Fachbeiträge

Tablets brauchen ein Sicherheitskonzept

Tablet-Computer drängen rasant in die Unternehmen und gefährden die etablierten Sicherheitskonzepte. Die Experton Group vergleicht die Sicherheitsfunktionen unterschiedlicher mobiler Betriebssysteme.

von Axel Oppermann  Senior Advisor bei der Experton Group und Oliver Schonschek Manager Advisor bei der Experton Group

Wenn betriebliche Tablets auch privat genutzt oder private Tablets zu betrieblichen Zwecken eingesetzt werden, besteht ein besonderer Bedarf an Datensicherheit. Die vorliegende Analyse betrachtet, wie die Betriebssysteme Android OS 4.3, Apple iOS 7 und Microsoft Windows 8.1 dazu beitragen können, dass die gemischte betriebliche und private Nutzung von Tablets erfolgen kann, ohne die Vertraulichkeit, Integrität und Verfügbarkeit von Firmendaten zu gefährden.

Sicherheitsrichtlinien, wie mit Firmendaten im Fall von Bring your own Device (BYOD) oder einer Privatnutzung von betrieblichen Tablets umzugehen ist, fehlen in vielen Unternehmen. Sind entsprechende Policies vorhanden, wird die Einhaltung vielfach nicht ausreichend überwacht. Es kommt deshalb insbesondere darauf an, welche integrierte Sicherheit die Tablets selbst bieten. Die Tablet-Betriebssysteme Android OS 4.3, Apple iOS 7 und Microsoft Windows 8.1 enthalten eine Reihe von Funktionen die die Sicherheit der betrieblichen Daten auf Tablets erhöhen können.

Vor dem Einsatz von Tablets sollten Unternehmen eine Risikoanalyse vornehmen, die die folgenden Fälle unterscheidet:

  • Ein betriebliches Tablet soll zu betrieblichen Zwecken eingesetzt werden.
  • Ein betriebliches Tablet wird für die private Nutzung freigegeben.
  • Ein privates Tablet wird für die betriebliche Nutzung zugelassen.

grafik-risiken-bei-der-tablet-nutzung_kleinDabei können Risiken auftreten auf Nutzerebene, auf Gerätebene, auf Ebene der Anwendungen (Apps) und auf Datenebene.

Ein betriebliches Tablet soll zu betrieblichen Zwecken eingesetzt werden

  • Geräteverlust: Tablets sind zwar größer als Smartphones. Trotzdem besteht ein erhöhtes Risiko, dass sie verloren gehen oder gestohlen werden, insbesondere bei Verwendung außerhalb des Firmengebäudes, also zum Beispiel im Außendienst. Bei mangelhafter Zutrittskontrolle oder durch unehrliche Mitarbeiter besteht das Diebstahlrisiko auch innerhalb der Firma. Werden die Daten auf dem Tablet nicht gegen unerlaubten Zugriff und gegen Verlust geschützt, drohen zusätzlich zum Geräteverlust ein Datenverlust und Datenmissbrauch.
  • Pool-Nutzung: Werden Tablets nicht einzelnen Mitarbeitern fest zugeordnet, sondern innerhalb einer Gruppe oder Abteilung genutzt, kann es zu einer Vermischung der Berechtigungen kommen, wenn ein Benutzer die Berechtigungen eines anderen Nutzers übernehmen kann und Daten einsieht, die nicht für ihn bestimmt sind. Das ist insbesondere dann der Fall, wenn einzelne Benutzer auf dem Tablet nicht unterschieden werden.
  • Unerlaubte Privatnutzung: Wenn es Mitarbeitern möglich ist, das betriebliche Tablet heimlich privat zu nutzen, könnten ohne entsprechende Kontrolle zum Beispiel private Apps installiert werden, die Zugriff auf betriebliche Daten erlangen. So könnten Nutzer Firmendaten in ihre persönliche Cloud übertragen oder in ein soziales Netzwerk einstellen. Das ist insbesondere dann möglich, wenn die installierbaren Apps nicht beschränkt und verbotene App-Stores nicht blockiert werden.
  • Mangelnde App-Sicherheit: Ohne Kontrolle der App-Installation besteht auch das Risiko, dass schädliche, spionierende Apps auf das Tablet und unter Umständen darüber Schadprogramme ins Firmennetzwerk gelangen. Wird die Aktualität der Apps nicht überwacht beziehungsweise die Aktualisierung nicht automatisch vorgenommen, können Sicherheitslücken und Schwachstellen bei den Apps offen bleiben und Angriffsflächen bieten.
  • Verwendung unsicherer Netze: Wird das betriebliche Tablet unterwegs genutzt, könnten die Mitarbeiter zum Beispiel öffentliche Hotspots nutzen, um mobilen Zugriff auf das Firmennetzwerk zu erlangen. Dabei besteht die Gefahr, dass die Datenverbindung ins Unternehmensnetzwerk durch Dritte abgehört und manipuliert wird.
  • Fehlende Unterscheidung Nutzer / Administrator: Wenn ein Mitarbeiter lokale Administrationsrechte für das betriebliche Tablet erhält, könnte er riskante Änderungen an den Geräteeinstellungen und dem Betriebssystem vornehmen. Sicherheitsfunktionen könnten so außer Kraft gesetzt werden.

