt werden und unterstützt mehr als 150 von der IT konfigurierbare Richtlinien. Obwohl solche systemeigenen Funktionen je nach Marke und Modell variieren, unterstützen alle fünf großen mobilen Betriebssysteme – Apple iOS, Google Android, BlackBerry, Microsoft Windows Phone 8 und Windows 10 Mobile – diese und andere Best Practices.

Best Practices für die mobile Datensicherheit

PIN oder Passcode. Die erste Verteidigungslinie gegen die unberechtigte Nutzung eines verloren gegangenen oder gestohlenen Gerätes ist eine schwer zu knackende PIN oder ein entsprechender Passcode. Alle der genannten Betriebssysteme unterstützen numerische PINs und alphanumerische Passcodes. Die größte Herausforderung liegt darin, lange, komplexe Passcodes zu erzwingen, die Nutzer häufig wieder eingeben müssen. Kürzere Passcodes mit einer zusätzlichen Benutzerauthentifizierung zu koppeln, um jede sensible Geschäftsanwendung zu öffnen, ist eine praktische Möglichkeit, das Risiko zu reduzieren.

Remote-Suche und Remote-Löschung. Die meisten Firmen legen außerdem Wert darauf, ein verloren gegangenes oder gestohlenes Gerät remote aufspüren und, falls möglich, alle Unternehmensdaten darauf löschen zu können. Auch hier unterstützen alle fünf Betriebssysteme die Remote-Suche und Remote-Löschung, aber wie effektiv die Löschung funktioniert, unterliegt Schwankungen. Zum Beispiel wird durch das Löschen eines iOS-Gerätes der Zugriff auf alle verschlüsselten Daten (persönliche oder geschäftliche) unmöglich gemacht. Im Gegensatz dazu bedeutet das Löschen eines Android-Gerätes, dass es einfach auf seine Werkseinstellungen zurückgesetzt wird, wodurch wiederherstellbare Daten anfallen können. Die Remote-Löschung funktioniert effektiver, wenn man sie mit Anwendungen kombiniert, die ihre eigenen Daten strikt verschlüsseln.

Verschlüsselung gespeicherter Daten. Die Verschlüsselung von gespeicherten Informationen ist für Unternehmen ein Muss geworden, wenn es um mobile Geräte geht, die geschäftliche Daten speichern, einschließlich temporärer Dateien, Nachrichtenanhängen, Screenshots, zwischengespeicherter Webseiten und anderen Daten, die undichte Anwendungen generieren. Die vollständige Geräteverschlüsselung wird allgemein unterstützt, zu den erwähnenswerten Ausnahmen gehören etwa Android 2.x und Windows Phone 7. Darüber hinaus können einige Geräte nicht alles verschlüsseln, selbst wenn das Betriebssystem dies unterstützt. Und sogar ein verschlüsseltes Gerät gibt – dank einer gecrackten PIN – seine Daten einem Dieb preis.

Hier empfehlen die Best Practices eine vollständige Geräteverschlüsselung in Kombination mit einer Softwareverschlüsselung durch jede Anwendung. Um die mobile Datensicherheit zu verbessern und Lecks zu vermeiden, müssen Anwendungsentwickler darauf achten, alles, was in den Flash-Speicher geschrieben wird, sorgfältig zu verschlüsseln und die dazugehörigen Schlüssel zu schützen. Zu den neuen Trends gehören in einer Sandbox laufende Applikationen, die ihre eigene sichere (authentifizierte, verschlüsselte) Umgebung erzeugen, und sichere Datencontainer, die von der IT verwaltete Dokumente für den Offline-Zugriff sicher speichern.

Over-the-Air-Verschlüsselung. Firmen machen sich zudem Sorgen um bewegte Daten (Data in Motion), also den kontinuierlichen Traffic von und zu kabellosen mobilen Geräten, die permanent online verbunden sind. Alle fünf Betriebssysteme unterstützen nativ per Transport Layer Security (TLS) verschlüsselten E-Mail- und Web-Traffic, WPA2-verschlüsselten Wi-Fi-Traffic und per Virtual Private Network (VPN) verschlüsselten Netzwerkzugriff. Leider sind die zugehörigen Einstellungen und Zertifikate zu kompliziert für die Konfiguration durch Endbenutzer. Außerdem hindert die verbindliche Nutzung von sicherem Wi-Fi im Unternehmen User nicht daran, Daten an öffentlichen WLAN-Hotspots ungeschützt zu übertragen. Überdies schwankt die VPN-Konfigurierbarkeit je nach Marke und Modell. Infolgedessen sollten Anwendungsentwickler TLS zum Verschlüsseln ihres eigenen Traffics verwenden, unabhängig von Netzwerk- oder VPN-Sicherheit.

Antimalware. Die zuvor genannten Vorgehensweisen konzentrieren sich auf die mobile Datensicherheit. Doch sie können auch Malware in Schach halten, indem sie zum Beispiel Android-Malware daran hindern, auf Wechselmedien gespeicherte Dateien zuzugreifen, die für alle Anwendungen zugänglich sind. Ferner sperren mobile Betriebssysteme Anwendungen in Sandboxes, um sie voneinander zu isolieren, und zwingen die Benutzer, jeder einzelnen Anwendung die Berechtigung zum Zugriff auf Gerätefunktionen oder geteilte Daten zu erteilen. Leider akzeptieren die User häufig diese Zugriffsanfragen, ohne sich über die Konsequenzen im Klaren zu sein. Während die Richtlinien von Apples App Store iOS-Malware abgeschreckt haben, lässt sich Gleiches für die Stores von Google oder Microsoft nicht sagen. Selbst BlackBerry-Nutzer können Anwendungen aus wenig vertrauenswürdigen Quellen installieren (ein riskantes Verhalten, das als Sideloading bezeichnet wird).

