Suche
  • Löwenstein Enterprise Mobile Security Consulting
  • info@loenco.de
Suche Menü

Leistungen

Wir sind die Problemlöser, wenn es um Fragen der „sicheren“ Firmenkommunikation mit mobilen Endgeräten geht: Risikoanalyse, Beratung, Evaluierung, Device Management. Wir sind ihre „Senior Mobile Officers“ to hire.

Die Loenco GmbH bewertet und berät:

Mobility

In Unternehmen regeln Mobile Device Management Systeme derzeit die Installation und den Rollout von Apps mit Hilfe von Black- und White-Lists. Diese meist mitgelieferten Listen müssen händisch von Mitarbeitern angepasst werden, welche oft nicht die notwendige Kompetenz dazu mitbringen. Auch werden Apps auf Anweisung ohne jegliche Prüfung freigegeben.

Die Gefährdung von unternehmensrelevanten Daten durch unerwünschte Funktionsaufrufe und Datenweiterleitungen von Apps werden weder vom Mobile Device Management System selbst bewertet noch sollte es allein den Mitarbeitern überlassen werden.
Bisher bieten nur wenige Mobile Device Management Systeme Schnittstellen an, die eine automatisierte, externe Überprüfung von Apps zulassen.

Die für eine Prüfung von Apps eingesetzten Kriterien müssen mit der Unternehmens-Compliance abgestimmt werden um das konkrete Gefährdungspotential einer App bewerten zu können.
Wir können bei der Umsetzung einer App-Prüfung auf Partnerschaften mit unabhängigen, deutschen Unternehmen zurückgreifen, die Sicherheitszertifikate für Apps anhand nachvollziehbarer Kriterienkataloge ausstellen. Dabei können zeitnah auch Folgeversionen von Apps getestet und in die Mobile Device Management Systeme eingebunden werden.

Die Security-Bewertung von Apps und mobilen Endgeräten durch Leistungsangebote des TÜV Rheinland oder deutscher Telekommunikationsanbieter scheinen qualifizierte Angebote am Markt zu sein. Viele der Anbieter sind allerdings durch ihre Partnerschaften mit den Herstellern der umsatzstärksten Apps als voreingenommen zu bewerten.

Wir bieten ihnen unsere unabhängige Beratung gerne im Verbund mit unseren Partnern an, die uns mit ihrer Kompetenz zu einem starken Team machen.

Automotive

Im automobilen Umfeld wird eine Vielzahl von eingebetteten Systemen eingesetzt. Das Autoradio ist zu einer Medien- und Kommunikationsplattform geworden. Wird das Smartphone mit dem Autoradio verbunden, können dabei Kontaktdaten, Adressen und andere geschäftliche Daten auf das „Radio“ übertragen werden. Dies ist für die einfachere Bedienung der Freisprecheinrichtung und der Navigation grundsätzlich von Vorteil.

Im privaten Fahrzeug ist diese Datenübertragung oberflächlich gesehen kein Problem. Sobald jedoch Polizei, Hersteller oder Werkstatt von der Möglichkeit stärker Gebrauch machen, die verfügbaren Daten abzugreifen und auszuwerten, kann dies unangenehme Folgen haben. Auch der Navigationssystemhersteller kann Kontaktdaten und Anrufe, Bewegungsprofile und Nutzungszeiten mit seinen Firmenservern synchronisieren lassen.

In einem Leihwagen oder gemeinsam genutzten Firmenwagen bleiben die Daten auch nach der Rückgabe des Wagens meist gespeichert. Jeder zukünftige Fahrer oder die Leihwagenfirma kann sich einfach Zugriff darauf verschaffen und die Daten auslesen. Zusammen mit der GPS-Ortung über das Navigationsystem oder den automatischen Autonotruf „eCall“ ergibt sich ein Bewegungs- und Kommunikationsprofil, das Rückschlüsse auf Kundenkontakte, Fahrstil, Verkehrsverstöße uns sogar Lebensgewohnheiten zulässt.

Das vernetzte Auto gibt schon heute sehr viele kritische Daten preis. Eine gute Mobile-Device-Strategie bezieht daher auch das Auto mit seinen Datenströmen in die Risikobewertung ein.

Security Supervision

Seit den Veröffentlichungen von Edward Snowden müssen in der vertraulichen Kommunikation mobile Endgeräte als sicherheitskritische Endgeräte bewerten werden – so sieht es u.a. das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Unser Wissen im Bereich IT-Security und Mobile Security stützt sich aus unserer bisherigen Berufserfahrung und unter anderem auf die Mitentwicklung und das Testen der vom BSI zertifizierten, hochsicheren SiMKo3-Lösung (a.k.a. Kanzlertelefon oder Merkelphone), deren Architektur und Hardwareplattform. Wir kennen uns auch mit den Standards und Regelungen zu den Datenschutzgesetzen aus, und müssen erkennen, das normierende Standardwerke oder die Werke des Gesetzgebers immer weniger weiterhelfen.

Wir orientieren uns bei Sicherheit in Enterprises mit mobilen Endgeräten an diesen Leistungsmerkmalen:

Umfassende Risikoanalyse und Riskobewertung – Evaluierung
Bevor neue mobile Endgeräte im Unternehmenseinsatz betrieben werden, sollte der Vorstand / die Geschäftsführung dem neuen Gerät und seinem Betriebssystem und installierten Apps (also nicht nur den technischen Eigenschaften) zustimmen. Der Prozess dazu und die Entscheidungskritierien müssen neu ausgearbeitet werden, wobei wir gerne beraten.

Apps unternehmensintern anwenden -aber nach welchen Richtlinien
Die Anwendung von Apps für mobile Endgeräte im Unternehmenseinsatz sollte nach unternehmensinternen Sicherheitsrichtlinien erfolgen. Bei einem Verzicht darauf sollte dies unternehmensweit für jede App im Appstore des Unternehmens bekannt sein, damit das sich daraus ergebende Risiko von allen Unternehmensbereichen bewertet werden kann, bevor die Anwendungen in irgendeiner der Abteilungen zum Einsatz kommen.   Wir informieren dazu worauf es ankommt.

Sichere Apps anstatt Meldungen über Sicherheit
Bei der Entwicklung von Apps sollten Sicherheitsfeatures integriert worden sein anstatt dem Benutzer Meldungen aus dem Inneren des Smartphone Betriebssystems anzuzeigen, die Sicherheit ohne den erkennbaren Nutzen für den Mitarbeiter suggerieren sollen. Wir erzählen, wie und wozu Apps auf dem Prüfstand nicht erst beim Einkauf bewertet werden sollten.

Gelebte sichere Kommunikation
Die unternehmensinternen Sicherheitsrichtlinien für die mobile Kommunikation müssen gelebt werden, anstatt sie in einem Strategiepapier für den Vorstand oder als kleingedruckte Anlage zum Arbeitsvertrag zu verstecken.  Klingt simpel.

Prozesse definieren alleine reicht nicht
Prozesse müssen klar sein, ebenso wie die Konsequenzen daraus. Aber welche Konsequenzen sind zu ziehen?

Für qualifiziertes Wissen sorgen was sichere Kommunikation mit mobilen Endgeräten meint
Die Weiterbildung der Mitarbeiter zur sicheren Kommunikation ist entscheidend und sollte auch Weiterbildung meinen – und sich nicht im Gegenzeichnen einer unternehmensintern geltenden Liste von Verboten durch den Mitarbeiter erschöpfen. Wenn Mitarbeiter nicht wissen oder nicht verstanden haben, warum sie ihre mobilen Endgeräte und deren Kommunikation absichern sollten, dann gefährden sie die gesetzten Unternehmensziele.

Warum mobile Anwendungen auf Smartphones sichere Kommunikationsprozesse nutzen müssen
Der Einsatz von mobilen Geräten mit funktionierenden Sicherheitsmerkmalen sollte von Mitarbeitern verstanden werden als eines der wichtigsten Features beim erfolgreichen Arbeiten mit mobilen Endgeräten – und nicht als „Ist ein Sicherheitsfeature, weiss nicht warum die App auf dem Smartphone installiert ist, muss ich halt mit Leben und mal den Kollegen fragen wie es auch ohne geht..“ mißverstanden werden. Nur wenn von Mitarbeitern der Sinn hinter Sicherheitsfeatures und deren Überwachung auf mobilen Endgeräten verstanden wurde werden diese aufhören, diese zu ígnorieren und aufhören mit ihren meist erfolgreichen und höchst innvoativen Versuchen die vom Unternehmen installierten Sicherheitsfeatures zu hacken um sie zu umgehen.

Wie jetzt: Überwachung, ob mobile Kommunikation sicher ist?
Entscheidend ist, den Mitarbeiter sichere mobile Kommunikationsprozesse nicht nur bereitzustellen, sondern deren strikte Umsetzung auch jederzeit nachvollziehbar prüfen zu können. Die Ergebnisse und Erfolge der Prüfung sollten den Mitarbeiter offengelegt werden, unabhängig von den dabei festgestellten Erfolgen oder womöglich kritischen Einbrüchen in die sichere Unternehmenskommunikation.

Berichte an die GF – aber worüber?
Die Geschäftsleitung sollte eine regelmäßige Berichterstattung über die aktuelle unternehmensinterne Sicherheitslandschaft fordern, um den Grad der Bedrohung und die Höhe des damit verbundenen Risikos bewerten zu können.

Sichere mobile Kommunikation „messen“ und den Mitarbeitern dazu Feedback geben
Nach einer Verletzung der Unternehmenssicherheit wollen Mitarbeiter mit mobilen Endgeräten verstehen, was auf ihrem Smartphone passiert ist, was die Fehlerursache ware und welche Maßnahmen sie dagegen selbst ergreifen sollten, oder vom Unternehmen angeboten werden. Deshalb sollten die geeigneten Werkzeuge zur Analyse von Verletzungen der Unternehmenssicherheit bereitstehen und von qualifizierten Mitarbeitern oder den beauftragten Partnern  zeitnah zum sicherheitskritischen Ereignis angewandt werden können, um Auswertungen bereitstellen zu können. Wir zeigen worauf es ankommt.

Kurze Wege der Nerds zur Geschäftsleitung: Wenn Gesetze, eine digitale Agenda oder ISO Normen bei der Weiterentwicklung der mobilen Kommunikation im Unternehmenseinsatz nicht mehr nützen
Die sehr kurzen Innovationszyklen der mobilen Kommunikation und die sich daraus ergebenden fehlenden Antworten und Handlungsleitfäden aus anwendbaren Normen von Industrieverbänden oder vom Gesetzgeber im Unternehmen sollten akzeptiert werden als eine reale Zustandsbeschreibung. Zugespitzt formuliert: Mobile Kommunikation wird mit den kürzesten Innovationszyklen aller unternehmensweit wichtigen Prozesse gelebt, vom Wochenplan der Mittagsgerichte in der Kantine einmal abgesehen. Der Gesetzgeber und die normierenden Institute der Industrie und Forschung hinken den technologischen Entwicklungssprüngen mobiler Kommunikation hinterher, und lassen in ihren Werken die notwendige Kompetenz über das was passiert immer mehr vermissen. Mitarbeiter sollten verstehen können, dass gesetzliche Standardregelungen und in der Industrie jahrzehntelang anerkannte Normen die Möglichkeiten und Risiken der mobilen Kommunikation mittlerweile nur noch unqualifiziert beschreiben oder beantworten können. Eine unternehmensinterne Bereitstellung von Infos zu in Erprobung befindlichen Verfahrensweisen einer qualifizierten Bewertung von Chancen und Risiken neu entwickelter mobiler Kommunikationstechnologien sollte jetzt Aufgabe der Geschäftsleitung werden, und diese sollte alle Mitarbeiter mehr als nur einladen sich an der qualifizierten Bewertung aktueller Innovationen und ihrer Risiken und Chancen zu beteiligen. Wie das geht, wissen wir.

Die unternehmesweite mobile Kommunikation in Vertraulichkeitsringe einstufen
In Enterprises sind ohne die von Premiumpartnern und Partnerunternehmen eingekauften oder lizensierten Leistungen die Kernprozesse der Unternehmenskommunikation undenkbar geworden. Deren nüchterne Risikobewertung mit dem Wissen der von Edward Snowden bereitgestellten Informationen  lässt schnell erkennen, welche eingesetzten Leistungen externer Unternehmen zu Risiken für die Vertraulichkeit der internen unternehmenskritischen Vorgänge geworden sind. Deren Ablösung und die Migration auf andere „sicherere“ Lösungen stellt einen über Jahrzehnte zu skalierenden Prozess dar, der also keine kurzfristige Lösung für vertrauliche Kommunikation mit  mobilen Endgeräten bereitstellt.
Deshalb müssen unternehmensweit gültige Ringe der Vertraulichkeit definiert werden, deren innerste Mitglieder die als kritisch erkannten Lösungen externer Partner abgestuft und eingeschränkt nutzen sollten.  Wir halten es für zielführender, wenn  Mitglieder des innersten Rings so bald wie möglich nur ausgewählte mobile Kommunikationslösungen als Insellösungen nutzen, die zeitnah und von einem qualifzierten Einkaufsprozess als geeignete Lösungen für die sichere und vertrauliche Kommunikation bewertet wurden.
Wir sagen: Auch 2014 kann es in Enterprises keine unternehmensweit wirtschaftlich umsetzbare  sichere mobile Kommunikation geben, die für alle Mitarbeiter die gleiche Lösung anbietet. Stattdessen sollten zeitnahe Lösungen bewertet werden, wie teuer eine Lösung für den Abteilungsleiter der Forschung, den Vertriebsmitarbeiter EMEA oder den Hausmeister des HQ wäre, abgestuft nach deren Zugehörigkeit zu Vertraulichkeitsringen. Den Hausmeister des HQ sollten sie übrigens in einem der inneren Ringe einordnen.

Internet of Things

Die Embedded Geräte des Internet of Things werden immer kleiner und in unser tägliches Umfeld integriert, u.a. für die Steuerung von Haushaltsgeräten aber auch zum Messen, zur Diagnose und zur Überwachtung. Fehlen den Geräten bestimmte Eigenschaften, können diese modular nachgerüstet werden, in Hard- sowie in Software. Die Vernetzung dieser Embedded Geräte ist flexibel und ausfalltolerant dank sich selbst organisierender Mesh-Netzwerke. So gelangen die Daten, häufig unverschlüsselt, ins Internet, und lassen sich für beliebige Zwecke verwenden. Die Geräte des Internet of Things sollten daher unbedingt in der Unternehmensstrategie für eine zeitgemäße, sichere Kommunikation berücksichtigt werden. Dies ist erforderlich, um einen Gesamtüberblick über das Gefährdungspotential und die möglichen Gegenmaßnahmen zu erhalten.

Wir prüfen und testen die Geräte und deren Dienste in unserem eigenen Labor mit in Embedded Systemen fachkundigen Mitarbeitern. Dabei betrachten wir Kommunikationsverhalten und -flüsse, Datenanalyse und Übereinstimmung mit der Unternehmens-Compliance. Wir stellen uns für die Security Supervision bei der Migration zum Internet of things in Unternehmen  zur Verfügung.

Gadgets und Wearables

Im Unternehmensumfeld sind nicht nur Smartphones und Tablets aktiv, sondern zunehmend auch intelligente Gadgets wie Fitnesstracker, Smartwatches oder Datenbrillen wie Google Glass. Diese Geräte werden am Körper getragen und dienen der Erfassung von Daten über oder der Anzeige von Daten für den Träger. Ihre Sensoren werden vielfältiger und ausgereifter, um weitere Anwendungsmöglichkeiten zu erschließen. Die so gesammelten Daten werden über eine ständige Bluetoothverbindung zum Smartphone ins Internet übertragen.

Die Menge der erfassten Daten reicht aus, um daraus auf den Träger zurück zuschließen. So kann erfasst werden, ob sich jemand in einem Gebäude oder im Freien aufhält oder in welchem Stockwerk er sich befindet. Die aus den Daten gewonnenen Erkenntnisse erlauben es, ein komplexes Profil einer Person zu erstellen. Das Vorstandsmitglied kann genauso analysiert werden, wie jeder andere Mitarbeiter oder auch Betriebsratsmitglieder.

Erste Veröffentlichungen zeigen, dass die Übertragung der Daten zwischen den Geräten und dem Smartphone zumeist unverschlüsselt erfolgt. Wir prüfen die genutzten Gadgedets und Wearables im eigenen Labor auf die Nutzung von Verschlüsselungstechniken und Inhalt der Datenströme. Für uns ist die Einbeziehung von Gadgedets und Wearables in die Unternehmensstrategie fundamentaler Bestandteil für eine sicherere Unternehmenskommunikation.

Smartphone und Tablets

Unternehmenskommunikation ohne Smartphones oder Tablets ist undenkbar. Dabei gehen die Mitarbeiter auch soweit, ihre privaten Geräte für die Arbeit zu benutzen, wenn das Unternehmen keine eigenen Geräte stellt. Damit einher geht auch die Verwendung der aus dem Privaten bekannten Dienste wie z.B. Dropbox, deren Server häufig außerhalb von Deutschland oder Europa und dem damit verbundenen Datenschutz stehen.

Die Auswahl und der Betrieb eines Mobile Device Management Systems deckt nur einen Teil des Problems ab, der beim Einsatz von Smartphones und Tablets im Unternehmen entsteht. Hier müssen nicht nur die Mitarbeiter aufgeklärt und geschult, sondern auch die eingesetzte Hardware und das Betriebssystem der Smartphones und Tablets evaluiert werden.

Für die marktbeherrschenden Android-Geräte gibt es mittlerweile eine Vielzahl von angepassten Betriebssystemversionen, z.B. Custom ROMs wie Cyanogen Mod. Damit kann das Sicherheitsniveau gegenüber den vom Hersteller ausgelieferten Androidversion erheblich gesteigert werden. Dank der Open Source Basis werden Sicherheitslücken schnell geschlossen und Betriebssystemupdates erfolgen sehr viel häufiger als vom Hersteller des Gerätes.

Wir bieten in diesem Bereich unsere Expertise an, z.B. in der Mitarbeit bei der Definition von Kontrollzielen, -punkten und Kennzahlen (KPI) für die operative IT-Sicherheit sowie Prozess- und Umsetzungskontrolle (IKS) abgeleitet aus dem unternehmensinternen  ISO 27001 basierten Regelwerks der Unternehmenssicherheit zum Informationssicherheitsmanagement (ISMS).

Oder beim Betrieb von Google-freien mit Open Source Software betriebenen und gehärteten Geräten und deren Integration in ihr Unternehmen. Wir  nehmen auch Tests der Smartphone Software  sowie der Hardware vor. Ihre Security Supervision ist unsere Aufgabe.