Mobile Security

Geschäftsführer und andere verantwortliche Manager haften nach Unternehmensgesetzbuch (UGB) für eine ordnungsgemäße, nachhaltige Geschäftsführung. Durch EU-Normen werden ihre Pflichten weiter präzisiert, beispielsweise in Bezug auf IT-Sicherheit und Datenschutz. Mit der Verschärfung der EU-Datenschutz-Grundverordnung (DSGVO), deren Übergangsfrist zum  25. Mai 2018 geendet hat, greifen unter anderem härtere Sanktionen, wenn Daten von Mitarbeitern, Kunden oder Geschäftspartnern nicht ausreichend gesichert wurden und es dadurch zu Datendiebstahl kommt.

Besonderes Augenmerk sollte dabei die Sicherheit mobiler Geräte genießen. Diese wurden in der Vergangenheit oft stiefmütterlich behandelt, während Desktop-PCs standardmäßig hohen Schutz bekamen. Zudem hat der Einsatz von Smartphones und Tablets dazu geführt, dass die weltweite Nutzung des Internets inzwischen zum großen Teil über mobile Geräte erfolgt.

Laut Statista erzeugen mobile Geräte 2018 bereits 52,2 % des gesamten Internet-Traffics
weltweit. 2013 war der Anteil nur 16,2 %. Diese Entwicklung wird sich weiter fortsetzen. Das wissen auch die Angreifer – und dementsprechend konzentrieren sie ihre Angriffe stärker auf Android- und iOSAnwendungen. Die wichtigsten Aspekte, wie Sie mobile Arbeitskonzepte in Ihrem Unternehmen sicherer machen können, haben wir Ihnen auf dieser Seite zusammengestellt.

Mobile Security

T-Mobile Austria GmbH
Digital Business
Rennweg 97-99, A-1030 Wien
Postfach 676 oder 1012, A-1031 Wien
Telefon: +43 (0) 1 / 795 85 -0
impressum@t-mobile.at
Geschäftsführung:
Dr. Andreas Bierwirth, Gero Niemeyer, Mag. Maria Zesch, Dr. Rüdiger Köster, Dr. Sabine Bothe, Jan Willem Stapel FB-Eintrag: Handelsgericht Wien FN 171112 k, UID ATU 45011703, DVR 089829

Erst die Strategie, dann die Investition!

Die Auswirkungen der Hardware- und Software-Verfelchtung bei Smartphones und Tablets.

 

Bei Desktop-PCs, Notebooks und Tablet-PCs auf Basis von x86-Plattformen sind die Anwender weitgehend frei, welche Betriebssysteme und Anwendungen sie auf ihrer Hardware laufen lassen. Lediglich MacOS ist an Apple-Hardware gebunden, ansonsten sind verschiedene Windows-Versionen und Linux-Derivate verfügbar sowie
dazu passende Anwendungen. Nur wenige Sicherheitsfunktionen sind an eine Hardware-Security-Komponente wie das Trusted Platform Modul (TPM) gebunden.

 

In der Regel gibt es hier keine Einschränkungen bei der Auswahl der Sicherheitsmechanismen. Bei
Smartphones und Tablets, die auf ARM-basierenden CPUs aufsetzen, stellt sich die Lage völlig anders dar. Von den ehemals vier großen Betriebssystem-Plattformen sind lediglich zwei relevant: iOS von Apple und Android
von Google. Windows 10 Mobile findet kaum Beachtung bei Kunden und Geräteherstellern, und das
Blackberry-eigene Betriebssystem wurde eingestellt; aktuelle Blackberrys basieren auf Android.

 

Wer ein Sicherheitskonzept für den Einsatz mobiler Geräte im Unternehmen erstellt, muss aber nicht nur nach Apple- oder Google-Welt unterscheiden. Bei Android sind zudem die zur Verfügung stehenden Funktionen eng an die Hardware geknüpft. Leistungsfähigkeit, verfügbare Android-Version und spezifische Anpassungen des
Geräteherstellers schränken die Sicherheitsfunktionen stark ein. Deshalb gilt: Erst wenn die
Sicherheitsstrategie geklärt ist, kann eine Entscheidung über die einzusetzende Hardware getroffen werden.

 

Der umgekehrte Weg – erst „schicke“ Geräte anzuschaffen, dann zu schauen, wie diese abgesichert werden
können – führt im Extremfall in die totale Sackgasse, wenn es keine Sicherheitslösung für diese Hardware gibt. Das Problem zu ignorieren würde die Geschäftsführung haftungsrechtlich angreifbar machen, letztlich bleibt
nur ein vollständiger Neukauf geeigneter Geräte.

Erst wenn die Sicherheitsstrategie geklärt ist, kann eine Entscheidung über die einzusetzende Hardware
getroffen werden.

