Myimagine - Fotolia

iPass: Widersprüche beim sicheren Wi-Fi-Zugriff auf Unternehmensdaten

Deutsche CIOs trauen Angestellten bei der VPN-Nutzung mehr zu als ihre internationalen Kollegen, sehen sie aber stärker als Unsicherheitsfaktor.

Wasch mir den Pelz, aber mach mich nicht nass. Eine Redensart, die das Dilemma von Wi-Fi auf den Punkt bringt. Die Vorteile dieser Technologie liegen auf der Hand, aber mit ihren Nachteilen verantwortungsvoll umzugehen, fällt vielen Firmen schwer.

Rund zwei Drittel (66 Prozent) der Unternehmen untersagen ihren mobilen Mitarbeitern, kostenlose Wi-Fi-Hotspots zu nutzen. Weitere 24 Prozent der Unternehmen planen, künftig Verbote einzuführen. Das geht aus einer aktuellen Studie hervor, die iPass – ein in Kalifornien ansässiger IT-Dienstleister für mobile Konnektivität – beim unabhängigen Marktforschungsunternehmen Vanson Bourne in Auftrag gegeben hat. Das Unternehmen bietet Wi-Fi-Konnektivität für beliebige Endgeräte über Cloud-basierte Services, die auf einer SaaS-Plattform aufbauen.

Der Mobile Security Report gibt einen Überblick über die Frage, wie Unternehmen mit der Gratwanderung zwischen Sicherheit und den Anforderungen mobiler Mitarbeiter umgehen. Vanson Bourne führte die Untersuchung im März 2016 durch. Die Stichprobe umfasste 500 CIOs und IT-Entscheider aus den USA (200), Großbritannien (100), Deutschland (100) und Frankreich (100).

Tatsächlich gab die Mehrheit (87 Prozent) an, wegen der Herausforderungen, die eine wachsende mobile Belegschaft an die Sicherheit stelle, besorgt zu sein. „Wi-Fi ist eine disruptive Technologie; sie hat die Arbeitsweise der Menschen verändert, in letzter Zeit aber auch für wachsende Besorgnis in Hinblick auf mobile Sicherheit gesorgt“, sagt Mato Petrusic, Vice President EMEA & APAC bei iPass.

Keine Vor- ohne Nachteile

Plus und Minus von drahtlosen Technologien liegen eng beieinander: „Mobiles Arbeiten kann nicht nur zu einer Erhöhung der Firmenbindung und Produktivität führen, sondern hat auch Sicherheitsbedenken ausgelöst, wenn Mitarbeiter auf Firmendaten aus einer Reihe von verschiedenen Orten zugreifen und darüber hinaus verschiede Geräte und Methoden nutzen“, so Petrusic. Zusammen mit dem gewaltigen Wachstum von freien und oft unsicheren Wi-Fi-Hotspots biete diese Entwicklung für Cyberkriminelle eine Vielzahl an Möglichkeiten für Identitätsklau und den Diebstahl von großen Mengen an Unternehmensdaten. Unter den allgemeinen Gefahren lauerten laut Petrusic besonders Man-in-the-Middle- und Packet-Sniffing-Attacken, die personenbezogene und firmeninterne Daten bedrohen. „Verständlicherweise wird die mobile Sicherheit zu einer Priorität für Unternehmen, die ihre Mitarbeiter produktiv halten und schützen wollen“, so Petrusic.

Bei genauerem Hinsehen unterscheidet sich jedoch ein Großteil der Antworten – abhängig vom Land, aus dem sie stammen, der Größe der Unternehmen sowie der Branche. So bejahen nur 28 Prozent der mittelständischen Unternehmen zwischen 1.000 und 3.000 Mitarbeitern die Frage, inwiefern sie in freien Wi-Fi Hotspots eine Gefahr sähen. Bei Unternehmen mit mehr als 3.000 Angestellten sind das dagegen 58 Prozent.

