Mobile Datensicherheit bei Versicherern: Daten-Container sind nur der erste Schritt

Mobile Device Management-Lösungen reichen nicht aus, um mobile Geräte vor Schadsoftware zu schützen, deshalb bedarf es eines neuen technologischen Ansatzes. Das Smartphone als Ganzes lässt sich nicht zu 100 Prozent vor Cyber-Bedrohungen schützen, deshalb sollten sensible Daten wie E-Mails und Dokumente in einer sicheren Umgebung, wie in einem Container ausgeführt werden. Bestandsaufnahme und Lösungsangebot von Check Point Software.

von Bernd Ullritz, Head of Mobile Business Europe bei Check Point Software Technologies Ltd.

Im Februar 2015 kam es zu einer Cyberattacke auf Anthem, einem großen Krankenversicherer in den USA, dabei sind über 80 Millionen Datensätze von Versicherten gestohlen worden. Die hochsensiblen Daten wurden vermutlich von Kriminellen aus dem Ausland entwendet. Wenn ein Branchenriese ein solches Sicherheitsloch zugeben muss und das FBI eingeschaltet wird, sollten alle Unternehmen im Finanz- und Versicherungsbereich kurz innehalten und ihre momentanen Sicherheitskonzepte überdenken.

Eigentums- und Versicherungsdetails betreffen die intimsten Bereiche und eine Bloßstellung solcher Daten wird von den Opfern nur schwer verziehen. Nirgendwo reagieren Kunden so sensibel auf Datenlecks. Versicherungen und Banken leben vom Vertrauen und dem reinen Gewissen der Kunden. Bedrohungsszenarien haben sich gewandelt. Die Anzahl der Angriffe und die Herausforderung an die IT-Sicherheit werden größer. Für Dienstleister und Firmen aus dem Kapital- und Versicherungsgewerbe gelten eigene Regeln: Sie profitieren besonders von den Möglichkeiten der mobilen Kommunikation, müssen aber gleichzeitig die Sicherheitsrisiken für das komfortablere und flexiblere Arbeiten miteinbeziehen.

MDM nicht mehr auf der Höhe der Zeit

Bisherige Ansätze beim Mobile Device Management (MDM) waren seit jeher nicht in der Lage, den angebrachten Schutz für die Branche zu liefern, suggerierten aber eine gefühlte Sicherheit. Versicherer und Banken arbeiten in einem flexiblen Umfeld, in dem Zweigstellen, Vertriebsmitarbeiter und Partner jederzeit mobil Zugriff auf Firmen- und Kundendaten verlangen. Die Zugriffe benötigten individuelle Freigaben und sollen nach abgestimmten Netzperimetern erfolgen. MDM-Lösungen scheitern nicht allein an der Verwaltung von Privatgeräten und persönlichen Daten der Nutzer, sondern auch an den Defiziten bei Integrität und Vertraulichkeit. 

Zusätzlich haben Nutzer durch MDM-Lösungen weniger Freiheiten und können ihr Endgerät nicht oder kaum frei wählen. IT-Verantwortliche mussten bislang einen großen Aufwand betreiben, um verschiedene Plattformen unterstützen zu können. Durch die hohe Mobilität und Individualität von Mitarbeitern von Versicherungs- oder Finanzdienstleistern ist es schwierig, mit allen Anwendern für eine Einrichtung in Kontakt zu treten und Schulungen zu realisieren.

Remoteverbindungen über Virtuelle private Netzwerke (VPN) bieten nur noch eingeschränkten Schutz. Sie sind machtlos gegen Malware, die Mobilgeräte durch den Aufruf von verseuchten Webseiten oder das Öffnen von Dokumenten befällt. Des Weiteren müssen Finanz- und Versicherungsinformationen gelegentlich von Software-as-a-Service-Seiten abgerufen werden, allerdings greifen VPN-Sicherheitsmechanismen nur, wenn die Daten in den eigenen Büroräumen liegen. Externe Bereiche sind nur schwer integrierbar.

Container-Lösungen für mehr Sicherheit bei BYOD

Containerisierung ist als wichtige nächste Stufe zu sehen, um den Trend zur Nutzung des eigenen mobilen Gerätes durch Mitarbeiter und Partner (BYOD) zu ermöglichen. Dabei wird auf den Mobilgeräten zwischen privaten und geschäftlichen Daten unterschieden und nur die geschäftlichen Daten werden verwaltet.
Durch diese Unterteilung kann man zumindest die Privatsphäre der Mitarbeiter schützen, schafft es jedoch nicht, den vielen Angriffsvektoren angemessen entgegen zu treten. Insbesondere in Zeiten von zunehmenden Bedrohungen durch Advanced Persistent Threats (APTs) muss eine mobile Sicherheitslösung den gleichen Sicherheitsstandard mit einem mehrschichtigen Sicherheitsansatz bieten, wie dies im generellen Firmennetzwerk und traditionellen Perimeter-Ansatz der Fall ist.

Der Check Point-Lösungsansatz: Enterprise Mobility Management

Ein Lösungsansatz stellt Check Point mit der Enterprise Mobility Management-Lösung Check Point Capsule vor. Mit dieser Technologie vereint Check Point sowohl einen sicheren Arbeitsplatz und sichere Dokumente auf mobilen Endgeräten und unterbindet gleichzeitig die Infektion durch bekannte oder unbekannte Schadcodes der selbigen. Für den Anwender entsteht eine benutzerfreundliche Plattform, in der er jederzeit volle Kontrolle über seine Daten hat.

Mit dieser Lösung verfügen Anwender über die notwendige Evolution des Mobile Business, um mobile Geräte und Daten zu schützen und sicheren Zugriff auf Unternehmensressourcen zu ermöglichen. Es stellt der IT-Abteilung eine nahtlose Sicherheitslösung über alle sicherheitsrelevanten Aspekte zur Verfügung, die jede Facette abdeckt. Im Detail geht es um drei Ansätze:

1. Dokumentensicherheit – Die Zugriffsrechte von Dokumenten managen (CapsuleDocs)
2. Sicheres mobiles Arbeiten – Die Arbeitsumgebung auf das Mobilgerät bringen (CapsuleWorkspace)
3. Absicherung mobiler Endgeräte – Das Enforcement aller relevanten Sicherheits-Layer (CapsuleCloud)

Diese drei Bereiche sind die Best-Practice für Banken und Versicherungen. Die Nutzer müssen nicht zwangsläufig direkt im Unternehmen angestellt sein, geben nicht die Kontrolle über Ihre Geräte aus der Hand und können dennoch sicheren Zugang zu Business Informationen erhalten.

Lösungen zur Dokumentensicherheit erlauben die sichere Weitergabe von Dokumenten an Gruppen oder Individuen. Direkt bei der Erstellung werden Dokumente verschlüsselt und Zugriffsrechte vergeben. Dokumente und deren Nutzung können getrackt werden und der Nutzer wird durchweg an die auferlegten Sicherheitsrichtlinien erinnert. Durch die Verschlüsselung können Dateien beispielsweise sicher in eine Dropbox geladen und nur von vorgesehenen Nutzern dechiffriert werden. Wird der Account gehackt, bleiben die Daten verschlüsselt und sind wertlos.

Lösungen zum sicheren mobilen Arbeiten sind die Grundlage für das mobile Büro und ähneln optisch stark dem nativen Arbeitsplatz. Sie sind nicht allein eine E-Mail Plattform, sondern kommen mit allen Applikationen eines normalen Arbeitsplatzes wie beispielsweise mobiles Office, CRM-Systeme, SharePoint oder einem Secure Messenger mit Foto-, Standort oder Upload-Funktion. Sie erlauben sicheren Zugang zu Geschäftsdaten und speichern lokale Daten verschlüsselt in einer Sandbox. Der Status des Gerätes (zum Beispiel eventuelle Jail-Brakes) und Geschäftsdaten können aus der Ferne überwacht, verwaltet und im Zweifel gelöscht werden.

Lösungen, die die Cloud mit mobilen Geräten vereinen, erlauben die Ausweitung der Corporate Security auf Mobilgeräte. Intrusion Prevention Systeme (IPS), Application Control, URL-Filterung, Bot-Detection, Anti-Virus und Threat Emulation (Dokumenten-Sandboxing) werden genauso auf mobile Endgeräte angewendet, als würde der Nutzer am Desktop-PC im Büro sitzen. Das Enforcement solcher Technologien ist aus Sicht Check Points unabdingbar, helfen sie nicht nur die Geräte vor bekanntem oder unbekanntem Schadcode zu schützen, sondern auch für den Fall einer Infektion diese umgehend einzudämmen. Sie verhindern den Abfluss von Daten in Echtzeit und lassen mobile Endgerät nicht zum Einfalltor ins eigene Netzwerk werden. Die Sicherheitsparameter lassen sich dennoch leicht einrichten und können problemlos auf dritte Parteien ausgeweitet werden. Der komplette Traffic wird in die (private) Cloud geleitet und inspiziert, wodurch sich die Sicherheit erhöht und der Aufwand reduziert.

Capsule kommt als Security-as-a-Service Lösung und wird per Nutzer abgerechnet. Capsule Cloud kostet 5 US-Dollar pro User Lizenz pro Monat, die Enterprise Lizenz kostet pro User pro Monat 3 US-Dollar. Für die Lösung Capsule Workspace & Docs bezahlt der einzelne User pro Lizenz 10 US-Dollar und Unternehmen zahlen für die Enterprise Lizenz 5 US-Dollar pro Lizenz und User. Beide Lösungen zusammen kosten pro User pro Monat 15 US-Dollar und die Enterprise Lizenz kostet eben 8 US-Dollar pro User pro Monat.

Kein Einzelfall: Kriminelle haben Finanzunternehmen im Visier

Der Vorfall in den USA ist kein Einzelfall. Daten über Finanz- und Versicherungsverhältnisse sind in den Fokus von Cyber-Kriminellen gerückt. Personenbezogene Daten werden wesentlich höher gehandelt als beispielsweise Kreditkarteninformationen. Die modernen Kommunikationswege in der Branche benötigten angemessene Sicherheitskonzepte. Durch das Ineinandergreifen und die Überschneidung der Sicherheitsmechanismen bieten Lösungen wie Check Point Capsule maximale Sicherheit in einer einzigen integrierten Lösung und schränkt dabei die Mobilität und Flexibilität nicht ein. Grundpfeiler für das neue Konzept sind Datenschutz, Abwehr von Bedrohungen, Sicherung des Netzwerks und die freie Auswahl der Endgeräte bei optimaler Leistung. Das Konzept wurde mit einem Finanzdienstleister entwickelt und kennt die Bedürfnisse der Branche genauaj