Projekt Mobile Sicherheit

In Zeiten, in denen mobile Geräte zunehmend in der Unternehmenswelt Einzug halten sollte sich jedes Unternehmen dringend mit dem Thema „Mobile Sicherheit“ auseinandersetzen. Auch die Sicherheitsrisiken durch Firmen-Laptops sind hier ein wichtiges Thema. So haben auch wir uns in der zweiten Jahreshälfte 2012 ein entsprechendes Projekt auf die Agenda gesetzt.

Zunächst einmal ist die aktuelle Situation zu betrachten und die mobilen Geräte zu identifizieren, die bereits im Einsatz sind oder sehr bald eingesetzt werden sollen. Anschließend müssen für alle Gerätetypen im Rahmen einer Risikoanalyse die notwendigen Sicherheitsmaßnahmen festgelegt werden. Klar ist, dass aufgrund der sehr unterschiedlichen Einsatzzwecke diesbezüglich eine klare Unterscheidung zwischen den Gerätetypen Sinn macht, da nicht auf allen Gerätetypen gleichermaßen sensible Informationen gespeichert sind. Auch aus Datenschutz-rechtlicher Sichtweise ist hier eine klare Differenzierung unbedingt notwendig.

PlanungAls zweiter Schritt müssen (wie bei eigentlich jedem Projekt) die wichtigsten „Eckdaten“ definiert werden:

  1. Was sind die einzelnen Projektphasen (vorzugsweise inkl. grober Zeitplanung)? Einzelne Meilensteine sorgen dafür, dass das Projekt nicht aus dem Ruder läuft und der Ablauf sich geordnet in eine dedizierte Richtung entwickelt.
  2. Welche Ressourcen stehen zur Verfügung?
  3. Definition einzelner Teilaufgaben, die wiederum in Arbeitspakete aufgesplittet werden können, die idealerweise in einem möglichst kurzen Zeitabschnitt abzuhandeln sind. Intern haben wir uns hier 1-2 Tage als Richtwert gesetzt. Natürlich muss man dabei das Tagesgeschäft berücksichtigen und daher bei einem typischen Admin höchstens 3-4 Stunden für das Projekt eingeplanen.
  4. Festlegung der Details zu den Teilaufgaben:
    • Was ist die Aufgabe? Auf was liegt der Fokus?
    • Was sind die relevanten Faktoren bei der Durchführung der Aufgabe
    • Wer ist für die Aufgabe zuständig?
    • In welchem Zeitrahmen ist die Aufgabe zu erledigen?

Nun haben wir für uns das Projekt in 3 Phasen eingeteilt:

  • Phase 1: Recherche / Evaluation
  • Phase 2: Implementierung
  • Phase 3: Schulung der Mitarbeiter

In Phase 1 sind zunächst verschiedene Themen zu recherchieren und zu evaluieren. Da insbesondere das Sicherheitsthema auf Smartphones noch in den Kinderschuhen steckt und daher viel Know-How nur durch aktuelle Artikel und Newsmeldungen zu beziehen ist, muss hier in verstärktem Ausmaß auf Online-Ressourcen zurückgegriffen werden, da es dazu noch so gut wie keine (gut recherchierte) Fachliteratur gibt. Außerdem gibt es bei uns intern noch relativ wenig Erfahrung mit Festplatten-Verschlüsselung, die wir auf den Firmen-Laptops einsetzen wollen, so dass auch in diesem Bereich noch Recherche-Arbeit sowie Tests durchgeführt werden müssen. Folgende 4 Teilaufgaben haben wir für Phase 1 identifiziert:

  1. Verschlüsselung: Für uns kommen nur die beiden Produkte Bitlocker von Microsoft und TrueCrypt in Frage. Daher gilt es zu evaluieren, welches der beiden Produkte am ehesten für unsere Einsatzzwecke geeignet ist.
    Relevante Faktoren sind: Verfügbarkeit, Sicherheit, Performance und KomfortViren- und Diebstahlschutz
  2. Viren- und Diebstahlschutz: Da bei uns aufgrund unserer IT-Sicherheits-Richtlinien nur Smartphones und Tablets mit Android-Betriebssystem eingesetzt werden, liegt der Fokus logischerweise auf der Frage welcher Virenscanner für Android momentan die beste Sicherheit bietet.
    Relevante Faktoren: Funktionen, Komfort, Performance, Sicherheit
  3. Backups (in der Cloud): Welcher Cloudspeicher-Dienst ist am geeignetsten?
    Relevante Faktoren: Komfort, Speicherplatz, Sicherheit, Datenschutz, Kosten
  4. Aktualisierung Laptops: Für Laptops müssen aufgrund der Entkoppelung aus dem Firmennetzwerk andere Mechanismen zur automatischen Aktualisierung der Software eingesetzt werden. Windows-Updates sind dabei das einfachste Thema. Die wichtigsten Browser wie Mozilla Firefox und Google Chrome sowie Adobe Flash bieten mittlerweile das sogenannte „Silent Update“, das eine automatische Aktualisierung ohne Benutzereingriff ermöglicht. Java bspw. spielt aber in einer ganz anderen Liga: Java kann zwar automatisch melden, wenn eine neuere Version vorliegt, da aber ein manuelles Herunterladen und Installieren des Updates vom Benutzer gefordert wird, ist dies sehr unkomfortabel.
    Relevante Faktoren: Automatisierung, Komfort (ohne Benutzereingriffe)

In Phase 2 müssen die Ergebnisse der evaluierten Themen in die Realität umgesetzt werden. Aus organisatorischen Gründen muss die Implementierung in folgende 3 Teilaufgaben aufgeteilt werden:

  1. Laptops:
    • Verschlüsselung der Festplatten
    • Aktualisierung Virenschutz
    • Einstellung der Windows-Updates
    • Aktualisierungs-Mechanismen für Adobe Flash, Java, etc. prüfen/implementieren
    • Rechtemanagement: User Access Control (UAC) prüfen/einstellen
  2. Tablets:
    • Verschlüsselung des Geräts aktivieren
    • Verschlüsselung der SD-Karte aktivieren
    • Viren- / Diebstahlschutz installieren und einrichten
    • Einrichtung Backup-Dienst (Cloudspeicher)
  3. Smartphones:
    • Verschlüsselung des Geräts aktivieren
    • Verschlüsselung der SD-Karte aktivieren
    • Viren- / Diebstahlschutz installieren und einrichten
    • Automatische Aktualisierung der Apps aktivieren
    • Bildschirmsperre aktivieren

Zu guter Letzt ist der Tatsache Rechnung zu tragen, dass keine Sicherheits-Strategie wirklich erfolgreich ist, wenn die Benutzer nicht geschult sind. Daher bereiten wir eine Schulung für die Mitarbeiter vor, die auch die private Nutzung mobiler Geräte inkludiert. Aus logischen Gründen muss hier in die 3 folgenden Teilaufgaben unterteilt werden:

  1. Zusammentragen von Informationen:
    • Risikoanalyse: Smartphones sind anfälliger als PCs, da Schutz-Technologien der Marktentwicklung hinterherhinken
    • Aktivierung von Sicherheitsmerkmalen: Verschlüsselung, Gerätesperre, IMEI auslesen
    • Welches ist der beste Viren-/Diebstahlschutz (Vergleiche, Tests, Empfehlungen)
    • Die wichtigsten Apps für Android (sowohl Sicherheits-Apps als auch hilfreiche Apps)
    • Unterschiede zwischen den verschiedenen Gerätearten und deren sinnvolle Einsatzzwecke: Smartphones, Tablets, E-Book-Reader, Netbooks, Laptops
    • Geräteempfehlungen: Aktuelle Empfehlungen aus dem Smartphone- und Tablet-Markt
  2. Erstellung einer Präsentation für die Schulung
  3. Schulung halten: Hier sollten mindestens 2 Termine angeboten werden!

Klar muss natürlich sein, dass das Thema „Mobile Sicherheit“ im Anschluss an das Projekt als kontinuierliches Projekt stets weiter auf der Agenda bleiben muss. Der Markt ist momentan noch einer der sich am schnellsten entwickelnden und muss daher stetig beobachtet werden, um was sicherheitsrelevante Themen angeht nicht abgehängt zu werden.

Verfasser: Samuel Isaac

Advertisements

Über hecogmbh

Die heco gmbh ist ein Handelshaus sowie ein Produzent für Fittings und Armaturen aus rostfreiem Edelstahl. Unsere Produkte werden im Maschinen-, Anlagen- und Fahrzeugbau sowohl in der chemischen Industrie als auch in der Nahrungsmittelindustrie eingesetzt. Mit mehreren Standorten europaweit sind wir immer in Ihrer Nähe.
Dieser Beitrag wurde unter Samuel Isaac abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Projekt Mobile Sicherheit

  1. Pingback: Verschlüsselung mobiler Geräte | Die heco IT

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s