Mobile IT-Sicherheit nicht immer auf dem neusten Stand

Kleine Geräte, großes Risiko. 95 Prozent der Unternehmen in Deutschland haben Sicherheitsvorkehrungen für die Nutzung mobiler Endgeräte ihrer Mitarbeiter getroffen. Nicht alle schöpfen allerdings die Möglichkeiten zur wirksamen und effizienten Abwehr von Cyberattacken und Datenklau aus. Jedes dritte Unternehmen verzichtet beispielsweise auf ein professionelles Mobile Device Management (MDM) für Smartphone und Tablet. Das sind Ergebnisse der Studie „Potenzialanalyse Digital Security“ von Sopra Steria Consulting.
Durch die technischen Möglichkeiten sowie flexible Arbeitsmodelle zählen mobile Geräte heute zur Standardausstattung in vielen Berufen. In sechs von zehn Unternehmen werden dabei Geschäftliches und Privates auf Smartphone, Laptop und Tablet vermischt. Das erfordert von den IT-Sicherheitsmanagern spezielle Vorkehrungen, beispielsweise die Trennung von privaten und geschäftlichen Daten durch sogenannte Container.
Im Durchschnitt aller befragten Unternehmen nutzen zwei von drei ein systematisches Mobile Device Management (MDM). Andere beschränken sich noch auf Basismaßnahmen. Sie führen regelmäßige Kontrollen durch und sensibilisieren die Mitarbeiter für den richtigen Umgang in Form einer Mobile Security Policy.
„Unternehmen wollen heute, dass ihre Mitarbeiter möglichst frei mit Smartphone und Tablet umgehen – beispielsweise den Gerätetyp wählen und bestimmte Apps ihrer Wahl installieren. Dafür ist es wichtig, dass die Spezialisten im IT-Management den Überblick behalten und Automatismen für die Verwaltung des Gerätebestands existieren“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions von Sopra Steria Consulting. „Ein MDM sorgt für die nötige Transparenz, indem es genaue Regelwerke und Verfahren anbietet, welche Software und welche Inhalte auf dem Gerät installiert sein dürfen. Zudem stellt es sicher, dass jedes Gerät erfasst ist und zentral und gemäß Unternehmensrichtlinien verwaltet wird.“
Öffentliche Verwaltungen arbeiten an Mobile-Security-Standards
Die öffentliche Verwaltung und die Energieversorger haben bislang den größten Nachholbedarf beim wirksamen und effizienten Schutz mobiler Endgeräte. Fast jeder zweite Manager meldet zurück, dass seine Einrichtung oder sein Unternehmen kein umfassendes MDM einsetzt. Zum Vergleich: In der verarbeitenden Industrie und im Automobilsektor arbeiten drei Viertel der Unternehmen mit einer systematischen Verwaltung und Kontrolle aller mobilen Geräte, die mit dem Firmennetzwerk in Verbindung stehen. „In der Industrie ist die Zahl der mobilen Geräte größer als in anderen Branchen, beispielsweise durch mobil vernetzte Maschinen. Ein wirksamer Schutz wäre nur mit Awareness-Kampagnen und Stichprobenkontrollen nicht möglich“, verdeutlicht Spiegel.
Speziell die öffentliche Verwaltung arbeitet daran, ihr Mobile-Security-Management zu verbessern, da auch in Behörden der Einsatz von Smartphone und Laptop steigt, beispielsweise mit der Einführung der mobilen E-Akte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile für die Stellen des Bundes allgemeine Mindeststandards festgelegt. Diese können die Behörden der Länder und Kommunen heranziehen, um eigene Standards anzupassen. Das BSI beschreibt in 40 technischen und organisatorischen Regeln die Anforderungen, die ein solches System umsetzen können muss.
Internet der Dinge verlangt nach neuer mobiler Sicherheitsstrategie
Für eine weitere Verschärfung der Sicherheitsrisiken und damit erschwerte Anforderungen an das IT-Sicherheitsmanagement sorgt das Internet of Things (IoT). Die Einbettung einer Vielzahl von IoT-Geräten in den kommenden Jahren erfordert eine weitere Professionalisierung der mobilen Sicherheitsstrategien.
Auch digitale Assistenten und Bots sowie mobil vernetzte Geräte am Point of Sale müssen gesichert werden. Jeder fünfte Finanzdienstleister sammelt gerade Praxiserfahrungen mit digitalen Assistenten, zeigt die Potenzialanalyse „Künstliche Intelligenz“ von Sopra Steria Consulting. Für Sicherheitsexperte Spiegel ist damit klar: „Wenn Unternehmen die Fülle an IoT-Endpunkten sowie die vielen unterschiedlichen vernetzten Gerätetypen im Blick behalten und wirksam kontrollieren wollen, werden sie um ein sogenanntes Unified Endpoint Management (UEM) nicht herumkommen.“