Diebstahl ohne Schrecken – mobil sicher unterwegs
Von David Göhler - Mit Notebooks, Tablets und Smartphones sowie wechselnden Heimarbeitsplätzen haben sich die Risiken für Daten- und Gerätediebstahl für mobile Mitarbeiter nicht gerade verringert. Doch statt wie manche Firmen aus Sicherheitsgründen fast alles auf Notebooks zu verbieten, sollte man die Herausforderung annehmen. Denn es gibt viele Techniken, die die Sicherheit soweit erhöhen, dass selbst ein Diebstahl kein Problem mehr ist.
Stehen alle Geräte innerhalb der eigenen Firma, ist die Sicherheit einfacher zu gewährleisten, als wenn Mitarbeiter mit Laptops und Smartphones "in the wild" unterwegs sind. Schneller als man denkt, wird ein mobiler Rechner geklaut oder auch nur unbeaufsichtigt im Hotel gelassen. Daneben gilt es sicherzustellen, dass Daten nicht unautorisiert das Notebook verlassen können oder Malware den Weg auf ein mobiles Gerät findet. Und natürlich dürfen die Daten, die übers Internet fließen, nicht mitgelesen oder gar verändert werden können.
Dabei gilt: Ein Schutz taugt nur, wenn er alle Sicherheitslöcher geschlossen sind. Wenn Sie in einem Topf zwanzig Löcher stopfen und ein Loch vergessen, fließt das Wasser dennoch ab. Sicherheit ist daher nur gegeben, wenn der Schutz umfassend ist.
Thema 1: Authentifizierung (Identity Access Management, IAM)
Um den Zugang zu einem Notebook sicher zu reglementieren, darf es nicht nur per Passwort gesichert sein, selbst wenn der Benutzer diese regelmäßig neu wählen muss und dabei strikte Regeln gelten.
Passwort-Regeln
Für ein sicheres Passwort sollten Sie Regeln vergeben, die eingehalten werden müssen. Die könnten beispielsweise so aussehen:
- Passwortwechsel alle fünf Wochen.
- Passwort muss 8 Zeichen oder mehr enthalten.
- Passwort muss Groß- und Kleinbuchstaben, Zahlen und Satzzeichen enthalten.
- Jahreszahlen, Vornamen und Buchstabenfolgen wie abc, 123, 111 oder qwertz werden abgelehnt.
- Typische Simple-Passwörter wie "password" & Login-namen dürfen nicht Bestandteil eines Passworts sein.
- Passwörter dürfen nicht auf Zetteln notiert werden.
Anbieter von Business-Notebooks bieten für jedes Gerät spezielle Techniken an. Dazu gehören SmartCard-Reader (auch kontaktlos) und Fingerabdruck-Scanner, die einen Zugang zum Laptop nur dann gewähren, wenn die passende Karte vorhanden, eingesteckt oder der passende Finger aufgelegt wird. Besonders wichtig hierbei: Je früher im Bootvorgang der Zugang abgefragt wird, desto besser: Muss man sich noch vor dem Start von Windows "ausweisen", kann ein Dritter nicht von einem externen Medium booten und so seine Angriffe starten.
Für die Ablage der Sicherheitsinformationen zur SmartCard, Fingerabdruck und Passwörtern für die Verschlüsselung von Festplatten-Daten sollte das Notebook ein Trusted Platform Module (TPM) eingebaut haben. Das ist spezielle Hardware, aus der man Sicherheitsinformationen nicht auslesen kann und das unabhängig vom Betriebssystem arbeitet.
Die Verwaltung der Zugriffsmechanismen geschieht dabei am besten zentral über eine Identity Access Management (IAM) Software, mit der sich von der IT aus Passwörter zurücksetzen und Zugänge verwalten lassen.
Thema 2: Daten-Verschlüsselung (Data Protection und Encryption)
Auch wenn man ein Notebook mit einem Kensington-Lock oder abschließbaren Dock vor Diebstahl sichern kann, gibt es zu viele Gelegenheiten, bei dem ein mobiles Gerät gestohlen oder vergessen werden kann und wird. Auf europäischen und amerikanischen Flughäfen verschwinden jede Woche mehr als 15.000 Geräte.
Daher gilt es dafür zu sorgen, dass Dritte auf die Daten eines Geräts auch nach einem Verlust nicht zugreifen können. Wirksamstes Mittel dafür ist eine Verschlüsselung aller Festplatten und eventuell auch Hauptspeicherdaten.
