Getty Images/iStockphoto
8 Kernpunkte eines Security-Auditprogramms für Mobilgeräte
Audits sind ein entscheidender Bestandteil der Sicherheit mobiler Geräte. IT-Admins müssen sicherstellen, dass ihr Ansatz gründlich und konsistent ist. Diese Aspekte sind wichtig.
Um Unternehmensdaten zu schützen und Sicherheitsvorfälle zu verhindern, muss die IT-Abteilung ein Programm zur Auditierung aller Geräte in einem Unternehmen einrichten.
Was unter die Kategorie mobiles Gerät für den Audit fällt, hat sich im Laufe der Jahre weiterentwickelt. Während man zunächst an Smartphones und Tablets denkt, sollten Sicherheitsaudits für mobile Geräte heute ein breiteres Spektrum abdecken.
Notebooks sind ein wesentlicher Bestandteil, aber auch die oft übersehenen IoT-Geräte. Jedes Gerät, das sich bewegen und mit verschiedenen Netzwerken verbinden kann fällt unter diese erweiterte Definition: ein Mobiltelefon, ein Notebook oder sogar ein intelligentes Haushaltsgerät. Starke Sicherheitskontrollen sind angesichts der zunehmenden Präsenz dieser Geräte am Arbeitsplatz von entscheidender Bedeutung. Ein umfassendes Programm zum Audit mobiler Geräte ist eine der effektivsten Möglichkeiten, diese kritischen Güter zu schützen.
Warum sind Sicherheitsaudits für mobile Geräte so wichtig?
Mobile Geräte speichern und übertragen sensible Daten sowohl in verwalteten als auch in nicht verwalteten Netzwerken. Um das Risiko zu minimieren, sollten IT-Abteilungen Security Audits für mobile Geräte durchführen, um die Sicherheitsmaßnahmen ihrer Organisation für diese Geräte systematisch zu bewerten.
Bei einem Sicherheitsaudit für mobile Geräte werden Details wie Gerätetypen, Betriebssystemversionen, Richtlinien, Zugriffskontrolle, Software-Updates und Verschlüsselung bewertet. Durch die Prüfung dieser Merkmale können Unternehmen herausfinden, wie sicher die Unternehmensressourcen vor potenziellem Datenmissbrauch geschützt sind.
Beim Mobile Auditing im Unternehmen geht es nicht nur um Mobiltelefone. Die Prüfung sollte kleiner sein als ein vollständiger Netzwerkaudit, aber dennoch alles umfassen, was mit dem Internet verbunden ist und sich bewegen kann. Server und Desktops werden nicht bewegt, aber alles, was mobil sein kann, muss Teil einer Prüfung sein. Manche Geräte sind scheinbar fest an einem Ort installiert oder dienen nur einem bestimmten Zweck, können aber dennoch Probleme verursachen, wenn sie mit WLAN oder Bluetooth verbunden sind. Gadgets wie intelligente Türklingeln oder sogar intelligente Kaffeemaschinen können erhebliche Sicherheitsrisiken mit sich bringen.
Einige Unternehmen entscheiden sich beispielsweise für die Verwendung gemeinsamer Passwörter für die Netzwerkauthentifizierung anstelle sicherer zertifikatsbasierter Methoden. Wenn jemand im Besitz dieses Passworts ist und sein intelligentes Gerät dem Unternehmensnetzwerk hinzufügt, müssen IT-Administratoren wissen, was es im Netzwerk tut. Sendet es Daten über das Netzwerk? Wohin gehen diese Daten? Können böswillige Akteure es ausnutzen?
Bei einer mobilen Prüfung ist es wichtig, Faktoren wie die Betriebssystemversion, den Herstellersupport und die Netzwerksegmentierung zu berücksichtigen. Da die Netzwerksicherheit eine Schlüsselkomponente der mobilen Sicherheit ist, sollten IT-Administratoren alle IoT- und Netzwerkgeräte von der kritischen Unternehmensinfrastruktur trennen.
Ein Audit sollte keine einmalige Aufgabe sein, sondern ein wiederkehrender Teil eines umfassenderen Programms. Regelmäßige Audits helfen der IT-Abteilung, die Cybersicherheitsmaßnahmen zu stärken und auf dem neuesten Stand zu halten, während sie die Endnutzer über die besten Praktiken für die mobile Sicherheit aufklärt.
8 Hauptaspekte eines Auditprogramms für die Sicherheit mobiler Geräte
Bei der Durchführung eines Audits sollte die IT-Abteilung auf die risikoreicheren Geräte achten, die Mitarbeiter in das Unternehmen mitbringen, und sie mit Patches und Support auf dem neuesten Stand halten. Während Mobilgeräte-Management (MDM) für die Verwaltung des Zugriffs und die Verhinderung von Datenverlust wichtig ist, sind auch Tools zur Abwehr mobiler Bedrohungen (Mobile Threat Defense, MTD) unerlässlich. Diese Tools sind jetzt Teil der neuen NIST-Richtlinien für die Verwaltung und Sicherung von Geräten.
Ein Auditprogramm für die Sicherheit mobiler Geräte umfasst mehrere Komponenten. Um sicherzustellen, dass es umfassend und effektiv ist, sollten sich Administratoren auf die folgenden Schlüsselaspekte konzentrieren:
- Richtlinien und Verfahren: Unternehmen müssen klare, umfassende Richtlinien für mobile Geräte bereitstellen. Diese Richtlinien sollten die zulässige Nutzung, den Umgang mit Daten, Passwörter und den Fernzugriff abdecken. Die IT-Abteilung sollte außerdem die Sicherheitsrichtlinien regelmäßig überprüfen und aktualisieren.
