Management Summary

 Kobil unterstützt IDG-­‐Studie zu Mobile Security: Unternehmen unterschätzen Risiken Die Studie, an der sich mehr als 600 Unternehmen beteiligten, wurde vom IDG Business
Research Services im Auftrag der Publikationen TecChannel und Computerwoche durchgeführt. Kobil hat die Studie finanziell und fachlich unterstützt. Die ersten Ergebnisse sind bereits in den IDG-­‐Publikationen tecChannel und Computerwoche erschienen. Ein weiterer ausführlicher Bericht, in dem auch unser Corporate Officer Thomas Balgheim die Resultate aus Kobil-­‐Sicht kommentiert, erscheint demnächst. Hier die wichtigsten Ergebnisse mit einigen Einschätzungen von Thomas Balgheim. Diebstahl von Unternehmensdaten als größtes Risiko eingeschätzt Der Studie zufolge halten -­‐ 53,7 Prozent der Umfrageteilnehmer den Diebstahl von Unternehmensdaten für das größte Risiko. 44 Prozent sehen außerdem im Einschleusen von Malware eine große Gefahr und 43 Prozent zählen den Verlust mobiler Geräte zu den drei größten Sicherheitsrisiken.
App-­‐Gefahren werden unterschätzt Welche Gefahren– wie Fake Apps, Man in the Middle Angriffen oder Datenabschöpfung – von Apps ausgehen unterschätzen allerdings die meisten Teilnehmer. Fast 60 Prozent erachten das Risiko, das von mobilen Apps hinsichtlich Datenschutz und Datensicherheit ausgeht, für „eher gering“ oder „gering“. Nur 12,9 Prozent sehen in mobilen Apps ein "großes Risiko", noch weniger ein "sehr großes Risiko". Folgerichtig wird bei der App-­‐Auswahl in erster Linie auf Funktionalität und Usability geachtet. Security-­‐Features oder –Konzepte sind dagegen für weniger als die Hälfte der Befragten ein entscheidendes Auswahlkriterium. Das Vorhandensein von Sicherheitszertifikaten spielt sogar für nur gut 23 Prozent bei der Auswahl eine Rolle. Auch die Absicherung bereits eingesetzter Apps wird nicht besonders nachdrücklich betrieben. So –setzen mit 34 Prozent nur gut ein Drittel der Befragten auf eine Lösung für das Mobile Application Management (MAM).Ebenfalls nur eine Minderheit der Befragten (36,6 %) arbeitet mit einem Blacklisting / Whitelisting mobiler Apps. Allerdings haben 30 Prozent entsprechende Pläne. 40 Prozent haben Mobile-­‐Security-­‐Suiten auf Endgeräten installiert und gut die Hälfte (52 %) verschlüsselt Daten auf mobilen Endgeräten. Ebenfalls häufig im Einsatz sind Maßnahmen zum Identitäts-­‐ und Zugangsmanagement (62 %) sowie Sicherheitszertifikate (59 %). Zwar folgen knapp 51 Prozent der Unternehmen bei Beschaffung und Nutzung mobiler Geräte bestimmten Regeln, aber bei mobilen Apps gibt es nur bei 37,6 Prozent entsprechende Policies. 1 Apps greifen auf Unternehmensdaten zu Apps spielen beim Zugriff auf Unternehmensdaten inzwischen eine wichtige Rolle. 18,5 Prozent der Befragten gaben an, dass sie über Apps auf entsprechenden Business-­‐Software im Backend (z.B.CRM, ERP) auf Kunden-­‐ und andere Unternehmensdaten zugreifen. Insgesamt lassen 40,2 Prozent der Unternehmen externe Partner, Lieferanten oder Kunden auf ihre Daten zugreifen. Dabei scheint dieser Zugriff nicht immer mit Kenntnis der Geschäftsleitungen zu geschehen. Während Befragte aus den Geschäftsleitungen nur zu 28,1 Prozent von bestehenden externen Zugriffsrechten ausgehen, konstatieren die Teilnehmer aus den IT-­‐
Abteilungen solche Rechte zu 43,9 Prozent. Thomas Balgheim hält das App-­‐Risiko für deutlich unterschätzt. „Viele Mitarbeiter wissen gar nicht, welche Gefahren von Apps und von Fake-­‐Apps ausgehen können. Sie setzen darüber hinaus häufig einfache Marketing-­‐Apps gleich mit mobilisierten Business-­‐Prozessen, wie sie SAP und Co immer öfter in Form von Apps anbieten. Laut Studie lassen bereits über 40 Prozent der Unternehmen externe Partner auf ihre Daten zugreifen. Das werden sehr schnell, sehr viel mehr. Wenn man außerdem davon ausgeht, dass künftig sehr viele Businesskommunikation und -­‐Transaktionen über Apps abgewickelt werden, dann sollte Anwender an dieser Stelle sehr viel vorsichtiger sein; ihre Apps gegen Datendiebstahl und andere Missbrauchsformen absichern und vor allem ein robustes Identitäts-­‐ und Autorisierungsmanagement einführen. Knapp 20 Prozent der mobilen Devices werden nicht von der IT geschützt Über von der IT gemanagte Mobilgeräte greifen nur 69,8 Prozent der Studienteilnehmer auf Daten zu. Knapp 20 Prozent der dafür eingesetzten Geräte unterliegen nicht der Kontrolle der IT-­‐Abteilung. In sechs Prozent der Fälle werden Daten sogar unverschlüsselt an Personen außerhalb der IT-­‐Kontrolle gesendet. Weitere fünf Prozent geben an, Daten unverschlüsselt über Cloud-­‐Services wie Dropbox und ebenfalls ohne IT-­‐Kontrolle zu speichern. Unternehmen fehlen Mobile-­‐Kenntnisse und –Erfahrungen Vielen Unternehmen fehlt es laut Studie an spezifischen Mobile-­‐Kenntnissen und -­‐
Erfahrungen. Hinzu kommen Defizite in Sachen Organisation und Prozesse, die einem effizienten Security-­‐Management entgegenstehen. So spielen mobile Aspekte in den Budgets und Sicherheitskonzepten häufig keine Rolle. Thomas Balgheim sieht in diesem Verhalten keine Sorglosigkeit der Unternehmen, sondern eher eine Überforderung: „Die Unternehmen sind mit dem Schutz ihrer Daten, Applikationen und Devices oft überfordert. Es müssen einfach Automatismen geschaffen werden, mit denen Daten geschützt werden. Diese Automatismen sollten nicht zu teuer und nicht zu kompliziert sein. Um ein Sicherheitsbeispiel aus einem anderen Bereich zu nehmen: Wenn Sie Auto fahren, legen sie heute automatisch den Sicherheitsgurt an. Das ist ein einfaches Schutzmittel, das funktioniert und vor allem schon im Auto vorhanden ist. Sie müssen den Gurt weder gesondert kaufen noch ihn gesondert implementieren. So sollte auch mobile Security funktionieren. Möglichst einfach, 2 verlässlich und wenn schon nicht im Produkt vorhanden so doch einfach zu installieren und zu bedienen. Die wichtigsten Faktoren für mehr mobile Sicherheit Aus Sicht der Befragten sind es vor allem drei Faktoren, die eine größere mobile Sicherheit fördern würden. •
•
•
Bessere Absicherung von Apps und mobilen Geräten der Anbieter Eine höhere Sensibilisierung der Mitarbeiter sowie Mehr personelle Ressourcen für das Thema Security Thomas Balgheim sieht ebenfalls eine starke Verantwortung der Anbieter. Anwenderunternehmen müssen erreichen, dass ihre Mitarbeiter die einfachen, leicht zu erfüllenden Sicherheitsregeln einhalten. Den ganzen Rest sollten Unternehmen spezialisierten Anbietern übergeben. Auf Kobil bezogen heißt das: Wir werden als Hersteller alles tun, um unsere Sicherheitslösungen und -­‐produkte so einfach wie möglich bedienbar und sie in die Arbeitsprozesse unserer Kunden integrierbar zu machen, auch in solche Prozesse, die unternehmensübergreifend funktionieren. Über Kobil
Kobil Lösungen sind heute ein Standard für digitale Identität und hochsichere Datentechnologie. 1986
gegründet, ist die 120-Personen starke Kobil Gruppe, mit Hauptsitz in Worms, Pionier in den Bereichen
Smartcard, Einmalpasswort, Authentifikation und Kryptographie.
Kern der Kobil Philosophie ist es, durchgängiges Identitäts- und Mobile Security Management auf allen
Plattformen und allen Kommunikationskanälen zu ermöglichen.
Knapp die Hälfte der Kobil Mitarbeiter sind in der Entwicklung tätig, darunter führende Spezialisten für
Kryptographie. Kobil wirkt bei der Entwicklung neuer Verschlüsselungsstandards entscheidend mit.
Commerzbank, DATEV, Deutscher Bundestag, Migros Bank, Société Générale, UBS, ZDF und viele
andere setzen und vertrauen auf Kobil.
Kontakt
Kobil Systems GmbH
Unternehmenskommunikation
Pfortenring 11
D-67547 Worms
Tél. : +49-6241-3004-21
Fax : +49-6241-3004-80
E-mail : [email protected]
3