(17. Dezember 2018) Um einen sicheren und gleichermaßen produktiven Einsatz aller im Unternehmensumfeld genutzter Endgeräte zu forcieren, sieht der Gründer von Gronau IT Cloud Computing, Pierre Gronau, die Unternehmensleitung in der Pflicht, ein tragfähiges Enterprise Mobility Management (EMM) zu etablieren und zu schützen.

 

Gronau Sicherheitsguide guysDabei befasst sich eine durchdachte EMM-Strategie nicht nur mit Sicherheitsfragen, sondern unterstützt Mitarbeiter auch bei ihrer täglichen Arbeit. Um privat genutzte Geräte wie Smartphones in firmeneigene Netze zu integrieren, benötigen Unternehmen ein mindestens jährlich aktualisiertes BYOD-Konzept (Bring Your Own Device), das technische und organisatorische Voraussetzungen festhält.

Das EEM in Händen des Administrators

Ein mit dem Sicherheitsthema betrauter IT-Mitarbeiter sollte das EEM für die mobilen Geräte der Kollegen konzipieren und sie anschließend via Hard- und Softwarekomponenten zentral administrieren und überwachen. Überschaubar bleiben diese Prozesse, wenn der Zuständige jedes Gerät über ein sogenanntes Mobile Device Management, eine Web-Konsole, löschen, konfigurieren und sperren kann, sowie ihre Einstellungen hierüber kontinuierlich kontrolliert. Momentan bilden vier Disziplinen den Kern des EEM: Mobile Information Management (MIM), Mobile Application Management (MAM), Mobile Device Management (MDM) und Enterprise Mobility Consulting (EMC).

Entsperr-Mechanismen sicher nutzen

Der IT-Administrator muss zur Nutzung der Entsperr-Mechanismen Vorgaben formulieren und Anwendern gegenüber geeignete und nicht geeignete Verfahren erläutern. Zu seinen Aufgaben gehört es auch, Qualitätslevel für genutzte Authentisierungsinformationen, wie Mindestlängen und Gültigkeitsdauer bei Passwörtern und PINs, zu definieren.

Haken dran: Sichere Verbindungen

- VPN: Bei Funkverbindungen über WLAN und Mobilfunk sollten Mitarbeiter den von der Firma zur Verfügung gestellte VPN-Dienst immer nutzen.
- Bluetooth-Verbindungen sollten nur auf Geräten aktiviert sein, wenn diese mit von der Firma autorisierten Bluetooth-Geräten verbunden werden. Die Bluetooth Merkmale sollten auf „nicht sichtbar“ eingestellt werden.
-  RFID: Near Field Communication, abgekürzt NFC, basierend auf RFID sollte auf den tragbaren Geräten deaktiviert sein.
- WLAN: Der Standard “Service Set Identifier” (SSID) sollte in den WLAN-Einstellungen abgeändert und der SSID Broadcast abgeschaltet werden. Nur Wi-Fi Protected Access 2 (WPA2) oder Wi-Fi Protected Access 3 (WPA3) sind bei WLAN Verbindungen empfehlenswert.
-  USB: Es sollten nur firmenintern autorisierte USB-Geräte angeschlossen werden.

Einstellungssache
Pierre Gronau empfiehlt für die exakte Analyse von Angriffen Zeitserver und Zeitzonen auf „automatisch einstellen“ zu konfigurieren. Zudem sollten nur datenschutzkonforme Konfiguration von Web Browsern Anwendung finden. Alle Massenspeicher wie Festplatten und Flash-Speicher sollten mit aktueller Kryptografie- Technik verschlüsselt sein. Parallel sollten sensible Daten und Firmeninterna in abstreitbarer Form, beispielsweise in einen VeraCrypt, Container abgespeichert werden. Cloud basierte Passwort Management Dienste sind nicht empfehlenswert.

Sieben Internet-To Dos als Sicherheits-Guide

Die nachfolgenden Handlungsempfehlungen bilden ein solides Gerüst für den Internet-Part firmeninterner EEM-Konzepte.

1. Browserwahl
Für Web Seiten der Firma sollte ein anderer Internet Browser verwendet werden und in besonders unsicheren Umgebungen bietet sich der „Tor Browser“ für anonymes „Surfen“ an. Ein aktivierter Popup Blocker sowie ein Phishing Filter gehören an dieser Stelle ebenso zum sicherheitsrelevanten Standard.

2. Vertrauenswürdige Kommunikation
Um die vertrauenswürdige Kommunikation mittels Zertifikate zu erreichen, muss eine angemessene Prüfung der Zertifikatskette erfolgen.

3. Klarheit für den Nutzer
Für das Unternehmensumfeld geeignete Web Browser zeichnen sich dadurch aus, dass sie nicht manipulierbar sind und ihren Nutzern zum Beispiel durch Farbe oder Symbole anzeigen, ob die Kommunikation mit dem Web Server verschlüsselt oder unverschlüsselt erfolgt.

4. Integritätsprüfungen der Updates
Es empfiehlt sich, Updates nur dann einzuspielen, wenn die Integritätsprüfung erfolgreich war.

5. Suchmaschinen
Administratoren sollten Metager, Startpage, DuckDuckGo oder Quant als datenschutzkonforme Suchmaschinen auf den Browsern voreinstellen und zur Nutzung freigeben.

6. Plugins und Erweiterungen
Auf alle eingesetzten Web-Browser gehören mindestens folgende Plugins und Erweiterungen:

- HTTPS Everywhere von EFF
- Privacy Badger von EFF
- Smart Referer von Alexander Schlarb
- Neat URL von Geoffrey De Belie
- Skip Redirect von Sebastian Blask

7. Vorsicht Rooting
Über eine Veränderung des Betriebssystems, primär von Android, lassen sich Sicherheitsfunktionen überwinden und Daten einsehen oder verändern. Allen Anwendern muss untersagt sein, Änderungen am System vorzunehmen.

Allen oben aufgeführten Punkte setzen voraus, dass jeder Mitarbeiter, der im und für sein Unternehmen mit mobilen Geräten arbeitet, geschult und über datenspezifische Risiken aufgeklärt wird. Klare Compliance-Richtlinien und Kommunikations- sowie Entscheidungswege bilden die Basis dafür, dass sich EEM-Konzepte in gelebten Digitalalltag wandeln.

Autor: Pierre Gronau, Gründer der Gronau IT Cloud Computing GmbH mit Firmensitz in Berlin

www.gronau-it-cloud-computing.de

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen