Smartphones und Tablet-Geräte sind heute Alleskönner. "Ohne zusätzliche Maßnahmen sind sie aber leider ungeeignet für den sicheren geschäftlichen Einsatz. In der Standardkonfiguration halten sie versierten Angreifern nicht lange stand", sagt IT-Sicherheitsexperte Wolfram Funk von Steria Mummert Consulting. Und das müssten sie. Denn als Tor zu einer wachsenden Zahl an internen Unternehmensinformationen sind sie mittlerweile zu einem attraktiven Angriffsziel für Kriminelle und Wirtschaftsspione geworden. Gerade auf Smartphones und Tablets werden häufig auch unternehmensfremde, nicht vertrauenswürdige Anwendungen genutzt, die zum ungewollten Abfluss unternehmensinterner Daten führen können.
Trotz der wachsenden Gefahr sind Firmen in Deutschland noch zögerlich mit Abwehrmaßnahmen. Ob es um Sicherheitstechnologien geht oder um Prozesse wie etwa im Falle eines Verlusts oder der Rückgabe des Gerätes: die Konzepte sind lückenhaft. Sicherheitsrichtlinien und -standards, wie sie im PC-Umfeld schon vielfach etabliert sind, stecken bei Smartphones und Tablets oftmals noch in den Kinderschuhen. Nur rund 30 Prozent der deutschen Unternehmen mit mindestens 100 Mitarbeitern haben aktuelle Richtlinien für mobile Sicherheit oder zumindest Technologiestandards für einzelne Aspekte unternehmensweit durchgesetzt. Etwa 50 Prozent verfügen nur über veraltete und unvollständige Richtlinien, die nicht immer unternehmensweit gültig sind. 20 Prozent der deutschen Firmen verzichten sogar komplett auf unternehmensinterne Vorgaben für mobile Sicherheit.
Fest steht: Die wachsende Anzahl mobiler Geräten muss zentral verwaltet werden. Dadurch soll ein angemessenes Sicherheitsniveau hergestellt werden, aber auch ein kosteneffizienter und transparenter IT-Betrieb. In der Praxis ist die TCO (Total Cost of Ownership) ein wesentliches Entscheidungskriterium. An einer Standardisierung von Geräten und Sicherheitsmaßnahmen kommen Unternehmen daher kaum vorbei. Zudem ist es wichtig, bei jeder Entwicklung von mobilen Geschäftsanwendungen den Sicherheitsaspekt von Anfang an zu berücksichtigen. Dies kann eine Herausforderung sein, wenn Software-Entwickler nicht über das nötige Fachwissen verfügen oder externe Entwickler nicht sorgfältig gesteuert werden. Drittens müssen sensitive geschäftliche Daten sorgfältig vor dem ungewollten Zugriff durch fremde Apps geschützt werden. Dies ist bereits jetzt mittels Whitelisting- oder Abschottungsansätzen möglich.
Verantwortliche für Informationssicherheit müssen sich heute innerhalb ihres Unternehmens aktiv in diese drei Zielfelder einbringen. Sonst schaffen einzelne Fach- und Unternehmensbereiche, aber auch die IT-Organisation ihre eigenen Fakten - diese können zu unkalkulierbaren Risiken und Fehlinvestitionen führen.