Ein betriebliches Tablet wird für die private Nutzung freigegeben

  • Geräteverlust: Das Risiko für einen Verlust des mobilen Endgeräts kann deutlich steigen, wenn eine Privatnutzung erlaubt wird. Der Nutzer kann das Tablet bei verschiedenen privaten Aktivitäten mitführen, die an Orten stattfinden, wo das betriebliche Gerät andernfalls nie zu finden wäre. So ist das Verlust- und Diebstahlrisiko zum Beispiel in einer belebten Bar zweifellos höher als im Büro. Zudem besteht die Möglichkeit, dass der Nutzer das Tablet an Dritte weitergibt, sei es an die eigenen Kinder oder aber an einen Bekannten, der schon immer einmal ein Tablet testen wollte. Ohne entsprechende Absicherung erhöht sich somit die Gefahr eines unerlaubten Zugriffs und des Datenverlusts.
  • Fehlende Unterscheidung zwischen Nutzern: Wird das Tablet innerhalb der Familie oder an andere Dritte weitergegeben, könnten Berechtigungen, die dem Mitarbeiter gewährt wurden, durch Unbefugte ausgenutzt werden. Auf dem Gerät befindliche Daten könnten eingesehen, vorkonfigurierte Netzwerkverbindungen missbraucht werden, insbesondere dann, wenn der Nutzer die häufige und gefährliche Unsitte teilt, Passwörter zu speichern.
  • Fehlende Trennung von Apps und Daten: Die auf dem Tablet installierten Apps könnten durch den Nutzer durch private Apps erweitert werden, die ohne entsprechende Sicherheitsvorkehrungen auf die betrieblichen Daten zugreifen könnten, die sich auf dem Tablet befinden oder die über das Tablet erreichbar sind. Dadurch droht ein Datenabfluss an Dritte, insbesondere wenn der Nutzer – ohne es zu wissen – Spyware auf dem Tablet nachinstalliert.
  • Nutzung riskanter Dienste (private soziale Netzwerke, Personal Clouds): Der auf dem Tablet befindliche Browser könnte ebenso wie nachinstallierte Apps dafür genutzt werden, Dienste zu verwenden, die betrieblich nicht erlaubt sind. Das könnten zum Beispiel private Cloud-Dienste oder private soziale Netzwerke sein.
  • Nutzung riskanter App-Stores: Der Nutzer könnte das betriebliche Tablet ohne Kontrolle durch das Unternehmen mit App-Stores verbinden, die betrieblich nicht freigegeben wurden. Dadurch steigt das Risiko, dass unerwünschte oder gefährliche Apps auf dem betrieblichen Gerät installiert werden.
  • Einschleppen von Schadsoftware, Spyware-Apps: Wird das betriebliche Tablet nach der Privatnutzung wieder mit dem Firmennetzwerk verbunden, könnten schädliche Apps und andere Formen von Malware einen erleichterten Zugang ins Netzwerk finden.
  • Verwendung unsicherer, nicht aktueller Apps: Installiert der Nutzer zu privaten Zwecken Apps, könnten diese unsicher und veraltet sein. Dadurch öffnen sich mögliche Sicherheitslücken auf dem betrieblichen Endgerät, insbesondere dadurch, dass die zusätzlichen Apps nicht ohne weiteres im betrieblichen Patch-Management und damit bei den Aktualisierungsprozessen berücksichtigt werden.
  • Nutzung unsicherer Netzwerke: Bei der privaten Nutzung des betrieblichen Tablets ist es sehr wahrscheinlich, dass der Mitarbeiter zum einen seinen privaten Internetzugang und damit seinen privaten WLAN-Hotspot verwendet. Zudem könnte er unterwegs öffentliche HotSpots nutzen. Beide WLAN-Zugänge können unsicher sein und Lauschangriffe sowie andere Attacken ermöglichen, auch dann, wenn der Mitarbeiter zum Beispiel von seinem Home-Office aus auf das Firmennetzwerk zugreifen möchte.
  • Manipulation an Gerät / Betriebssystem: Wenn der Mitarbeiter das betriebliche Gerät auch zu privaten Zwecken mitführen darf, könnte es zu dem Versuch kommen, die Sicherheitseinstellungen zu verändern, zum Beispiel um den Nutzer interessierende Apps und Online-Dienste zu verwenden, die betrieblich nicht zugelassen sind. Die geänderten Sicherheitseinstellungen führen dann dauerhaft zu einer reduzierten Datensicherheit auf dem Tablet.

