Serg Nvns - Fotolia

Checkliste: Anforderungen für mehr mobile Sicherheit

Sicherheits-Tools und Bedrohungen entwickeln sich ständig weiter. Daher sollte der mobile Sicherheitsprozess eines Unternehmens flexibel und anpassungsfähig bleiben.

Mobile Sicherheit ist ein Prozess und kein Ziel – dies gilt übrigens für die meisten Aspekte der Netzwerksicherheit. Malware und andere Bedrohungen entwickeln sich wie die Sicherheits-Tools der Unternehmen ständig weiter. Daher ist es unerlässlich, dass der mobile Sicherheitsprozess eines Unternehmens flexibel und anpassungsfähig bleibt. Eine übergreifende Checkliste für die entsprechenden Sicherheitsanforderungen hilft beim Erreichen dieser Ziele.

Folgende Schritte sollten zum Schutz des mobilen Netzwerks von Unternehmen in jeder Checkliste für mobile Sicherheitsanforderungen enthalten sein:

  • Umfassende Sicherheitsrichtlinie: Dieses relativ einfache Dokument beschreibt, welche Informationen als sensibel und daher schutzbedürftig definiert sind, wer unter welchen Umständen auf diese Informationen zugreifen darf und was im Falle eines Verstoßes oder eines Sicherheitsvorfalls zu tun ist. Das Fehlen einer effektiven Sicherheitsrichtlinie, die regelmäßig verstärkt und veröffentlicht wird, ist der häufigste Fehler, den wir heute in der mobilen Sicherheit sehen. Zu wissen, was zu schützen ist, ist ein wesentlicher Bestandteil der Checkliste für mobile Sicherheitsanforderungen. Firmen sollten daher eine Richtlinie für Cybersicherheit einrichten, sie regelmäßig überarbeiten und verstärken sowie die Mitarbeiter entsprechend schulen.
  • Authentifizierung (Identitäts-Management): Authentifizierung ist der Nachweis der Identität einer Partei in jeder Kommunikation und beruht idealerweise auf Gegenseitigkeit. Moderne Identitäts-Management-Produkte bilden die neueste Generation von Authentifizierungs-, Autorisierungs- und Abrechnungssoftware (AAA). ID-Management gibt Unternehmen die Möglichkeit, wichtige Daten zu verschlüsseln und festzustellen, wer berechtigt ist, auf diese Daten zuzugreifen und sie zu ändern. In der mobilen Welt kann die bekannte – und weitgehend ineffektive – Authentifizierung über Benutzernamen und Kennwörter durch zusätzliche Authentifizierungs-Standards gestärkt werden, die den Einsatz eines bestimmten Geräts, Standortes, einer Tageszeit und anderer Faktoren erfordern. Zwei-Faktor-Authentifizierung, oft beschrieben als „Etwas, das man hat, plus etwas, das man kennt“, bildet hier den Ansatz der Wahl. Das spezifische mobile Endgerät einer Person dient dabei oft als zweiter Faktor. Monitoring und Reporting bleiben aber weiterhin als Herausforderung bestehen, zusätzlich zu den Analysen in Echtzeit, die entwickelt wurden, um potenzielle Authentifizierungsprobleme zu erkennen.
  • End-to-End-Verschlüsselung: Sensible Daten müssen verschlüsselt werden, damit unbefugte Dritte nicht darauf zugreifen können. Es ist ein Fehler, sich einzig und allein auf Verschlüsselung zu verlassen, die heute für Mobilfunk, WLAN und die meisten anderen Formen kommerzieller drahtloser Kommunikation unerlässlich ist. Stattdessen geht es darum, dass Anwendungen ihre eigene Verschlüsselung erzwingen; keine Daten sind an sich sicher, es sei denn, die betreffende Anwendung implementiert den notwendigen Schutz selbst. Die allgemeine Regel: Sensible Daten müssen im Ruhezustand verschlüsselt werden während sie in der Cloud, auf einem mobilen Gerät, einem USB-Stick oder irgendwo anders gespeichert sind (Data at Rest). Das gilt aber auch während der Übertragung über jedes Netzwerk, sei es kabelgebunden oder per WLAN oder Mobilfunk (Data in Transit). Die Entschlüsselung kann nur dann erfolgen, wenn alle Bedingungen für das Identitäts-Management erfüllt sind, die auf der Sicherheitsrichtlinie basieren.
  • Überlegungen zu BYOD: Da BYOD (Bring Your Own Device) derzeit in den meisten Unternehmen die vorherrschende Strategie bei der Bereitstellung von mobilen Geräten darstellt, muss eine klare und prägnante BYOD-Richtlinie mit entsprechenden Vereinbarungen für den Endnutzer vorhanden sein. Sie sollte Anforderungen an Updates für Betriebssysteme und Anwendungen, Anti-Malware-Software, die Viren und sonstige bösartigen Code entdeckt und stoppt, sowie EMM-Tools (Enterprise Mobility Management) für die Verwaltung von mobilen Geräten, Anwendungen und Inhalten festlegen. In der Praxis hat es sich auch bewährt, die Vielfalt der zugelassenen Geräte zu begrenzen, etwa auf spezifische Geräte und Versionen von mobilen Betriebssystemen, um Fehlerquellen zu minimieren und die Belastung für die Support-Mitarbeiter sowie die Compliance-Verantwortlichen zu verringern.
  • Management und Support: Unternehmen mit 100 oder mehr Beschäftigten sollten über einen dedizierten Mitarbeiter für mobile IT-Sicherheit verfügen, dessen Hauptaufgabe darin besteht, potenzielle Bedrohungen zu überwachen und Abwehrmaßnahmen zu prüfen.

