Own Device: Im Krisenfall Fluch oder Segen ?

Als Ende Juni in einigen Teilen der Welt die Erpressersoftware Petya/Notpetya zuschlug, befanden sich viele Unternehmen schlagartig im Ausnahmezustand. Nur wenige Wochen nachdem das Schadprogramm WannaCry mehr als 200.000 Computer befallen und Unheil in nie dagewesenem Ausmaß angerichtet hatte, legte sein böser Zwilling erneut hundert-tausende Computer weltweit lahm und richtete massiven, noch immer nicht eindeutig bezifferten, wirtschaftlichen Schaden an. Für das Jahr 2016 bezifferte das BKA den alleine in Deutschland durch Cyberkriminalität entstanden Schaden auf über 51 Millionen Euro, Tendenz steigend. Die beiden großen Cyberangriffe des Jahres 2017 haben vielen Unternehmen ihre eigenen – zum Teil unterschätzten – Sicherheitsrisiken aufgezeigt.

Petya/Notpetya legte unter anderem die IT-Systeme der Reederei Maersk an verschiedenen Standorten weltweit lahm, sodass das dänische Unternehmen auf die manuelle, handschrift-liche Nachverfolgung der Be- und Entladung von Frachtcontainern umstellen musste. Auch der Lebensmittelriese Mondelez war betroffen: Die Produktion in einem zum Konzern gehörenden Milka-Werk in Lörrach stand tagelang still. Und in der Hamburger Zentrale von Beiersdorf (Nivea), aber auch an einigen Standorten weltweit, fiel die komplette IT- und Telefonanlage aus, weshalb viele Mitarbeiter nach Hause geschickt wurden.

Angesichts dieser Notlage griffen viele Mitarbeiter der betroffenen Unternehmen auf ihr eigenes Smartphone zurück – ganz im Sinne von BYOD (Bring Your Own Device) – um den Betrieb so weit wie möglich aufrecht zu erhalten. Grundsätzlich treiben Smartphones die mobile Strategie von Industriebetrieben rasant voran; allerdings bevorzugen Unternehmen dabei in der Regel Business-Geräte. Die Nutzung privater Geräte als Arbeitsmittel ist – obwohl in diesem Fall für viele ein Retter in der Not – in Unternehmen häufig unerwünscht. Und das nicht umsonst: Als externe, nicht in der unternehmenseigenen IT-Infrastruktur integrierte Geräte bergen sie viele Sicherheitsrisiken:

1. Unerwünschte Datenweitergabe: Wer private und geschäftliche Daten auf seinem persönlichen Mobilgerät speichert, läuft Gefahr, sensible Informationen ungewollt in unautorisierte Hände zu geben. Viele Apps sammeln beispielsweise Daten und stellen diese den Entwicklern oder gar Kooperationspartnern zur Verfügung.
2. Weniger Kontrolle durch IT-Abteilung: Die Einstellungen und Anwendungen auf privaten Geräten können von der unternehmenseigenen IT-Abteilung kaum kontrolliert werden. So wird Nutzungsverhalten, das die Datensicherheit gefährden könnte, nicht erkannt – etwa das Surfen auf möglicherweise schädlichen Websites und andere Einfallstore für Trojaner oder Spyware. Auch Sicherheitsupdates können so nicht zentral gesteuert und installiert werden, sodass Nutzer Geschäftsdaten unnötigen Sicherheitslücken aussetzen.
3. Geringere Netzwerksicherheit: Unternehmensnetzwerke sind in der Regel besser geschützt als private, sodass Daten auf Unternehmensgeräten seltener verloren gehen und im Falle von Cyberangriffen besser wiederhergestellt werden können.
4. Schwachstelle Betriebssystem: Mit der Zunahme von Cyberattacken auf Android-Betriebssysteme gewinnen regelmäßige Softwareupdates erheblich an Bedeutung. Doch viele private Geräte verfügen nicht über das neueste Betriebssystem, Updates werden nicht installiert oder der Support für ältere Smartphones endet irgendwann ganz. Software von Unternehmensgeräten kann dagegen länger mit Updates auf den neuesten Sicherheits-standard gebracht werden, während Service-Vereinbarungen mit den Herstellern die sachgemäße Wartung gewährleisten.

Den Cyberangriffen widerstehen
Doch auch die Sicherheit von Unternehmensgeräten müssen IT-Abteilungen regelmäßig auf den Prüfstein stellen. Immer mehr Menschen nutzen privat wie beruflich Mobilgeräte, insbesondere mit dem Android-Betriebssystem – laut Kantar lag dessen Marktanteil in Deutschland im Mai 2017 bei über 80 Prozent. Somit stellen Android-Geräte für Hacker ein immer lohnenderes Angriffsziel dar, wie die Zahlen des Sicherheitssoftware-Unternehmens ESET zeigen: Die Anzahl der entdeckten Cyberangriffe auf Android-Geräte ist seit 2014 um jährlich bis zu 50 Prozent gestiegen.

Entscheidend ist deshalb, dass die IT-Verantwortlichen in Unternehmen die notwendigen Voraussetzungen schaffen, um das Betriebssystem der Geräte – das größte Einfallstor für Malware – immer mit den neuesten Sicherheitsupdates zu versorgen. Auch andere Software sollte stets schnellstmöglich gepatcht werden, sobald ein Update veröffentlicht wird. Zudem ist es ratsam, wenn möglich Business-Anwendungen zu nutzen, gerade in Industriebetrieben mit sehr spezifischen Anforderungen. Und schließlich sollten Unternehmen ihre Mitarbeiter über Risiken und Nutzungsverhalten aufklären, denn häufig ist das größte Sicherheitsrisiko nicht das Mobilgerät, sondern sein Benutzer.

von Alexander Honigmann, Sales Director Industry and Logistics Germany bei Zebra Technologies