Werbung

Cloud-Anwendung: Mobiles Arbeiten, aber bitte sicher

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Cloud-Anwendung: Mobiles Arbeiten, aber bitte sicher

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Mobiles Arbeiten verbreitet sich zunehmend, mehr und mehr auch mit privaten Geräten, die in Unternehmensnetzwerke integriert werden müssen. Dabei darf die Sicherheit nicht auf der Strecke bleiben. Von Dr. Thomas Mohr

Mobiles Arbeiten verbreitet sich zunehmend, mehr und mehr auch mit privaten Geräten, die in Unternehmensnetzwerke integriert werden müssen. Dabei darf die Sicherheit nicht auf der Strecke bleiben.
 Von Dr. Thomas Mohr

dbc_2015_07_401_brainloop_sichere-zusammenarbeit_devices-2

Je verbreiteter hochwertige WLAN-Verbindungen sind, desto einfacher wird es, von überall aus zu arbeiten. Während vor wenigen Jahren der stationäre Desktop mit Internetverbindung noch Standard war, erleichtern inzwischen verschiedene mobile Geräte das Arbeiten an verschiedenen Orten: Mitarbeiter brauchen heute keinen festen Schreibtisch mehr. Der Datenaustausch mit den Kollegen von unterwegs sollte jedoch auch sicher erfolgen.

„Datenzugriff von überall“

Doch nicht nur das räumliche Arbeiten wird flexibel: „Bring your own device“ ist in vielen Bereichen heute üblich. Die Mitarbeiter können mit den Geräten arbeiten, die ihnen vertraut sind. Das bedeutet, dass private Laptops, Tablets oder Smartphones in Unternehmensnetzwerke integriert werden müssen. Damit verbunden ist aber ein Sicherheitsrisiko, da auf diese Weise unter Umständen interne Daten auf privaten Geräten verarbeitet werden. Diese Geräte können wiederum selbst Sicherheitslücken bergen, über die Unbefugte auf die Daten oder gar auf das interne Netzwerk zugreifen können.
Gleichwohl ist ein sicheres Arbeiten auch mit privaten Geräten möglich: Zunächst muss ein Unternehmen rechtlich klären, inwieweit die Mitarbeiter Zugriff auf interne Netzwerkdienste haben dürfen und ob und inwieweit sie interne Daten verarbeiten und speichern dürfen. Außerdem können technische Sicherungsmaßnahmen verlangt werden. Dabei gilt es, sowohl den Speicher- und Verarbeitungsort wie auch die Übertragungswege der Daten abzusichern.
So könnte geregelt werden, dass nur Geräte zugelassen werden, die über gesicherte VPN-Verbindungen auf das interne Netzwerk zugreifen dürfen. Auch könnte eine Festplattenverschlüsselung verlangt werden. Zudem könnte man den Zugriff auf bestimmte Dienste beschränken. Die Endgeräte könnten dann als Terminal für eine vertrauenswürdige Cloud-Anwendung dienen, die den Mitarbeitern einen sicheren Datenraum bietet.

Praktische, aber unsichere Apps

Besonders sensibel ist der Einsatz von mobilen Apps, wie sie auf Smart­phones und Tablets gang und gäbe sind. Viele der meist kostenlosen Business-Anwendungen werben damit, ein „modernes Datei-Management“ mit hohem Speicherplatz zu bieten, die Dokumente zentral in der Cloud verwaltet. Auch gibt es so genannte Produktivität-Apps, mit denen Ideen skizziert, Informationen gesammelt oder Notizen erstellt werden, die mit Arbeitskollegen gemeinsam bearbeitet werden können.
Doch wie sicher sind solche Cloud-Anwendungen überhaupt? Wer hat Zugriff auf die Daten, die auf den Cloud-Rechnern gespeichert werden? Erfolgt die Übertragung der Daten vom Mobilgerät zum Cloud-Computer sicher? Und verarbeitet die App nur die Daten, die sie unbedingt benötigt?
Die Fragen sind berechtigt, wie aktuelle Untersuchungsergebnisse zeigen: Forscher des Fraunhofer-Instituts SIT stellten fest, dass Dreiviertel der beliebtesten Business-Apps die Sicherheitsanforderungen von Unternehmen nicht erfüllen. Informatiker der Universität Bremen fanden heraus, dass viele Apps viele Berechtigungen verlangen, die nicht benötigt werden. Forscher des Fraunhofer-Instituts AIESEC testeten 10.000 der beliebtesten Android-Apps: 91 Prozent verlangen demnach eine Berechtigung für den Aufbau einer Internetverbindung, ohne dass der Nutzer den Zweck erfährt. Die meisten Apps verschickten gleich beim Start ungefragt persönliche Daten an Server in der ganzen Welt. Die Forscher stellten überdies erstaunt fest, dass zwei Drittel der Apps die Daten gar unverschlüsselt verschicken.
Was können Unternehmen und Nutzer tun, um die unerwünschten Datenabflüsse bei mobilen Apps zu kontrollieren? Eine aktuelle Studie des Deutschen Instituts für Vertrauen und Sicherheit im Internet nahm die großen vier mobilen Betriebssysteme unter die Lupe. Sie kam zu dem Ergebnis, dass Apps unter einem Standard-Android-Betriebssystem am flexibelsten auf Daten zugreifen können. Bei iOS und Blackberry hingegen können Nutzer den Apps die Zugriffsrechte entziehen oder später wieder erlauben. Android und Windows bieten diese Option nicht.
Diese begrenzten Kontrollmöglichkeiten zeigen: Ein Unternehmen, das eine „Bring-your-own-device“-Strategie verfolgt, muss stark darauf achten, für seine Mitarbeiter eine sichere Kooperations- und Kommunikationsmöglichkeit zu bieten.

Hohes Missbrauchsrisiko

Das Missbrauchsrisiko ist nicht von der Hand zu weisen: Eine aktuelle repräsentative Umfrage der Unternehmensberatung Corporate Trust zum Thema „Industriespionage“ beziffert einen jährlichen Schaden von 11,8 Milliarden Euro für die deutsche Wirtschaft. Vor zwei Jahren betrug die Höhe des geschätzten Schadens lediglich ein Drittel. „Vermutlich befinden wir uns bereits im Cybergeddon“, sagt Studienleiter Christian Schaaf. „Es bleibt zu hoffen, dass sich die Unternehmen bald darauf einstellen und entsprechende Sicherheitsmaßnahmen ergreifen.“
So verzeichnete immerhin die Hälfte der befragten 6.800 Unternehmen Hackerangriffe auf ihre IT-Systeme. 41 Prozent stellten fest, dass elektronische Kommunikation abgefangen oder abgehört wurde. An dritter Stelle mit 38 Prozent steht das geschickte Ausfragen von Mitarbeitern durch Kunden oder Lieferanten und an vierter Stelle mit 33 Prozent der Datendiebstahl durch eigene Mitarbeiter. Betroffen sind vor allem innovative mittelständische Unternehmen. Doch gerade der Mittelstand ist sich der Risiken nur wenig bewusst und verfügt selten über ein wirksames Schutzkonzept. Als einen Lösungsansatz etablieren Unternehmen heute eine Trennung zwischen Privat und Business auf den Apps. Das ist ein wichtiger Schritt, der allein aber nicht ausreicht, um Dokumente zu schützen.

Unternehmen müssen gute Alternativen bieten

Informationssicherheit ist auch bei Cloud-Anwendungen möglich, doch dies erfordert eine Reihe von Maßnahmen. Angesichts dieser prekären Lage ist es wichtig, dass Unternehmen ihre Mitarbeiter für die Risiken sensibilisieren und ihnen wirklich sichere Anwendungen zur Verfügung stellen. Mitarbeiter dürfen nicht in Versuchung kommen, aus Gründen der Zeitnot oder der Praktikabilität rasch mal auf populäre, aber unsichere Anwendungen zugreifen zu müssen. Das bedeutet auch, dass die Werkzeuge, die ihnen das Unternehmen bietet, alle wichtigen Anforderungen der Mitarbeiter auf eine komfortable und flexible, aber sichere und verlässliche Weise erfüllen müssen. (ak)

Autor: Dr. Thomas Mohr ist Executive Vice President of Services, Operations, IT bei Brainloop.

 

Zusatzinformation: Checkliste für flexibles, mobiles und sicheres Arbeiten

Worauf CISO (Chief Information Security Officer) und Datenschutzbeauftragte beim Umgang mit unternehmenskritischen Daten achten sollten:

  • Die Nutzung der Cloud-Anwendung soll einfach und flexibel sein, verschiedene Endgeräte unterstützen und sich in die bestehende Infrastruktur nahtlos integrieren lassen.
  • Die Kommunikation zwischen Nutzer und der Cloud, zwischen der Cloud und dem Administrator und zwischen einzelnen Cloud-Servern muss nach aktuellen Standards verschlüsselt werden.
  • Die auf den Servern abgelegten und dort bearbeitbaren Dokumente müssen dort verschlüsselt werden. Dazu gehört eine verschlüsselte Speicherung von Passwörtern und Rechtekonzepten.
  • Das Sicherheitsniveau der Cloud-Anwendung soll über eine Zertifizierung nachvollzogen werden können.
  • Nur der berechtigte Anwender darf auf die Daten Zugriff haben. Dazu gehören eine zeitliche Begrenzung des Zugriffs auf bestimmte Inhalte oder eine Zwei-Faktor-Authentisierung über verschiedene Kommunikationskanäle. Der Zugriff auf einen Dokumentenlink etwa kann nur mit dem Passwort erfolgen, das über SMS an das Handy übermittelt wurde.
  • Der Nutzer selbst soll den Zugriff auf die Dateien steuern können, etwa über eine Nur-Lesen-Erlaubnis. Änderungen an Inhalten sollen jederzeit nachvollzogen werden können.
  • Dokumente müssen auch auf Endgeräten verschlüsselt und gegen Weitergabe gesichert werden.
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Apps, Portale, Software – Prozesse effizienter gestalten

Automatisierung

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.