Fotostrecke

Datenklau: Wie sich Manager gegen Datenklau schützen können

Foto: dapd

IT-Sicherheit Wenn das Smartphone zum Risiko wird

Privat-iPhone statt Firmenhandy: Im Berufsleben wollen Angestellte lieber ihre eigenen mobilen Geräte nutzen. Die damit verbundenen Sicherheitsrisiken sind Vielen nicht bewusst. Unternehmen haben das Problem zwar erkannt - doch systematisch gehen es nur wenige an.

Hamburg - Sebastian Schreibers Auftraggeber wähnten sich in Sicherheit. In den letzten Jahren hatten der Konzern mit 65.000 Mitarbeitern viel Geld investiert, um seine Computersysteme gegen Angriffe abzusichern. Eigentlich konnte nichts passieren - dachten die IT-Verantwortlichen.

Doch vor wenigen Wochen landete eines ihrer unternehmenseigenen iPhones auf Schreibers Schreibtisch. Schreibers Spezialistentruppe fackelte nicht lange. Innerhalb weniger Sekunden hebelten sie den vierstelligen Zahlencode des iPhones aus. Danach luden sie mit einem simplen Trick sämtliche Daten des Telefons auf ihren Rechner.

Nun konnten sie problemlos auf Kosten des Telefonbesitzers bei Amazon und im iTunes Store einkaufen - oder seinen Facebook-Freunden Nachrichten schicken. Ein paar Tage später fuhr Schreibers Team zur Zentrale des Konzerns und wählte sich mit den vom iPhone geklauten WLAN- und VPN-Zugängen ins interne Netzwerk ein. "Mein Team konnten auf sämtliche Dateien und E-Mails zugreifen", erzählt der 39-Jährige. "Wir haben das Unternehmen in unsere Gewalt gebracht, und das nur wegen eines verlorenen iPhones".

Glücklicherweise fehlt Schreiber die kriminelle Energie, um diese Daten zu Geld zu machen. Schreiber ist ein sogenannter Pentester - ein professioneller Hacker. Mit den 36 Mitarbeitern seines Unternehmens Syss dringt er im offiziellen Auftrag seiner Kunden in deren Netzwerke ein, um Sicherheitslücken aufzudecken.

Zwei Drittel aller Angestellten setzen Privatgeräte ein

Das iPhone hat ihm sein Auftraggeber per Post zugesandt, um zu simulieren, welche Gefahren dem Konzern bei einem abhandengekommenen Smartphone drohen. "Die waren bass erstaunt", erzählt Schreiber gegenüber manager magazin online. Sein Auftraggeber rechnete damit, dass Schreibers Spezialisten höchstens ein paar SMS auslesen könnte. "Dass die Gefahr so nachhaltig ist, hat dort niemand erwartet," sagt er.

Und die Gefahren, die deutschen Unternehmen durch vergleichsweise leicht zu knackende mobile Geräte drohen, dürften in nächster Zeit noch deutlich zunehmen. Im vergangenen Jahr wurden in Deutschland 11,8 Millionen Smartphones verkauft, meldete der Branchenverband Bitkom vor kurzem, um 31 Prozent mehr als noch 2010. Die derzeit so beliebten Tablet-Computer von Apple und Samsung arbeiten mit den selben Betriebssystemen wie Smartphones - und haben damit auch die gleichen Sicherheitslücken.

Doch diese sind Privatnutzern kaum bewusst. Angestellte setzen ihre privaten Geräte immer häufiger für berufliche Zwecke ein. Die von IT-Abteilungen gerne ausgegebenen Blackberrys sind umständlicher in der Handhabung als das eigene iPhone. Private Tablets sind schicker, leichter und vielseitiger als die klobigen, von den IT-Abteilung konfigurierten Laptops.

Eine Umfrage der Unternehmensberatung Accenture unter 4100 Arbeitnehmern in 16 Ländern fasst diesen Trend in Zahlen: Zwei Drittel aller deutschen Arbeitnehmer nutzen eigene Hardware am Arbeitsplatz, knapp die Hälfte der Befragten gibt an, dass sie ihre eigenen Geräte moderner finden als jene ihres Arbeitgebers.

