„Anwender gehen zu sorglos mit ihren Geräten um“

Mark Alexander Schulte ist Consultant bei IDC Central Europe und Projektleiter der Studie „Mobile Security in Deutschland 2015“. Im Gespräch mit com! professional äußert er sich zu notorischen Smartphone-Verlierern und einem besseren Umgang mit mobiler Technologie.

com! professional: Herr Schulte, Sie waren federführend an der IDC-Studie beteiligt. Was sind die größten Risiken, denen Unternehmen durch die Nutzung von Smartphones und Ta­blets ausgesetzt sind?

Mark Alexander Schulte: An erster Stelle nannten die Befragten Malware, gefolgt von Phishing beziehungsweise Social Engineering. An dritter Stelle kam dann schon der Benutzer selbst. Nach Einschätzung der IT-Verantwortlichen gehen im Durchschnitt 43 Prozent der Sicherheitsvorfälle auf sein Konto.

com! professional: Der Mitarbeiter als Sicherheitsrisiko also, woran liegt das hauptsächlich?

Schulte: Viele Anwender gehen zu sorglos mit den Geräten um. So gaben 20 Prozent der Befragten aus den Fachbereichen an, in den vergangenen zwei Jahren ein Mal ein mobiles Smartphone mit geschäftlichen Daten darauf verloren zu haben. Bei 7 Prozent waren es sogar zwei Vorfälle dieser Art und 3 Prozent hatten in diesem Zeitraum mehr als zwei Geräte verloren. Auch mit der Datensicherheit nehmen es die Nutzer nicht so genau. Zum Beispiel haben 83 Prozent der Befragten schon einmal einen privaten File-Sharing-Account wie Dropbox, OneDrive oder Google Drive für geschäftliche Daten genutzt, 13 Prozent tun das sogar intensiv.

com! professional: Wie reagieren die Firmen darauf?

Schulte: Interessanterweise zeichnet sich hier ein Strategiewechsel ab. Im vergangenen Jahr neigten die Unternehmen eher noch dazu, solche Lösungen zu verbieten, das war ein Ergebnis unserer Mobile-Content-Management-Studie Anfang 2014. Nun gaben 44 Prozent der befragten IT-Verantwortlichen an, diese Tools zu erlauben, aber durch zusätz­liche Sicherheitsmaßnahmen abzusichern. Ein Stück weit scheint das auch Resignation zu sein, nach dem Motto „Wir können es ja sowieso nicht verhindern“.

com! professional: Welche Maßnahmen ergreifen Unternehmen, um Cloud-Speicherlösungen sicherer zu machen?

Schulte: Da gibt es im Wesentlichen zwei Möglichkeiten: Ein sogenannter Content Connector bietet eine Schnittstelle zu diesen privaten Speicher-Tools und bindet sie in das Enterprise Content Management ein, sodass der Administrator jederzeit die Kontrolle darüber hat, welche Dateien geteilt werden. Die zweite Möglichkeit ist, alle oder zumindest alle relevanten Dokumente automatisiert zu verschlüsseln, bevor sie das Unternehmen verlassen.

com! professional: Gab es weitere Ergebnisse, mit denen Sie nicht gerechnet hätten?

Schulte: Ja, so spielt zum Beispiel BYOD, also Bring Your Own Device, als Beweggrund für die Einführung von Container-Lösungen nicht die primäre Rolle, die wir erwartet hätten. Nur 18 Prozent der befragten IT-Verantwortlichen gaben als oberstes Ziel an, dass sie mobile Applikationen und Inhalte auf Smartphones und Tablets mittels Containern absichern, um private von geschäftlichen Inhalten zu trennen. Doppelt so häufig wurde als Grund der zusätzliche Schutz von Firmendaten genannt.

com! professional: Flaut der BYOD-Trend schon wieder ab?

Schulte: Es scheint fast so. In unserer Enterprise-Mobility-Studie vom vergangenen November gaben 40 Prozent der Befragten an, BYOD im Unternehmen zu erlauben. Die Mehrheit setzte dagegen auf CYOD, also die Bereitstellung ausgewählter Geräte durch das Unternehmen, aus denen sich der Mitarbeiter dann eines aussuchen kann. Aus meiner Sicht wird sich dieser Trend noch verstärken, weil CYOD ein guter Kompromiss ist, einerseits den Mitarbeiterwünschen gerecht zu werden und dennoch die Sicherheit im Unternehmen zu gewährleisten.

com! professional: Bevorzugen Unternehmen bestimmte Betriebssysteme?

