whitepaper; achten sie auf ihre daten: sechs verlustrisiken für ihre mobilen daten, die unbemerkt...

WH

ITEPAPER:ACH

TEN SIE AU

F IHRE D

ATEN: SECH

S VERLU

STRISIKEN FÜ

R IHRE M

OBILEN

DATEN

Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen Daten, die unbemerkt bleiben können

Wer dieses White Paper lesen sollteCIO, CISO, VP IT Operations, Mobile Architect, Mobile Program Manager. In diesem White Paper werden die sechs gravierendsten Bedrohungen für Ihre mobilen Mitarbeiter umrissen. Dabei werden realen Risiken wirklich hilfreiche Maßnahmen gegenübergestellt, mit der Sie die Sicherheit gewährleisten können, die Ihr Unternehmen braucht.

Inhalt

Einführung ............................................................................................................................................................................. 1

1. Verlust und Diebstahl von Geräten .................................................................................................................................. 1

2. Datenlecks ......................................................................................................................................................................... 1

3. Malware und böswillige Angriffe ...................................................................................................................................... 2

4. Gemeinsam genutzte Geräte und Kennwörter ................................................................................................................. 2

5. Ausschaltung von Sicherheitsstrukturen („Jailbreaking“) und Aneignung von Administratorrechten („Rooting“) ................................................................................................... 2

6. Wi-Fi und drahtloses Schnüffeln ..................................................................................................................................... 2


Einführung

Wenn Ihr Arbeitsplatz mobil ist, wird Ihr Unternehmen dann mitgerissen?

Die mobilen Geräte, die Ihre Mitarbeiter so gerne in ihrer Freizeit verwenden, sind mittlerweile auch zu Business-Tools geworden, die sie auf Ihre Kosten einsetzen. Dieses Phänomen wird in auch unseren jüngsten Studien deutlich: 65 % der befragten Unternehmen räumen ihren Mitarbeitern Netzwerkzugriff über die eigenen Geräte der Mitarbeiter ein; 80 % der Anwendungen, die diese Mitarbeiter verwenden, befinden sich nicht auf lokalen Rechnern, sondern in der Cloud; und 52 % nutzen nicht nur ein Gerät regelmäßig, sondern drei oder mehr.

Natürlich eröffnen diese mobilen Geräte – wie etwa Smartphones, Laptops und Tablets – neue Horizonte für die mobile Produktivität. Gerade aufgrund ihres mobilen Charakters jedoch schaffen sie auch neue Sicherheitslücken: Sie riskieren Datenverlust, den Wegfall des Datenschutzes sowie die Untergrabung des Vertrauens in die Sicherheit Ihres Unternehmensnetzwerks.

Glücklicherweise können Produktivität und Schutz aber auch gleichzeitig mobil sein – wenn Sie umfassend verstehen, welche Risiken bestehen und was Sie zur Minimierung dieser Risiken unternehmen können. In dieser Informationsschrift werden die sechs gravierendsten Bedrohungen für Ihre mobilen Mitarbeiter umrissen. Dabei werden realen Risiken wirklich hilfreiche Maßnahmen gegenübergestellt, mit der Sie die Sicherheit gewährleisten können, die Ihr Unternehmen braucht.

1. Verlust und Diebstahl von GerätenDem offensichtlichsten Risiko wird oft auch die nächstliegende Lösung gegenübergestellt: Man stellt sich darauf ein, verloren gegangene Geräte zu ersetzen. Viele zur Arbeit eingesetzte Geräte gehören jedoch den Mitarbeitern selbst – dieses Phänomen wird als „Bring Your Own Device“ (BYOD) bezeichnet. Noch wichtiger als das Gerät selbst ist allerdings, was sich auf dem entsprechenden Gerät befindet. Jedes verlorene Gerät stellt ein potenzielles Portal zu den Anwendungen und Daten Ihres Unternehmens dar.

Sie glauben, dass wir es damit etwas übertreiben? Im Jahr 2012 haben wir unsere Bedenken einer Realitätsprüfung unterzogen. Im Rahmen unserer sogenannten „Operation Honey Stick“ haben wir in jeder der nachstehenden fünf Metropolen zehn Smartphones „verloren“: Los Angeles, San Francisco, Washington D.C., New York City und Ottawa/Kanada. Auf jedes dieser Telefone wurden zunächst simulierte Unternehmensdaten und -anwendungen geladen, bevor sie dann in stark frequentierten Bereichen liegen gelassen wurden.

