Mobile Geräte ermöglichen Flexibilität, indem Mitarbeiter außerhalb des Büros arbeiten können. Dies führt zu Wettbewerbsvorteilen, Produktivitätssteigerungen und steigert auch die Mitarbeiterzufriedenheit. Kein Wunder, dass Mobilität zu den am schnellst wachsenden Bereichen im Markt für Unternehmenstechnologien zählt. Das Thema Sicherheit bleibt jedoch die große Herausforderung – und dafür müssen ständig Maßnahmen gesetzt werden.
Es wird immer schwieriger, die Sicherheit von Geräten und Daten zu gewährleisten, da die IT-Infrastruktur immer dezentraler ist und Malware leichter in Geräte eindringt, die remote genutzt werden. Dies erhöht wiederum das Risiko, dass Daten verloren gehen. Ein anderes beträchtliches Risiko besteht darin, dass mobile Geräte anfälliger für Datenlecks sind, da sie leichter verloren gehen oder gestohlen werden können.
Die finanziellen und rechtlichen Auswirkungen dieser Datenverluste, genauso wie der Vertrauensverlust, können immens sein; verstärkt wurde dies mit dem Inkrafttreten der DSGVO (Datenschutzgrundverordnung), die viel strengere Durchsetzungsmaßnahmen für den Datenschutz mit sich bringt. Unternehmen müssen jetzt sehr detaillierte Sicherheitskontrollen einführen, gepaart mit Transparenz, um festzustellen, wann persönliche Daten von EU-Bürgern auf mobilen Geräten gefährdet sein können – mit dem Ziel, potenzielle Schwachstellen so schnell wie möglich zu beheben.
Der Trend zu Bring Your Own Device (BYOD) verstärkt das Problem, weil Mitarbeiter ihre eigenen Geräte verwenden, um auf Unternehmensnetzwerke und -daten zuzugreifen. Es wird kolportiert, dass fast 70% der Mitarbeiter unabhängig von den Unternehmensrichtlinien eigene Geräte verwenden. In Anbetracht der Tatsache, dass Organisationen weitaus weniger Kontrolle über BYOD-Geräte und ihre Schwachstellen haben, ist es besorgniserregend, dass etwa die Hälfte der Unternehmen, die BYOD zulassen, dafür keine bestimmenden Sicherheitsrichtlinien durchsetzen! Aus diesem Grund erscheint es nicht überraschend, dass 37% der Unternehmen eine Datenschutzverletzung oder einen Datenverlust erlebt haben, der direkt auf mobile Technologien zurückzuführen ist.
Der erste Schritt zur Gewährleistung der mobilen Sicherheit ist die Implementierung einer wirksamen Richtlinie. Unternehmen müssen zunächst den Umfang und die Ziele festlegen: Wer darf wann worauf zugreifen? Welche Geräte sollen unterstützt werden? Welche Anwendungen und Inhalte werden mobil zur Verfügung gestellt? Die Sicherheitsrichtlinien müssen im gesamten Unternehmen konsistent sein und sollten als Erweiterung von bereits vorhandenen Geschäftsstrategien und von umfassenden Technologie-, Sicherheits- und Compliance-Richtlinien betrachtet werden.
Derzeit ist vielen Unternehmen die Lücke in ihren Sicherheitsrichtlinien nicht bewusst - bis sie direkt danach gefragt werden. Hier sind drei einfache Schritte, mit denen Sie die Abwehrchancen Ihrer Kunden gegen Bedrohungen – und zwar sowohl externe als auch interne - sofort verbessern können.
Schritt 1: Alte und neue Bedrohungen mit Patches stoppen
Eine der ältesten Herausforderungen im IT-Bereich besteht darin, Desktops, Laptops und Server mit den neuesten Patches für Software und Betriebssystem auf dem neuesten Stand zu halten. Noch komplizierter wird es, wenn unternehmensweite Anwendungen im Einsatz sind, die scheinbar in der Zeit stehen geblieben sind – denn dann ist es oft nicht mehr möglich, ein Upgrade auf ein empfohlenes Betriebssystem durchzuführen oder alte Exploits zu patchen.
Der Weg Ihres Kunden zur Verbesserung der Sicherheit sollte mit einem detaillierten Blick auf den aktuellen Patch-Workflow beginnen. Fragen Sie Ihren Kunden, ob er derzeit Patches bereitstellt, ob er eine bekannte Sicherheitslücke schnell beheben kann und ob er einfach einen Bericht aus seiner Gerätelandschaft generieren kann. Wenn die Antwort Ihres Kunden auf eine dieser Fragen „Nein“ lautet, dann nutzen Sie die Gelegenheit um zu überprüfen, wie Ihr Kunde seine Endgeräte schützt.
Schritt 2: Die Kontrolle mit verbesserter Zugriffsverwaltung zurückgewinnen
Bei vielen Datenschutzverletzungen ist eine vertrauenswürdige interne Quelle involviert. Genau wie beim Patchen gibt es einige Fragen an Ihren Kunden, um rasch festzustellen, wie anfällig dieser für böswillige Aktivitäten ist:
1. Wissen Sie, welche Mitarbeiter welchen Zugang haben und wann das ist? Wenn Sie einen Bericht über alle Personen erstellen sollen, die in der letzten Woche über VPN auf eine bestimmte Datei auf dem Dateiserver Ihres Unternehmens zugegriffen haben, könnten Sie diesen Bericht in weniger als einer Stunde erstellen?
2. Können Sie überprüfen, ob alle ehemaligen Mitarbeiter ordnungsgemäß überall abgemeldet wurden und keinen Zugriff mehr auf die Daten Ihres Unternehmens haben?
Wenn Ihr Kunde nicht in der Lage ist, diese Berichte schnell zu erstellen und alle Lücken zu schließen, nützen weder die beste Netzwerksicherheit, noch die besten Patching-Grundlagen der Welt. Denn die Organisation ist trotzdem möglichen böswilligen Absichten von aktiven oder ehemaligen Mitarbeitern ausgesetzt.
Schritt 3: Eine sicherheitsbewusste Kultur schaffen
Ermutigen Sie Ihre Kunden, mit der Geschäftsführung zu sprechen - es ist möglich, dass dem Management-Team solche Sicherheitsprobleme nicht bewusst sind. Wenn Ihr Kunde Beichte von Schwachstellen oder Datenschutzverletzungen hat, unterstützen Sie ihn dabei, mit diesen Informationen in ein Gespräch zu gehen und mit Brainstorming zu analysieren, wie schon kleine Investitionen solche Probleme lösen können. Wenn möglich, sollten Kunden beginnen, Schwachstellenberichte proaktiv an das Management zu senden, verbunden mit dem Angebot, bei der Behebung zu unterstützen (Überprüfen Sie jedoch zunächst, dass durch das Erstellen dieser Berichte nicht gegen Unternehmensregeln verstoßen wird).
Unternehmen sollten es Angreifern nicht leicht machen. Wenn Organisationen selbst die Grundlagen der Cyber-Sicherheit vernachlässigen, sehen Angreifer dies als tiefhängende Frucht. Die Absicherung einer Organisation kann sehr schwierig sein, die meisten Exploits werden jedoch entweder mit Hilfe von Insidern oder durch bekannte Schwachstellen verursacht. Die oben genannten praktischen Fragen und die entsprechenden Maßnahmen können jeder Organisation helfen, ihre Sicherheitslage zu verbessern.