Graphicroyalty - stock.adobe.com
Der Schutz mobiler Geräte muss zur Pflicht werden
In Zeiten vernetzter Maschinen und weltweiten Internetzugangs darf die Absicherung tragbarer Arbeitsmittel nicht mehr als bloße Möglichkeit gelten. Sie wird zur Pflicht.
Über die letzten zehn Jahre nahm der digitale Wandel rasant Fahrt auf. Sehr vieles ist bereits miteinander virtuell verbunden: Computer, IoT-Geräte, Armbanduhren, Laptops oder Mobiltelefone. Gerade die tragbaren Geräte aber haben noch eine Bindung: zu uns. Vielen ist ihr Smartphone beinah schon zu einer Extremität ihres Körpers geworden und einem zwingend notwendigen Bestandteil ihres Lebens.
Das kann auch Unternehmen zum Vorteil gereichen: Wenn diese den Mitarbeitern die notwendigen Werkzeuge an die Hand geben, um bequem mit ihren mobilen Geräten auch aus der Ferne arbeiten zu können, profitieren die Firmen von einer gesteigerten Effizienz. Die Mitarbeiter sind im Wesentlichen jederzeit und überall verfügbar. Aber die Möglichkeit, mit mobilen Geräten mühelos auf sensible Unternehmensinformationen zuzugreifen, öffnet zugleich eine neue Hintertür zum internen Netzwerk – das kann mit einem gefährlichen Datenverlust enden.
Unternehmen müssen den Schutz mobiler Geräte ernst nehmen
Eine Mobile-Variante von WannaCry oder NotPetya, den großen Angriffswellen gegen Computersysteme, hat bisher in diesem Ausmaß noch nicht stattgefunden, doch nehmen Handy-Attacken allgemein in jüngster Zeit mit einer alarmierenden Geschwindigkeit zu.
Im Jahr 2018 haben sich diese Angriffe im Vergleich zum Vorjahr mit rund 116,5 Millionen fast verdoppelt, bei einem gleichzeitigen Anstieg der Einzelnutzer, so Gartner. Die Lehre für Unternehmen daraus muss sein: Was die meisten von ihnen haben, das ist ein Mangel an Werkzeugen, die ihnen einen Blick über die Risiken im Bereich der mobilen Kommunikation geben, nicht ein Mangel an Bedrohungen.
Endpunkt-Management-Lösungen reichen bei Weitem nicht aus, um Unternehmen vor der sich ständig entwickelnden mobilen Bedrohungslandschaft zu schützen. Phishing-, Man-in-the-Middle- und Bot-Angriffe werden häufiger beobachtet und steigen in Umfang und Fähigkeiten, was zu schwerwiegenden Folgen, wie Ausfallzeiten, Datenverlusten und Reputationsschäden führt.
Dennoch nehmen viele Unternehmen mobile Malware nicht ernst genug. Wie sieht es in diesem Zusammenhang mit der Einhaltung gesetzlicher Vorgaben aus?
Der Gesetzgeber nimmt Unternehmen in die Pflicht
Die letzten zwei Jahre waren ein wichtiger Wendepunkt auf dem Gebiet der digitalen Datenverarbeitung, wobei der 25. Mai 2018 zum Stichtag wurde: Die Europäische Datenschutz-Grundverordnung (DSGVO) trat in Kraft. Sie macht Organisationen jeder Art für sämtliche Verletzungen des definierten Datenschutzes verantwortlich und verlangt, dass diese dafür sorgen, alle Daten auf allen Geräten zu schützen.
Doch mit der DSGVO alleine ist es nicht getan. In dem Bemühen, die Maßnahmen zur Verhinderung von Betrug und Sicherheitsverletzungen zu standardisieren, haben verschiedene Branchen ihre eigenen Standards geschaffen.
„Die meisten Unternehmen haben einen Mangel an Werkzeugen, die ihnen einen Blick über die Risiken im Bereich der mobilen Kommunikation geben, nicht ein Mangel an Bedrohungen.“
Christine Schönig, Check Point
So müssen beispielsweise Gesundheitsorganisationen in mehreren Ländern das US-amerikanische Gesetz Health Insurance Portability and Accountability Act (HIPAA) einhalten, um die Integrität der Privatsphäre und die Sicherheit sensibler Gesundheitsinformationen zu garantieren.
Die Standards der Zahlungskartenindustrie (PCI) plädieren außerdem für den Schutz von Geldkarteninhabern auf der ganzen Welt und die Europäische Zahlungsdienstrichtlinie 2 (PSD2), verpflichtet Finanzdienstleister in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR) zur verlässlichen Abschirmung ihrer Zahlungsdienste. Besonders diese Richtlinie umfasst Schutzmaßnahmen für mobile Transaktionen.
IT-Sicherheit bedeutet Ausfallsicherheit für Unternehmen
Im Laufe der digitalen und mobilen Ära werden Unternehmen von Kunden, Behörden und Anteilseignern verstärkt dabei beobachtet, ob sie den Schutz wichtiger Daten zuverlässig gewährleisten können und wollen. Dieser Aspekt wird zunehmend entscheidend für die operativen Geschäfte und den Erfolg einer Organisation, denn Datenschutz ist heutzutage Kundenvertrauen und dieses wiederum will kein Unternehmen und keine Behörde verspielen. Die Einführung eines umfassenden Zero-Trust-Sicherheitsansatzes für mobile Geräte in Verbindung mit einer zentralen Sicherheitsplattform ist daher keine bloße Option mehr. Sie wird zur Pflicht – und zum Erfolgsfaktor.
Über den Autor:
Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.