Heilbronn, 17. Mai 2011 - Die zunehmende Nutzung von mobilen Geräten wie Notebooks, Tablets oder Smartphones birgt bislang unterschätzte Gefahren für die Unternehmens-IT. Besonders bedenklich sind die auf den Devices hinterlegten Kennungen und Passwörter, sagt Sicherheitsspezialist Cyber-Ark.
(firmenpresse) - Besonders mobile Geräte wie Notebooks, Tablets oder Smartphones unterliegen dem Risiko von Diebstahl oder Verlust. Bereits bei Accounts von Nutzern mit relativ eingeschränkten Rechten besteht bereits ein kleines Einfallstor in die Unternehmens-IT. Schwerwiegender ist der Schaden, wenn das Admin-Passwort eines Rechners bekannt ist oder leicht erraten werden kann. Jeder, der in den Besitz einer solchen Information kommt, kann potenziell einen unbezifferbaren Schaden verursachen. Viele Manipulationen sind vorstellbar, vom einfachen Ausspähen von betriebsinternen Daten bis hin zu Manipulationen an der Unternehmens-IT, um beispielsweise Schlupflöcher für weiteren illegalen Zutritt zu schaffen.
Dabei ist die Vermeidung solcher Risiken relativ einfach. Sicherheitsspezialist Cyber-Ark empfiehlt sechs Maßnahmen für die sichere Integration von mobilen Devices in die Unternehmens-IT.
1. Effektiver Schutz gegen Diebstahl und Verlust
Notebooks verbleiben in vermeintlich sicheren Umgebungen, etwa bei Seminaren oder Kongressen, oft eingeschaltet und ohne Passwort-Schutz auf den Tischen, während der jeweilige Nutzer abgelenkt ist. Der automatische Passwort-Schutz lässt sich leicht auf jedem Rechner meist über den Bildschirmschoner einstellen. Je kleiner das mobile Gerät ist, umso schneller sollte sich der Passwort-Schutz aktivieren. Neben dem herkömmlichen Passwort-Schutz sollten biometrische Scans eingeschaltet sein, sofern sie das Gerät anbietet. Bei Smartphones empfiehlt sich eine alphanumerische Kennwort-Kombination anstelle eines Vierzifferncodes oder „Wischmusters“. Notebooks und Netbooks sollten durch die Einrichtung eines zusätzlichen BIOS-Passworts gesichert werden.
2. Vorsicht im Ausland
Auf Reisen in für Industriespionage bekannte Staaten wie beispielsweise China ist besonders daran zu denken, dass die Entwendung mobiler Geräte wohl zu den üblichen Vorgehensweisen bei der illegalen Beschaffung von Betriebsgeheimnissen gehört. Die Ausspähung von Daten droht aber auch von sonst befreundeten Nationen. Beim Grenzübertritt in die USA ist das Heimatschutzministerium im Rahmen des Patriot Act befugt, mobile Geräte einzuziehen und die darauf gespeicherten Daten zu überprüfen. Daher sollten sich möglichst keine sensiblen Daten auf den Geräten bei Grenzübertritt befinden. Sie können später im Hotel oder Tagungsort über das Internet gesichtet oder nachgeladen werden.
3. Beschränkung bei lokaler Datenhaltung
Grundsätzlich ist zu überprüfen, welche Daten auf mobilen Geräten erforderlich sind. Die mitgeführten Daten sind auf das Minimum zu beschränken. Sensible Daten können durch eine VPN-Verbindung (Virtual Private Network) vom zentralen Unternehmensserver geladen werden, die am besten in verschlüsselter Form gespeichert sind. Nicht benötigte Daten sollten zuverlässig gelöscht und die entsprechenden Sektoren überschrieben werden. Herkömmliches „Löschen“ reicht nicht aus, da nur der Dateiname und die Verknüpfung zum Speicherort gelöscht werden, nicht die Information selbst. Aus diesem Grund ist von der Benutzung von USB-Sticks in Zusammenhang mit sensiblen Daten abzuraten, da hier eine zuverlässige Löschung nicht funktioniert. Sofern nicht vorhanden, sind unternehmensweite Sicherheitsrichtlinien anzulegen oder vorhandene anzupassen.