Ziele einer mobilen Unternehmens-IT definieren

Zunächst sollte geklärt werden, wofür die mobilen Helferlein verwendet werden sollen: Welche Tätigkeiten und Unternehmensprozesse sollen auch mobil zur Verfügung stehen? Dies ist keine rein betriebswirtschaftliche
Frage, bei der es nur um die verbesserte Effizienz unternehmerischer Abläufe geht, sondern hier können sich bereits Änderungen der bisherigen Tätigkeiten bis hin zu einem Wandel des Geschäftsmodells ergeben.

 

Zumindest die Optionen für eine Weiterentwicklung der Geschäftsabläufe sollten geprüft und in die
Konzeption mobiler Arbeitsprozesse integriert werden. Neben den reinen Business-Applikationen sind auch
die Sicherheitslösungen zu hinterfragen: Welchen Datenschutz benötigt man? Welche Management-oder
Security-Funktionen werden benötigt?

Die Digitale Transformation ist eben nicht nur eine Fortsetzung des Alten mit neuen Mitteln.

Anforderungen ableiten: Software...

Aus den so gewonnenen Erkenntnissen lassen sich bereits diverse Anforderungen ableiten. Beispielsweise
welche Business-Applikationen grundsätzlich gebraucht werden oder auch welche Daten zwischen
Unternehmensservern und mobilen Geräten ausgetauscht werden sollen. In der Regel werden die
Informationen nur innerhalb einer Anwendung verfügbar gemacht, nicht in Form von Dateien auf dem Gerät
abgelegt.

 

Hier gilt es zu klären, welche Schnittstellen benötigt werden, welche Datenformate zur Verfügung stehen, und welche Applikationen konkret mit diesen umgehen können; Gleiches gilt für die Security-Applikationen: Gibt
es bereits Enterprise-Mobility- bzw. Mobile-Device-Management-Lösungen (EMM/ MDM) im Unternehmen, auf die aufgesetzt werden soll? Welche Anwendungen ermöglichen die geplanten Schutzfunktionen?

...und Hardware

Wie bereits weiter oben gezeigt, sind die zur Verfügung stehenden Funktionen auch von der Geräte-Hardware abhängig, und diese ist wiederum eng mit dem Betriebssystem verflochten. Wer auf Apples iOS setzt, hat nur die Wahl zwischen wenigen Varianten des einen Herstellers, die sich nur geringfügig unterscheiden,
nämlich– abgesehen von der Farbe und der Bildschirmgröße – vor allem in Speichergröße und der Integration von LTE.

 

Bei Android dagegen sind die Unterschiede enorm, da es ein breites Spektrum an Herstellern und Geräteklassen gibt. Günstige Consumer-Smartphones unterstützen beispielsweise oft nicht die Management-Funktionen
eines MDM oder EMM. Hier sollte im Zweifelsfall der Anforderungskatalog mit dem Hardware-Lieferanten
besprochen werden, um teure Fehlkäufe zu vermeiden.

Android versus iOS

Apple bietet mit iOS eine geschlossene Gerätewelt an. Hier kommen Hard- und Software aus einer Hand.
Applikationen werden nur aus dem Apple-eigenen iTunes-Shop erlaubt, und Updates gibt es im Halbjahres-
Turnus für alle Geräte, die noch nicht den „End of Life“-Status erreicht haben – bei Apple in der Regel nach
fünf Jahren oder später. Der Hersteller von iPhones und iPads hat allerdings erkannt, dass die bisherige
Strategie – Standardgeräte mit einem MDM-Profil nachzurüsten – keine ausreichende Funktionalität bietet.

 

Das Device Enrollment Program (DEP) soll diese Mängel beheben. Unternehmenskunden müssen aber am
Apple Deployment Program teilnehmen, DEP-taugliche Geräte direkt bei Apple oder einem lizenzierten Partner beziehen und eine geeignete MDM-Lösung nutzen. Dann können die iOS-Devices jederzeit vollständig
administriert werden, ohne dass die Unternehmens-IT physischen Zugriff auf das Gerät benötigt.

 

Der Nutzer wiederum kann sich diesem Management nicht entziehen. Google nutzt das Android-
Betriebssystem nicht nur für die eigenen Geräte der Marke Nexus, sondern ist auch OS-Zulieferer für
zahlreiche Hardware-Hersteller. Diese können das Betriebssystem in gewissen Grenzen für die eigenen
Ansprüche modifizieren.

 

Das heißt jedoch auch, dass jedes Android-Update vom Gerätehersteller speziell auf die eigene Hardware
angepasst werden muss – das sparen sich viele Anbieter. So sind zahlreiche veraltete Varianten von Android
im Umlauf, die bestimmte Funktionen nicht anbieten, dafür aber bekannte Lücken aufweisen, die nicht mehr
gepatcht werden.

