IDC-Studie zum Thema „Mobile Security in Deutschland 2015“ Risiken der Nutzung mobiler Geräte im Unternehmensumfeld minimieren
11. August 2015Die Bedrohungslage für die Unternehmens-IT bleibt durch immer neue mobile Geräte und Anwendungen durchgehend anspruchsvoll und dynamisch – hierauf müssen Unternehmen mit ihren Sicherheitssystemen reagieren. Das Marktforschungs- und Beratungsunternehmen IDC hat zusammen mit Sophos und anderen Unternehmen eine Studie zur mobilen Sicherheit im Unternehmensumfeld durchgeführt. Ziel der Befragung unter 243 IT-und Fachbereichs-Entscheidern aus Unternehmen in Deutschland mit mehr als 100 Mitarbeitern im Mai 2015 war es, ein besseres Verständnis für das Bedrohungspotenzial sowie die Anforderungen, Maßnahmen und Pläne zur Absicherung der mobilen Technologien in Organisationen zu gewinnen.
Risikofaktor Mitarbeiter
Die Verwirklichung einer umfassenden mobilen Sicherheit ist für Unternehmen keine einfache Aufgabe. Der Einsatz verschiedener mobiler Betriebssysteme, eine zunehmende private und geschäftliche Gerätenutzung, eine wachsende Anzahl an Smart Devices sowie eine hohe Innovationsdynamik und neue, auf die mobile IT ausgerichtete Angriffsszenarien führen zu einer großen Komplexität beim Schutz von Firmendaten. Unternehmen müssen sich daher zwingend mit der Absicherung ihrer mobilen Geräte, Apps und Informationen auseinandersetzen und das Risiko von Informationsverlusten durch geeignete Sicherheitskonzepte und -lösungen minimieren. Dabei gilt es, eine umfassende mobile Sicherheit zu gewährleisten, ohne die Produktivität der Anwender im Umgang mit Smartphones, Tablets, Apps & Co. zu stark einzuschränken.
Als größtes Sicherheitsrisiko schätzen die im Zuge der Studie befragten IT-Verantwortlichen die Gefahr durch mobile Malware ein, deren Verbreitung auch in der heterogenen mobilen Betriebssystemlandschaft in den letzten Jahren deutlich zugenommen hat. Darüber hinaus zählen mehr als ein Drittel der Befragten Phishing-Attacken zu den drei größten Risiken. Als drittgrößte Gefahr identifizierten die Befragten die Anwender – also Mitarbeiter selbst. Ihr Fehlverhalten, sei es beabsichtigt oder versehentlich, fürchten 30 Prozent der befragten Entscheider. 43 Prozent der sicherheitsvorfälle gehen nach Ansicht der Entscheider auf das Konto von Mitarbeitern, 30 Prozent der Fachbereichsleiter hatten zudem in den vergangenen zwei Jahren den Verlust eines Smartphones in ihrem Fachbereich zu beklagen.
Im professionellen Umfeld ist es zunehmend Usus, vertrauliche Telefonate über das Smartphone zu verschlüsseln. Bereits ein Drittel der Befragten Unternehmen setzt zu diesem Zwecke eine App ein. Auch Messenger-Dienste werden in steigendem Maße beruflich genutzt. Hier herrscht allerdings aus Sicht von IDC eine noch zu hohe Sorglosigkeit bei den befragten Unternehmen, was die Chat-Sicherheit von Diensten wie WhatsApp und Facebook angeht.
Es reicht nicht aus, die IT-Verantwortlichen und Key-User in Unternehmen in Sachen Sicherheit zu schulen, gerade die Mitarbeiter – als Risikofaktor bekannt – müssen im Umgang mit Datensicherheit auf sämtlichen Geräten geschult werden. Mitarbeitertrainings sind aus Sicht der IT-Entscheider hierfür am besten geeignet. An zweiter Stelle folgt die Durchsetzung einer Mobile Security Policy und der Schulung des IT-Personals. Aus IDC-Sicht sollte eine Mobile-Security-Richtlinie nicht isoliert betrachtet, sondern vielmehr in das unternehmensweite IT-Sicherheitskonzept integriert werden. Sowohl Richtlinien sowie sich ergebende Konsequenzen aus deren Nichteinhaltung sollten den Mitarbeitern bewusst gemacht werden. Hierfür – wiederum – sind Schulungen und Trainings notwendig.