Am wirksamsten sind Hardware-Verschlüsselungstechniken, die noch vor dem Booten des Systems greifen (Pre-Boot-Verschlüsselung genannt). Sogenannte selbst-verschlüsselnde Festplatten (Self-Encrypting-Drives, SED) übernehmen die Aufgabe bereits im Laufwerk. Das kann aber auch über spezielle Hardware oder Software im Notebook-BIOS geschehen. Auch Windows beherrscht das sichere Verschüsseln von Laufwerken und Partitionen per Bitlocker. Dabei muss die Verschlüsselungsgüte militärischen Ansprüchen genügen, um auch vor Geheimdiensten sicher zu sein. Ein Standard wie FIPS 140-2 stellt dies sicher. Selbstverständlich sollte die Entschlüsselung mit den Zugriffsmethoden verknüpft sein und nur funktionieren, wenn die passende SmartCard oder/und Fingerabdruck verifiziert wurden.
Zu verhindern, dass andere Zugriff auf Daten bekommen, ist das eine, ein Backup davon zu besitzen, das andere. Auch wenn bei mobilen Geräten das tägliche oder wöchentliche Backup nicht ganz so einfach ist, muss man als IT dafür sorgen, dass aktuelle Backups vorliegen. Dies darf man nicht dem Mitarbeiter überlassen. Sobald das Notebook wieder am Firmennetz hängt (in der Firma oder Heimarbeitsplatz), muss ein - wiederum - verschlüsseltes Backup gemacht werden, um bei Verlust des Geräts schnell weiterarbeiten zu können.
Die Verschlüsselung darf auch beim Datenaustausch über E-Mail, Cloud-Speichern wie Dropbox oder Box und USB-Sticks nicht halt machen. Eine passende Sicherheitslösung wie die Data Protection and Encrytion-Suite von Dell sorgt auch dabei für Sicherheit, obwohl der Mitarbeiter davon nichts bemerkt. Die Encryption erfolgt für den Mitarbeiter unsichtbar im Hintergrund.
Thema 3: Gesicherte Verbindungen
Genauso wichtig wie die Daten auf dem Gerät, sind die Daten, die es verschickt und empfängt. Jegliche Kommunikation auf mobilen Geräten mit dem eigenen Unternehmen und möglichst auch mit anderen Firmen sollte nur verschlüsselt erfolgen.
Zwingend notwendig dazu sind VPN-Verbindungen (das Kürzel steht dabei für Virtual Private Network). Diese nutzen zwar das öffentliche Internet, verschlüsseln aber jeglichen Datenverkehr und verbinden sich dabei direkt mit dem eigenen Unternehmen. Eine VPN-Verbindung ist in der Regel so sicher, als säße man selbst in der Firma.
Muss ein Zugriff auf Firmendaten auch ohne VPN per Webbrowser möglich sein, sind diese per SSL mit aktuellen Zertifikaten zu sichern. Hierbei schludern viele IT-Abteilungen und arbeiten mit veralteten oder selbst signierten Zertifikaten. Das ist bedenklich, weil die Mitarbeiter abstumpfen und auch bei Zertifikatswarnungen nicht mehr aufpassen und vorschnell auf den "Mach' schon!"-Button klicken. Dies gilt insbesondere auch für E-Mail-Zugänge über den Webbrowser.
Thema 4: Malware-Schutz (Protected Workspace)
An was die meisten Mitarbeiter als erstes beim Thema Sicherheit denken, darf natürlich auch nicht fehlen: Ein Schutz vor Viren, Trojanern, Malware und Phishing. Die passende Software sollte aber nicht nur alle Datenkanäle von und nach draußen analysieren und eventuell blocken (Firewall-Funktion), sondern gleichzeitig alle gefährdete Anwendungen wie Web-Browser, Office-Anwendungen oder PDF-Reader in einer virtuellen, abgegrenzten Umgebung laufen lassen, so dass diese im Falle einer Infektion keinen Schaden anrichten können und in kürzester Zeit wiederhergestellt werden können. Für den Benutzer ändert sich dabei nichts, dies erledigt die Schutz-Software völlig transparent.
Zusätzliche Sicherheit gibt eine automatische Analyse von Datenströmen auf Malware, Viren und andere Schadsoftware. So lassen sich Bedrohungen auch ohne Signaturen schnell erkennen und eingrenzen.
