Sichere Smartphones für Vorstand und Management
Für Sicherheitsexperten gelten mobile Geräte als außerordentlich problematisch. Wie ein langes Kabel führen sie zielgenau ins Innerste des Unternehmens. Wenn Angreifer das Smartphone eines Vorstands oder Mitarbeiters übernehmen, können sie auf diesem Weg selbst auf die sensiblen Daten zugreifen, die hinter dem Schutz von Firewalls liegen. Wie der User verfügt der erfolgreiche Angreifer über eine Berechtigung für alles, was das kleine Gerät kann – häufig hinterlässt er eine Spur der Verwüstung.
Viele IT-Abteilungen kennen die Anfragen aus Management, Geschäftsführung oder Vorstand. Die Führungskräfte legen eines der bekannten Consumer Smartphones auf den Tisch und setzen eine Timeline. Innerhalb der kommenden Woche möchte der Vertriebsvorstand seinen leitenden Mitarbeitern die Möglichkeit geben, Daten und Dokumente auf das private Telefon zu laden. Der Manager verlangt den vollen Zugriff auf Datenbanken und Archiv – natürlich via Internet.
Bei der Anfrage denkt die Vertriebsleitung vor allem an die Vorteile des mobilen Arbeitens und an den eigenen Business Case. Den rechnen sie in erster Linie mit der Produktivität der Mitarbeiter während einer Reise, einer Zugfahrt oder beim Besuch eines Kunden. Dass auch auf die IT-Abteilung steigende Kosten zukommen, sehen die Verantwortlichen zunächst nicht. Insbesondere für die steigenden Sicherheitsanforderungen wird die IT-Abteilung um zusätzliches Budget kämpfen müssen. Denn die Risiken, die mit den kleinen Geräten in das Unternehmen kommen, übersehen die Manager häufig.
Angreifer verfügen über unbegrenzte Ressourcen
“Die Verantwortlichen vergessen, dass die Frequenz der Angriffe, deren Aggressivität und auch der Schaden von den Tätern bestimmt wird. Nicht von den Opfern und schon gar nicht von deren Budget”, sagt Rolf von Rössing, International Vice President der ISACA – einem Non-Profit-Verband für Informationstechnologie mit mehr als 86.000 Mitgliedern.
“Wie wir beobachten, verfügen die Täter hinsichtlich der kriminellen Energie über fast unbeschränkte Ressourcen. Es gibt Gruppen und Kreise, die hochprofessionell in organisierten Strukturen im Milliarden-Euro-Bereich von dieser Kriminalität profitieren. Diese Leute zahlen außerordentlich gut, wenn es darum geht, das Wissen der Experten einzukaufen oder Spezialisten anzuwerben. Damit sind die Angreifer den normalen IT-Mitarbeitern eines mittelständischen Unternehmens und auch den Ermittlungsbehörden weit überlegen.”
Die Täter bestimmen dabei das Tempo und die Intensität der Angriffe. Nach Analysen der Sicherheitsbehörden handelt es sich nicht nur um international organisierte Banden, sondern sogar um Nationalstaaten. Deren Geheimdienste seien in der Lage weltweite Konzerne, Industrieanlagen, Ministerien und Infrastrukturen anzugreifen.
Häufig suchen und finden sie die Smartphones der Führungskräfte – um an dieser außerordentlich schwach geschützten Stelle zu attackieren. Die Angreifer nutzen die Architektur der Geräte. Denn die sind so entwickelt, dass der Nutzer fast unbemerkt zwischen deren Business-Anwendung und Internetanwendungen oder Applets hin- und herwechselt. Die Grenzen zwischen Telefonie, SMS, Internet, Content, Spielen, Chat und E-Mails verschwinden – und die Angreifer ziehen daraus Vorteile, indem sie sich neue Angriffskonzepte erschließen.
Beispielsweise übertragen die Applets Daten, Artikel oder Spiele auf das Smartphone. Dafür schicken sie in die andere Richtung persönliche Daten des Nutzers zurück. Mit einem Klick auf einen Link ist der Nutzer im Internet, mit einem zweiten lädt er sich Viren auf sein Smartphone. Mit dem dritten Klick zieht der Angreifer Daten aus dem ERP-System auf sein eigenes Gerät. Haben sie sich jetzt erst mit Würmern und Trojanern auf dem Smartphone festgesetzt, können sie von hier aus beliebig Informationen abpumpen. Je höher die Stellung des Attackierten, desto größer der Schaden für das Unternehmen.
Geschäftsführung und Vorstand sind für Sicherheit verantwortlich
Bemüht sich der Geschäftsführer um die Anbindung seines Consumer Smartphones an die Datenbanken des Unternehmens, sollte er die Sicherheitsargumente der IT-Abteilung gut abwägen. Denn am Ende wird er es sein, der die Haftung für die – möglicherweise – entstandenen Schäden übernehmen muss. Risiken, aktuelle Gefahren sowie eine Historie der erfolgten Angriffe sind Gegenstand einer internen Revision in der IT-Abteilung. Zusätzlich thematisiert eine externe Revision diese Sicherheitsaspekte.
Sobald der IT-Chef die Sicherheitsverantwortlichen über die bestehenden Mängel informiert hat, ist das Thema nach oben eskaliert. Die Mängel gelten dann als eine offizielle Feststellung aus der Prüfung, es ist die Aufgabe des Vorstandes, diese zu beheben. Die Führungskräfte sind verpflichtet, Prüfungsfeststellungen auszuräumen und Mängel abzustellen. Ganz klar liegt die Haftung für Rechts- und Schadensfragen bei den gesetzlichen Vertretern der Gesellschaft.
“Die gesetzlichen Vertreter sind nach § 91 (2) des Aktiengesetzes verpflichtet, bestandsgefährdende Risiken frühzeitig zu erkennen”, unterstreicht Rössing. “Das entsprechende Risikomanagement muss nach § 317 (4) Handelsgesetzbuch im Rahmen der Jahresabschlussprüfung betrachtet werden. Diese rechtlichen Konsequenzen haben sich durch die Nutzung der mobilen Geräte durch den Vorstand nicht verändert.”
Zentrale Administration hilft Risiken einzugrenzen
Natürlich können IT-Abteilungen die Recherche oder Dateneingabe innerhalb der Business Applikationen über mobile Geräte nicht langfristig verbieten. Deshalb kann es eine Lösung sein, Richtlinien für eine gute Datenklassifizierung zu definieren und eine Strategie für die Nutzung der Smartphones festzulegen. Darüber hinaus sollten die IT-Verantwortlichen Vorschriften und Verfahren veröffentlichen, wie die Mitarbeiter mit den Geräten umgehen, wie sie konfiguriert sind, ob und wie sie privat genutzt werden dürfen. Administratoren können darauf bestehen, die Geräte in ihrem vollen Funktionsumfang – also nicht nur bei dem Zugriff auf einzelne Applikationen oder Datenbanken – zentral und automatisiert zu überwachen.
Schon mit einer Software wie Virenschutz – und deren regelmäßiger Aktualisierung – können die IT-Abteilungen einen Teil der Gefahren abfangen. Darüber hinaus sind sie aber auch verpflichtet, vom Endgerät über das Betriebssystem bis in die Netzwerke sichere Strukturen aufzubauen: Middleware, Datenbanken und Anwendungen, dazu User-Management und Berechtigungskonzepte.