Kniffe mit Smartphones im KMU
In der heutigen Zeit sind Smartphones kaum mehr wegzudenken. Kein Wunder, denn diese kleinen Geräte sind sehr praktisch und vereinfachen einem das Geschäftsleben ungemein. E-Mails können unterwegs bearbeitet, Meetings geplant oder Telefonate geführt werden. Bei Kunden, welche geschäftliche Smartphones einsetzen, stossen wir oft auf folgendes Bild:
Die Geräte sind nicht eingeschränkt, weisen einen veralteten Updatestand auf und es sind Apps installiert, welche aus Sicht der IT-Sicherheit nichts auf Arbeitsgeräten zu suchen haben. Meist existiert zwar eine entsprechende Weisung, wie mit geschäftlichen Geräten umgegangen werden soll. Diese werden dann beim Stellenantritt einmalig grob überflogen und geraten dann noch schneller in Vergessenheit als der Geburtstag der Grosstante.
Beim Einsatz im geschäftlichen Umfeld sollte aus Sicht der IT-Sicherheit stets mit einem MDM gearbeitet werden. Oft ist dies aber nicht der Fall. Die folgenden Tipps können Ihnen daher helfen, auch ohne MDM eine erste Sicherheitsgrundlage zu schaffen.
(Kurz gesagt: Die geschäftlichen Smartphones in Schweizer KMUs sind meist eine unkontrollierte Variable in der IT-Infrastruktur und können so die IT-Sicherheit des gesamten Unternehmens gefährden. Sei es durch mit Schadsoftware verseuchten Apps, veralteten und mit Sicherheitslücken gespickten Betriebssystemen oder nicht eingehaltenen Sicherheitseinstellungen (z.B. PIN-Code).)
Exchange Richtlinien
In den Einstellungen des Exchange Servers, können Einstellungen, welche die Sicherheit in Zusammenhang mit eingesetzten Smartphones erhöhen, getätigt werden. Diese beinhalten verschiedene Sicherheitseinschränkungen, die erfüllt werden müssen, damit ein Smartphone über Active Sync synchronisieren kann.
Die Einstellungen finden Sie in Ihrem Exchange Admin Center. Wählen Sie Ihre aktive Postfachrichtlinie den Menüpunkt (Mobil → Sicherheit).
In Exchange Online können diese Einstellungen im Exchange Admin Center (EAC) gefunden werden (Mobile → Mobile Device Mailbox Policies).
Als erstes muss die Option „Kennwort anfordern“ angekreuzt werden, um die weiteren Richtlinien zu aktivieren.
Die Option „Einfache Kennwörter zulassen“ muss deaktiviert werden. Ist diese Option aktiviert, können Nutzer auf ihrem Smartphone einfache Kennwörter mit wiederholten (4444 oder 0000) oder sortierten Sequenzen (1234 oder 5678) verwenden. Solche Codes gelten als unsicher und sollten auf keinen Fall verwendet werden.
Das forcieren von alphanummerischen Kennwörtern (z.B. Pa55w0rd) kann über den Punkt „Alphanummerisches Kennwort anfordern“ realisiert werden. Je nach Einsatzzweck kann dies die Sicherheit weiter erhöhen. Als Unterpunkt kann hier sogar noch die Komplexität (Anzahl verschiedener Zeichensätze) vorgegeben werden. Wird hier die Stufe 4 ausgewählt, muss das Gerätepasswort aus allen vier Zeichensätzen (Klein- und Grossbuchstaben, Zahlen und Sonderzeichen) zusammengesetzt sein.
„Verschlüsselung für Gerät anfordern“ bedeutet, dass nur Geräten die Synchronisierung mittels Active Sync erlaubt wird, welche über eine Geräteverschlüsselung verfügen. Mehr dazu weiter unten im BLOG (Thema Verschlüsselung).
Die „Minimale Kennwortlänge“ gibt die Minimalanforderung für das Gerätepasswort vor. Aktuelle Geräte von namhaften Herstellern verlangen vom Anwender einen Code mit einer Mindestlänge von sechs Zeichen. Dies ist auch die Minimallänge, welche Zusammen mit Fingerprint oder FaceID, aus Sicht der IT-Sicherheit unter Berücksichtigung der Usability, sinnvoll ist.
Die Zurücksetzung des mobilen Geräts bei zu vielen Anmeldefehlern kann über die Option „Anzahl von Anmeldefehlern, bevor das Gerät zurückgesetzt wird“ gesteuert werden. Hier gilt es aber zu beachten, dass, falls der Anwender den nativen E-Mail-Client verwendet, das gesamte Gerät zurückgesetzt wird. Wird die Outlook-App verwendet, wird nur diese zurückgesetzt und nicht das gesamte Smartphone. Mehr dazu weiter unten im BLOG.
Die Option „Anmeldung anfordern, wenn das Gerät inaktiv ist seit (Minuten)“ stellt sicher, dass nach einer gewissen Inaktivität des Smartphones (Sperre inaktiv und keine Eingaben am Gerät) automatisch der PIN eingegeben oder das Smartphone via Fingerprint / FaceID entsperrt werden muss. Standardmässig sind bei Smartphones Inaktivitätszeiten (Zeit bis der Bildschirm automatisch gesperrt wird) von 30 Sekunden bis zu fünf Minuten gesetzt. Ein Wert von 15 Minuten verhindert hier, dass sehr lange Inaktivitätszeiten nicht ausgenutzt werden können. Ein mögliches Szenario wäre, wenn ein Mitarbeitender das Smartphone im Zug vergisst und eine fremde Person dann ein entsperrtes Smartphone vorfindet.
Mit „Kennwortgültigkeitsdauer erzwingen (Tage)“ kann ein regelmässiges Wechseln des Gerätekennworts (z.B. jährlich) forciert werden. Diese Option kann, wenn gewünscht, aktiviert werden. Aus Sicht der IT-Sicherheit ist diese aber nicht zwingend nötig. Mit der „Anzahl der Kennwort-Wiederverwendungen“ kann dabei verhindert werden, dass dasselbe Gerätekennwort direkt nach dem Wechsel wieder gesetzt werden kann.
Einer der wichtigsten Punkte beim Definieren dieser Richtlinie ist „Mobilen Geräten, die diese Richtlinien nicht vollständig unterstützen, die Synchronisierung erlauben„. Ist diese Option aktiviert, können Smartphones, welche die oben definierten Richtlinien nicht erfüllen, trotzdem über Active Sync synchronisieren. Dies sollte auf jeden Fall deaktiviert werden.
Verschlüsselung
Jährlich gehen unzählige Mobilgeräte verloren: sei es im Zug, am Flughafen oder in Restaurants. Stellen Sie sich vor, das Gerät gehört einem Ihrer Mitarbeitenden und es befinden sich geschäftskritische Daten darauf: der Supergau. Forcieren Sie deshalb, dass nur auf Telefonen, welche verschlüsselt sind, mit geschäftlichen Daten hantiert werden darf. Für einen „unehrlichen“ Finder wird es dadurch deutlich schwieriger auf die Daten zuzugreifen
Die Verschlüsselungsoptionen befinden sich meistens im Menü «Sicherheit» auf Ihrem mobilen Gerät oder in den oben beschriebenen Exchange Richtlinien.
Natürlich nützt die beste Verschlüsselung der Daten nichts, wenn die Tipps im folgenden Abschnitt «Pin Code / Bildschirmsperrung» nicht beachtet werden.
PIN Code / Bildschirmsperrung
Falls ein mobiles Gerät Ihrer Firma verloren geht und gefunden wird, ist die Versuchung für den Finder gross, kurz das Handy zu durchstöbern. Mit einem PIN-Code oder einer anderen Form der Bildschirmsperrung kann dieses Risiko minimiert werden. Wichtig ist auch, keine einfachen Codes wie 1234 oder vorhersehbare Muster zu verwenden. Bei Mustern muss auch beachtet werden, dass diese zum Teil noch auf dem Dispay sichtbar bleiben. Aus diesem Grund rate ich davon ab.
Im Idealfall sind Ihre mobilen Geräte mit einem 6-stelligen Code und mit Ihrem Fingerabdruck/FaceID gesichert. Die Komplexitätsanforderungen können in den oben genannten Exchange Richtlinien konfiguriert werden.
Remote Wiping
Um im Verlustfall zu verhindern, dass Ihre sensiblen Daten in falsche Hände geraten, wird dringend empfohlen, Remote Wiping zu aktivieren. Beim Remote Wiping wird entweder das Smartphone komplett gelöscht und auf den Werkszustand zurückgesetzt oder die Outlook-App. Dies kann ärgerlich sein, falls Sie das Smartphone nur verlegt haben und es zu einem späteren Zeitpunkt wiederfinden. Es kann Ihrer Firma aber auch das Leben retten, da Ihre Firmengeheimnisse und vertraulichen Daten nicht für Dritte verfügbar sind. Remote Wiping kann mit Outlook durchgeführt werden, es existieren jedoch auch andere Apps, mit welchen ein Remote Wipe durchgeführt werden kann.
