Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Der Spion in der Tasche
Von Apps, die jeden unserer Schritte kennen, über Cookies, die jede Browsersitzung nachverfolgen, bis hin zu groß angelegten Social-Media-Datenschutzverletzungen – unsere Smartphones spionieren uns ständig aus.
Heutzutage tolerieren die meisten Menschen, dass ihre Smartphones nicht gut im Schützen personenbezogener Daten sind. Im Allgemeinen wissen sie jedoch nicht, was Datenlecks verursacht und was sie tun können, um sie zu verhindern.
Kurz gesagt: Nutzer sind das schwächste Glied der Kette.
Dies haben Unternehmen erkannt und daher Sicherheitsrichtlinien zur Minimierung riskanter Praktiken eingeführt, insbesondere für unternehmenseigene Geräte. Dennoch setzt eine überraschende Anzahl dieser Unternehmen solche Richtlinien nicht durch, noch verfügen sie über Tools, die ihnen Informationen darüber liefern, welche Geräte mit dem Unternehmensnetzwerk verbunden sind.
Einige erlauben mobilen Mitarbeitern mit firmeneigenen Geräten sogar den Verbindungsaufbau ohne Virtual Private Network (VPN), einer bewährten Methode zur Geheimhaltung vertraulicher Informationen, die über das Internet übertragen werden.
Lassen Sie die Nutzer nicht links liegen
Die meisten Unternehmen wollen, dass ihre Mitarbeiter in Echtzeit auf Unternehmensdaten zugreifen können, und zwar von überall aus, wo immer sie sich auch befinden. Dies fördert die betriebliche Effizienz, steigert die Produktivität und verbessert die Erbringung von Dienstleistungen an die Kunden. Einige Unternehmen bedienen sich einer Bring-Your-Own-Device (BYOD)-Richtlinie, während andere ihre Mitarbeiter mit firmeneigenen Geräten ausstatten.
Überraschenderweise verpflichten mehr als ein Drittel (36 Prozent) der Unternehmen ihre Mitarbeiter nicht zur Teilnahme an Schulungen zur mobilen Sicherheit. Da die Unwissenheit der Nutzer ein großes Risiko für die mobile Sicherheit darstellt, könnte man erwarten, dass der Anteil der Unternehmen, die ihren Mitarbeitern grundlegende Best Practices vermitteln, viel höher ist.
Zu den empfohlenen grundlegenden Praktiken gehört unter anderem, daran zu denken, Smartphones mit einem Passwort zu schützen und die Bluetooth-Funktion auszuschalten sowie sicherzustellen, dass Apps stets aus zulässigen Quellen heruntergeladen werden, außerdem das regelmäßige Aktualisieren des Betriebssystems und die Risiken bei der Nutzung des öffentlichen WLANs zu kennen.
App-Risiken
Die Mitarbeiter sind jedoch bei weitem nicht das einzige Risiko. Bei jeder App – sogar bei sehr namhaften Anwendungen – können Datenlecks entstehen.
Schon ein einziger Fehler in einem Software-Update kann zur Exponierung von Daten führen. Dabei kann es sich um eine App handeln, die sich mit Kontaktlisten synchronisiert und geografische Standorte nachverfolgt, oder um einen mobilen Messaging-Dienst, der Texterkennung über die Cloud anbietet.
Ist die mobile Kommunikation nicht ausreichend geschützt, können über all diese Anwendungen vertrauliche Informationen an Dritte, wie zum Beispiel Vermarkter oder sogar Cyberkriminelle, gelangen.
Selbst Apples Video-Chat-App FaceTime ist nicht immun dagegen. Ein Fehler in der Software, der ironischerweise am Data Privacy Day – dem Aktionstag für den Datenschutz – entdeckt wurde, ermöglicht im Zusammenhang mit Gruppen-Chat-Anrufen die Aktivierung des Mikrofons eines Empfängers, auch wenn dieser den Anruf nicht annimmt.
Die Gefahr durch mobile Spionage endet nicht bei Apps und Nutzern.
Nach der Aufhebung der Vereinbarung zur Netzneutralität im letzten Jahr haben Betreiber mit dem Verkauf der Standortdaten von Kunden begonnen, sodass Smartphone-Ortungsdaten praktisch jedem zur Verfügung stehen, der bereit ist, dafür zu zahlen.
