Mobil Arbeiten – aber sicher!

Smartphone und Tablet gehören heute zum unverzichtbaren Arbeitsinstrumentarium in Unternehmen und Organisationen aller Art und Größe. Der Grund hierfür liegt darin, dass sie allein die Flexibilität und Reaktionsschnelligkeit bieten, die einerseits die Wettbewerbsfähigkeit sicher stellen und andererseits helfen, den steigenden Kundenanforderungen gerecht zu werden. Die Wohnungswirtschaft macht hier keine Ausnahme, im Gegenteil, gerade auf diesem Sektor sind mobil verfügbare Daten, schnelle und direkte Kommunika-tion und flexible Servicemodelle oft erfolgsentscheidend: Wichtige Geschäftsprozesse – wie etwa die Organisation von Objektbesichtigungen, die Wohnungsabnahme oder die Beauftragung von Handwerkern – waren bisher mit viel Papier- und Zeitaufwand verbunden, und damit nicht nur umständlich sondern auch fehleranfällig. Durch Nutzung von Smartphones und zugehörigen Mobile Business Apps lassen sich diese Prozesse digitalisieren und durch Integration in die digitalen Geschäftsabläufe der Unternehmen vereinfachen und erheblich flexibler gestalten.

Moderne Unternehmenssoftware ist von Anfang an für den mobilen Einsatz ausgelegt. Viele Betriebe entwickeln eigene Business Apps oder nutzen solche, die per Cloud von kommerziellen Anbietern zur Verfügung gestellt werden. Dabei ist es unvermeidbar, dass Mitarbeiter per Smartphone oder Tablet auch auf die zentralen Businesssoftwaresysteme (SAP & Co.) zugreifen. Und hier liegen erhebliche Gefahrenpotenziale, wie Jan Wolter, Geschäftsführer des ASW Bundesverbands Allianz für Sicherheit in der Wirtschaft e.V., hervorhebt: „Das aus der Welt der festen Arbeitsplätze gewohnte Sicherheitskissen aus Firewall und Securitysoftware fällt hier weg. Sicherheitsrisiken gibt es sowohl durch die relativ leichte Angreifbarkeit der verwendeten Betriebssysteme und Anwendungsprogramme, als auch durch den Verlust der Endgeräte.“ Die Analysten des Marktforschungsunternehmens IDC belegen die Gefahrenwarnung hinsichtlich der abhanden gekommenen Smartphones: 30 % der IT-Fachbereichsleiter hatten nach diesen Erkenntnissen innerhalb der letzten zwei Jahre bereits mindestens einmal den Verlust eines Smartphones mit Geschäftsdaten zu verzeichnen.

Der seit einigen Jahren wachsende Bring your own device (BYOD)-Trend verschärft noch die Situation: Viele Betriebe erlauben ihren Mitarbeitern, ihre privaten Smartphones auch geschäftlich zu nutzen. Sicherheitsschlen-drian, wie er im privaten Bereich (etwa durch Verzicht auf Passwortschutz) gang und gäbe ist, wird dabei nicht selten auf den Umgang mit Geschäftsdaten übertragen. Dass Online-Spiele und ERP-Nutzung ohne Trennung auf ein und demselben Gerät abgewickelt werden, lässt Sicherheitsexperten die Haare zu Berge stehen. Jan Wolter: „Viele Spiele und Apps, insbesondere die kostenlosen, dienen den Herstellern nur zu einem Zweck: Daten zu sammeln, die anschließend gewinnbringend an Interessenten weitergegeben werden können.“ Private Aktivitäten in Sozialen Netzen bergen zusätzliche Risiken.

„Unkritische Geschäftsdaten“ – ein Märchen

Eine angemessene Sicherheitsstrategie für den Einsatz mobiler Endgeräte sollte sich aus der Sicht von Experten auf die Beantwortung verschiedener Fragenkomplexe stützen:

Jan Wolter gibt auf die erste Frage eine Antwort ohne Wenn und Aber: „Die Unterscheidung von kritischen und nicht kritischen Unternehmensdaten ist höchst problematisch. Vom Sicherheitsaspekt her sind alle Unternehmensdaten kritisch. Cyber-Kriminelle gehen oft sehr raffiniert vor. Über einen längeren Zeitraum werden Daten, etwa SMS, mitgelesen und ausgewertet. Eine Vielzahl von an sich harmlosen Einzelinformationen – Name des Abteilungsleiters, Projektbezeichnungen, Geschäftspartner etc. – ermöglicht es dann, über scheinbar nur Insidern bekanntes Wissen Vertrautheit vorzutäuschen und damit an vertrauliche Informationen zu gelangen.“