Nur «sichere» Apps verwenden
Malware in Apps ist ein allgegenwärtiges Thema. Auch bekannte, vielverwendete Apps, welche sich im App-Store befinden, können mit Schadsoftware verseucht sein. Wirklich sicher gegen solche Malware ist keine App. Es gibt aber verschiedene Dinge auf die geachtet werden kann, um das Risiko klein zu halten.
- Stellen Sie sicher, dass die App von einem vertrauenswürdigen Herausgeber stammt.
- Achten Sie auf die Bewertungen der App. Hat diese nur sehr wenige oder viele negative Bewertungen, sollten Sie die App meiden.
- Eine gute, businesstaugliche App hat im Normalfall auch viele Downloads. Laden Sie keine Apps auf Ihr Smartphone, welche nur wenige Downloads haben oder gerade erst auf den Store bzw. Markt gekommen sind.
- Überprüfen Sie die Berechtigungen, welche die App verlangt. Bei vertrauenswürdigen Apps sind diese so eingeschränkt, dass nur die zwingend benötigten Berechtigungen verlangt werden.
- Beachten Sie die Datenschutzhinweise der App. Wie wird mit den behandelten Daten umgegangen? Wo sind die Daten gespeichert? (lokal / Cloud) Werden diese durch den App-Anbieter weiterverwendet? (z.B. Marketingzwecke)
Updates (OS und Apps)
Wie auch bei Betriebssystemen und Anwendungen anderer Hardware (z.B. Clients und Server in Ihrem Unternehmen), müssen auch Mobilgeräte stets auf einem aktuellen Stand gehalten werden. Bekannte Hersteller wie Samsung oder Apple veröffentlichen in regelmässigen Abständen Updates für ihre Geräte. Dabei werden nicht nur neue Funktionen implementiert, sondern auch Sicherheitslücken geschlossen. Um eine Kompromittierung der mobilen Geräten möglichst zu vermeiden müssen die eingesetzten mobilen Geräte aktuell sein. Dasselbe gilt für installierte Apps. Doch Vorsicht: Die Hersteller lassen Ihre alten Geräte irgendwann „sterben“. Diese bekommen dann keine Update mehr. Je nach Hersteller kann dies zwischen 2-7 Jahren dauern. Und leider ist es so, dass Geräte, die keine Updates mehr erhalten aus Sicht der Sicherheit entsorgt werden müssen. Auch wenn dies noch so gut im Schuss sind.
Fazit: MDM (Mobile Device Management)
Viele der oben genannten Punkte können zwar manuell kontrolliert und umgesetzt werden, der daraus entstehende manuelle Wartungsaufwand ist jedoch enorm. Alleine für die Updates (bzw. die Kontrolle, ob die Updates installiert werden) müssen die Geschäfts-Smartphones eingezogen und manuell überprüft werden. Ebenfalls gibt es keine Kontrolle über installierte Apps und ob die verlangten Sicherheitsrichtlinien auch wirklich umgesetzt werden. In einem MDM (Mobile Device Management) hingegen, können diese fix definiert und umgesetzt werden. Sie können Apps freigeben, welche verwendet werden dürfen, Updates verwalten, Zugriffsrechte der Apps auf den Smartphones einschränken und vieles mehr. Bei Firmen, welche geschäftliche Smartphone einsetzen, lohnt sich der Einsatz eines MDM auf jeden Fall, da so viel Zeit und Geld gespart werden kann.
Informationen zum Autor: Michel Hennet
Schon während meines Studiums an der ZHAW in Winterthur faszinierte mich die IT-Security. Unbedingt wollte ich darum die Stelle als Junior Security Consultant bei der Firma goSecurity bekommen. Schon während meinen ersten Kundenprojekten wurde mir klar: Genau das habe ich gesucht. Aus der Faszination entwickelt sich bei mir eine Leidenschaft. Die Leidenschaft als technischer Spezialist die Geschäftsanforderungen perfekt zu unterstützen. Nur so ist der Begriff des Experten für mich erst legitim. Mein voller Einsatz für Sie befriedigt meine Leidenschaft und meine Ansprüche an mich selbst.