security by design

«Mobiles Arbeiten beginnt mit dem richtigen Design der mobile Security»

19. Juli 2018

Ein mobiles Arbeitsmodell verlangt unweigerlich ein entsprechendes Vorgehensmodell, Verhaltensempfehlungen als auch den Einsatz von Sicherheits-Technologien. Ohne diese Grundlagen sind Gefahren jeder Art Tür und Tor geöffnet.

Herr Jud, was ist unter dem Begriff «Mobile Security» zu verstehen?
In erster Linie geht es um die Sicherheit von Informationen auf mobilen Geräten. Diese gilt es vor sämtlichen externen wie auch internen Risikofaktoren unter Einbezug der Wirtschaftlichkeit und der Bedienbarkeit zu schützen. Aber auch die sichere Anbindung und das Backend spielen eine wesentliche Rolle. Erst durch das Betrachten von all diesen Aspekten ist es möglich, eine sichere, mobile Infrastruktur zu betreiben.

Welche neuen Herausforderungen ergeben sich für Unternehmen?
Man muss sich aktiv mit Informationsschutz und Datensicherheit beschäftigen. Denn vor allem im mobilen Bereich gibt es eine Vielzahl von Angriffspunkten. So sind heute bereits viele unternehmenskritische Daten auf mobilen Geräten gespeichert und können ohne entsprechende Schutzmassnahmen, relativ einfach abgegriffen werden. Die am 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung, kurz DSVGO, sowie das neue Datenschutzgesetz der Schweiz, das Ende Jahr in Kraft treten soll, nehmen die Unternehmen in Zukunft noch mehr in die Pflicht, ihre Kundendaten zu schützen. «Security by Design» wird vorausgesetzt.

Wird die Bedeutung von Mobile Security heute schon von den Unternehmen erkannt? 
Die Bedeutung wird von den Unternehmen langsam erkannt. Zu langsam. Nachdem in den letzten Jahren in vielen Branchen gar nichts oder zu wenig gemacht wurde, erkennen immer mehr Verantwortliche die wachsenden Gefahren. Eine Vielzahl an Tools erleichtern auch Hacker-Laien den Zugriff auf ungeschützte Unternehmensdaten.

Weshalb kann das Risiko eines Angriffes auf mobile Geräte viel grösser sein als etwa auf einen PC?
Ein PC oder auch Server ist fix im Unternehmen installiert. Er wird üblicherweise durch ein Gebäude, Firewalls, Antivirenprogramme etc. geschützt. Das mobile Gerät jedoch wird mit sich herumgetragen, was einfach zu einem Verlust führen kann. Es ist 24 Stunden mit dem Internet verbunden und dadurch permanent für potenzielle Hacker erreichbar. Mobile Threat Lösungen sind noch wenig verbreitet und die Vielzahl von gespeicherten oder darüber laufende Informationen sind sehr umfangreich. Für Hacker kann das ein gefundenes Fressen sein. Studien zeigen, dass Angriffe auf Serversysteme und auf Netzwerke eher rückläufig sind. Doch Angriffe auf Endpoints, also auch mobile Geräte, steigen stark an.

Wohin wird sich der Markt, aus Ihrer Sicht, in Zukunft entwickeln?
Ich denke, die mobile Sicherheit wird eine immer größere Rolle spielen. Die Notwendigkeit ist da, und immer mehr IT-Abteilungen erkennen diese Sicherheitslücke in ihren Unternehmen. Wie gesagt sehe ich die Notwendigkeit und das Verständnis für Mobile Security gebunden an die Maturität eines digitalen Unternehmens. Unternehmen und Arbeitnehmer werden in Zukunft noch viel mehr flexible Arbeitsmodelle benötigen und auch einsetzen. Damit steigt die Relevanz, die richtigen Daten, zur richtigen Zeit, am richtigen Ort verfügbar zu haben. Für die Unternehmen ergibt sich daraus wiederum die Herausforderung, die Daten, welche den Mitarbeitenden mobil zur Verfügung gestellt werden, bestmöglich zu schützen. Das Thema Mobile Security ist sehr komplex und wird teilweise unterschätzt, was dann zu kostspieligen Krisenaktivitäten führen kann.

Worauf sollten Unternehmer bei der Wahl Ihrer Mobile Security Lösung achten?
Das kommt darauf an, wie genau mit den Daten umgegangen wird. Ein guter Anbieter wird eine Vorabanalyse erstellen und Unternehmen sollten darauf auch Wert legen. Sonst laufen sie Gefahr, wahllos Sicherheitslösungen zu installieren, die sogar inkompatibel sein könnten. Dazu sollten sie unbedingt auf Lösungen setzen, die bekanntlich erfolgreich schützen und entsprechende Sicherheitszertifizierungen nachweisen können. Hier nehmen die grossen Sicherheitssoftware Anbieter eine Vorreiterrolle ein. Zu guter Letzt ist Sicherheit immer auch eine Frage der Aktualisierung. Unternehmen sollten hier auf einen Wartungsvertrag mit automatischen Aktualisierungen setzen, denn so werden die Daten auch vor neu aufkommende Gefahren optimal geschützt. Es würde ja auch keiner die Motoren des Flugzeugs abschalten, nur weil es in der Luft ist, oder? Aus früheren Projekten haben wir festgestellt, dass ohne eine gute Vorabanalyse vieles doppelt gemacht wird, ja sogar unnötige Dinge implementiert werden. Das verlangsamt das Projekt und bringt Unzufriedenheit.

Genau aus diesen Problemen heraus haben Sie den Security Workshop entwickelt. Was beinhaltet dieser?
Unsere Kunden erhalten in kurzer Zeit einen Überblick der Sicherheitsbaustellen und erhalten einen massgeschneiderten Umsetzungsplan. Damit kann die mobile Sicherheit optimal umgesetzt werden und einer nachhaltigen, kosteneffizienten und vor allem sicheren Implementierung steht nichts mehr im Wege.

Über samtec GmbH
samtec arbeit eng mit ITpoint Systems im Bereich Mobility-Management zusammen und ist spezialisiert auf alle Themen rund um Mobilität und Sicherheit.  Das Unternehmen zeigt das immense Potenzial moderner Arbeitsformen und Technologien auf und stellt sicher, dass den höchsten Sicherheitsanforderungen Rechnung getragen ist. www.samtec.ch

Blog