Zentrales Sicherheits-Management

Voraussetzung für eine transparente, obligatorische Einhaltung der Maßnahmen ist eine unternehmensweite Lösung mit einer zentralen Management-Konsole, von der aus alle Geräte verwaltet werden, sowohl die stationären innerhalb einer Organisation als auch die mobilen außerhalb. Das schließt Funktionen zur Sicherheitskontrolle, zum Auditing und für das Reporting ein. Hier werden auch die Policies verwaltet und ausgeliefert sowie die Verschlüsselung gesteuert. Die Verbindung zu bestehenden LDAP-Verzeichnissen wie dem Active Directory stellt sicher, dass Sicherheitsrichtlinien entsprechend existierender Rollen und Gruppendefinitionen ohne erhöhten Aufwand eingerichtet und verwaltet werden können.

Das Design vieler Sicherheitslösungen für mobile Endgeräte macht es erforderlich, dass die Krypto-Schlüssel auf dem Zielgerät generiert und dann erst auf einem zentralen Server hinterlegt werden. Doch was passiert, wenn sich dieser Prozess verzögert oder gar fehlschlägt, der Nutzer jedoch seine Daten wiederherstellen muss? Der Vorgang sollte daher in umgekehrter Reihenfolge ablaufen: Schlüssel müssen hinterlegt sein, bevor das erste Daten-Bit verschlüsselt wird - ohne jegliches Zutun der Anwender. Nur dann ist im Notfall eine unverzügliche Datenwiederherstellung möglich.

Es reicht nicht aus zu behaupten, die Daten seien geschützt. Unternehmensweite Governance fordert konkrete Belege dafür. Geht ein Gerät verloren oder wird es gestohlen, so muss das Unternehmen je nach geltenden gesetzlichen und unternehmensinternen Bestimmungen entscheiden, ob die Betroffenen von diesem Verlust in Kenntnis zu setzen sind und entsprechende Schutzmaßnahmen eingeleitet werden müssen, inklusive aller Kosten und Unannehmlichkeiten, die damit einhergehen. Gibt es jedoch einen Nachweis dafür, dass die Daten zum Zeitpunkt des Verlustes verschlüsselt waren, kann auf diese Maßnahmen verzichtet werden. Aus diesem Grund ist eine detaillierte Dokumentierung der Nutzung und Verschlüsselung mobiler Endgeräte (einschließlich Synchronisationssoftware) ein Muss. Diese Beweise sollten zentral vorgehalten werden.

Die Verwaltungsprozesse auf einer Sicherheitsplattform für mobile Geräte müssen so gestaltet sein, dass sie einen möglichst geringen Aufwand für die IT-Abteilung bedeuten. Zum Beispiel können dann Wartungs- und Wiederherstellungsprozesse in die vorhandenen Recovery-Prozesse eingebunden werden, ohne dass diese verändert werden müssen. Insbesondere ist es wichtig, dass das IT-Support-Desk bei Verlust des Verschlüsselungspassworts den Benutzern nach entsprechender Authentifizierung wieder Zugang zu den Daten geben kann, unabhängig davon, ob das Gerät am Netz angeschlossen ist.

Die Sicherheitsmaßnahmen sollten Anwendern keinen zusätzlichen Aufwand abverlangen. Denn nur wenn sie ihrer Arbeit ohne Behinderung durch Ver- und Entschlüsseln von Daten nachgehen können, werden sie die Maßnahmen akzeptieren. Doch auch für Sicherheitsadministratoren muss die Security-Infrastruktur handhab- und verwaltbar sein. Das beginnt bei der Definition von feingranularen Policies und reicht bis zu den Management-Prozessen. Eine gute Hilfe stellen dabei Best Practices und Templates für die Definition der Richtlinien dar, aber genauso die Einbindung der Sicherheitsabläufe in die bestehenden IT-Prozesse. Die richtige Balance zwischen Mobilität, Sicherheit und Verwaltungsaufwand kann nur mit einer modernen, flexiblen und umfassenden Sicherheitsplattform erreicht werden. (mb)