Wie viel Sicherheit braucht Mobiles Lernen?
Heilbronn, November 2016 - Stefan Strobel ist Geschäftsführer der cirosec GmbH. Er verfügt über eine 20-Jährige Erfahrung in der Beratung großer Firmen mit sehr hohem Sicherheitsbedarf und in der Erstellung von Konzepten und Policies. Auf der LEARNTEC nimmt sich Stefan Strobel der Frage an, wie sich die Sicherheitslücken, die beim Einsatz mobiler Geräte und Anwendungen entstehen können, vermeiden bzw. beherrschen lassen.
Welche Sicherheitslücken bleiben auch beim Einsatz von firmeneigenen Smartphones oder Tablets bestehen?
Stefan Strobel: Unabhängig von der Nutzung mobiler Endgeräte im Umfeld von eLearning erzeugen Smartphones und Tablets neue Sicherheitsbedrohungen für Unternehmen, die für jedes Unternehmen individuell bewertet werden müssen. Dazu gehört beispielsweise der ungewollte Abfluss vertraulicher Daten über die mobilen Endgeräte oder der unautorisierte Zugriff auf die firmeninterne Infrastruktur über die Endgeräte und die dort gespeicherten Zugangsdaten.
Die Bewertung dieser möglichen Bedrohungsszenarien hängt stark von der Art der Nutzung, von der Ausgestaltung der Infrastruktur und von der Auswahl der Endgeräte ab. Während in den letzten Jahren Apple mit seinen Geräten einen Sicherheitsvorsprung vor den Geräten auf Basis von Android hatte, holen letztere mit den neuen Versionen des Android-Betriebssystems stark auf.
Die Bedrohungen haben dabei kaum ursächlich mit der Nutzung im eLearning zu tun. Sie beginnen bereits bei der Kommunikation der Geräte mit den Servern im Unternehmen und sind auch von der allgegenwärtigen Nutzung für Kalender und Mail-Funktionen im Unternehmen bekannt.
Mit welchen Maßnahmen kann ein Unternehmen Sicherheitsproblemen bei BYOD vorbeugen?
Stefan Strobel: Die Vermeidung von Sicherheitsproblemen beginnt bei der Auswahl der erlaubten Endgeräte. Dabei muss leider nicht nur das Betriebssystem, sondern der konkrete Hersteller und das jeweilige Modell betrachtet werden, denn gerade bei Android sind viele Sicherheitsfunktionen der Geräte nicht standardisiert. Daraus ergibt sich auch ein typisches Problem bei BYOD, denn hier lassen sich die erlaubten Geräte kaum auf wenige einzelne Modelle beschränken, ohne die Idee von BYOD ad absurdum zu führen.
Ebenso hängt die Sicherheit aus Unternehmenssicht von zahlreichen Einstellungen ab, die sinnvollerweise vom Unternehmen vorgegeben werden sollten. Auch hier besteht ein Interessenskonflikt bei privaten Geräten, da die Anwender nur selten davon begeistert sind, wenn sie die Kontrolle über wichtige Sicherheitseinstellungen an einen Dritten abgeben sollen, insbesondere wenn dies sogar die Kontrolle der erlaubten Apps betrifft.
Dennoch ist eine zentrale Konfiguration aller erlaubten Geräte durch die IT des Unternehmens über ein MDM-System eine typische Grundvoraussetzung für BYOD im Unternehmen.
"Typische Sicherheitsprobleme bei Smartphones, Tablets bzw. BYOD", Konferenzraum 8/9, 25.1.2017, 11:30-12:00 Uhr
