Letzte Woche hatte ich die immer häufiger auftretende Mobilgerätfrage “Kann ich das in der Firma benutzen?” recht allgemein aufs Korn genommen. Heute folgen fünf praktische Tipps, wie Smartphone & Co. sicher und effektiv ins Unternehmen eingebunden werden können.
1. Abgrenzen
Wenn es keinen guten Grund gibt, warum ein privates Mobilgerät direkten, unbeschränkten Zugriff auf wichtige Server erhält, sollte es diesen auch nicht bekommen. Erstellen Sie stattdessen lieber ein per Firewall abgeschirmtes WLAN und räumen Sie nach Bedarf Zugriff ein. Vergessen Sie komplexe Firewall-Regeln – Tablets können sowieso nur die wichtigsten Protokolle wie HTTP und DNS verarbeiten und Ihr Firewall-Regelsatz wird das berücksichtigen.
2. Richtlinien
Gestalten Sie Ihre Richtlinien einfach und übersichtlich und veranschaulichen Sie ihren Nutzen anhand von Beispielen – so verstehen Ihre Benutzer besser, warum ihre „nervenden Forderungen“ wichtig sind:
- Jailbreak verbieten. Software sollte nur vom offiziellen App Store, Marktplatz usw. installiert werden.
- Per Passwort gesicherte Bildschirmsperre. Sollte nach etwa 5 Minuten Inaktivität automatisch aktiv werden.
- Passwortlänge. Passwörter können ein kontroverses Thema sein. Wir empfehlen daher, pragmatisch vorzugehen. Wenn Sie Benutzern ein 15-stelliges Passwort abverlangen, geben diese als Passwort „111111111111111“ ein. Genauso werden Komplexitätsanforderungen ausgetrickst. Computer stellen sich beim Erkennen von solcher Wahllosigkeit nicht gerade geschickt an. Menschen sind ihnen in diesem Punkt bei Weitem überlegen und finden schnell heraus, wie sie Algorithmen, die eine Komplexität durchsetzen sollen, einfach überlisten. Mindestens sechs Zeichen sind ein guter Anfang, um den durchschnittlichen Gelegenheitsangreifer abzuschrecken.
3. Vergleichen Sie
Unterschiedliche Plattformen haben unterschiedliche Risikoprofile. iPhones und iPads sind zwar standardmäßig verschlüsselt, aber auch das hat Hacker in der Vergangenheit nicht immer abgeschreckt. Androids sind bis dato noch unverschlüsselt unterwegs (das wird sich bald ändern, aber Sie möchten wahrscheinlich nicht den guten Ruf Ihres Unternehmens darauf verwetten). Wie dem auch sei: Eine Remotezurücksetzung ist eine gute Vorsichtsmaßnahme. Aber informieren Sie Ihre Benutzer in jedem Fall darüber, dass Sie von dieser Option Gebrauch machen, wenn ein Handy verloren geht – dann gibt es keine Ausrede, Backups zu vernachlässigen!
4. Aufklärung
Sowohl Ihre Benutzer als auch Ihr IT Service Desk profitieren von klaren Anweisungen. Das Service Desk braucht einen Prozess und eine Vorgehensweise, um bei der Bereitstellung und schnellen Remote-Zurücksetzung gestohlener Geräte zu helfen. Diese Kollegen sind auch nah an Ihren Benutzern dran und sind deshalb wichtige Verbündete, wenn es darum geht, aufzuklären und falsche Verhaltensweisen aufzudecken.
Hier ein guter Trick: Bitten Sie Ihre Benutzer, ihren E-Mail-Posteingang nach dem Wort „Passwort“ zu durchsuchen. Mit an Sicherheit grenzender Wahrscheinlichkeit hat mindestens eine Webseite ihnen eine Passworterinnerung in Klartext gemailt – erinnern Sie Ihre Benutzer daran, dass ein Angreifer, der Zugriff auf ihr Handy erhält, mit hoher Wahrscheinlichkeit das gleiche tut und dann auf brisant So stellen Sie klar, wie wichtig es ist, sicherheitsrelevante E-Mails zu löschen, für verschiedene Webseiten unterschiedliche Passwörter zu verwenden und gute Sicherheitsfragen zur Zurücksetzung von Passwörtern einzurichten.
5. Bleiben Sie pragmatisch
Wenn Sie sich eines merken sollten, ist es das: Moderne Plattformen unter Kontrolle zu halten, ist kein Kinderspiel und nicht selten mit einigen unangenehmen Aufgaben verbunden.
Das ist wichtig, also letztes Beispiel: Kein Systemadministrator möchte iTunes in seinem Netzwerk erlauben. Die Anwendung frisst Systemressourcen und sorgt für Chaos, wenn ein Benutzer versehentlich seine MP3s mit dem unternehmenseigenen Dateiserver synchronisiert. Aber leider brauchen Benutzer iTunes, um die Daten auf ihrem iPhone einfach zu sichern. Ist Ihnen doch egal? Ist es nicht! Ein Benutzer, der sein iPhone ohne Backups verliert und weiß, dass ihm bei Verlustmeldung eine Remote-Zurücksetzung droht, hat allen Grund, ihnen den Verlust in der Hoffnung zu verschweigen, dass iPhone doch noch in der Sofaritze zu finden.
Mehr Infos zu unserer Idee von Mobile Security gibt es hier: www.sophos.de/mobile
Antwort hinterlassen