Ein Leitfaden von IT-Sicherheitslotse Pierre Gronau für Internetnutzung, mobile Endgeräte und deren sichere Nutzung im Unternehmensumfeld   

Chefsache Informationssicherheit

Im Folgenden gibt der Gründer von Gronau IT Cloud Computing Sicherheitshinweise zum Umgang mit dienstlich genutzten mobilen Geräten wie Tablets, Smartphones, Convertibles und Laptops. Um einen sicheren und gleichermaßen produktiven Einsatz dieser Endgeräte zu forcieren, steht die Unternehmensleitung in der Pflicht, ein tragfähiges Enterprise Mobility Management (EMM) zu etablieren und zu schützen. Dabei befasst sich eine durchdachte EMM-Strategie nicht nur mit Sicherheitsfragen, sondern unterstützt Mitarbeiter auch bei ihrer täglichen Arbeit, indem sie Klarheit für alle Beteiligte schafft. Diese Strategie liefert Anwendern Werkzeuge an die Hand, mit denen sie arbeitsbezogene Aufgaben auf Mobilgeräten durchführen können. In besonders kritischen, schützenswerten Umgebungen sind erhebliche weitergehende Maßnahmen zu ergreifen, die kein Gegenstand dieser Empfehlungen sind.

Als Bezeichnung dafür, auch privat genutzte Geräte wie Smartphones oder Tablets in firmeneigene Netze zu integrieren, hat sich der Begriff BYOD (Bring Your Own Device) etabliert. Ein sinnvolles unternehmensinternes BYOD-Programm hält technische und organisatorische Voraussetzungen fest, um private Geräte für die dienstliche Nutzung zu erlauben. Wichtig ist, dass Unternehmen die Einhaltung dieser Anforderungen kontrollieren. Art und Umfang dieser Kontrollen orientieren sich am damit verbundenen Risiko und müssen mindestens einmal jährlich, je nach Risikolage auch häufiger, durchgeführt und dokumentiert werden.

Das EEM in Händen des Administrators

Ein mit dem Sicherheitsthema betrauter IT-Mitarbeiter sollte das EEM für die mobilen Geräte der Kollegen, wie zum Beispiel Smartphones und Tablets, konzipieren, und sie anschließend via Hard- und Softwarekomponenten zentral administrieren und überwachen. Dabei spielt es keine Rolle, ob die mobilen Geräte vom Unternehmen angeschafft wurden oder sich im Privatbesitz der oder des Mitarbeitenden befinden – alle Geräte sollten zwingend an zentraler Stelle angemeldet sein und der entsprechende Mitarbeiter die Konfiguration alleinig verantworten. Überschaubar bleiben diese Prozesse, wenn der Zuständige jedes Gerät über ein sogenanntes Mobile Device Management, eine Web-Konsole, löschen, konfigurieren und sperren kann, sowie ihre Einstellungen hierüber kontinuierlich kontrolliert. Über eine Integration spezieller Tools in die vorhandenen IT-Strukturen kann es zudem gelingen, die Einhaltung firmeneigener Sicherheitsmaßgaben sowie einen sicheren Zugang zum Firmennetz zu gewährleisten, Verschlüsselungen vorzunehmen und Anwendungen zu verwalten. Momentan bilden vier Disziplinen den Kern des EMM: Bei den vier Bereichen ist die Rede von Mobile Information Management (MIM), Mobile Application Management (MAM), Mobile Device Management (MDM) und Enterprise Mobility Consulting (EMC). 

Nutzen sie Entsperrmechanismen sicher
In Abhängigkeit zur Risikoanfälligkeit der Informationsstrukturen ergibt es Sinn, dass der zuständige IT-Mitarbeiter zur Nutzung der Entsperrmechanismen Vorgaben formuliert und Anwendern gegenüber geeignete und nicht geeignete Verfahren erläutern. Zu seinen Aufgaben gehört es auch, Qualitätslevel für genutzte  Authentisierungsinformationen zu definieren. Dies erfolgt zum Beispiel durch Mindestlängen und Gültigkeitsdauer bei Passwörtern und PINs – beispielsweise mindestens sechs Buchstaben inklusive Zahlen und Sonderzeichen. Bei einer solchen Verordnung unterstützt auf technischer Ebene ein durchdachtes Enterprise Mobility Management-System, indem es die Maßgaben umsetzt, kontrolliert und im Notfall erzwingt. 

Benutzerkonten
Firmenweite Regelungen zu Identitäts-und Access-Management, wie Passwortlänge und Passwortkomplexität, sind sinnvoll. Zudem sollte es die EEM-Vorschrift untersagen, auf mobilen Geräten wie Smartphones und Tablets administrative Arbeiten durchzuführen. Bei privilegierten Personen wie Administratoren kann bei Laptops mit besonderen zusätzlichen Sicherheitsmaßnahmen davon abgewichen werden, dabei sollten die Administrationstätigkeiten jedoch auf keinen Fall in öffentlichen einsehbaren Räumen wie „Internet Cafés“ oder „Flughafen Lobbys“ erfolgen.

Sichere Verbindungen

  • VPN: Bei Funkverbindungen über WLAN und Mobilfunk sollten Mitarbeiter den von der Firma zur Verfügung gestellte VPN-Dienst immer nutzen. IT-Administratoren sollten ihn so einzurichten, dass sich die Verbindung ohne Zutun des Anwenders immer automatisch aufbaut.
  • Bluetooth-Verbindungen sollten nur auf Geräten aktiviert sein, wenn diese mit von der Firma autorisierten Bluetooth-Geräten verbunden werden. Die Bluetooth Merkmale sollten auf „nicht sichtbar“ eingestellt werden.
  • RFID: Near Field Communication, abgekürzt NFC, basierend auf RFID sollte auf den tragbaren Geräten deaktiviert sein. Um RFID-nutzende Multi-Faktor-Authentisierungs-Geräte wie Smart Card oder Reisepass während der Nichtnutzung zu schützen, sollten Mitarbeiter diese in geprüften RFID Blocking-Schutzhüllen aufbewahren.
  • WLAN: Der Standard “Service Set Identifier” (SSID) sollte in den WLAN-Einstellungen abgeändert und der SSID Broadcast abgeschaltet werden. Nur Wi-Fi Protected Access 2 (WPA2) oder Wi-Fi Protected Access 3 (WPA3) sind bei WLAN Verbindungen empfehlenswert. WEP (Wired Equivalent Privacy), WPA oder ein Verzicht auf eine WLAN Verschlüsselung sind nicht sicher und daher nicht erlaubt.
  • USB: Es sollten nur firmenintern autorisierte USB-Geräte angeschlossen werden. Im Zweifel bei der Herkunft ist die Nutzung nicht zu empfehlen.
  • DNS: Es sollten folgende DNS Server in den Netzeinstellungen im öffentlichen Raum (Mobilfunknetz, Internet) verwendet werden:: IP v4: 9.9.9.9, 149.112.112.112; IP v6 2620:fe::fe, 2620:fe::9

Einstellungssache
Pierre Gronau empfiehlt, Zeitserver und Zeitzonen auf „automatisch einstellen“ zu konfigurieren, um Unregelmäßigkeiten und Angriffe auf das System zeitlich exakt analysieren zu können. Zudem sollten IT-Administratoren Mindestanforderungen an eine sichere und datenschutzkonforme Konfiguration von Web Browsern anwenden. Alle Massenspeicher wie Festplatten und Flash-Speicher sollten mit aktueller Kryptografie- Technik verschlüsselt sein – unabhängig, ob es sich um interne oder externe Speichermedien handelt.
Parallel sollten sensible Daten und Firmeninterna in abstreitbarer Form, beispielsweise in einen VeraCrypt, Container abgespeichert werden. Cloud basierte Passwort Management Dienste sind nicht empfehlenswert.

Aktualisieren und Härten
Administratoren sollten von den jeweiligen Herstellern angebotene Software-Aktualisierungen ohne Zeitverzug einspielen, mindestens jedoch monatlich. Dafür ist es ratsam, die Software-Aktualisierungsfunktion auf „automatisch“ einzustellen. Bei Software aus App Stores müssen IT-Mitarbeiter und Anwender sicherstellen, dass ausschließlich vom Hersteller und vom Unternehmen angebotene und freigegebene Software zum Einsatz kommt. Die vom Unternehmen festgelegten Härtungsmaßnahmen sollten genau angewendet und mindestens einmal quartalsweise überprüft werden. Ist zudem eine lokale Firewall verfügbar, so sollte sie aktiviert und alle Geräte mit einem Malware Schutz ausgestattet sein. Dieser ist idealerweise auf stündliche automatische Aktualisierung konfiguriert.   

