Eine neue IDC-Studie sieht eine steigende Malware-Bedrohung für mobile Geräte. Gezählt werden allerdings auch Notebooks und sogar USB-Sticks. Wie groß ist also die tatsächliche Bedrohung, und wie kann man sie reduzieren?
Wie setzen deutsche Firmen mobile Geräte ein? Und welche Gefahren fürchten sie deswegen für ihre Daten? Diese Leitfragen hat IDC[1] in einer aktuellen Studie untersucht. Dazu haben die Marktforscher rund 150 IT-Verantwortliche in Firmen befragt. Bedingung für die Teilnahme war, dass die Mitarbeiter insgesamt mindestens 100 mobile Endgeräte einsetzen.
Die Ergebnisse der Studie "IT-Sicherheit bei mobilen Endgeräten und bei drahtloser Übertragung - Status quo und Trends in Deutschland, 2008/2009" zeichnen allerdings ein schiefes Bild. Denn die Methoden von IDC lassen in einigen Punkten mehr Fragen offen, als sie beantworten.
Ein wenig überraschendes Ergebnis: Die Mitarbeiter der befragten Firmen werden immer mobiler. Bei den befragten Betrieben waren vergangenes Jahr ein Drittel der User unterwegs, 2010 sollen es bereits knapp die Hälfte der Anwender sein. Das hat mehrere Gründe. Die Firmen schätzen, dass ihre Mitarbeiter dank der mobilen Geräte produktiver arbeiten. Sie sind zudem besser, weil überall erreichbar, können vor Ort auf Daten wie Preislisten oder Vertragsmasken zugreifen oder vom Home-Office aus arbeiten. Ein klares Tätigkeits- oder Berufsprofil des typischen mobilen Anwenders hat IDC nicht ermitteln können. Zu unterschiedlich seien die Ausprägungen je nach Branche.
Einen weiteren Grund für den Ausbau des mobilen Geräteparks sehen die Marktforscher im Preisverfall: Weil mobile Endgeräte immer günstiger werden, setzen Betriebe sie immer häufiger ein. Dieser Trend werde durch neue Gerätetypen wie die Netbooks noch begünstigt, glaubt Martin Haas, Director Research & Consulting bei IDC.
Wer mobile Mitarbeiter beschäftigt, ist im Umkehrschluss daran gewöhnt, fremde User in sein eigenes Netzwerk zu lassen. Darauf weisen die Umfrageergebnisse zur "Einbindung externer Nutzer" hin: Nahezu 60 Prozent der Befragten gaben an, ausgewählte Partner, Berater oder Kunden in die eigene Netzinfrastruktur hineinzulassen.
Die Grenzen zwischen innen und außen sind dadurch aufgehoben. Endgeräte nebst den Daten sind ständig in Bewegung, weil interne User immer mobiler werden und externe User von außen hereinkommen. Welche Risiken entstehen Firmen durch diese Entwicklung?
Bildergalerie
Auszüge der IDC-Studie zu "Mobile Security" in Firmen[2]
» zur Bildergalerie ...[2]Notebooks hat die Studie ebenfalls als "mobile Geräte" gezählt. Das ist auf der einen Seite richtig, sorgt an anderer Stelle aber für Unstimmigkeiten. Denn dadurch wird vor allem die Frage verwässert, welche Gefahren die Firmen vom Einsatz mobiler Systeme tatsächlich erwarten und welche Lösungen sie demnach suchen werden.
 |
| "Wir haben insgesamt rund 600 Samples von Malware in der Datenbank, die sich auf Smartphones und PDAs konzentriert", sagt Andreas Lamm, Managing Director Europe von Kaspersky (Bild: Kaspersky Lab). |
So wurden bei externen Bedrohungspotenzialen neben dem Faktor Hacker klassisch auch Viren, Würmer, Trojaner und Spyware am stärksten gewichtet. Das ist bei Notebooks, die mit einem stationären Windows-Desktop vergleichbar sind, vollkommen nachvollziehbar. Hier ist genauso viel Malware zu erwarten, da auf diesen Rechnern mit Windows deren bevorzugte Zielplattform läuft.