Ein privates Tablet wird für die betriebliche Nutzung zugelassen

  • Geräteverlust: Private Tablets können aufgrund ihrer Mobilität an vielfältigen Orten eingesetzt werden und unterliegen einem hohen Verlustrisiko. Wird ein privates Tablet auch zu betrieblichen Zwecken eingesetzt, könnten sich darauf zu schützende Firmendaten befinden. Im Fall des Geräteverlustes kommt es dann auch zu einem Datenverlust, wenn die Firmendaten nicht Teil eines Backups waren. Ohne Verschlüsselung der Firmendaten besteht bei Geräteverlust auch das erhöhte Risiko, dass Unbefugte auf die Daten zugreifen können.
  • Ausscheiden des Mitarbeiters: Bei privaten Tablets, die betrieblich genutzt werden, kann es auch dann zum Geräteverlust und Datenverlust kommen, wenn der Mitarbeiter das Unternehmen verlässt. Ohne entsprechende Sicherheitsvorkehrungen verlassen dann mit Mitarbeiter und Gerät auch die Firmendaten das Unternehmen.
  • Fehlende Unterscheidung zwischen privater und betrieblicher Nutzung: Der Mitarbeiter nutzt sein privates Tablet regelmäßig im Alltag und könnte versäumen, die private und betriebliche Nutzung zu trennen. Möglich wäre dies durch getrennte Nutzerprofile, sofern das jeweilige Betriebssystem dies unterstützt. Fehlt aber die Trennung zwischen den verschiedenen Arten der Nutzung, könnte es dazu kommen, dass private Daten mit betrieblichen Anwendungen und umgekehrt betriebliche Anwendungen mit privaten Daten genutzt werden. Beide Situationen sind aus Compliance-Gründen sehr problematisch.
  • Nutzung riskanter Dienste: Gerade bei privaten Tablets, die betrieblich genutzt werden, besteht eine hohe Wahrscheinlichkeit, dass die Geräte auch für Dienste genutzt werden, die aus betrieblicher Sicht nicht erwünscht oder zu riskant erscheinen. Beispiele sind private Cloud-Speicherdienste oder soziale Netzwerke.
  • Nutzung riskanter App-Stores: Die Wahrscheinlichkeit, dass ein Nutzer für sein privates Tablet auch App-Stores verwendet, die das Unternehmen aus Sicherheitsgründen ablehnen würde, sollte bei einer Risikoanalyse ebenfalls als hoch angenommen werden, sofern abhängig vom Betriebssystem Drittanbieter App-Stores bestehen.
  • Einschleppen von Schadsoftware, Spyware-Apps: Fehlt auf dem privaten Tablet eine professionelle, mobile Anti-Viren-Software, besteht die Gefahr, dass das private Tablet mit Malware verseucht ist, die bei der betrieblichen Nutzung ins Firmennetzwerk gelangen könnte. Gerade bei privaten Tablets darf dieses Risiko nicht unterschätzt werden, da Privatanwender vielfach aus eigenem Antrieb keine Sicherheitslösung installieren und aktualisieren.
  • Verwendung unsicherer, nicht aktueller Betriebssysteme und Apps: Bei privaten Tablets hat ein Unternehmen in der Regel keinen Einfluss auf die Wahl des Gerätes. Dadurch kann es je nach Betriebssystem passieren, dass auf dem Tablet eine ältere, als unsicher eingestufte Betriebssystemversion läuft, für die es keine Sicherheitsupdates (mehr) gibt. Auch die Aktualisierung der Apps hängt je nach Betriebssystem von dem Nutzer selbst ab.
  • Nutzung unsicherer Netzwerke: Es steht außer Zweifel, dass der Mitarbeiter sein privates Tablet auch mit seinem privaten Internetzugang, meist einem WLAN-Hotspot, verbindet und dass er unterwegs öffentliche Hotspots nutzt. Ohne weitere Vorkehrungen würde die Sicherheit der Datenverbindung ins Firmennetzwerk dann von den privaten Sicherheitsmaßnahmen des Nutzers abhängen.
  • Manipulation an Gerät / Betriebssystem: Der Mitarbeiter ist der lokale Administrator seines privaten Tablets, so dass er in der Lage ist, die Sicherheitseinstellungen zu verändern, auch nachdem diese mit ihm gemeinsam für den betrieblichen Einsatz abgesprochen wurden. Dem dann erhöhten Datenrisiko sollte durch zusätzliche Sicherheitsmaßnahmen begegnet werden.

