Smartphones als Sicherheitsrisiko?

Smartphones

10 Sicherheitsregeln für den Smartphone-Einsatz im Unternehmen

Jeder Smartphone-Nutzer kann tendenziell zum Sicherheitsrisiko für ein Unternehmen werden. Solange sich dieser Nutzer aber umsichtig verhält, ist alles nur noch halb so schlimm. Aber was bedeutet dies konkret für kleinere Unternehmen, die als Mittelstand oft über keine professionelle IT-Beratung verfügen? Um den Cyberkriminellen die Arbeit so schwer wie möglich zu machen, hat unter anderem das Bundesministerium für Wirtschaft und Technologie ein Projekt mit dem Namen „eKompentenz-Netzwerk für Unternehmen“ ins Leben gerufen. Dieses bietet lokale Ansprechpartner an, um über effiziente, praktikable und bezahlbare Informations- und Kommunikationstechnologien zu informieren. Da auch die Software von HR4YOU über mobile Endgeräte nutzbar ist, möchten wir die folgenden Sicherheitshinweise an Sie weitergeben.

10 Sicherheitsregeln für den Smartphone-Einsatz

  1. Apps nur aus sicheren Quellen installieren
    Während Apples iOS die Installation aus anderen Quellen nur nach einem Jailbreak erlaubt und somit nur wenige Nutzer betrifft, können Android-Nutzer auch ohne größere Eingriffe ins System Apps aus anderen Quellen installieren.
    Risiko: Spyware, Viren und Keylogger als Teil der App
  2. Konfiguration und Richtlinien
    Sicherheitseinstellungen wie VPN oder Zertifikate zur E-Mail-Kommunikation mit dem Unternehmensserver sollten von einem IT-Spezialisten eingerichtet werden. Weiterhin sollten Nutzungsrichtlinien bei gleichzeitiger Nutzung des Geräts im privaten Umfeld definiert werden, um  die Risiken einzudämmen.
  3. Starke Passwörter nutzen
    Grundsätzlich gilt, je kryptischer ein Passwort gestaltet und je länger die Ziffernfolge ist, desto schwerer lässt es sich knacken. Eine Mischung aus Zahlen, Buchstaben, Sonderzeichen und Ziffern gehört zum Optimum, lässt sich aber schlecht merken. Einfacher ist es mit einem biometrischen Passwort (Fingerabdruck) und einem Passwort-Safes mit Masterpasswort.
  4. Schnittstellen bei Nicht-Nutzung deaktivieren
    WLAN und Bluetooth stellen praktische Übertragungswege dar, sind aber hinsichtlich ihrer Angreifbarkeit problematisch. Während eine unverschlüsselte WLAN-Verbindung über einen Hotspot durchaus einen Man-in-the-Middle-Angriff zulässt, ermöglicht es Bluetooth bei beständiger Sichtbarkeit des Geräts, dieses auf Schwachstellen zu scannen und anzugreifen.
  5. Verschlüsselung des Betriebssystems nutzen
    Ein starkes Passwort verstärkt den Schutz bereits wesentlich, allerdings kann bei einem Diebstahl des Geräts auch ein weiterer Weg interessant sein: die Auslösung des Speichers inklusive des manuellen Auslesens der Informationen am Passwortschutz vorbei. Ist hingegen die Verschlüsselung aktiv, erzeugt auch dieser Angriff nur unlesbaren Datenmüll.
  6. Software Verschlüsselung als Alternative
    Falls eine Verschlüsselung über das Betriebssystem nicht angeboten wird, besteht immer noch die Chance über eine Software-Lösung einen Teil des Speichers zu verschlüsseln. Diese Form kann mehr Leistung kosten, im Zweifel aber die einzige Option darstellen.
  7. Managed Security Services durch externe Dienstleister
    Ist das Unternehmen zu klein für eine eigene IT-Sicherheitsabteilung, dann bleibt meist nur noch das Outsourcing als Option übrig. Hinsichtlich des Schutzlevels lassen sich hier unterschiedliche Dienstleistungen kombinieren, wie Identitäts- und Zugriffskontrolle, Schwachstellenscans, Patch-Management, Management von (Web Application) Firewalls sowie Antivirenlösungen und vieles mehr.
  8. Schutzsoftware gegen Viren und Schadprogramme
    Der Virenscanner als universelle Abwehrmaßnahme stellt bereits eine wirksame Schutzschicht gegenüber Angriffen aus dem Internet dar. Je umfangreicher die Möglichkeiten der Software ausfallen, desto breiter fällt das Schutzniveau aus. Dazu zählen u.a.: E-Mail-Anhang scannen, Exploit-Schutz, Malware-Erkennung und Phishing-Schutz.
  9. Aktualität über Software-Updates
    Auch wenn Updates bisweilen „nerven“ können, so stellen sie doch sicher, dass Verbesserungen in die Software einfließen, um bekanntgewordene Sicherheitslücken zu verschließen. Besonders betroffen sind hier das Betriebssystem, der Virenscanner und der eingesetzte Browser.
  10. Risiko und Vorteil des Fernzugriffs
    Das Risiko betrifft einerseits die Möglichkeit des Lesens, Schreibens und Löschens von Daten die durch ein verlorenes oder gestohlenes Smartphone hervorgerufen werden. Andererseits ermöglicht ein Fernzugriff aber auch die sofortige Sperrung und Sicherheitslöschung des Geräts, sofern dies eingerichtet und auf den Verlust schnell reagiert wurde. Dieser unschätzbare Vorteil vermindert somit auch die Gefahr, dass Daten vom Smartphone extrahiert werden.

Weitere Sicherheitstipps hierzu erhalten Sie auch unter http://www.mittelstand-digital.de/.

Die schon angesprochene Möglichkeit, HR4YOU-Produkte mit mobilen Endgeräten zu nutzen, also entweder über die App oder über die responsive Online-Plattform, bedeutet natürlich, dass mögliche Sicherheitsaspekte hier genauso zu beachten sind. Zu diesem Zweck erfolgt die Absicherung der Infrastruktur über unterschiedliche Wege, die nachfolgend kurz skizziert werden.

  • Die Cloud-Infrastruktur ist jederzeit über das Internet erreichbar, allerdings nur über eine sichere Verbindung (SSL).
  • Die IT-Sicherheit wird seit 2013 fortlaufend nach ISO 27001 zertifiziert.
  • Eine Kommunikation über ungeschützte Kanäle wird nicht angeboten.
  • Kundenschulungen zur sicheren Nutzung der Software sind Teil unserer Unternehmensphilosophie.
  • Auf Software-Ebene besteht die Möglichkeit, den Nutzern Gruppen und Rollen zuzuordnen, die unterschiedliche Berechtigungen erhalten können.
  • Über ein optionales Modul ist eine Zwei-Faktor-Authentifizierung zur System-Anmeldung über SMS, YubiKey und die Google-Authenticator-App möglich.
  • Um es Innentätern zu erschweren, Daten abfließen zu lassen, lässt sich der Zugang zum System zeitgesteuert regeln.
  • Um Zugriffe außerhalb der Unternehmensinfrastruktur zu blockieren, besteht die Möglichkeit eine IP-Sperre einzurichten, sodass ein Login nur über einen bestehenden Unternehmens-VPN-Zugriff möglich ist.

Mit diesen und weiteren Funktionen garantiert HR4YOU eine bestmögliche Sicherheit Ihrer Daten in der Cloud sowie an Ihrem lokalen Standort.