Der Schlüssel liegt darin, die Chancen und Gelegenheiten für Endbenutzer zu minimieren, mit der sie die Sicherheit gefährden können. Gleichzeitig sind die Abwehrkräfte und Reaktionsfähigkeit zu maximieren, mit denen ein Unternehmen Fehlern oder Sicherheitslücken begegnen kann, wenn sie auftreten. Kleinere Firmen sind natürlich nicht immun gegen Sicherheitsvorfälle. Erfreulicherweise finden sie aber mittlerweile eine breite Palette von (zunehmend Cloud-basierten) Ansätzen und bei Bedarf auch Beratung.

Es ist auch wichtig zu bedenken, dass zu Sicherheit ein ebenso wichtiges Gegenstück gehört: Integrität. Dazu gehört die physische Sicherheit kritischer Netzwerke und IT-Infrastrukturen ebenso wie Hot-Standby oder redundante Netzwerk- und IT-Ressourcen. Hier können Cloud-basierte Strategien wirklich helfen. Firmen sollten aber eine Sicherheits-Checkliste besitzen, die sie mit allen Lieferanten überprüfen können. Und noch einmal: Alle guten Sicherheitspraktiken schließen auch das kabelgebundene Netzwerk mit ein.

Die mobile IT von heute erhöht die Anzahl potenzieller Angriffsvektoren, Einfallstore und anderer Schwachstellen. Unternehmen sollten daher daran denken, dass sie vertrauliche Informationen, die einmal kompromittiert wurden, nie wieder richtig schützen können. Sicherheit kann in der Tat der eine Aspekt der IT sein, der sich nie vollständig umsetzen lässt. Eine Checkliste für mobile Sicherheitssnforderungen reduziert aber bei perfekter Umsetzung die Wahrscheinlichkeit, dass ein Unternehmen zum Opfer wird.

Experten haben gezeigt, dass Checklisten die meisten Prozesse sicherer und effizienter machen. Unternehmen, die die Schritte in dieser Checkliste für mobile Sicherheitsanforderungen befolgen, sind auf dem besten Weg, die mobilen Geräte und Daten vor dem unbefugten Zugriff von außen oder innen zu schützen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenlose Vorlagen: Richtlinien für mobile Geräte

Checkliste: Smartphones, Tablets und Mobile Device Management

Kostenloses eBook: Maßnahmen für mehr mobile Sicherheit

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Erfahren Sie mehr über Mobile-Device-Management (MDM)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close