 

grafik-sicherheitsfunktionen-aktueller-mobilbetriebssysteme_kleinAndroid und iOS brauchen Sicherheits-Add-ons

Die aktuellen Tablet-Betriebssysteme Apple iOS 7, Android 4.3 und Windows 8.1 weisen deutliche Unterschiede auf, wenn es um eine saubere Trennung von Nutzern, Apps und Daten geht, oder wenn verhindert werden soll, dass Nutzer verbotene oder gefährliche Apps auf Tablets verwenden.

Für Tablets auf Basis von Android 4.3 (oder ältere Versionen) und für iPads mit iOS 7 (oder ältere Versionen) lautet die Empfehlung, zusätzliche Sicherheitslösungen einzusetzen, die die betrieblichen und privaten Daten trennen und eine gezielte Datenfernlöschung von betrieblichen Daten unterstützen. Zudem sollten mobile Anti-Malware-Lösung nachinstalliert werden. Windows 8.1 stellt Tablet-Nutzern bereits die relevanten Sicherheitsfunktionen zur Verfügung, um Nutzer, Apps und Daten zu trennen und um ohne Compliance-Probleme die betrieblichen Daten zu löschen, im Fall von Geräteverlust oder Ausscheiden des Tablet-Besitzers aus dem Unternehmen. Hervorzuheben ist auch der bereits im Standardumfang vorhandene Schutz vor Schadsoftware.

Ohne zusätzliche Sicherheitsmaßnahmen sind Android-Tablets und iPads bislang schlecht geeignet, um den Herausforderungen durch die betriebliche Nutzung privater Tablets oder die private Nutzung betrieblicher Tablets zu begegnen. Tablets auf Basis von Windows 8.1 hingegen sind für Bring your own Device zu empfehlen und helfen auch bei der Risikoabwehr, wenn es Beschäftigten erlaubt wird, die betrieblichen Tablets privat zu nutzen.

Die Experton Group beschäftigt sich in einem umfassenden Whitepaper mit den Risiken der Nutzung von Tablets. Ein besonderer Fokus liegt auf den Risiken bei Geräteverlust und gemischter, betrieblicher und privater Tablet-Nutzung (Bring your own Device/BYOD, Consumerization of IT). jf

Die Autoren

Axel Oppermann ist Senior Advisor bei der Experton Group
Axel Oppermann ist Senior Advisor bei der Experton Group

schonscheck Oliver Schonschek ist Manager Advisor bei der Experton Group

 


Anzeige

Titel-IT-Security_Guide IT-Security Guide 2014

Zum ersten Mal erstellt die isi Medien GmbH den IT-Security Guide.

Informationen und Beteiligungsmöglichkeiten erhalten Sie von Frau Charlotte Fellermeier unter: 089/ 90 48 62 23 oder per E-Mail: cfellermeier@isreport.de

Geschrieben von

Zeige alle Artikel von:

Auch für Sie interessant

Kommentare sind deaktiviert