IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Während spätestens seit NSA und chinesischen Hackerangriffen die Angst im Cyberspace neue Blüten treibt, scheint im mobilen Bereich nicht so viel im Argen zu sein wie landläufig vermutet. Gartner veröffentlichte gestern, dass 75 % aller Sicherheitsvorfälle im mobilen Bereich auf Fehlkonfigurationen von Applikationen und fehlerhaften Einsatz zurückzuführen sind.
„Security-Lücken entstehen oft durch falsche Nutzung, nicht durch tiefgehende technische Hackerangriffe“, sagte Dionisio Zumerle von Gartner. Weitverbreitet sei zum Beispiel die Nutzung persönlicher Cloud-Services (zum Beispiel Dropbox) um Enterprise-Daten zu übertragen. „Die Nutzung dieser Apps kann zu Datenverlusten führen, die das betroffene Unternehmen gar nicht bemerkt“, erklärt Zumerle.
Um signifkaten Schaden anzurichten, müsste Malware auf Devices eingesetzt werden, die auf Administrationsebene geändert wurden Beispielsweise räume Jailbreaking oder Rooting dem User fast Adminrechte auf dem Device ein. Damit hebeln sie verschiedene Sicherheitsfeatures der Betriebssysteme aus und Malware hat leichtes Spiel.
Gartner empfiehlt Unternehmen daher den Grundregeln des mobilen Device Managements zu folgen:
- User müssen den grundlegenden Sicherheits-Policies des Unternehmens folgen. Anwendern, deren Geräte nicht den Vorschriften entsprechen, muss der Zugang verweigert oder stark eingeschränkt werden.
- Passworte für Devices müssen eine Mindestlänge- und Komplexität aufweisen, Wiederholungsversuche müssen von Zahl und Zeit her begrenzt werden.
- Die Versionen von Plattformen und Betriebssystemen ist einzugrenzen. Devices, die nicht mehr upgedated oder supportet werden, werden ausgeschlossen.
- Setzen Sie eine No-Jailbreaking/Rooting-Regel durch und lassen sie möglichst nur zugelassene Third Party Appstores zu.
- Nur signierte und zertifizierte Apps bekommen Zugriff auf die Business-Mail,VPN und WLAN.
Darüber hinaus brauchen Security-Verantwortliche die Möglichkeit, Geräten den Netzwerkzugang zu verweigern, die „verdächtige“ Aktivitäten zeigen.