Und dann war da noch die DSGVO
Alle Geräte sollten so eingestellt sein, dass die Übermittlung von personenbezogenen Daten gemäß EU-DSGVO an die Hersteller unterbunden oder zumindest minimiert wird. Bei Vorhaltung besonders schützenswerter Daten wie elektronische Personalakten müssen unternehmensspezifische weitergehende Maßnahmen in das EEM integriert werden. 

Sieben Internet-To Dos als Sicherheits-Guide

Die nachfolgenden Handlungsempfehlungen bilden ein solides Gerüst für den Internet-Part firmeninterner EEM-Konzepte.

1. Browserwahl
Bei der Nutzung von Web Seiten der Firma sollte ein anderer Internet Browser verwendet werden und in  besonders unsicheren, kritischen Umgebungen bietet sich der „Tor Browser“ für anonymes „Surfen“ an. Ein aktivierter Popup Blocker sowie ein Phishing Filter gehören an dieser Stelle ebenso zum sicherheitsrelevanten Standard. Weiterhin sollte bei der Transport-Verschlüsselung SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 deaktiviert sein und der Browser HTTP Strict Transport Security (HSTS) gemäß RFC 6797 unterstützen. Eine Kombination aus Mozilla Firefox und Chromium ist möglich.

2. Vertrauenswürdige Kommunikation
Um die vertrauenswürdige Kommunikation mittels Zertifikate zu erreichen, muss eine angemessene Prüfung der Zertifikatskette erfolgen. Weitergehende Informationen finden Interessierte beim BSI unter: http://docplayer.org/49539978-Mindeststandard-des-bsi-fuer-sichere-web-browser.html . Die Voreinstellung „Do Not Track“ im Web Browser hilft gegen unnötige Datenerhebung Ebenso sollten Mitarbeiter keine Zugangsdaten und Passwörter speichern.

3. Klarheit für den Nutzer
Passende Web Browser zeichnen sich dadurch aus, dass sie für das Unternehmensumfeld geeignet und nicht manipulierbar sind. Sie zeigen ihren Nutzern zum Beispiel durch Farbe oder Symbole an, ob die Kommunikation mit dem Web Server verschlüsselt oder unverschlüsselt erfolgt. Im ersteren Fall sollte er auf Anforderung des Anwenders das verwendete Zertifikat, die verwendete TLS-Protokollversion (früher auch in der unsicheren Ausprägung SSL) und die Cipher Suite, also die Sammlung der kryptographischen Methoden, offenlegen. Ein fehlendes Zertifikat im Speicher oder ein ungültiges respektive widerrufenes Server-Zertifikat als Prüfergebnis muss signalisiert werden, und eine verschlüsselte Verbindung sich in solch einem Fall ausschließlich nach ausdrücklicher Bestätigung durch den Nutzer aufbauen.

4. Integritätsprüfungen der Updates
Es empfiehlt sich, Updates nur dann einzuspielen, wenn die Integritätsprüfung erfolgreich war. Fehlerhafte Prüfergebnisse hingegen sollten dem Anwender angezeigt werden und das Update ist dann folgerichtig tabu.
Die Voreinstellung „Do Not Track“ im Web Browser ergibt Sinn.

5. Suchmaschinen
Administratoren sollten folgende datenschutzkonforme Suchmaschinen auf den Browsern voreinstellen und zur Nutzung freigeben:

6.Plugins und Erweiterungen
Auf alle eingesetzten Web-Browser gehören mindestens folgende Plugins und Erweiterungen:

7. Vorsicht Rooting
Betriebssysteme auf Smartphones, primär ist hier die Rede von Android, lassen sich von versierter Hand so verändern, dass Anwender erweiterte bis volle Zugriffsrechte auf das komplette System erlangen und so auf Funktionen und alle Dateien zugreifen können. Dadurch werden wesentliche Sicherheitsfunktionen, wie der Schutz von zentralen Funktionen des Systems oder die Isolation der Anwendungen, ausgehebelt. Allen Anwendern muss untersagt sein, ein derart manipuliertes Gerät zu nutzen oder diese Art von Änderung vorzunehmen.

Der aufgeklärte Anwender

Voraussetzung ist die Einbeziehung von Anwendern, um wirkungsvolle, angemessene, sichere und vertrauenswürdige IT-Lösungen zu schaffen. Unternehmen sollten ihren Mitarbeiter, denen sie mobilen ITK Geräte wie Smartphones, Tablets und Laptops aushändigen, hiermit klar verbundene IT-Sicherheitshinweise an die Hand geben und eine Dienstvereinbarung unterschreiben lassen. Ebenso kann eine Betriebsvereinbarung sinnvoll und angezeigt sein.