Schulung statt Kontrolle

Die Unternehmen wollen und können sich diesem Trend nicht verschließen, wie eine Umfrage von TNS Infratest unter 328 IT-Verantwortlichen deutscher Unternehmen zeigt. 53 Prozent aller befragten Unternehmen erlauben den Einsatz privater mobiler Geräte offiziell, bei weiteren 27 Prozent ist der Einsatz zumindest nicht untersagt. Nur ein Fünftel verbietet die Nutzung privater Smartphones, Tablets oder Laptops zu beruflichen Zwecken.

Natürlich hat der Einsatz privater Geräte für Arbeitgeber auch Vorteile: Sie sparen Kosten, wenn ihre Angestellten Smartphones oder Tablets selbst bezahlen. Zudem sind die Mitarbeiter mit ihren eigenen Geräten vertraut und arbeiten so produktiver. Dennoch sind Experten von der Devise des "Bring Your Own Device" alles andere als begeistert.

"Das ist ein sehr gefährlicher Trend", sagt Günter Degitz, Geschäftsführer und Sicherheitsexperte der Unternehmensberatung Alvarez & Marsal. Die von IT-Verantwortlichen bevorzugten Blackberry-Telefone seien relativ gut gesichert. So löschen neue Blackberrys automatisch alle auf ihnen befindlichen Daten, wenn der Sicherheitscode zehn Mal falsch eingegeben wird. Auch Apples iPhone und das mit dem gleichen Betriebssystem arbeitende iPad seien punkto Sicherheit deutlich besser geworden, gibt er zu.

Wenn Mitarbeiter aber ihre eigenen Geräte benutzen, können Unternehmen aber kaum mehr überwachen, ob deren Betriebssysteme auf dem neuesten Stand sei. "Sie haben dann nicht mehr die Kontrolle", meint er.

Höheres Risiko für den Mittelstand

Doch auch Degitz weiß, dass sich diese Entwicklung kaum stoppen lässt. Deshalb rät er Unternehmen, Mitarbeiter entsprechend zu schulen - und ihnen für die Nutzung mobiler Geräte vergleichsweise simple Sicherheitsregeln einzubläuen (LINK Bildergalerie). Die IT-Abteilungen von Großkonzernen schützen die Geräte ihrer Topmanager vergleichsweise gut, berichtet Degitz. Doch Nachholbedarf gibt es noch bei kleineren Unternehmen. "Speziell der deutsche Mittelstand setzt sich hier höheren Risiken aus", warnt er.

Eine Umfrage seiner Unternehmensberatung zeigt, dass das Thema zwar auch bei den Unternehmen angekommen ist. Fast vier Fünftel jener 30 deutschen Unternehmen, die den Fragebogen der Berater im vergangenen Jahr ausfüllten, sehen in der Sicherheit mobiler Geräte eine kritische oder hohe Herausforderung in den nächsten drei Jahren. Befragt hat Alvarez & Marsal dabei die CIOs von Großkonzernen mit über 40.000 Mitarbeitern bis hin zu Mittelständlern mit 1.500 Angestellten. Doch mehr als die Hälfte der Befragten gab an, in den nächsten drei Jahren keine entsprechenden unternehmensweiten Projekte zu planen.

Dabei sind Angriffe auf mobile Geräte in den letzten Jahren erst richtig attraktiv geworden, meint Ulrike Meyer, Professorin für IT-Sicherheit an der RWTH Aachen. Der Verkaufsboom bei Smartphones wecke das Interesse der Hacker. "Es sind viel mehr Daten da, die spannend sind. Und es gibt viel mehr Funktionalitäten, die man angreifen kann", meint Meyer, die sich auf die Sicherheit mobiler Netze spezialisiert hat..

Die Offenheit von Betriebssystemen wie Android mache es möglichen Angreifern leichter, Viren unter die Leute zu bringen. "Bei ihren stationären Rechnern passen die Leute eher auf, welche Programme sie installieren. Doch bei App Stores haben viele das Gefühl, dass ohnedies alles sauber ist", warnt sie.