Auch Betriebe im Umfeld der Wohnungswirtschaft sehen sich daher mit erheblichen Risiken konfrontiert. Experten bezeichnen insbesondere Messaging-Dienste als kritisch, da sie das Anzapfen des Datenstroms erleichtern. Zudem gelten Betriebssysteme wie An-droid oder intransparente Cloud-Dienste als angreifbar. Nicht zuletzt birgt eine uneingeschränkte und sorglose Nutzung von Apps ein erhebliches Risiko. So weisen nach Erkenntnissen von Security-Experten rund 70 % aller Android-Geräte gravierende Sicherheitslücken auf. Um ein Android-Smartphone zu infizieren, müssen Kriminelle dem Nutzer lediglich eine App oder eine präparierte Internetseite schmackhaft machen. „Um diese Gefahrenquellen im Griff zu behalten, sind Mitarbeiterschulungen zum Thema sicheres Verhalten beim Datenaustausch zwar wichtig, aber nicht ausreichend.“, betont Jan Wolter. „Es bedarf einer klaren Strategie, die Kontrolle über Geräte und ihre Nutzung im Unternehmen zu behalten, unabhängig davon, ob der Mitarbeiter ein separates Geschäftshandy nutzt oder sein eigenes Smartphone verwenden kann.“

Kontrolle durch wirksames Sicherheitsmanagement

Experten halten Absprachen und Vorgaben über erlaubte und verbotene Apps für allein nicht ausreichend. Auch wer grundsätzlich auf das BYOD-Modell verzichtet, ist nicht schon deshalb auf der sicheren Seite. Selbst wenn sich die Nutzer strikt an die Vorgaben halten, bleibt zumindest das Risiko von Diebstahl oder Verlust des Mobilgeräts bestehen. Die IT-Sicherheitsfachleute im Unternehmen müssen sich daher von Anfang an damit auseinandersetzen, wie sich notfalls Geräte sperren und Zugangswege zu Cloud-Services per Fernzugriff verbarrikadieren lassen. „Eine saubere Sicherheitslösung stellen Mobile-Device-Management (MDM)-Systeme zur Verwaltung aller Mobilgeräte dar.“, erklärt Jan Wolter.

Mit einer solchen Software, die es erlaubt, Geräte zentral anzumelden und zu konfigurieren, können Unternehmen festlegen, wann welche Updates durchgeführt, welche Apps installiert oder in welchen Intervallen Sicherheitskopien angelegt werden. Über eine Web-Konsole lassen sich Daten, Geräte oder Cloud-Zugänge bequem löschen oder sperren, Einstellungen überwachen, die Einhaltung von Sicherheitsrichtlinien gewährleisten, Apps verwalten und die Zugangsprozesse zum Unternehmensnetzwerk regeln.

Gerade für kleinere Unternehmen, wie sie in der Wohnungswirtschaft nicht selten sind, ergibt sich daraus ein zusätzlicher Vorteil: Statt entsprechende Lösungen selbst implementieren zu müssen, können sie MDM-Systeme als gehostete, also von einem Provider verwaltete, Cloud-Services nutzen. Sie erhalten damit Zugang zu einem Portal, über das sie angemessene Sicherheitsstufen einrichten können. Experten weisen in diesem Zusammenhang allerdings darauf hin, dass allzu strikte Sicherheitsrichtlinien Mitarbeiter dazu verleiten könnten, aus Bequemlichkeitsgründen doch lieber ihr privates Smartphone zu nutzen.

Sicherheitstrick: der virtuelle

Smartphone-Zwilling

Die risikoreiche Vermischung von Privatem und Geschäftlichem in der mobilen Kommunikation lässt sich mit intelligenter Software vermeiden: Zum einen können auf einem Smartphone unterschiedliche Accounts und Ordner für privaten und dienstlichen Gebrauch eingerichtet werden. Doch es geht noch raffinierter: Auf einem physischen Smartphone lassen sich virtuell zwei Geräte erzeugen. Dabei simuliert die Software ein separates Geschäftshandy auf dem privaten Smartphone oder umgekehrt. Zwischen beiden virtuellen Geräten gibt es keine wirksame Verbindung, sodass erfolgreiche Angriffe auf den privaten Bereich keine Folgen für den beruflichen Teil haben. Die Geschäftskommunikation erfolgt strikt nach den Unternehmensrichtlinien und Sicherheitsvorgaben. Der Anwender hat umgekehrt die Gewähr, dass das Unternehmen keinen Einfluss auf seine privaten Nutzungsgewohnheiten nimmt.

Ohne die Kooperation und Zustimmung der Mitarbeiter ist Sicherheit allerdings nicht zu haben, so Jan Wolter: „Um sicherheitskonformes Handeln zu ermutigen, sollten die Nutzer immer einbezogen werden, indem man ihnen erklärt, wozu die Maßnahmen dienen und warum sie vernünftig und keine lästige Zumutung sind.“