IDC-Studie: Fast jeder zweite Sicherheitsvorfall im Zusammenhang mit mobiler Technologie in deutschen Unternehmen durch Anwender verursacht

Mark Alexander Schulte (PresseBox) (Frankfurt am Main, ) Neben mobiler Malware und Phishing kristallisiert sich das Verhalten der Anwender als eines der größten Sicherheitsrisiken heraus. Schulungen sind nach Meinung von IT-Entscheidern die mit Abstand wirksamste Maßnahme zur Sensibilisierung der Mitarbeiter. BYOD-Szenarien sind wider Erwarten nicht der primäre Grund für die Implementierung von Container-Lösungen. Statt Consumer File Sharing Tools zu verbieten, sichern Unternehmen diese verstärkt ab. Zudem heben Wearables und biometrische Kriterien die Authentifizierung auf eine neue Ebene. Dies ist das Fazit der neuen IDC-Studie "Mobile Security in Deutschland 2015".

Ziel der von IDC im Mai 2015 durchgeführten Befragung unter 243 IT- und Fachbereichs- Entscheidern aus Unternehmen in Deutschland mit mehr als 100 Mitarbeitern war es, ein besseres Verständnis über das Bedrohungspotential sowie über Anforderungen, Maßnahmen und Pläne zur Absicherung der mobilen Technologien in Organisationen zu gewinnen. Besonders im Blickpunkt standen die Einschätzungen der IT-Verantwortlichen auf der einen und die Aussagen der Anwender aus den Fachbereichen auf der anderen Seite. Die wichtigsten Ergebnisse dieser Befragung werden im Folgenden zusammengefasst.

Verbesserung der Mobile Security hat höchste Priorität für Unternehmen

Die Gewährleistung der Sicherheit im Umgang mit mobilen Geräten, Apps und Inhalten ist nach wie vor eine der größten Herausforderungen für deutsche Unternehmen. Die Verbesserung der IT-Sicherheit ist nach Einschätzung von 66 Prozent der befragten IT-Verantwortlichen die wichtigste Anforderung an die Unternehmens-IT in den kommenden zwei Jahren. Die wachsende Verbreitung von mobilen Devices, neue mobile Angriffsszenarien und das Zusammenwachsen von privater und geschäftlicher Technologie treiben aus Sicht von IDC die Notwendigkeit zum Handeln an. Die Absicherung von mobilen Technologien ist dringend geboten, denn die befragten Unternehmen berichten im Durchschnitt von mehr als sechs Sicherheitsvorfällen in den vergangenen zwölf Monaten. Ein beachtlicher Wert vor dem Hintergrund, dass Informationen, die durch einen Sicherheitsbruch abfließen, einen finanziellen Schaden, rechtliche Konsequenzen und einen Imageverlust zur Folge haben können.

Mobile Malware, Phishing und Anwenderverhalten sind die größten Sicherheitsrisiken

Auch wenn aus Sicht von Cyber-Kriminellen eine große Reichweite aufgrund der heterogenen Betriebssystemlandschaft schwierig zu erzielen ist, ist ein deutlicher Anstieg von mobiler Malware in den letzten Jahren festzustellen. Dies gilt insbesondere für das Betriebssystem Android, das nach einer IDC-Studie aus dem Oktober 2014 durchschnittlich auf mehr als 40 Prozent der privaten und geschäftlichen Geräte in deutschen Unternehmen läuft.

Mobile Malware, die beispielsweise SMS an Premiumnummern sendet oder Gerätedaten weiterleitet, zählt nach Angabe von rund 42 Prozent der IT-Verantwortlichen zu den drei größten Sicherheitsrisiken. Ein Drittel der Befragten benannte auch Phishing-Attacken als großes Risiko. Phishing ist nach Einschätzung von IDC auf mobilen Endgeräten besonders tückisch, denn aufgrund der kleinen Displays werden URLs nur teilweise angezeigt und E-Mails häufig so schnell gelesen, dass Sicherheitsfilter noch nicht angepasst sind.

Die Anwender spielen bei der Gewährleistung der mobilen Sicherheit eine zentrale Rolle. Nach Einschätzung der IT-Entscheider gehen im Durchschnitt 43 Prozent der Sicherheitsvorfälle auf ihr Konto. Häufig ist ein sorgloser Umgang der Mitarbeiter mit mobiler Technologie die Ursache. Beispielsweise verloren in den letzten zwei Jahren 30 Prozent der befragten Fachbereichs-Verantwortlichen ein Smartphone mit darauf befindlichen Firmeninformationen - 10 Prozent sogar öfter als ein Mal. Aus Sicht von IDC sind Unternehmen daher in der Pflicht, Mitarbeiter deutlicher über die Konsequenzen ihres oftmals unachtsamen Umgangs mit Smartphones und Co. zu sensibilisieren.