4. Identitätsmanagement
Illegal genutzte Identitäten öffnen Dieben Tür und Tor. Die Einführung eines Identitätsmanagements wie Einmal-IDs, kontrollierte und auch nachvollziehbare Zugriffe für privilegierte Accounts, die systematische Verwaltung von Anwender- und Dienstzugangsdaten sowie eine Richtlinienverwaltung sind daher essenziell. Diesen Schutz gibt der Privileged Identity Manager von Cyber-Ark, der privilegierte IDs verwaltet. Er befindet sich zwischen dem Nutzer und dem eigentlichen System. Durch eine vergebene Einmal-ID meldet sich der Nutzer am Session Manager an. Dieser wiederum nutzt die eigentliche privilegierte ID, um ihn mit seinem Account zu verbinden. Der Vorteil liegt darin, dass die Anmelde-Informationen nicht nach außen dringen können. Somit ist ein Identitätsdiebstahl nicht möglich. Auch zeichnet der zwischengeschaltete Session Manager sämtliche Aktivitäten des Nutzers auf. Einmal-IDs sind für Diebe nutzlos. Damit bleiben sie zuverlässig aus der Unternehmens-IT ausgesperrt.
5. Geregelte Datenübertragung
Viele Unternehmen verlassen sich bei der gemeinsamen Nutzung von Daten auf einen FTP-Zugang. Dieser stellt jedoch ein erhebliches Risiko dar, da Passwörter klar und unverschlüsselt auf den Rechnern hinterlegt sind. Besser ist es, einen kontrollierten Datenaustausch mit einem Übertragungsportal zu nutzen. Es isoliert sensible Daten zur Übertragung und verteilt sie an die Benutzer. Das Übertragungsportal sollte dabei Ad-hoc-, manuelle und automatisierte Dateiübertragung beherrschen. Es empfiehlt sich, Daten wie in einem Banktresor zu halten. Hier erhält jeder Nutzer nur den Zugriff zu seinem persönlichen Datenschließfach, nie zum gesamten Tresor. Er arbeitet mit einer proprietären Technologie auf einem eigenen Server und damit nicht mit anderen Anwendungen zusammen. Das macht ihn sicher. Die Übertragung geschieht verschlüsselt über VPN. Zusätzlich kann auch nach geografischen Gesichtspunkten unterschieden werden. Unsichere Länder und Regionen kann etwa die Vaulting-Technologie von Cyber-Ark auf Wunsch ausschließen.
6. Verwaltung und Schutz kritischer Daten
Schlüsselelement für den Schutz kritischer Daten ist eine sichere Plattform zur Verwaltung sensibler Daten. Voraussetzung dafür ist der Aufbau eines sicheren Netzwerks für ihre Bereitstellung. Die sichere Speicherung von Zahlungsdaten, der Nachverfolgung ihrer Verwendung und der Schutz personenbezogener Dokumente sind Bestandteile eines solchen Konzepts. Dafür ist ein System mit zehn integrierten Sicherheitsebenen empfehlenswert.
Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, erklärt: "Mobiles Arbeiten ist bereits heute schon gelebte Realität. Dabei wollen viele Unternehmen die Gefahren, die sich aus dem Einsatz mobiler Endgeräte ergeben, nicht wahrhaben. Aus unserer Erfahrung sind Unternehmen gut beraten, neben den üblichen Vorsichtsmaßnahmen auch in die Sicherheit der IT zu investieren, um schwerwiegenden Schaden abzuwenden."
Diese Presseinformation kann unter www.pr-com.de abgerufen werden.
Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich „Privileged Identity Management“. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.
Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler(at)cyber-ark.com
www.cyber-ark.com
PR-COM GmbH
Arlett Lutz
Account Manager
Tel. +49-89-59997-813
Fax +49-89-59997-999
arlett.lutz(at)pr-com.de
www.pr-com.de