Unternehmen sind schlecht vorbereitet
Die meisten Arbeitgeber akzeptieren, dass Smartphones zum modernen Arbeitsplatz unbedingt dazugehören.
Doch noch immer haben Unternehmen Schwierigkeiten, die Sicherheit mobiler Geräte in angemessener Weise zu verwalten. In einer von Enterprise Mobility Exchange im Jahr 2017 durchgeführten Umfrage stuften lediglich 27 Prozent der Befragten Mobilität als oberste Priorität ein. Etwas mehr als ein Drittel (34 Prozent) verfolgen eine Strategie, bei der Geräte vom Unternehmen ausgegeben werden, während 17 Prozent sich für BYOD entschieden haben. Rund die Hälfte (46 Prozent) wenden eine Kombination aus diesen beiden Strategien an.
Zehn Prozent der Unternehmen stufen mobile Sicherheit als niedrige Priorität ein. Laut einer Studie von Arxan Technology wiesen 90 Prozent der mobilen Unternehmensanwendungen zwei der zehn größten Sicherheitsrisiken des Open Web Application Security Project (OWASP) auf. Bei OWASP handelt es sich um eine gemeinnützige Organisation, deren Ziel die Verbesserung der Sicherheit von Anwendungen und Diensten im World Wide Web ist. Die vier größten Bedrohungen in der Liste sind Datenverlust, Phishing-Attacken, unsichere Anwendungen und Spyware.
Sogar jetzt verfügt die Hälfte aller Unternehmen nicht über ein spezielles Budget für die Sicherheit mobiler Anwendungen. Offensichtlich ist dies eine große Achillesferse im Geschäftsleben.
Trotz aller Risiken verpflichten jedoch zwei Drittel (66 Prozent) der Unternehmen die Nutzer nicht zur Verwendung eines VPNs, wenn sie mit einem Mobilgerät auf Unternehmensdaten zugreifen.
Mobile Sicherheit in Unternehmen managen
Um das Risiko des „Taschenspions“ zu eliminieren, müssen Unternehmen über die Einführung einiger Richtlinien und Mitarbeiterschulungen hinausgehen.
So müssen IT-Administratoren beispielsweise sehen können, mit welchen Netzwerkdiensten sich Mitarbeiter mittels unternehmenseigener Geräte verbinden. Man kann nicht mit Gewissheit sagen, dass die Remote Connectivity sicher verwaltet wird, ohne einen Einblick in das Geschehen zu haben.
Außerdem sollten entfernte Mobilgeräte über ein Instrument zur automatischen Verifizierung verfügen – wie etwa Zwei-Faktor- oder Multi-Faktor-Authentisierung –, bevor ihnen die Verbindung mit den Unternehmenssystemen gestattet wird.
Unternehmen sollten darauf bestehen, dass ihre Mitarbeiter eine verschlüsselte Verbindung verwenden, wie etwa ein VPN, um Cyberangreifer am Abfangen der Kommunikation zwischen dem Gerät und den Back-End-Services zu hindern.
Bevorzugte VPN-Richtlinie ist dabei die „Always on“-Fernkommunikation. Wo dies nicht praktikabel ist – zum Beispiel aufgrund einer geringen Akkulaufzeit – sollte die VPN-Verbindung automatisch aktiviert werden, wenn ein Bedrohungsrisiko erkannt wird – etwa bei der Nutzung eines öffentlichen WLANs im Café oder am Flughafen.
Alles in allem gehören Smartphones zum modernen Arbeitsplatz unbedingt dazu, stellen allerdings auch ein Risiko dar. Vom unvorsichtigen Nutzerverhalten bis hin zu fehlerhaften Apps: Das Smartphone ist der Maulwurf in der Tasche, der auf indiskrete Weise personenbezogene, zuweilen hochsensible Informationen an völlig Fremde weiterleitet.
Daher wollen die meisten Unternehmen sicher steuern können, wie Mobilgeräte per Remote Access eine Verbindung mit dem Unternehmensnetzwerk aufbauen. Viele setzen auf zentral verwaltete VPN-Software.
Für Unternehmen geeignete VPNs ermöglichen den IT-Supportteams in der Zentrale die Verwaltung und Authentifizierung einer beliebigen Anzahl von entfernten Mobilgeräten. So können sie sicherstellen, dass die Daten verschlüsselt werden und vertrauliche Unternehmensinformationen geheim bleiben.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.