Pressemeldung

Mit Sicherheit mobil

Thesen zum Pressegespräch auf der it-sa in Nürnberg am 17. Oktober 2012,
von Dr. Oliver Beys, Leiter Entwicklung Kommunikationsprodukte, DATEV eG

In einer Arbeitswelt, in der der mobile Zugriff auf Daten im Unternehmensnetzwerk über Smartphones und Tablet-PCs zunehmend die Geschäftsprozesse ergänzt, ist die Absicherung dieses Zugriffs ein wichtiger Bestandteil der IT-Sicherheitsstrategie. Aufgrund ihrer nahezu ständigen Verbindung mit dem Internet sind mobile Endgeräte extrem angreifbar. Dieser Umstand macht ihre Absicherung zu einer besonderen Herausforderung. Um einen wirkungsvollen Schutz zu etablieren, gilt es gleich auf mehreren Sicherheitsebenen Lücken zu schließen.

Fünf Dimensionen umfasst die mobile Sicherheit:

  • Internet-Zugangspunkt im Unternehmen: Dabei geht es zunächst um den Schutz der Unternehmensinfrastruktur gegen Angriffe aus dem Internet.
  • Konfiguration des Endgeräts: Beim Einrichten des Zugriffs eines mobilen Gerätes auf das Unternehmensnetzwerk muss sichergestellt werden, dass die gewählte Securitypolicy zwingend durchgesetzt wird. Selbst vom Anwender darf sie sich nicht mutwillig oder unbewusst umgehen lassen. Am wirkungsvollsten wird dies durch ein zentrales Mobile Device Managementsystem umgesetzt. So lässt sich das Gerät einfach einrichten und aktualisieren und im Notfall auch sperren.
  • Authentifizierung des mobilen Nutzers: Zugriff darf nur gewährt werden, wenn der Nutzer seine Identität definiert nachweisen kann. Dies geschieht über die Komponenten Wissen, Besitz, Biometrie oder bestenfalls durch eine Zwei-Faktor-Authentifizierung.
  • Datensicherheit auf der Kommunikationsstrecke: Beim Austausch über das Internet sollten Daten grundsätzlich verschlüsselt werden.
  • Datenspeicherung auf dem Endgerät: Lokal auf Smartphones und Tablet-PCs gespeicherte Daten lassen sich nur bedingt schützen und verschlüsseln, insbesondere in Abhängigkeit von den Möglichkeiten des jeweiligen Betriebssystems. Ohne spezifische Vorkehrungen zum Schutz der Daten auf dem Endgerät ist maximale Datensparsamkeit zu empfehlen.

Umfassender Schutz auch für kleine Unternehmen möglich

Für jede einzelne dieser Sicherheitsanforderungen gibt es im Markt Lösungen, die einen guten Schutz bieten. Während Großunternehmen davon profitieren, ist es mit den in kleinen und mittleren Betrieben vorhandenen Ressourcen kaum möglich, selbst für eine ausreichende Sicherheit der Mobilgeräte und ihres Zugriffs auf das Unternehmensnetzwerk zu sorgen. Über die Auslagerung dieser Verantwortung an Spezialisten lässt sich diese Lücke jedoch schließen. Beispielsweise hat die DATEV eG über die Kombination unterschiedlicher etablierter Verfahren für verschiedene Angriffspunkte ein Gesamtkonzept für die mobile Sicherheit geschaffen. Als zentral gehostetes Mobile Security-Angebot bietet die Lösung DATEVnet mobil dem Anwender ein technisches Höchstmaß an Sicherheit bei hohem Nutzungskomfort.

Eine der zentralen Erfahrungen, die DATEV bei Konzeption und Einrichtung des Systems gemacht hat, ist die Erkenntnis, dass mobile Sicherheit zwingend im Gesamtkontext der Internetsicherheit eines Unternehmens betrachtet werden muss. Ein elementarer Einzelbereich ist die Authentifizierung des Anwenders. Aus Bequemlichkeitsgründen werden dabei oft Schwächen zugelassen. Eine Zwei-Faktor-Authentifizierung, die für den Zugriff auf schützenswerte Daten neben der Wissenskomponente (PIN oder Passwort) auch eine Besitzkomponente (SmartCard, USB-Token) verlangt, ist leider eher die Ausnahme. Die Umsetzung einer Mobile Security-Lösung und deren laufender Betrieb erfordern ausgeprägtes Know-how über das Design der bestehen Mobillösungen und deren Systemeinbettung. Dieses stetig auf aktuellem Niveau vorzuhalten, ist eine Aufgabe, die mit den technischen und personellen Kapazitäten eines mittelständischen Unternehmens nicht bewerkstelligt werden kann.

Kontakt

DATEV eG

Benedikt Leder, Telefon +49 911 319-1246, benedikt.leder@datev.de