Die Handlungsfelder zur Absicherung von mobilen Technologien sind vielfältig. Diese erstrecken sich von der mobilen Hardware samt Betriebssystem, über Apps, Dateien und Dokumente bis hin zu Messaging und Sprachtelefonie. Dabei sind nach Einschätzung von jedem zweiten IT-Entscheider die Absicherung der mobilen Geräte und der OS die aktuell größten Herausforderungen, gefolgt von Apps (29 Prozent) und mobilem Content (21 Prozent).

Strategie-Wechsel bei Consumer File Sharing Tools: Vom Verbot zur Absicherung

83 Prozent der befragten Business-Verantwortlichen haben schon einmal ihren privaten File Sharing Account für geschäftliche Zwecke benutzt. Heute ist es immer noch mehr als die Hälfte der Anwender (52 Prozent), die zumindest gelegentlich ein Consumer File Sharing Tool zum Teilen von geschäftlichen Dokumenten verwendet. Erwartungsgemäß sind die IT-Entscheider privaten File Sharing Tools gegenüber skeptisch. Lediglich 7 Prozent erlauben oder tolerieren ihren Anwendern die Nutzung ohne zusätzliche Sicherheitsvorkehrungen durch die IT.

Allerdings gestatten 44 Prozent der Unternehmen die Verwendung privater Tools, da die IT mittels zusätzlicher Maßnahmen die Sicherheit der Dokumente gewährleistet. Diese Strategie bietet Organisationen den Vorteil, dass Mitarbeiter mit den Tools arbeiten können, mit denen sie bereits produktiv umgehen können. Zudem spiegeln die Ergebnisse auch Resignation auf Seiten der IT wider, nach dem Motto: Was du nicht verhindern kannst, sichere wenigstens ab. Die Sicherheit und Compliance der Dateien kann zum Beispiel mittels Content Connector verbessert werden. Entsprechende Lösungen binden private Speicher beispielsweise von Dropbox, GoogleDrive oder OneDrive über jeweilige Schnittstellen in das Enterprise Content Management-System ein. Eine weitere Möglichkeit ist die Dokumentenverschlüsselung, die Sicherheitsfunktionen direkt am zu schützenden Objekt verankert und mit ihm "wandert".

Zusätzlicher Geräteschutz wichtiger als BYOD: Gründe und Verbreitung von Container- Lösungen

54 Prozent der befragten Unternehmen setzen heute Container-Lösungen ein, anhand derer mobile Applikationen und Dateien in einer geschützten Umgebung verwaltet werden können. Allerdings nannten nur 18 Prozent dieser Organisationen die Trennung von privaten und geschäftlichen Inhalten als zentrales Ziel ihrer Container-Lösung; 36 Prozent führten einen besseren Schutz für Firmendaten auf mobilen Geräten an. Die zusätzliche Absicherung der Smartphones und Tablets unabhängig davon, ob sie privat genutzt werden, ist demnach häufiger das zentrale Ziel von Container-Lösungen als die Ermöglichung von BYOD.

Mobile Application Security - viele Ansätze, (noch) kein Standard

Die Sicherheit von mobilen Apps ist für viele Unternehmen ein wachsendes Problem. Insbesondere wenn Mitarbeiter Apps aus öffentlichen Apps Stores - insbesondere Google Play für Android - herunterladen, die nicht von der IT freigegeben sind. Unsichere mobile Apps zählen aus Sicht von 28 Prozent der befragten IT-Verantwortlichen zu den drei größten Sicherheitsrisiken im Umgang mit mobiler Technologie. Die bereits erwähnten Container-Lösungen bieten Schutz auf Geräte-Ebene, darüber hinaus sind weitere, auf mobile Apps zugeschnittene Security-Lösungen, vorhanden. Am häufigsten finden Lösungen zum Scanning und Monitoring von mobilen Apps Anwendung (33 Prozent). 30 Prozent der Organisationen setzen auf sogenannte Per-App VPNs, um die Verbindung zwischen der auf einem Smartphone oder Tablet-PC installierten App und dem Back-End mittels Micro-VPN zu schützen. Etwa jede sechste Organisation setzt SDKs oder App Wrapping ein (jeweils 16 Prozent). Nach Einschätzung von IDC bewegt sich die Branche in Richtung offene Standards bzw. eines gemeinsamen Rahmenwerks, welches der Verbreitung von SDKs einen zusätzlichen Auftrieb verleihen wird.

Wearables und Biometrie heben Multifaktor-Authentifizierung auf neue Ebene

Smart Devices werden heute im geschäftlichen wie auch im privaten Umfeld zunehmend für das Abwickeln von Transaktionen und das Erteilen von Genehmigungen verwendet. Die Multifaktor-Authentifizierung (MFA) baut eine mehrschichtige Verteidigung zum Schutz dieser Transaktionen auf, in dem sie zwei oder mehr unabhängige Berechtigungsnachweise kombiniert. 44 Prozent der befragten Unternehmen setzen heute eine Zwei-Faktor- Authentifizierung (2FA) im Zusammenhang mit mobilen Geräten ein. Durch die hohe Innovationsdynamik rücken biometrische Kriterien und Wearable Devices als neue "Faktoren" in den Fokus, die ein zusätzliches Maß an Sicherheit versprechen.

Von den Unternehmen, die heute eine 2FA im Einsatz haben, planen 40 Prozent im nächsten Jahr eine Authentifizierung mittels Wearable Device zu ermöglichen. So müssten Mitarbeiter beispielsweise eine auf dem Smartphone initiierte Transaktion auf ihrer Smart Watch final bestätigen. Einen Schritt weiter sind Unternehmen heute bei der biometrischen Identitätsüberprüfung. In 40 Prozent der Organisationen kommt diese heute bereits zum Einsatz. Am häufigsten per Fingerabdruck (77 Prozent) sowie durch Spracherkennung (26 Prozent), Gesichtserkennung (20 Prozent) und Iris-Abgleich (17 Prozent). Nach Einschätzung von IDC verleihen die technologischen Entwicklungen dem Mobile Identity und Access Management zusätzliche Impulse.

Organisatorische Best Practices: Anwender-Trainings sind wirksamstes Mittel

Die Absicherung von mobilen Geräten, Apps und Dokumenten erfordert nicht nur auf technologischer sondern auch auf organisatorischer Ebene Vorkehrungen. Mitarbeitertrainings sind aus Sicht der IT-Entscheider (46 Prozent) hierfür am besten geeignet, gefolgt von der Durchsetzung einer Mobile Security Policy (41 Prozent) und der Schulung des IT-Personals (38 Prozent). Aus IDC-Sicht sollte die Durchsetzung der Sicherheit auf mobilen Geräten nicht isoliert betrachtet werden, sondern vielmehr ein zentraler Bestandteil eines unternehmensweiten IT-Sicherheitskonzepts sein.

Auch die befragten Fachbereichs-Verantwortlichen sehen Schulungen als das probateste Mittel zur Verbesserung der Mobile Security an, sind also selbstkritisch. 95 Prozent der Fachbereichs-Verantwortlichen, die ein Training erhalten haben, berichten von einer Verbesserung im Umgang mit mobilen Technologien. "Die Sensibilisierung der Mitarbeiter muss in deutschen Unternehmen künftig einen deutlich höheren Stellenwert einnehmen", sagt Mark Alexander Schulte, Consultant und Projektleiter bei IDC. "Denn für viele Unternehmen ist das Anwenderfehlverhalten nach wie vor die größte Hürde bei der mobilen Sicherheit. Am Ende ist eine Security-Lösung wirkungslos, wenn der Mitarbeiter sie umgeht."

Fazit

Die Absicherung von mobilen Geräten, Apps und Informationen ist für viele Unternehmen keine einfache Aufgabe. Verschiedene mobile Betriebssysteme, eine Verschmelzung von privater und geschäftlicher Technologie, eine kontinuierlich wachsende Anzahl an Smart Devices sowie eine hohe Innovationsdynamik führen zu einer Komplexität beim Schutz von Firmendaten, die Firmen und Organisationen oftmals nicht mehr alleine bewältigen können. Der Bedarf an externer Unterstützung durch Security-Provider, EMM-Anbieter und spezialisierte Mobile Security-Firmen wird in den kommenden Monaten spürbar anziehen.

IT-Entscheider befinden sich zudem in einem Zwiespalt: Auf der einen Seite müssen sie die Sicherheit von Firmendaten auf mobilen Geräten verbessern, auf der anderen Seite soll die Produktivität der Anwender im Umgang mit mobilen Smart Devices nicht eingeschränkt werden. Nach Einschätzung von IDC verlieren trotz aller notwendigen Sicherheits- Maßnahmen nur wenige IT-Organisationen die Produktivität der Anwender aus den Augen. Sie wollen ein Höchstmaß an mobiler Sicherheit, aber nicht um jeden Preis. Eine einfache und intuitive Handhabung von Mobile Security-Lösungen auf dem jeweiligen Endgerät ist der Schlüssel zu einer hohen Akzeptanz bei den Anwendern.

Ein Rückgang von potentiellen Sicherheitsgefährdungen durch mobile Endgeräte und Applikationen ist in den nächsten Monaten nicht zu erwarten. Mobility hat weder die Grundsätze der IT-Sicherheit, noch die böswilligen Absichten der Cyber-Kriminellen verändert - doch der Einsatz mobiler Geräte, Apps und Inhalte ermöglicht neue Angriffsziele und -techniken. Unternehmen müssen ein Verständnis über diese Bedrohungsszenarien entwickeln und anhand von Tools und Prozessen Schutzvorkehrungen treffen. Nur so kann ein produktives und gleichzeitig sicheres Arbeiten von unterwegs ermöglicht werden.

Eine Zusammenfassung der aktuellen Studie können Anwenderunternehmen hier kostenfrei anfordern.

Kontakt

IDC Central Europe GmbH
Hanauer Landstraße 182 D
D-60314 Frankfurt am Main
Katja Schmalen
Marketing Director

Bilder

Social Media