Welche Anwendungen und Programme auch immer installiert sind: Der wichtigste Wächter für Smartphone, Tablet und Notebook bleibt der Mensch. Hinter einem guten Passwort sollten die Besitzer aber noch eine zweite Sicherheitsbarriere errichten.
Das Thema Sicherheit hat bei der Finanz Informatik (FI) einen sehr hohen Stellenwert. Das Unternehmen mit Sitz in Frankfurt am Main ist der IT-Dienstleister der Sparkassen-Finanzgruppe und übernimmt den Service für Millionen Konten. „Auch wir kommunizieren immer mehr über mobile Geräte“, sagt Markus Weigel, Abteilungsleiter Mobile Services bei FI. Nachlässigkeiten beim Schutz der Smartphones und Tablets darf es dabei nicht geben. Für die mobilen Endgeräte ist daher genau vorgegeben, wie sicher ein Passwort sein muss, welche App-Dienste erlaubt sind, wie der Bildschirmschoner aussehen darf und dass die Codesperre aktiviert ist. Um diese Vorgaben zu erfüllen, ist ein ausgeklügeltes Mobile Device Management notwendig, in dem die Sicherheitsregeln eindeutig hinterlegt sind.
Die Vorgabe dabei: Jedes Institut in der Sparkassen-Finanzgruppe muss entsprechend den eigenen Vorgaben die Sicherheitseinstellungen individuell konfigurieren können: Was ist erlaubt, was ist verboten? Die Einstellungen werden zentral gesteuert und sind für jeden Nutzer eines mobilen Endgeräts verbindlich. Regelmäßig wird mit einer App überprüft , ob die Sicherheitsrichtlinien auf dem Endgerät noch erfüllt werden.
Keine Passwörter von der Stange
Doch was genau heißt heutzutage schon sicher? So banal es sich anhört: Ein gutes Passwort ist die halbe Miete. „Damit wird es für Unbefugte sehr schwierig, sich Zugriff auf Ihre Daten zu verschaffen“, sagt Roman Schlenker, Senior Sales Engineer beim Softwareentwickler Sophos. Wichtig: In eine PIN gehören keine Daten von bekannten Ereignissen wie etwa das Geburtsdatum. Ein Passwort muss eine Kombination aus Zahlen, Buchstaben und Sonderzeichen sein. Eine Mustererkennung zum Öffnen des Smartphones sollte auf Dienstgeräten tabu sein: Der zurückbleibende Fettfilm auf dem Display ist nach einem Diebstahl häufig gut erkennbar und kann deshalb leicht nachgezeichnet werden.
„Falls doch einmal das Passwort geknackt wird, sollten Nutzer auf dem Gerät für eine zweite Sicherheitsbarriere sorgen: die Verschlüsselung der Daten“, sagt Schlenker. Viele Softwarelösungen und Apps zur Verschlüsselung des Speichers oder der Festplatte sind kostengünstig und trotzdem bombensicher. Wer einen höheren Schutzbedarf hat, kann anstelle einer PIN oder eines Passworts auch einen Sicherheitstoken verwenden. Dabei werden Daten sicher in einem kleinen Chip gespeichert, wie zum Beispiel bei EC- oder SIM-Karten. Zu guter Letzt darf auf mobilen Geräten ein Viren- beziehungsweise Malwarescanner genauso wenig fehlen wie auf einem klassischen Schreibtisch-PC.
Individuelle Zugänge definieren
Den Rahmen für alle Maßnahmen sollte im Betrieb eine zentrale Application Control setzen. Die IT-Abteilung hat damit Zugriff auf die mobilen Geräte, kann Updates einspielen, Software installieren und bei Fehlermeldungen eingreifen. Das gilt auch für private Smartphones und Tablets, insofern die Mitarbeiter sie im Firmennetzwerk nutzen dürfen (Stichwort: „Bring your own device“). „In diesem Fall werden die Firmen nicht um eine geeignete und durchdachte Policy herumkommen“, sagt Marcus Hertlein, wissenschaftlicher Mitarbeiter am Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen. „Ein Unternehmen muss sich im Klaren darüber sein, in welchem Bereich ein Smartphone verwendet werden darf und in welchem Umfang.“ Darf die Kamera in der Produktion eingesetzt werden? Welche Unternehmensdaten dürfen auf welchem Gerät gespeichert werden? Gibt es ein bestimmtes abgetrenntes Netzwerk? „Hier besteht eine große Gefahr, Einfallstore in das Unternehmensnetzwerk zu schaffen“, warnt Sicherheitsexperte Hertlein davor, das Thema auf die leichte Schulter zu nehmen.
