Smartphone-Sicherheit: Wie schütze ich mich als Unternehmen?

Als Unternehmen gilt es, die Risiken aus der Nutzung von Smartphones mit angemessenen technischen und organisatorischen Maßnahmen zu reduzieren. Dabei muss zunächst der Schutzbedarf für die Geräte und Informationen, die mit dem Gerät gespeichert und übertragen werden, ermittelt werden. Eine pragmatische Risikoanalyse gibt recht schnell Aufschluss darüber, welche Anforderungen an die Sicherheitsmaßnahmen zu stellen sind.

Es empfiehlt sich, die Anforderungen und Maßnahmen in einer Sicherheitsrichtlinie festzuhalten. Folgende Punkte sollten mindestens geregelt werden:

  • Welche Voraussetzungen müssen vorliegen, damit ein Smartphone auf Unternehmensressourcen zugreifen darf? Es muss zunächst klargestellt werden, dass Smartphones erst dann zum Einsatz kommen dürfen, wenn sie einem festgelegten Unternehmensstandard entsprechen oder durch die IT-Sicherheits-Administration explizit getestet und freigegeben sind. Außerdem sollte eine sichere Grundkonfiguration definiert werden.
  • Ist die private Nutzung der Geräte erlaubt, geduldet oder verboten? Hier ist eine Regelung zu treffen, die konsistent mit der Unternehmens-IT-Security-Policy und der Betriebsvereinbarung ist und mit der Rechtsabteilung abgestimmt ist.
  • Maßnahmen für physische Sicherheit, also gegen Verlust, Beschädigung oder Diebstahl der Smartphones. Hier sind Verhaltensweisen der Nutzer festzulegen sowie eine Notfallroutine, die die Fern-Deaktivierung und den Ersatz der Geräte zügig einleitet.
  • Welche Netzwerke dürfen mit dem Smartphone genutzt werden, und wie erfolgt der Fernzugriff auf das Unternehmensnetz? Für die genutzten Netzwerke ist eine geeignete Verschlüsselung und Geräteauthentisierung zu wählen; beim Fernzugriff auf das Unternehmensnetzwerk kommen gegebenenfalls noch starke Verfahren für die Nutzerauthentisierung und Network Access Control (NAC) hinzu.
  • Wie müssen die Daten auf dem Gerät und die Sprach- oder Daten-Kommunikation vor unautorisiertem Zugriff geschützt werden? Hier geht es in der Regel um Firewalls, Verschlüsselungskonzepte und die Authentisierung von Nutzern und Kommunikationspartnern, die bei hohen Sicherheitsanforderungen zertifikatsbasiert auszulegen ist.
  • Welche Maßnahmen gegen bösartigen Code und ähnliche Bedrohungen sind notwendig? Unter Umständen reichen Maßnahmen am Mail-Gateway oder beim Mobilfunknetzbetreiber aus – je mehr Ports und Luftschnittstellen am Gerät offen sind und je höher der Schutzbedarf ist, desto eher muss über Virenschutz am Client nachgedacht werden. Dies hängt allerdings vom einzelnen Smartphone-Betriebssystem ab, da dort zum Teil ein Basisschutz durch Sandbox-Ansätze hergestellt wird.
  • Wie werden Daten auf dem Gerät gesichert und wiederhergestellt? Grundsätzlich wird zwischen Datensynchronisation und Online-Zugriff auf Unternehmensdaten und –anwendungen unterschieden. Für die Synchronisation müssen die Backup-Intervalle definiert werden.
  • Wie werden die verschiedenen Sicherheitsfunktionalitäten zentral verwaltet und die Systeme überwacht? Hier geht es zum Teil um Aspekte des Sicherheits- und Notfallmanagements, aber auch um eine kosteneffiziente und wirksame Administration. Ohne zentrales Management sind die Konfiguration und die auf dem einzelnen Smartphone genutzten Dienste kaum mehr steuerbar.
  • Außerdem sollten die Regeln für die Nutzung von Smartphones in eine Benutzerrichtlinie einfließen, die den Mitarbeitern kurz und prägnant vermittelt, was sie zu beachten haben, was sie dürfen und was nicht zugelassen ist.