Um sichere Verbindungen zu gewährleisten, haben viele Organisationen ihren mobilen Mitarbeitern Virtual Private Networks (VPN) eingerichtet, damit sie etwa von zuhause oder dem Flughafen aus auf Unternehmensdaten und -systeme zugreifen können. Dem Bericht zufolge sind aber nur 26 Prozent der Befragten voll davon überzeugt, dass mobile Mitarbeiter stets über ein VPN die Unternehmenssysteme nutzen. Soweit der Mittelwert. Bei genauer Betrachtung sind es ausgerechnet die USA, die ihren Mitarbeitern zu nur 21 Prozent vertrauen. In Deutschland sieht das Ergebnis etwas besser aus, immerhin 33 Prozent bejahen hierzulande die Nutzung des hauseigenen VPNs wie vorgesehen.

Petrusic hat eine Erklärung für das geringe Vertrauen von IT-Security-Managern in die Mitarbeiter ihres Unternehmens: „Normalerweise müssen VPNs von Unternehmen jedes Mal aktiviert werden, wenn ein User sich damit verbinden will. Allerdings, wenn man in Betracht zieht, dass nicht jeder Mitarbeiter über das gleiche technische Wissen verfügt und weiß, wie er ein VPN benutzt und die Vorgehensweise darüber hinaus von Gerät zu Gerät unterschiedlich ist, dann gibt es keine Garantie dafür, dass mobile Arbeiter auch das VPN nutzen werden, wenn sie ins Internet gehen.“

„Mobile Arbeiter müssen wissen, wie sie unterwegs eine sichere Verbindung herstellen – als Alternative zu unsicheren Wi-Fi-Hotspots.“

Mato Petrusic, iPass

Auch bei der Gewichtung der drei größten Sicherheitslecks unterscheiden sich die Antworten aus den USA und Deutschland erheblich. Während mehr als die Hälfte der US-amerikanischen IT-Security-Verantwortlichen angibt, freie Wi-Fi-Hotspots seien für sie das größte Sicherheitsproblem, sind es in Deutschland nicht einmal ein Drittel der Befragten. Dafür sehen deutsche IT-Sicherheits-Manager eher die Mitarbeiter als Unsicherheitsfaktor – ein Widerspruch, denn in puncto VPN-Nutzung trauen sie ihnen wohl mehr zu.

Die Konsequenzen aus der Studie liegen für Petrusic auf der Hand: „Wir haben die Sicherheit für unser Produktangebot mit einem VPN-Tunnel zwischen dem User und dem sicheren Internet-Gateway erhöht. Allgemein ist die letzte Meile der Punkt, wo die Nutzerdaten am verwundbarsten sind, aber mit VPN-Funktionalitäten sind die Daten maskiert und verschlüsselt.

Sicherheitsrichtlinien regeln Wi-Fi-Nutzung

Laut Studie ist eine große Anzahl (90 Prozent) an Organisationen bemüht, eine Richtlinie zur sichereren mobilen Nutzung konsequent durchzusetzen. „Mobile Arbeiter sind erfindungsreich, wenn es darum geht, nach Möglichkeiten zur Wireless Connectivity zu suchen“, konstatiert Petrusic. „Es ist wichtig, mobile Arbeiter darüber aufzuklären, wie sie unterwegs eine sichere Verbindung herstellen – als Alternative zu einem unsicheren Wi-Fi-Hotspot. Diese Maßnahme schützt nicht nur den Mitarbeiter, sondern auch das Unternehmen, für das er arbeitet.“

Petrusic definiert paar einfache Regeln, um sich zu schützen. „Die offensichtlichste dieser Regeln ist natürlich, es generell zu vermeiden, sensible Informationen zu senden oder zu öffnen, wenn man sich nicht über die Sicherheit der kostenlosen Wi-Fi-Hotspots im Klaren ist. Als nächstes sollte man einen Passwort-Manager benutzen. Diese Software generiert neue Zugangsdaten per Zufallsgenerator bei jedem Login-Vorgang, so dass selbst wenn ein verwendetes Passwort abgefangen wurde, es nicht mehr für die Kriminellen funktioniert. In diesem Zusammenhang kann eine Lösung wie der globale Connectivity Service eine Option sein.“ Netzwerk-Administratoren sollten außerdem die Risiken begrenzen, in dem sie strikte Authentisierungsrichtlinien etablieren, um den Zugang zum internen Netzwerk streng zu kontrollieren. „Neben der Aktivierung des firmeneigenen VPNs rate ich IT-Managern darüber hinaus, den Zugang von allen unbestätigten IP-Adressen zu sperren.“

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Netzwerksicherheit

ComputerWeekly.de

Close