Wenn ein mobiles Gerät inklusive Firmendaten verschwindet, ist aber noch nicht alles verloren. Apple zum Beispiel bietet eine Rettungsfunktion für iPhones über seine iCloud an. Schaltet der Benutzer das Gerät in den Lost-Mode, ist dieser in der Lage, das iPhone per GPS zu orten, mit einem PIN-Code zu sperren oder auch Nachrichten auf dem Display anzuzeigen. Die klassischen Notebooks zählen dagegen nicht zur „Always on“-Generation. Das heißt: Das Löschen oder Sperren aus der Ferne ist zwar nicht unmöglich – aber wenig zuverlässig.
Wohin mit sensiblen Daten?
Doch gehören sensible Daten überhaupt auf den internen Speicher? Ist ein USB-Stick ein No-Go? Das lasse sich nicht pauschal sagen, meint Udo Schneider, Pressesprecher beim IT-Sicherheitsdienstleister Trend Micro. „Unternehmer müssen die Risiken und Vorteile miteinander abwägen.“ Ein USB-Stick ist handlich, kann aber ebenso wie das Smartphone verloren gehen oder gestohlen werden. Also keine gute Idee, hierauf wichtige Daten zu sichern. Die Speicherung in der Cloud ist für viele Anwender die erste Alternative. „Aber ich gebe die Kontrolle über Daten ab, weil ich nicht mehr physikalisch Zugriff darauf habe“, sagt Schneider. Auch hier gilt daher: auf jeden Fall verschlüsseln. Und selbst eine eigene Cloud im Unternehmensnetzwerk bietet keine 100-prozentige Sicherheit. „Wo lagere ich Backups? Und wer kann ausschließen, dass sich nicht jemand in die Putzkolonne einschleicht und eine Festplatte mitnimmt“, fragt Schneider. Sein Tipp: eine umfassende Risikoanalyse. „Legen Sie Prioritäten fest und überlegen Sie, welche Risiken in Kauf genommen werden können.“
VERSCHLÜSSELN UND SICHERN – DIE BESTEN APPS
Das Gratis-Tool Truecrypt gilt unter Experten seit vielen Jahren als sicherste Möglichkeit, einen Datenträger zu verschlüsseln. Im vergangenen Jahr wurde die Entwicklung der freien Software allerdings eingestellt. Die Version 7.1a läuft unter Windows und Mac OS X – und ist immer noch empfehlenswert.
Sehr ähnlich und kompatibel mit Truecrypt ist EDS Lite (Encrypted Data Store). Die App ist gratis, einfach zu bedienen und läuft auf dem Android-Betriebssystem. Mit EDS Lite lassen sich auf dem Smartphone verschlüsselte Ordner anlegen.
Doc Wallet wurde vom Fraunhofer-Institut getestet und ist eine der populärsten (kostenfreien) Apps für Apple-Geräte. Alle Ordner sind in dem „Dokumenten-Schließfach“ per Passwort geschützt. Wer seine Daten zwischen verschiedenen Geräten synchronisieren will, muss sich für einen Zusatzdienst registrieren (Kosten: zehn Euro pro Jahr).
E-Mails lassen sich bei iOS und Android über Änderungen in den Grundeinstellungen verschlüsseln.
Wer zudem einen Nachrichtendienst sucht, der sich im Gegensatz zu Whatsapp nicht ausspionieren lässt, hat mehrere Alternativen: Myenigma ist eine kostenlose App, die Chat-Nachrichten ebenso sichert wie Dokumente. Hier gibt es eine „Ende-zu-Ende-Verschlüsselung“, so dass nur Sender und Empfänger Zugriff haben. Threema aus der Schweiz ist eine weitere Alternative.