Best Practices, um mobile Malware unter Kontrolle zu halten, entstehen gerade erst noch. Auf jeden Fall dazu zählen aber die Überwachung von auf der schwarzen Liste stehenden Anwendungen oder kompromittierter Software, das Routen von mobilem Traffic über Cloud-Dienste, die nach Malware scannen, und Malware-Scanner auf mobilen Geräten. Zu den Best Practices für die Anwendungsentwicklung gehören der Selbstschutz von Daten, das Testen auf für Exploits nutzbare Schwachstellen und das Anfordern von lediglich unbedingt notwendigen Berechtigungen.

Mobile Device Management. Die IT kann sich durch Mobile Device Management (MDM) Einblick in und Kontrolle über Smartphones und Tablets verschaffen. Die Methoden umfassen etwa den Einsatz von Microsoft Exchange ActiveSync, um eine PIN und Verschlüsselung obligatorisch zu machen, sowie die Nutzung von MDM-Tools von Drittanbietern, um Sicherheitsrichtlinien zu konfigurieren und durchgehend zu erzwingen. Die unterstützbaren Sicherheitsrichtlinien variieren je nach mobilem Betriebssystem/Version, Gerätemarke/Modell und MDM-Tool. Doch eine zentralisierte Verwaltung der Sicherheitsrichtlinien ist erforderlich, um weitere Verfahren zu implementieren, beispielsweise PIN/Passcode, Remote-Suche/Löschung, Verschlüsselung und sogar Antimalware, ohne sich darauf verlassen zu müssen, dass die Endbenutzer einsichtig genug sind, immer das Richtige zu tun.

Mobile Application Management. Zunehmend bieten MDM-Tools auch gutes Mobile Application Management (MAM) und erlauben es der IT, Anwendungen zu inventarisieren, bereitzustellen, zu installieren, zu aktualisieren und zu entfernen. Allerdings müssen Anwendungsentwickler verstehen, wie sich Anwendungen für jedes mobile Betriebssystem packen, bereitstellen und aktualisieren lassen. Gleiches gilt für die von jedem Hersteller und App Store auferlegten Verteilungsregeln. Diese Regeln haben Auswirkungen auf die mobile Datensicherheit – alle fünf mobilen Betriebssysteme verlangen etwa, dass Anwendungen signiert sind, unterscheiden sich aber, wer das Signaturzertifikat ausstellt und wie das die Anwendungsberechtigungen beeinflusst. Best Practice in diesem Fall ist die Schulung der Entwickler.

Datensicherung. Um sicherzustellen, dass Daten sich wiederherstellen lassen, nachdem ein Gerät beschädigt oder gelöscht wurde beziehungsweise verloren gegangen ist, machen Sie sich die Backupfunktionen zunutze, die von jedem mobilen Betriebssystem unterstützt werden. Zu den nativen Backupfunktionen zählen üblicherweise das Schreiben der Backupdateien auf einen Laptop oder Desktop und das regelmäßige Sichern von Daten auf einen Cloud-Storage (zum Beispiel Apple iCloud oder Google Drive). Best Practices empfehlen unter anderem, den Zugriff auf Backupdateien und Cloud-Storage mit einem Passwort zu schützen, diese Backups wo immer es möglich ist zu verschlüsseln und geschäftliche Daten nicht auf persönlichen Storage-Bereichen zu sichern. Die Entwickler von mobilen Anwendungen wollen möglicherweise die nativen Backupfunktionen nutzen, müssen dann aber auch die Sicherheitsauswirkungen berücksichtigen.

Fazit

Wie bereits gesagt, setzen viele Best Practices für die mobile Datensicherheit zunächst einmal auf die systemeigenen Funktionen von mobilen Geräten und Betriebssystemen. Verstärkt wird dieser Ansatz durch die Kombination mit anwendungsspezifischen Sicherheitsmaßnahmen. Das Integrieren von Sicherheit in jede mobile Anwendung mindert nicht nur das Risiko, sondern sorgt gleichzeitig auf dem noch immer unübersichtlichen Feld der mobilen Plattformen für mehr Ordnung. Die Sicherheit mobiler Betriebssysteme und Verwaltungsfähigkeiten werden sich weiter verbessern, genauso wie neue mobile Geräte mit neuen Schwachstellen auf den Markt kommen werden.

Obwohl wir uns in diesem Artikel auf Geräte, Betriebssysteme und die mobile Datensicherheit konzentriert haben, gehören zur Mobilität außerdem noch viele andere Komponenten, die ebenfalls von der IT abgesichert werden müssen – zum Beispiel von mobilen Usern genutzte Funknetzwerke, mobile Messaging-Server und Cloud-Storage. Alle diese mobilen Risiken zu begreifen und nach Wegen zu suchen, sie während der mobilen Anwendungsentwicklung zu neutralisieren, ist eine lohnende Investition.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close