Bei der Hälfte der 50 Mobiltelefone wurde versucht, sie zurückzugeben. Jenseits dieser Zahl zeigt sich jedoch ein wesentlich düstereres Bild der menschlichen Natur. Auf 89 % der Geräte wurden Versuche unternommen, auf persönliche Apps oder Daten zuzugreifen – was darauf hindeutet, dass sogar die einstigen Weltverbesserer der Verlockung erlagen, auch einmal etwas Böses zu tun. Insgesamt 83 % zeigten Spuren versuchter Zugriffe auf unternehmensnahe Apps oder Daten. Bei 57 % der Handys wurde die Datei „gespeicherte Passwörter“ geöffnet; bei 49 % schauten sich die Finder auch die „Remote Admin“-Anwendung an, die den Zugriff auf das Unternehmensnetzwerk simulierte.

Aus dieser Lektion lernen wir: Unternehmen sollten sich nicht auf verloren gegangene Geräte konzentrieren, sondern müssen sensible Daten schützen, die möglicherweise verloren gehen könnten. Die grundlegende Geräteverwaltung muss durch Richtlinien für den Schutz von Anwendungen und Daten ergänzt werden. Auf der oberflächlichen Ebene bedeutet dies, dass Unternehmen die Möglichkeit haben sollten, verloren gegangene Geräte rasch aufzufinden und Remotegerätzurücksetzungen auszuführen; auf der tieferen Ebene können sie Schutz erzielen, indem sie Anwendungen sichern und Unternehmensdaten verschlüsseln, wenn diese mobil sind.

2. DatenlecksDie Bedrohung durch „böswillige Insider“, die bewusst nach vertraulichen Geschäftsinformationen suchen und diese dann weiterleiten, wurde bereits reichlich beklagt. Eine größere Gefahr könnte jedoch von wohlwollenden Mitarbeitern ohne jede böse Absicht ausgehen, die Cloud-basierte Dienste wie E-Mail und Instrumente zur Online-Zusammenarbeit verwenden, um schlicht mehr Arbeit in kürzerer Zeit zu erledigen. Auf dem sich stets weiter entwickelnden Weg zu mehr Nutzerfreundlichkeit (auch als „Konsumerisierung“ bezeichnet) arbeiten Mitarbeiter gerne mit Anwendungen, die mit Blick auf die Bequemlichkeit der Verbraucher entwickelt wurden, statt zur Ausräumung der Sicherheitsbedenken von Wirtschaftskonzernen.

Wenn Ihre geschäftlichen Daten jedoch erst mal in der Cloud sind, befinden sie sich möglicherweise außerhalb Ihrer Kontrolle. Die unter Mitarbeitern beliebten File-Sharing-Dienste und Dokumentenbearbeitungsprogramme verfügen in der Regel nicht über die Zugriffs- und Autorisierungsprotokolle, die Unternehmen für den Datenschutz benötigen. Ohne bewusste Kontrollen kann es passieren, dass Daten aus der IT-Sphäre des Unternehmens entweichen und in die weit weniger sichere Welt der Risiken gelangen.

1


Angemessener Anwendungs- und Datenschutz sollte einer zweigleisigen Sicherheitsstrategie folgen: 1) Durchsetzung einer „schwarzen Liste“ für Anwendungen, die den Zugriff auf unzulässige Apps untersagt; sowie 2) Bereitstellung von Steuerelementen, die verhindern, dass geschäftliche Daten über Online-Anwendungen kopiert, eingefügt und/oder anderweitig freigegeben werden.

Zu den einschlägigen Schutzfunktionen für Anwendungen und Daten gehören unter anderem:

• Anwendungsspezifische Authentifizierung• Datenverschlüsselung• Kopier- und Einfügeschutz• Sperrung der Dokumentenfreigabe• Blockierung des Zugriffs auf veränderte Geräte (Geräte, die „Jailbreaking“ und „Rooting“ unterzogen wurden)

3. Malware und böswillige AngriffeBetrachtet man nur die absoluten Zahlen, so drohen PCs viel mehr Malware-Angriffe als mobilen Geräten. Die Anzahl der Angriffe auf Mobilgeräte steigt jedoch wesentlich schneller. Während die traditionellen IT-Profis der mobilen Malware nicht allzu viel Beachtung schenken, betrachten die „bösen Jungs“ den Mobilbereich als ihre nächste große Wachstumschance.

Folglich existieren dort zahlreiche Risiken, wie etwa Identitätsdiebstahl, Informationspreisgabe und Datenverlust durch böswillige Angriffe von trojanischen Pferden, Monitoren und „blinden Passagieren“ auf Malware. Die größte Gefahr geht dabei wohl von „gespooften“ Apps aus. Als beliebtes Spiel oder populäre Anwendung getarnt, sowie mit einem kostenlosen Download als Köder, schmuggeln diese Apps schädlichen Code in das Gerät, der Geld von Konten abziehen oder Daten aus Unternehmensnetzwerken extrahieren kann.

So genannter „Sicherheits-Freeware“ fehlt es an ausreichend Wissen, um mit der sich ständig ändernden Malware und den immer raffinierteren Bemühungen um die Umgehung der Datenschranken von Unternehmen Schritt zu halten. Wirklich effektiver Bedrohungsschutz muss die variierenden Risikoprofile verschiedener Plattformen berücksichtigen und koordinierte Maßnahmen anwenden, um Unternehmensvermögen gegen externe Angriffe, schädliche Anwendungsprozesse („Rogue Apps“), unsicheres Browsen und sogar die schlechte Nutzung von Batterien zu sichern.

4. Gemeinsam genutzte Geräte und KennwörterAus kürzlich veröffentlichten Studien geht hervor, dass nahezu die Hälfte aller Mitarbeiter ihre Geräte gemeinsam mit Freunden und Familie nutzt; weitere 20 % geben ihre Kennwörter an andere weiter. Leider beruht die Mehrheit der Sicherheitsverletzungen durch die Belegschaft auf der gelegentlichen gemeinsamen Nutzung von Konten.

Mobile Geräte zu schützen bedeutet wesentlich mehr als die bloße Verwendung eines Lockscreen. Bevor die Benutzer auf Daten und Anwendungen des Unternehmens zugreifen können, kann es ratsam sein, zunächst ihre Identitäten zu überprüfen. Hier bietet sich eine zweistufige Herangehensweise an die Authentifizierung an – der Schlüssel zur erfolgreichen Benutzer- und App- Zugriffsverwaltung sowie zum App- und Datenschutz. Dabei sollte etwas, das der Benutzer weiß (wie etwa ein Kennwort), mit etwas anderem kombiniert werden, das der Benutzer besitzt (z. B. einer Wertmarke, einem Fingerabdruck oder einem Netzhautscan).

5. Ausschaltung von Sicherheitsstrukturen („Jailbreaking“) und Aneignung von Administratorrechten („Rooting“)

In unserer BYOD-Welt ist es für Mitarbeiter einfach, ein „jail-broken“ bzw. „gerootetes“ Gerät in die Unternehmensumgebung einzuführen. Durch solche Geräteänderungen können Sicherheitsprotokolle umgangen und Sicherheitsmerkmale deinstalliert werden und kann Zugriff auf zuvor noch geschützte Dateisysteme und Datensteuerelemente ermöglicht werden.

Unternehmen müssen Geräteverwaltungsrichtlinien anwenden, aufgrund derer auf allen Geräten einheitliche Standards für die Konfigurations- und Sicherheitseinstellungen gelten – unabhängig davon, ob die Geräte dem Unternehmen oder den Mitarbeitern gehören. Geräte, die geändert wurden, sollten identifiziert werden, und diesen Geräten sollte der Zugriff verweigert werden, um das Unternehmensnetzwerk zu schützen.

6. Wi-Fi und drahtloses SchnüffelnWenn es „kostenlos“ ist, ist dies wahrscheinlich ein Schwindel; bei Hot-Spots, die sich auffällig laut „kostenlos“ nennen, kann vielmehr davon ausgegangen werden, dass sie wahrscheinlich nach mobilen Daten angeln. Benutzer erkennen oft ihre eigenen Schwachstellen nicht, und Unternehmen können 3G-, 4G- und 4G/LTE-Kanäle weder kontrollieren, noch einsehen.

Umfassende App-, Daten- und Geräteverwaltungsrichtlinien sollten auf zwei Ebenen schützen:

• Kommunikation, wie z. B. Unternehmens-E-Mails, durch sichere SSL- oder VPN-Verbindungen• Verschlüsselung von Unternehmensdaten, wenn diese übertragen oder auf mobilen Geräten verwahrt werden

Weitere Informationen über Enterprise Mobility, die umfassenden Schutz bietet, ohne dass dadurch Kompromisse beim Bedienungskomfort eingegangen werden müssten, finden Sie unter go.symantec.com/mobility.

2


Über SymantecSymantec schützt Informationen auf der ganzen Welt und ist ein führender Anbieter von Lösungen für Sicherheit, Backup und Verfügbarkeit. Unsere innovativen Produkte und Dienstleistungen schützen Menschen und Informationen in jeder Umgebung – vom kleinsten Mobilgerät über Rechenzentren bis hin zu Cloud-basierten Systemen. Unsere weltweit renommierte Kompetenz beim Schutz von Daten, Identitäten und Interaktionen verleiht unseren Kunden Vertrauen in eine vernetzte Welt. Weitere Informationen finden Sie auf www.symantec.com. Oder treffen Sie Symantec in den sozialen Medien unter go.symantec.com/socialmedia.

Symantec (Deutschland) GmbH, Wappenhalle Konrad-Zuse-Platz 2-5, 81829 MünchenTelefon: +49 (0) 89 / 94302 - 100Telefax: +49 (0) 89 / 94302 - 550www.symantec.com

Die Adressen und Telefonnummern der Niederlassungen in den einzelnen Ländern finden Sie auf unserer Website.

Copyright © 2014 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo und das Häkchen-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer verbundenen Unternehmen in den USA und in anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.

21283507GE 11/14