Aber bei Smartphones, PDAs mit proprietären geschlossenen Betriebssystemen oder Diagnose-Handhelds mit Embedded Linux? Die Statistiken der Hersteller sprechen hier eine eindeutige Sprache. "Wir haben insgesamt rund 600 Samples von Malware in der Datenbank, die sich auf Smartphones und PDAs konzentriert", sagt Andreas Lamm, Managing Director Europe bei Kaspersky Lab[3].
Dem stehen rund 5000 neue Malware-Samples pro Tag gegenüber, die auf typische Windows-PCs ausgerichtet sind. Das macht nach Adam Riese rund 1,8 Millionen Samples pro Jahr für den PC und das Windows-Notebook gegenüber 600 Varianten insgesamt, die auf PDAs und Smartphones zielen.
"Die Signierung externer Anwendungen und die geringe Verbreitung der Smartphone-Betriebssysteme schrecken Malware-Autoren ab", erklärt Raimund Genes, Chief Technology Officer bei Trend Micro[4]. Malware-Schutz bleibt also ein Randthema. Auch wenn der eine oder andere Hersteller, der für dieses mögliche Problem Lösungen entwickelt hat, das sicher anders sieht.
IDC hat leider auch nicht bewertet, wie die mobilen Geräte überhaupt in das Unternehmen kommen. Das hat aber direkten Einfluss darauf, wie sich eine solche mobile Welt überhaupt kontrollieren lässt. Während Notebooks in der Regel von der Firma gestellt und vor ihrem Einsatz entsprechend per Desktop-Software abgesichert werden, bringen Anwender ihre privat gekauften Telefone und PDAs quasi nackt in die Firma mit und schließen sie an den Rechner an.
Die Folge: Im Netz findet man verschiedene Geräte Dutzender Hersteller mit unterschiedlichen Funktionen, die ihrerseits andere Gefahren heraufbeschwören. Ein Wildwuchs, der noch undurchsichtiger wird, wenn USB-Sticks ins Spiel kommen.
 |
| "Mindestens bei der Hälfte der befragten Firmen dürfen Anwender ihre privat gekauften Geräte intern benutzen", erklärt Martin Haas, Director Research & Consulting bei IDC (Bild: IDC). |
Auf Anfrage erklärte Haas immerhin, dass mindestens bei der Hälfte der befragten Firmen die Anwender ihre privat gekauften Geräte intern benutzen dürfen. Die Minderheit gibt selbst Endgeräte aus, die vorher einer internen Policy folgend abgesichert wurden. "In solchen Fällen müssen Sie alle ihre mobilen Geräte am Empfang abgeben, da die innerhalb der Firmengebäude verboten sind", sagt Haas.
Dies deckt sich mit einem weiteren Ergebnis der Studie. Nur knapp die Hälfte der Firmen hat überhaupt eine Richtlinie für "Mobile Security" definiert, die die wesentlichen mobilen Geräte berücksichtigt. Nur 19 Prozent der 150 befragten IT-Leiter haben ein Regelwerk festgelegt, das nach IDCs Definition alle mobilen Geräte abdeckt. Nur die Hälfte der Befragten hat sich also ernsthaft damit auseinandergesetzt, wie die Anwender ihre mobilen Geräte nutzen sollten.
Alle Befragten gaben allerdings an, dass der Einsatz generell mit Gefahren verbunden ist. Am stärksten fürchten die IT-Verantwortlichen Manipulationen und Diebstahl der Daten. Leider hat IDC hier nur nach Diebstahl gefragt und den "Verlust des Endgeräts" nicht separat angeführt.
Das Misstrauen gegenüber den eigenen Mitarbeitern ist insgesamt schwach ausgeprägt. "Eine typische Diskrepanz, die auch in anderen Sicherheitsstudien sichtbar wird. Interne Risiken werden als weniger bedrohlich wahrgenommen als externe", so Haas.