Physischer Schutz
Bei Diebstahl der Geräte sollten Mitarbeiter dies unverzüglich der Polizei mitteilen und eine vorher festgelegte Abteilung darüber informieren. Letztere muss auch bei Beschädigung der Geräte unverzüglich informiert werden. Um den Zugriff unbefugter Dritter zu verhindern, sollten die Geräte nicht unbeaufsichtigt und offen sichtbar in Betriebsräumen, Hotelzimmern oder Fahrzeugen liegen. Integrierte Kameras gilt es mit einem zusätzlichen physischen Schutz auszustatten und vorhandene Sicherheitsfunktionen der Geräte zu nutzen.

Sicher unterwegs
Gerätenutzer sollten auf Reisen, dies gilt insbesondere für Tablets, Convertibles und Laptops, Blickschutzfilter nutzen, die das Mitlesen Dritter verhindern, indem sie die Blickwinkel stark beschränken. Auf Flügen ist es erste Wahl, Mobile Devices im dafür geeigneten Handgepäck mitzuführen. Inzwischen ist ein Mitführen von Tablets und Laptops im Handgepäck bei manchen Flügen untersagt. Dann verstauen Mitarbeiter die technische Ausstattung in einem geeigneten Transportbehältnis, womit keine handelsüblichen Notebooktaschen gemeint sind. Das elektronische Kennzeichnen von Reisegepäck mittels beispielsweise RFID oder Bluetooth sollte Anwendern ebenso untersagt sein wie die Nutzung fremder, nicht autorisierter Ladestationen.

Datensicherung
Anwender sollten regelmäßig, heißt hier mindestens wöchentlich, eine Datensicherung durchführen. Unabhängig davon empfiehlt Gronau, dass jeder Mitarbeiter ausschließlich mit unternehmensinternen Daten umgeht, wenn er sich in einer sicheren, vom Arbeitgeber betriebenen Netzinfrastruktur bewegt: Außerhalb dieser ist das Arbeiten an und mit dienstlichen Daten und Anwendungen nur dann akzeptabel, wenn eine gesicherte Verbindung zur Netzinfrastruktur der Firma besteht (z.B. durch gesicherten VPN-Tunnel) oder alle Datenverbindungen von Smartphone, Tablet und Co. zuvor unterbrochen wurden, wie dies im „Flugmodus“ der Fall ist. 

E-Mail-Nutzung
Bei der Nutzung von E-Mails sollten Mitarbeiter die von der Firma zur Verfügung gestellten E-Mail-Filterfunktionen wie Positiv Liste (Whitelists), Negativ Liste (Blacklists) und Bayesian basierte Spamfilter nutzen und E-Mails nur verschlüsselt senden und empfangen.

Allen oben aufgeführten Punkte setzen voraus, dass jeder Mitarbeiter, der im und für sein Unternehmen mit mobilen Geräten arbeitet, geschult und über datenspezifische Risiken aufgeklärt wird. Klare Compliance-Richtlinien und Kommunikations- sowie Entscheidungswege bilden die Basis dafür, dass sich EEM-Konzepte in gelebten Digitalalltag wandeln.

Zukunftsberater | Innovationsmanager | Architekt | Sicherheits-Lotse

„Die Kultur, die mein Team und ich leben, ist geprägt von Wissensvorsprung und Wissenstransfer, solider Handwerkskunst sowie agiler Selbsterneuerung bei Technologien und Organisationsstrukturen.“

Pierre Gronau ist Gründer und Inhaber der Gronau IT Cloud Computing GmbH mit Firmensitz in Berlin. Seit 20 Jahren arbeitet er für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, moderne Cloud- und Automationslösungen sowie Datensicherheit und Datenschutz.

Sein Weitblick, gekoppelt an klare Analyse- und Lösungskompetenz, dient Wirtschaftsbranchen von Gesundheitswesen bis Automotive, von Telekommunikation bis Banken und Versicherungen als Orientierung für zukunftsgewandte, nachhaltige Unternehmensentwicklung in puncto Digitalisierungsstrategien, IT-Sicherheitskonzepte, Strukturen und konkrete Lösungen.

Bildrechte: Pierre Gronau

Textlizenz:
CC BY-SA 4.0 DE

Sie dürfen:
  • Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
  • Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell.
  • Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
  • Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
  • Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
  • Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.