Vorsichtige Öffnung bei IBM

Zwar prüfen die offiziellen Appstore-Betreiber die Programme, die sie zum Herunterladen anbieten. Doch bei Geräten, die mit dem vergleichsweise offenen Android-Betriebssystem laufen, können Nutzer auch von Dritten Mini-Programme beziehen - wovon Meyer aus Sicherheitsgründen eher abrät.

Noch nehmen die Angriffe von Hackern auf Smartphones und Tablets nur langsam zu. Im Jahr 2011, zeigt ein Bericht des Computerkonzerns IBM, ist die Zahl der aufgedeckten Schwachstellen von mobilen Geräten zwar um 70 Prozent gestiegen. Doch im Vergleich zu Angriffen auf traditionelle IT-Infrastruktur stecke die Smartphone-Hackerszene zwar noch in den Kinderschuhen, beruhigt IBM-Sicherheitsexperte Carsten Dietrich. "Aber das Potenzial ist riesig", sagt er gegenüber manager magazin online. Denn mobile Geräte, die unter den Apples Betriebssystem iOS, Android oder Windows Phone laufen, bieten eine Menge Schnittstellen - und damit viele Angriffspunkte für Hacker.

Dennoch erlaubt IBM einem Teil seiner Mitarbeiter mittlerweile den Einsatz von privaten Geräten - wenn auch nur unter Auflagen. So können Mitarbeiter mit eigenen Smartphones oder Tablets zwar auf berufliche E-Mails, Kontakte und Termine zugreifen. Der Zugang zum Firmennetzwerk ist aber nur verschlüsselt möglich, zudem lässt IBM nur Geräte mit bestimmten Betriebssystemen zu. IBM-Mitarbeiter müssen auch eine Betriebsvereinbarung unterzeichnen, die das Löschen von Daten aus der Ferne ausdrücklich erlaubt.

Damit versucht der Computerriese den Spagat zwischen berechtigten Sicherheitssorgen und den ebenso berechtigten Wünschen seiner Mitarbeiter. Denn umkehren lässt sich der Trend zur Nutzung privater Geräte am Arbeitsplatz kaum mehr.

Totalsperre hilft nichts

Dass eine Totalverweigerung für Unternehmen genauso gefährlich werden kann, zeigt ein Experiment der Unternehmensberatung Alvarez & Marsal in New York. Dort sperrte einer ihrer Kunden, ein Unternehmen mit 5000 Mitarbeitern, aus Sicherheitsgründen den Zugang privater Mobilgeräte zum Unternehmens-WLAN. Die Berater nahmen neben dem Firmengebäude einen eigenen, ungesicherten Hotspot in Betrieb - und bewarben diesen als Gratiszugang.

Innerhalb weniger Tage nutzten hunderte Mitarbeiter den angeblich freien Internetzugang, den die Berater heimlich überwachten. Mit ihren Eingaben über die privaten Smartphones und Tablet-Computer übermittelten die Konzernmitarbeiter Passwörter an die Berater, die oft ident waren mit ihren beruflichen Zugangscodes.

"Es muss normal werden, sich mit der Sicherheitsproblematik mobiler Geräte auseinanderzusetzen", fordert Antonius Klingler, Referatsleiter für sicheres mobiles Arbeiten im Bundesamt für Sicherheit in der Informationstechnik. Die Beschäftigung mit diesem Thema finde vielfach nur oberflächlich statt, kritisiert er. Klingler ist auch für die mobile Kommunikation der Bundesverwaltung zuständig - und geht die Sicherheitsprobleme besonders gründlich an.

Dabei setzt Klingler auf verbindliche Richtlinien für die Beamten. Wer Informationen abspeichert, muss diese als wichtig oder unwichtig einstufen. Sensible Informationen der Bundesverwaltung lassen sich erst gar nicht mit Tablets oder Smartphones abrufen. "Wir bieten eine Systematik an, die in der Wirtschaft gefordert wird", sagt er. In letzter Zeit hält er häufig Vorträge in deutschen Großkonzernen.