Mobile Technologien sind ohne Frage ein entscheidender Innovationsmotor bei der digitalen Transformation von Firmen und Organisationen. Durch die zunehmende Mobilisierung von Geschäftsprozessen und die Erschließung neuer Mobility-Use-Cases werden Smartphone, Tablet und Co. zu immer wertvolleren Informationsträgern und -mittlern, die allerdings – und das ist die Kehrseite der Medaille - auch stärker in das Fadenkreuz von Cyber-Kriminellen rücken.
Um herauszufinden, was sich an der Situation in deutschen Firmen seit der letzten Bestandsaufnahme aus dem Jahr 2015 verändert hat, hat IDC für die Studie „Mobile Security in Deutschland 2017“ im Dezember 2016 erneut 256 IT-Entscheider und Anwender aus Unternehmen mit mehr als 100 Mitarbeitern in Deutschland zum Thema befragt. Die Ergebnisse wurden der IT-Fachpresse im Februar 2017 in München vorgestellt. Neben dem Studienautor Mark Alexander Schulte teilten Dietmar Schnabel (Check Point Software), Peter Machat (MobileIron), Peter Rost (Rohde & Schwarz Cybersecurity) und Judith Hoffmann (Samsung Electronics) ihre Sicht auf den Markt mit den anwesenden Journalisten. Bernd Lehmann von der Kreisstadt Siegburg vertrat die Anwenderperspektive. Moderiert wurde die lebendige Diskussionsrunde von Lynn Thorenz, Leiterin des Bereichs Research und Consulting bei IDC.
Neue Angriffsszenarien und neue Security Assets verlangen neue Lösungen
Fakt ist: In Deutschland werden seit 2015 in Summe mehr Smartphones und Tablets verwendet als Desktop-PCs und Laptops. Für Cyber-Kriminelle ist die Programmierung von Malware für mobile Betriebssysteme und Applikationen dadurch noch attraktiver geworden. Die neue IDC-Studie bestätigt dies: 65 Prozent der befragten Unternehmen berichten von Erfahrungen mit Angriffen auf mobile Endgeräte, das ist ein Anstieg um 8 Prozentpunkte gegenüber 2015 - die Dunkelziffer an unentdeckten Vorfällen nicht einmal berücksichtigt. Immer mehr Anwenderfirmen müssen jetzt feststellen: Je intensiver sie Smartphones, Tablets & Co. für das Business Enablement ihrer Mitarbeiter einsetzen, desto wichtiger wird deren Absicherung.
Dass beim Thema Security das Management der mobilen Geräte in Form von EMM (Enterprise Mobility Management) eine wichtige Rolle spielt, stellte Peter Machat, Director DACH-CEE von MobileIron klar: „Bei EMM verfügt zum Beispiel jede App über einen isolierten Speicherplatz und isolierten Arbeitsspeicher. Damit sind die Daten der Apps vor den Aktionen anderer Apps auf dem Gerät geschützt.“
Vieles richtig gemacht hat in diesem Punkt Bernd Lehmann, Co-Dezernent der Kreisstadt Siegburg. Dort sind zahlreiche Prozesse in unterschiedlichen Aufgabenbereichen der Stadtverwaltung bereits für die Nutzung mit iOS- oder Android-Smartphones und Tablets ausgelegt, wie etwa bei der Überwachung des ruhenden Verkehrs durch die Ordnungskräfte der Stadt, aber auch im Umweltschutz oder in der Gebäudeverwaltung. Zur Prozessoptimierung nutzt die Kommune die EMM-Plattform von MobileIron. „Unsere Bürger wollen die Mitarbeiter der Fachbereiche flexibel erreichen können und vor allem zeitnah eine kompetente Auskunft erhalten“, berichtet Lehmann. „Eine sichere mobile Anbindung an digitale Akten und entsprechende Verwaltungsabläufe auch im Außendienst und Home-Office sind dafür unerlässlich“.
Gefährlicher als Cyberkriminelle: Die Mitarbeiter sind das größte Sicherheitsrisiko
Dass laut der Studie fast die Hälfte aller sicherheitsrelevanten Vorfälle mit mobilen Geräten durch die eigenen Mitarbeiter verursacht wird, zeigt: Fachbereiche und Endanwender verfügen in der Regel nicht über das notwendige IT- und Security-Know-how, um die eigenen Endgeräte hinreichend zu schützen. Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies, sieht hier aber auch die Anbieter gefordert. „Die Sicherheit kann nicht nur auf die Anwender abgeladen werden“, so Schnabel. „Die Anbieter sind in der Pflicht, sichere Architekturen im Hintergrund bereitzustellen.“ Seine Forderung traf bei allen Diskussionsteilnehmern auf Zustimmung.
Peter Rost, bei Rohde & Schwarz Cybersecurity für Business Development und Strategie zuständig, betonte in diesem Zusammenhang, dass in seinem Unternehmen „Security by Design“ Priorität genieße und zum Beispiel in Form eines gehärteten Android-Kernels umgesetzt werde. Judith Hoffmann, Senior Manager IT Channel, IT & Mobile Communication bei Samsung Electronics erläuterte den Ansatz ihres Unternehmens, mit Knox tiefgreifende Security Layer auf den Samsung Mobilgeräten zu integrieren, die eine stärkere Absicherung und ein besseres Management erlauben.
Die Zeit läuft: Wie weit sind die Firmen in ihren DSGVO-Bemühungen?
Strafzahlungen, Anwaltskosten und Geschäftsverluste treiben schon heute die Kosten durch Sicherheitsbrüche in die Höhe. 26 Prozent der befragten Unternehmen erlitten im vergangenen Jahr einen Schaden von mehr als 100.000 Euro durch Sicherheitsvorfälle mit mobilen Technologie. Hinzu kommen Reputations- und Vertrauensverluste, die finanziell gar nicht zu beziffern sind.
Nach der Übergangsfrist Ende Mai 2018 können Datenschutzbehörden Bußgelder von maximal 20 Millionen Euro oder vier Prozent des globalen Umsatzes erheben. Durch die DSGVO stehen Verletzungen im Datenschutz auf einer Stufe mit Bußgeldern für Geldwäsche oder Korruption. Auch die Meldepflicht von Sicherheitsbrüchen wird aus IDC-Sicht dazu führen, dass sich die Gewährleistung des Datenschutzes von einer IT-Aufgabe zu einem Thema der Vorstandsetagen entwickeln und Security-Investitionen massiv antreiben wird.
Überraschenderweise zeigten sich die befragten Unternehmen fast durch die Bank weg optimistisch im Hinblick auf die Einhaltung des Anwendungsdatums. 74 Prozent bereiten sich derzeit auf die Umsetzung der DSGVO vor, bei lediglich fünf Prozent der IT-Entscheidern ist das Thema noch nicht präsent. Aus IDC-Sicht unterschätzen viele IT-Verantwortliche allerdings die Veränderungen, die sich durch die DSGVO ergeben. Die neue Datenschutzverordnung erfordert ein deutlich proaktiveres Handeln, das bereits bei der Entstehung von personenbezogenen Daten ansetzt und darauf basierend geeignete Prozesse und Technologien auch im Bereich der Mobile Security erfordert.