Container-Lösungen
Container-Lösungen ermöglichen es, mobile Applikationen und Dateien eines Unternehmens in einer geschützten Umgebung zu verwalten. Durch die Verwendung eines Containers auf einem mobilen Endgerät können außerdem die privaten von den geschäftlichen Informationen getrennt werden.
54 Prozent der befragten Unternehmen setzen heute bereits Container auf Smartphones und Tablet-PCs ein. Allerdings nannte nur ein Drittel dieser Organisationen die Trennung von privaten und geschäftlichen Inhalten als zentrales Ziel ihrer Lösung; 67 Prozent führten einen besseren Schutz für Firmendaten auf mobilen Geräten an. IDC richtet auf Grundlage der Studienergebnisse einige Empfehlungen an die Unternehmen, darunter finden sich wichtige Punkte wie:
kein isoliertes Betrachten von „Mobile Security“, sondern als wichtigen Teil eines IT-Sicherheitskonzepts,
Sensibilisieren der Anwender für die Risiken im Umgang mit der mobilen IT,
sich Transparenz in einem unübersichtlichen Markt verschaffen und
Auseinandersetzen mit den Auswirkungen von Wearables auf die IT-Sicherheit.
Als Principle Security Consultant bei Sophos äußert sich Sascha Pfeiffer mit seinen Erfahrungswerten aus der Praxis zu den Studienergebnissen. „In der Praxis zeigt sich, dass Endnutzer durchaus bereit sind, ein bestimmtes Maß an Kontrolle über ihre mobilen Geräte abzugeben, um mehr Flexibilität, Effizienz und Produktivität zu gewinnen. Gleichzeitig benötigen IT-Abteilungen genug Kontrollmöglichkeiten, um BYOD-Programme optimal verwalten und für Sicherheit sorgen zu können. Ganz gleich, ob Unternehmen also ihren Mitarbeitern mobile Geräte zur Verfügung stellen oder ob diese ihre Privatgeräte mitbringen: der Überblick über alle Geräte im Netzwerk und der Daten darauf ist entscheidend.“
Angriffsziele und -Techniken
Durch die wachsende Verbreitung von mobilen Geräten und Applikationen im Unternehmensumfeld rücken diese verstärkt in das Fadenkreuz von Cyber-Kriminellen. Fast zwei Drittel der befragten Unternehmen haben bereits Erfahrungen mit Angriffen auf die Sicherheit von Smartphones und Tablet-PCs gemacht. Im Durchschnitt berichten sie von mehr als sechs Sicherheitsvorfällen in den vergangenen zwölf Monaten. Dies ist ein beachtlicher Wert vor dem Hintergrund, dass Informationen, die durch einen Sicherheitsbruch abfließen, einen finanziellen Schaden, rechtliche Konsequenzen und einen Imageverlust für die betroffene Organisation zur Folge haben können.
Das Bedrohungspotenzial ist real, und die möglichen Angriffsszenarien vielfältig. Neben der Gefahr durch mobile Malware zählen mehr als ein Drittel der Befragten Phishing-Attacken zu den drei größten Risiken. Phishing ist auf mobilen Endgeräten besonders tückisch, denn Aufgrund der kleinen Displays werden URLs nur teilweise angezeigt und E-Mails häufig so schnell gelesen, dass Unternehmen ihre Sicherheitsfilter noch nicht anpassen konnten. (rhh)
Ein ausführlicher Auszug aus der Studie findet sich bei Sophos.