Schulte: Dazu hatten wir im vergangenen Jahr eine Frage, wobei allerdings die BYOD-Geräte miteinbezogen waren. Da war es so, dass der Anteil an Android-Geräten bei über 40 Prozent lag.

com! professional: Also das Betriebssystem, das in der aktuellen Umfrage als das unsicherste eingestuft wurde.

Schulte: Ja, wobei die Zahlen sehr eng beieinander lagen. Auf einer Skala von 1, sehr unsicher, bis 10, gänzlich sicher, erreichte das am sichersten eingestufte Betriebssystem – iOS 8 – einen Mittelwert von 6,94, Android einen Wert von 6,22.

com! professional: Gibt es Ihrer Meinung nach sichere und weniger sichere mobile Betriebssysteme?

Schulte: Aus unserer Sicht stellen iOS 8, Blackberry 10 und Windows Phone 8.1 ein akzeptables Maß an Sicherheit bereit. Durch die enge Bindung von Betriebssystem, Gerät und App-Store können Sie bei diesen Plattformen eine durchgängige Sicherheit gewährleisten. Bei Android fehlt diese Durchgängigkeit, der Quellcode ist Open Source, sodass verschiedene Gerätehersteller unterschiedliche Varianten veröffentlichen können. Allerdings bringt Google mit Android for Work gerade eine Lösung auf den Markt, die Android für den Unternehmenseinsatz geeigneter machen soll.

com! professional: Laut Ihrer Studie nutzen heute schon 9 Prozent der befragten Unternehmen Wearables wie Smartwatches oder Tracker für eine Zweifaktor-Authentifizierung, 40 Prozent planen den Einsatz in den kommenden zwölf Monaten. Erhöhen Wearables wirklich die Sicherheit im Unternehmen, sind sie nicht eher ein weiteres Einfallstor für Malware und Hacker?

Schulte: Der Unterschied zwischen Smartphone und Smartwatch besteht ja darin, dass die Uhr kein unabhängiges Gerät ist. Sie funktioniert nur in Kombination mit einem anderen mobilen Endgerät. Wenn sich allerdings der Trend durchsetzt, diese Wearables intelligenter zu machen und mit einem eigenen Mobilfunk- beziehungsweise Internetzugang auszustatten, dann haben wir in der Tat ein neues Sicherheitsthema in den Unternehmen.

com! professional: Worauf sollten kleinere und mittelständische Unternehmen beim Management und der Absicherung mobiler Endgeräte achten?

Schulte: Die erste Aufgabe ist, zu prüfen, ob sich die Komplexität nicht reduzieren lässt, zum Beispiel, indem man nur noch eine mobile Plattform für den Unternehmenseinsatz erlaubt. Das vereinfacht nicht nur das Sicherheitsmanagement, es erleichtert auch die Bereitstellung von Firmen-Apps, die eben nur noch für ein mobiles Betriebssystem entwickelt werden müssen. Wenn es nicht gelingt, diese Komplexität zu verringern, sind viele Unternehmen überfordert, das zeigen auch unsere Ergebnisse.

com! professional: Folgen die Unternehmen dieser Strategie und vereinfachen ihre mobilen Umgebungen?

Schulte: Leider nein. Wir haben die Unternehmen 2013 und 2014 befragt, wie viele mobile Betriebssysteme sie im Einsatz haben. Der Mittelwert lag bei 2,5, wobei nicht zwischen verschiedenen Android-Versionen unterschieden wurde, und war in beiden Jahren praktisch gleich. Das heißt den Unternehmen gelingt es bisher nicht, Komplexität aus der mobilen Umgebung herauszunehmen.

com! professional: Was raten Sie Unternehmen außerdem, um das Risiko zu senken, das sie sich mit mobilen Endgeräten ins Haus geholt haben?

Schulte: Ganz wichtig ist die Schulung der Mitarbeiter – da sind sich die IT-Verantwortlichen und die Nutzer in den Fachabteilungen einig. So nannten 46 Prozent der IT-Entscheider und 51 Prozent der Business-Anwender Mitarbeitertrainings als die effektivste Maßnahme zur Verbesserung der Mobile Security.