Das Ergebnis widerspricht der Realität. Gerade "mangelndes Sicherheitsbewusstsein der Mitarbeiter" und deren "unabsichtliches Fehlverhalten" lassen sich als Ursachen der jüngsten Datenskandale aufführen. Sei es der Fall in Lichtenstein, die Verluste von Dateien mit Bürgerdaten in Großbritannien[5] oder der Kundendaten bei T-Mobile.
Trotzdem haben die Befragten das Bedrohungspotenzial der beiden internen Faktoren weniger stark gewichtet als externe Aspekte wie Hacker oder Malware. Darin spiegelt sich gewiss der Erfolg des Herstellermarketings wieder, das gerne mit Schlagwörtern wie "Trojaner" und "Viren" um sich wirft.
Dabei ist es, wie die jüngsten Fälle zeigen, vor allem das Ungeschick oder die Willkür der User, die problematisch sind. "Wir müssen uns auf das Verhalten der Anwender konzentrieren", fordern Trend-Micro-Manager Raimund Genes und Malte Pollmann, Chief Product Officer bei Utimaco, nahezu unisono.
Der Funktionszuwachs bei modernen Smartphones und PDAs begünstigt Fehlverhalten noch. Auf allen modernen Geräten ist ein "lokaler Browser" installiert. Darüber werden diese Plattformen plötzlich Ziel typischer Pharming-Attacken, die in der Desktop-Browserwelt seit langem existieren. Bestes Beispiel sind Phishing-Angriffe. Trend Micro erwartet, dass auf diesem Weg künftig mehr geschehen wird. Raimund Genes schränkt aber ein, dass nur jene Versuche relevant seien, mit denen Saboteure versuchen, Daten abzuzapfen.
Die PDA- und Smartphone-Anbieter haben mit Anwendungssignaturen und ihren geschlossenen Applet-Welten ungünstige Voraussetzungen für Malware geschaffen. Außerdem können die GSM-Provider selbst Malware aus dem Verkehr fischen, so dass diese das Endgerät erst gar nicht erreicht. Natürlich gilt das nicht mehr, wenn sich das Gerät direkt per Wireless an das Netz koppelt.
IT-Verantwortliche sollten sich daher darauf konzentrieren, dem Fehlverhalten von Anwendern vorzubeugen. Denn die Geräte selbst werden nun mal verloren oder gestohlen. Damit sind alle Informationen, die lokal abgelegt sind, ebenfalls verloren. Die Studie von IDC bestätigt, dass Firmen hier Handlungsbedarf sehen. So stehen Festplatten- und E-Mail-Verschlüsselung auf der Liste geplanter Implementierungen ganz oben.
Überraschend ist, dass das komplexe Konzept "Data Leakage Protection" (DLP) ähnlich prominent genannt wurde. Das Thema wird scheinbar in den Firmen interessiert aufgegriffen, obwohl die Hersteller das Schlagwort aktuell noch stark unterschiedlich füllen.
 |
| "Wir müssen uns auf das Verhalten der Anwender konzentrieren", appelliert Malte Pollmann, Chief Product Officer bei Utimaco, an IT-Verantwortliche und Sicherheitsanbieter (Bild: Utimaco). |
Die Prognosen von IDC für das Investitionsvolumen sind wegen des Zeitpunkts der Umfrage wenig aussagekräftig. Sie wurde im vergangenen November durchgeführt, als der ein oder andere die möglichen Auswirkungen der Krise sicher noch weniger drastisch sah, als er das heute tun würde.
Nach IDC gingen zu diesem Zeitpunkt fast 70 Prozent der Befragten von geringfügig steigenden bis deutlich steigenden Ausgaben aus. Dieser Wert wird heute sicher geringer sein. Das Grundproblem, dass Firmen vor allem dem Ungeschick von Anwendern vorbeugen müssen, bleibt dagegen unverändert.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/