>> Download: Sicherheits-Checkliste für Notebooks
Trotz allen Schutzvorkehrungen ist es weiterhin wichtig, die Betriebssystem-Software, die Schutzsoftware und Anwendungsprogramme aktuell zu halten und automatisch zu aktualisieren. Wer als IT-Admin sichergehen muss, sollte außerdem die Client-Systeme regelmäßig einem Komplett-Scan unterziehen. Um den User nicht unnötig zu behindern, sollte das außerhalb der Arbeitszeiten passieren.
Eine besondere Bedrohung stellen aktuell USB-Sticks dar. Wie zahlreiche Fachzeitschriften und Hacker-Konferenzen gezeigt haben, lassen sich die meisten Speichersticks so umprogrammieren, dass allein ein Anstecken eines fremden (oder gefundenen) USB-Sticks ausreicht, um den Rechner zu infizieren. Wenn damit zu rechnen ist, dass ein Rechner mit fremden Speichersticks in Berührung kommt, sollte die USB-Funktion durch entfernen der Treiber komplett deaktiviert werden.
Selbstverständlich darf der Mitarbeiter in keinem Fall Software selbst installieren und in Betrieb nehmen können, da über diesen Weg Schadsoftware auf den Rechner gelangen kann. Dies beginnt schon bei Programmen, die einen Login-Screen simulieren und so Passwörter abfangen können. Am besten stellt man seinen Mitarbeitern ein Software-Repository aus geprüften Programmen online zur Verfügung, die sie sich selbst installieren dürfen.
Thema 5: Faktor Mensch
Auch auf die Gefahr hin, sich unbeliebt zu machen: Das größte Sicherheitsproblem sitzt zwischen den Ohren. Der Mensch mag es gerne bequem und nimmt dafür vermeintlich unkritische Sicherheitsrisiken oft genug in Kauf. Das fängt bei den bekanten Passwort-Zetteln am Monitor an und hört beim Herumschicken von Passwörtern nicht auf. Auch deshalb zielen moderne Angriffe immer weniger auf die Technik und stärker auf den Menschen.
Wer mobile Mitarbeiter mit Firmen-Geräten in die "Welt da draußen" entlässt, muss klare Regeln festlegen, die Mitarbeiter in Trainings schulen und für die Gefahren sensibilisieren. Den Mitarbeitern muss klar sein, wie der Schutz funktioniert, was sie beitragen können und müssen und was zu unterlassen ist. Dazu gehört zum Beispiel nur Zertifikate zu akzeptieren, die auch in Ordnung sind und Passwörter grundsätzlich nicht in unverschlüsselten E-Mails durch die Welt zu schicken.
Es macht daher Sinn, Handlungsanweisungen schriftlich zu fixieren, auszugeben, die Einhaltung zu überwachen und gegebenenfalls auch Konsequenzen zu ziehen.
Beratung geht vor Probieren
Vielen Themen in der IT kann man sich spielerisch durch Ausprobieren nähern. Das gilt nicht beim Thema Sicherheit. Das Thema ist zu komplex und umfangreich, um auf Anhieb keine Fehler zu machen. Der eine Fehler kann aber die Sicherheits-Architektur zum Einsturz bringen.
Es macht daher Sinn, sich vor dem Einsatz mobiler Arbeitsgeräte gründlich Gedanken über die Sicherheit zu machen und sich beraten zu lassen. Spezialisten nur für Firewalls, nur für Verschlüsselung oder IAM helfen wenig, da alles zusammenpassen und -arbeiten muss.
Dell ist das einzige Unternehmen am Markt, dass die gesamte Bandbreite an Sicherheitstechniken aus einer Hand anbieten kann; das sicherstellen kann, dass die gesamte Software reibungslos zusammenarbeitet, keine Angriffspunkte entstehen, die Back-End-Management-Software ausrollen und auch die notwendige Hardware liefern kann. Dells End-to-End-Sicherheitslösungen sind millionenfach im Einsatz. Nehmen Sie unverbindlich Kontakt auf, wenn Sie gerade vor Entscheidungen stehen oder sich einfach nur informieren wollen.
Weiterführende Informationen und Links:
- Leitfaden Informationssicherheit (Datev, Bundesministerium des Inneren)
- Dell Data Protection Lösungen (deutsch)