Cloud-Anwendung: Mobiles Arbeiten, aber bitte sicher

0

Je verbreiteter hochwertige WLAN-Verbindungen sind, desto einfacher wird es, von überall aus zu arbeiten. Während vor wenigen Jahren der stationäre Desktop mit Internetverbindung noch Standard war, erleichtern inzwischen verschiedene mobile Geräte das Arbeiten an verschiedenen Orten: Mitarbeiter brauchen heute keinen festen Schreibtisch mehr. Der Datenaustausch mit den Kollegen von unterwegs sollte jedoch auch sicher erfolgen.

„Datenzugriff von überall“

Doch nicht nur das räumliche Arbeiten wird flexibel: „Bring your own device“ ist in vielen Bereichen heute üblich. Die Mitarbeiter können mit den Geräten arbeiten, die ihnen vertraut sind. Das bedeutet, dass private Laptops, Tablets oder Smartphones in Unternehmensnetzwerke integriert werden müssen. Damit verbunden ist aber ein Sicherheitsrisiko, da auf diese Weise unter Umständen interne Daten auf privaten Geräten verarbeitet werden. Diese Geräte können wiederum selbst Sicherheitslücken bergen, über die Unbefugte auf die Daten oder gar auf das interne Netzwerk zugreifen können.
Gleichwohl ist ein sicheres Arbeiten auch mit privaten Geräten möglich: Zunächst muss ein Unternehmen rechtlich klären, inwieweit die Mitarbeiter Zugriff auf interne Netzwerkdienste haben dürfen und ob und inwieweit sie interne Daten verarbeiten und speichern dürfen. Außerdem können technische Sicherungsmaßnahmen verlangt werden. Dabei gilt es, sowohl den Speicher- und Verarbeitungsort wie auch die Übertragungswege der Daten abzusichern.
So könnte geregelt werden, dass nur Geräte zugelassen werden, die über gesicherte VPN-Verbindungen auf das interne Netzwerk zugreifen dürfen. Auch könnte eine Festplattenverschlüsselung verlangt werden. Zudem könnte man den Zugriff auf bestimmte Dienste beschränken. Die Endgeräte könnten dann als Terminal für eine vertrauenswürdige Cloud-Anwendung dienen, die den Mitarbeitern einen sicheren Datenraum bietet.

Praktische, aber unsichere Apps

Besonders sensibel ist der Einsatz von mobilen Apps, wie sie auf Smart­phones und Tablets gang und gäbe sind. Viele der meist kostenlosen Business-Anwendungen werben damit, ein „modernes Datei-Management“ mit hohem Speicherplatz zu bieten, die Dokumente zentral in der Cloud verwaltet. Auch gibt es so genannte Produktivität-Apps, mit denen Ideen skizziert, Informationen gesammelt oder Notizen erstellt werden, die mit Arbeitskollegen gemeinsam bearbeitet werden können.
Doch wie sicher sind solche Cloud-Anwendungen überhaupt? Wer hat Zugriff auf die Daten, die auf den Cloud-Rechnern gespeichert werden? Erfolgt die Übertragung der Daten vom Mobilgerät zum Cloud-Computer sicher? Und verarbeitet die App nur die Daten, die sie unbedingt benötigt?
Die Fragen sind berechtigt, wie aktuelle Untersuchungsergebnisse zeigen: Forscher des Fraunhofer-Instituts SIT stellten fest, dass Dreiviertel der beliebtesten Business-Apps die Sicherheitsanforderungen von Unternehmen nicht erfüllen. Informatiker der Universität Bremen fanden heraus, dass viele Apps viele Berechtigungen verlangen, die nicht benötigt werden. Forscher des Fraunhofer-Instituts AIESEC testeten 10.000 der beliebtesten Android-Apps: 91 Prozent verlangen demnach eine Berechtigung für den Aufbau einer Internetverbindung, ohne dass der Nutzer den Zweck erfährt. Die meisten Apps verschickten gleich beim Start ungefragt persönliche Daten an Server in der ganzen Welt. Die Forscher stellten überdies erstaunt fest, dass zwei Drittel der Apps die Daten gar unverschlüsselt verschicken.
Was können Unternehmen und Nutzer tun, um die unerwünschten Datenabflüsse bei mobilen Apps zu kontrollieren? Eine aktuelle Studie des Deutschen Instituts für Vertrauen und Sicherheit im Internet nahm die großen vier mobilen Betriebssysteme unter die Lupe. Sie kam zu dem Ergebnis, dass Apps unter einem Standard-Android-Betriebssystem am flexibelsten auf Daten zugreifen können. Bei iOS und Blackberry hingegen können Nutzer den Apps die Zugriffsrechte entziehen oder später wieder erlauben. Android und Windows bieten diese Option nicht.
Diese begrenzten Kontrollmöglichkeiten zeigen: Ein Unternehmen, das eine „Bring-your-own-device“-Strategie verfolgt, muss stark darauf achten, für seine Mitarbeiter eine sichere Kooperations- und Kommunikationsmöglichkeit zu bieten.

Hohes Missbrauchsrisiko

Das Missbrauchsrisiko ist nicht von der Hand zu weisen: Eine aktuelle repräsentative Umfrage der Unternehmensberatung Corporate Trust zum Thema „Industriespionage“ beziffert einen jährlichen Schaden von 11,8 Milliarden Euro für die deutsche Wirtschaft. Vor zwei Jahren betrug die Höhe des geschätzten Schadens lediglich ein Drittel. „Vermutlich befinden wir uns bereits im Cybergeddon“, sagt Studienleiter Christian Schaaf. „Es bleibt zu hoffen, dass sich die Unternehmen bald darauf einstellen und entsprechende Sicherheitsmaßnahmen ergreifen.“
So verzeichnete immerhin die Hälfte der befragten 6.800 Unternehmen Hackerangriffe auf ihre IT-Systeme. 41 Prozent stellten fest, dass elektronische Kommunikation abgefangen oder abgehört wurde. An dritter Stelle mit 38 Prozent steht das geschickte Ausfragen von Mitarbeitern durch Kunden oder Lieferanten und an vierter Stelle mit 33 Prozent der Datendiebstahl durch eigene Mitarbeiter. Betroffen sind vor allem innovative mittelständische Unternehmen. Doch gerade der Mittelstand ist sich der Risiken nur wenig bewusst und verfügt selten über ein wirksames Schutzkonzept. Als einen Lösungsansatz etablieren Unternehmen heute eine Trennung zwischen Privat und Business auf den Apps. Das ist ein wichtiger Schritt, der allein aber nicht ausreicht, um Dokumente zu schützen.

Unternehmen müssen gute Alternativen bieten

Informationssicherheit ist auch bei Cloud-Anwendungen möglich, doch dies erfordert eine Reihe von Maßnahmen. Angesichts dieser prekären Lage ist es wichtig, dass Unternehmen ihre Mitarbeiter für die Risiken sensibilisieren und ihnen wirklich sichere Anwendungen zur Verfügung stellen. Mitarbeiter dürfen nicht in Versuchung kommen, aus Gründen der Zeitnot oder der Praktikabilität rasch mal auf populäre, aber unsichere Anwendungen zugreifen zu müssen. Das bedeutet auch, dass die Werkzeuge, die ihnen das Unternehmen bietet, alle wichtigen Anforderungen der Mitarbeiter auf eine komfortable und flexible, aber sichere und verlässliche Weise erfüllen müssen. (ak)

Autor: Dr. Thomas Mohr ist Executive Vice President of Services, Operations, IT bei Brainloop.

 

Zusatzinformation: Checkliste für flexibles, mobiles und sicheres Arbeiten

Worauf CISO (Chief Information Security Officer) und Datenschutzbeauftragte beim Umgang mit unternehmenskritischen Daten achten sollten:

  • Die Nutzung der Cloud-Anwendung soll einfach und flexibel sein, verschiedene Endgeräte unterstützen und sich in die bestehende Infrastruktur nahtlos integrieren lassen.
  • Die Kommunikation zwischen Nutzer und der Cloud, zwischen der Cloud und dem Administrator und zwischen einzelnen Cloud-Servern muss nach aktuellen Standards verschlüsselt werden.
  • Die auf den Servern abgelegten und dort bearbeitbaren Dokumente müssen dort verschlüsselt werden. Dazu gehört eine verschlüsselte Speicherung von Passwörtern und Rechtekonzepten.
  • Das Sicherheitsniveau der Cloud-Anwendung soll über eine Zertifizierung nachvollzogen werden können.
  • Nur der berechtigte Anwender darf auf die Daten Zugriff haben. Dazu gehören eine zeitliche Begrenzung des Zugriffs auf bestimmte Inhalte oder eine Zwei-Faktor-Authentisierung über verschiedene Kommunikationskanäle. Der Zugriff auf einen Dokumentenlink etwa kann nur mit dem Passwort erfolgen, das über SMS an das Handy übermittelt wurde.
  • Der Nutzer selbst soll den Zugriff auf die Dateien steuern können, etwa über eine Nur-Lesen-Erlaubnis. Änderungen an Inhalten sollen jederzeit nachvollzogen werden können.
  • Dokumente müssen auch auf Endgeräten verschlüsselt und gegen Weitergabe gesichert werden.
  • Sichere Zusammenarbeit über eine vertrauenswürdige Cloud-Anwendung, die den Mitarbeitern einen vor unerlaubten Zugriffen abgesicherten Datenraum bietet.
  • Die Funktionalitäten der Brainloop-Security-Plattform im Überblick.
RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags