Archiv


Anonymisierte Überwachung

IT-Sicherheit. - Je stärker mobile Endgeräte eine Rolle spielen, um so angreifbarer sind die IT-Strukturen. Nicht wenige Unternehmen setzen deshalb auf stärkere Überwachung der Endgeräte und IT-Prozesse - und damit letztlich auch der Mitarbeiter.

Von Peter Welchering |
    Die auf der Nürnberger IT-Sicherheitsmesse itsa diskutierten konkreten Schadensfälle und Prognosen klingen alarmierend: Kriminelle, die sich über ein gestohlenes Smartphone Zugang zum Unternehmensserver verschaffen und dort Schadsoftware für eine Hintertür einschleusen, über die sie immer wieder Konstruktionszeichnungen stehlen. Oder Sabotageaktionen, bei denen Kriminelle via Tablet-PC in den Leitrechner einer Werkzeugmaschine eingedrungen sind und dort falsche Parameter für die Produktion hinterlegt haben. Zukünftig erwarten die Sicherheitsforscher eine Zunahme der Delikte um gut 15 Prozent pro Jahr. Die Sicherheitsprozesse müssten deshalb grundlegend überarbeitet werden. Dr. Oliver Beys, Leiter der Entwicklung Kommunikationsprodukte beim IT-Dienstleister Datev meint:

    "Ich darf mich nicht nur um den mobilen Zugang zu meinem Unternehmen kümmern, sondern ich muss Internet-Security im Unternehmen, für den Zugangspunkt des Unternehmens lösen und realisieren. Punkt 2 betrifft das Thema Authentifizierung. Ich muss jederzeit Klarheit haben, wer wählt sich in mein Unternehmen ein, wie ist die Identität dessen, der Daten im Unternehmen einsehen möchte. Authentifizierung ganz ganz zentraler Punkt."

    Passwörter allein reichen für eine solche Authentifizierung nicht mehr aus. Smartcards, biometrische Daten und Einmal-Zugangscodes, die via SMS für bestimmte IT-Prozesse an die verantwortlichen Mitarbeiter gesandt werden, etablieren sich zunehmend. Zu einem ganzheitlichen Sicherheitskonzept gehört auch das Konfigurationsmanagement. Oliver Beys:

    "Also sicherstellen, dass die mobilen Endgeräte, die der Nutzer dort betreibt, so konfiguriert sind, wie es die Sicherheitspolitik in meinem Unternehmen wünscht und vorstellt und vorschlägt. Und der vierte Punkt, das ist der Klassiker, betrifft natürlich das Thema Verschlüsselung. Die Daten die zwischen dem mobilen Endgerät und dem Unternehmen ausgetauscht werden, müssen natürlich verschlüsselt sein. Und der fünfte und letzte Punkt betrifft das Thema Endgeräte-Security, Security und Schutz der Daten, die auf dem mobilen Endgerät gespeichert. Wenn ich alle diese Punkte abdecke, dann kann ich insgesamt von Security reden."

    Ohne ausgeklügelte Überwachungskonzepte für die Endgeräte und Software-Prozesse geht es dabei nicht. Wenn sich beispielsweise ein Entwicklungsmitarbeiter mit seinem Tablet-PC aus dem Ausland einloggt, obwohl er weder auf Dienstreisen noch im Urlaub ist, dann muss die Überwachungssoftware Alarm schlagen. Otto Loserth vom Sicherheitsanbieter Attachmate.

    "Das hat genau mit diesem Muster der Anwendungserkennung zu tun, natürlich können Sie hier noch aufsetzen und Regeln definieren, wo beispielsweise außerhalb der Geschäftszeiten ein besonderes Augenmerk gerichtet wird oder wenn ein Benutzer sich von zwei Stationen gleichzeitig eingeloggt und dann Aktivitäten startet."

    Das aber darf nicht zur lückenlosen Überwachung jedes einzelnen Mitarbeiters führen. Die haben ein Recht darauf, dass ihr Chef zum Beispiel nicht weiß, wo sie sich mit ihrem Smartphone am Abend außerhalb des Dienstes befinden. Die Überwachung erfolgt deshalb anonym. Und diese Anonymität dürfe nur dann aufgehoben werden, wenn tatsächlich ein gravierender Sicherheitsalarm vorliegt, meint Otto Loserth.

    "Die Mitarbeiter, speziell vertreten durch den Betriebsrat sind natürlich auch daran interessiert, dass hier nicht das Individuum eins zu eins überwacht wird, bei unserer Software stellen wir das sicher, dass wir den einzelnen Mitarbeiter anonymisieren und nur durch einen Zugriffsschlüssel, der durch Vieraugenprinzip freigeschaltet werden muss, zum Beispiel durch Betriebsrat und den Fachvorgesetzten, wird dann der Mitarbeitercode erst freigegeben."