- Zugriffskontrolle: Es sollten starke Authentifizierungsmethoden, wie Multifaktor-Authentifizierung (MFA), sowie eine rollenbasierte Zugriffskontrolle für sensible Daten vorhanden sein. Außerdem sollten alle Zugriffsversuche überwacht und protokolliert werden.
- Software und Updates: Die IT-Abteilung sollte einen strengen Aktualisierungsplan für Betriebssystemversionen und Sicherheitspatches befolgen, wobei Aktualisierungen für kritische Schwachstellen Vorrang haben sollten. Verwenden Sie MDM-Tools, um Aktualisierungen und die Einhaltung von Vorschriften zu automatisieren.
- MDM: Die IT-Abteilung sollte eine umfassende MDM-Plattform für die zentrale Verwaltung, das Durchsetzen von Richtlinien, die Bestandsverfolgung, das Remote-Löschen und die Bereitstellung von Apps verwenden. MDM-Protokolle sollten außerdem regelmäßig überprüft werden.
- Verschlüsselung: Die IT-Abteilung sollte komplexe Verschlüsselungsprotokolle für Daten im Ruhezustand und bei der Übertragung implementieren. Es sollten auch Verschlüsselungsanforderungen für sensible Informationen auf Geräten gelten. Erwägen Sie eine hardwarebasierte Unterstützung dafür, etwa Trusted Platform Module, Trusted Execution Environment, Titan M oder Apple Secure Enclave, um die Sicherheit und Leistung zu verbessern.
- Schulungen zum Thema Sicherheitsbewusstsein: Benutzer sollten über mobile Sicherheit und ihre Rolle bei deren Aufrechterhaltung aufgeklärt werden. Dies kann Schulungen zu Passwort-Hygiene, Phishing, Malware und anderen häufigen Bedrohungen sowie Anweisungen für den Fall des Verlusts oder Diebstahls eines Geräts umfassen.
- Wechselmedien: Organisationen sollten Richtlinien für die Verwendung von Wechselmedien mit mobilen Geräten festlegen. Setzen Sie die Verschlüsselung für die Datenübertragung zu und von Wechselmedien durch und erwägen Sie, den Zugriff einzuschränken, wenn dies nicht unbedingt erforderlich ist.
- Einhaltung Sicherheitsstandards: NIST-Richtlinien und andere relevante Datensicherheitsstandards, wie der Payment Card Industry Data Security Standard (PCI-DSS) und die Mindeststandard des BSI für Mobile Device Management, müssen in Audit-Programme einfließen. Bewerten Sie Passwortrichtlinien, Verschlüsselungsmethoden, Verfahren zur Reaktion auf Vorfälle (Incident Response), MDM, MTD und andere Faktoren anhand dieser Standards.
Bewährte Verfahren für Einrichtung eines Auditprogramms
Es gibt kein Auditprogramm, das für alle IT-Abteilungen gleichermaßen geeignet ist. Die spezifischen Details, auf die man sich bei einem Sicherheits-Auditprogramm für Mobilgeräte konzentrieren sollte, hängen von folgenden Faktoren ab:
- Größe der Organisation: Eine große Organisation mit einer Vielzahl unterschiedlicher Mobilgeräte benötigt möglicherweise ein umfassenderes Auditprogramm als eine kleinere Organisation mit einer begrenzten Anzahl von Geräten.
- Gerätetypen: Die Art der in der Organisation verwendeten Mobilgeräte kann den Auditansatz beeinflussen. Beispielsweise könnte sich die IT bei der Prüfung von Notebooks auf Verschlüsselung und physische Sicherheit konzentrieren, während bei der Prüfung von Smartphones der Schwerpunkt möglicherweise stärker auf der Zugriffskontrolle und der App-Sicherheit liegt.
- Betriebssysteme: Verschiedene Betriebssysteme verfügen über unterschiedliche Sicherheitsfunktionen und Schwachstellen, die maßgeschneiderte Auditansätze erfordern.
- Branchenvorschriften: Organisationen in regulierten Sektoren, wie dem Gesundheits- oder Finanzwesen, müssen oft branchenspezifische Sicherheitsstandards befolgen. Ihre Auditprogramme sollten dies widerspiegeln.
- Geräteeigentum: Organisationen mit BYOD-Bereitstellungen müssen einige zusätzliche Sicherheits- und Datenschutzaspekte in ihre Auditverfahren einbeziehen.
Sobald die Administratoren die Auditziele und den Umfang festgelegt haben, können sie eine Auditcheckliste erstellen und befolgen, die im Allgemeinen die folgenden Schritte umfassen sollte:
- Überprüfung mobiler Endgeräte, einschließlich Smartphones, Laptops und IoT-Geräte.
- Gewährleistung der Netzwerkisolation und -segmentierung für IoT- und Mobilgeräte.
- Aktualisierung von IoT- und Mobilgeräten auf die neuesten unterstützten Versionen.
- Implementierung grundlegender MDM-Tools.
- Implementierung fortschrittlicher Sicherheitstools, einschließlich MTD, insbesondere für Organisationen mit hohem Risiko.