 

Mobile Security

 

Bei der Auswahl der Hardware ist demnach darauf zu achten, dass diese sowohl von der Leistungsfähigkeit
und der Funktionsausstattung her für den Unternehmenseinsatz geeignet ist, als auch eine Update-Garantie
für einen überschaubaren Zeitraum gegeben wird, in der das Betriebssystem vom Gerätehersteller regelmäßig und zeitnah gepflegt wird.

 

Besondere Aufmerksamkeit verdienen HTC, Huawei und Samsung, die daran arbeiten, den Android-
Befehlssatz um Corporate-Funktionen zu erweitern. Eine echte Alternative zu Apples DEP stellt auf der Android-Plattform Samsungs Lösung Knox Mobile Enrollment (KME) dar. Sie ermöglicht es, das Gerät automatisiert mit einem MDM-Profil des Unternehmens auszustatten und die MDM-Anwendung zu starten.

 

Erfahren Sie, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können -  Whitepaper 
Mobile Sicherheit jetzt herunterladen!

 

Dazu muss das Gerät lediglich zuvor in der MDM-Lösung des Unternehmens registriert werden. Sobald eine
WLAN-Verbindung hergestellt wird, startet Knox Mobile Enrollment seinen Dienst. KME ist Teil der Knox-
Plattform, die nicht auf allen Samsung-Geräten läuft. Auf der Samsung-Website findet sich eine Liste, welches Gerät Knox unterstützt und welche Software-Version damit kompatibel ist.

Mobile Device Management

Stellt das Unternehmen die mobilen Arbeitsmittel zur Verfügung, dann hat es auch die vollständige Kontrolle – zumindest in der Theorie. In der Praxis müssen Regeln erst definiert, dann überwacht und durchgesetzt
werden. 
Mobile Device Management ermöglicht eine zentrale Administration aller Geräte, um diese aktuell und sicher zu halten.

Security in a box: Containerlösungen

Das wichtigste Element des Datenschutzes in einem Unternehmen ist nicht etwa die Firewall, die den Zugang zum Internet überwacht, oder die Schutzsoftware, die auf den einzelnen Geräten installiert ist. Sondern das
Sicherheitskonzept mit seinen Ge- und Verboten, Standards und Richtlinien – den IT-Security-Policies. Sie
legen fest, wie sich Mitarbeiter zu verhalten haben, um die Gefahr von Cyberattacken und Datendiebstahl zu
minimieren.

 

Dies beginnt bei Informationen über Social-Engineering-Attacken, über den Umgang mit Attachements, bis hin zu Regelungen, welche Apps beispielsweise auf einem Smartphone installiert werden dürfen. Mitarbeiter
müssen über verbindliche Verhaltensweisen informiert und von ihrer Sinnhaftigkeit überzeugt werden. In der
Regel wird dies über arbeitsrechtliche Vereinbarungen sowie Schulungen geschehen. Aber auch die
Schutzmaßnahmen der IT-Abteilung leiten sich aus den Policies ab. Diese muss beispielsweise die
Möglichkeit haben, die Einhaltung zu überwachen, Verstöße zu verhindern oder wenigstens zu bemerken und zu sanktionieren. Dazu ist zumindest online Zugriff auf die Geräte nötig, um Einstellungen und Installationen
überprüfen und verändern zu können – entweder manuell oder regelbasiert. 

 

Mobile Security

Durchsetzung der IT-Security-Policies

Das Mittel der Wahl zur Durchsetzung der Security-Policies auf mobilen Geräten ist das Mobile Device
Management
. Dieses sichert der IT-Abteilung die volle Kontrolle über Smartphone und Tablets in allen
sicherheitsrelevanten Fragen. Beispiele sind:

Kontrolle über Inbetriebnahme und Passworterstellung

Ein kritischer Moment ist die erstmalige Inbetriebnahme des mobilen Gerätes. Es muss sichergestellt sein,
dass sich tatsächlich nur ein autorisiertes Gerät mit dem Unternehmensserver verbindet. Zum anderen muss
der Nutzer nach dem ersten Login ein neues Passwort gemäß der geltenden Security-Policies, also mit einer
Mindestlänge und einem vorgegebenen Zeichenmix, erstellen. Nur wenn der richtige Nutzer auf der richtigen Hardware sich mit dem passenden Start-Code einloggt, lässt die Software die Verbindung mit dem
Unternehmensnetzwerk zu und verhindert so den Zugriff mit unternehmensfremden Geräten.

Kontrolle über App-Verwendung per Black-/White-Listing

Welche Apps verwendet werden dürfen, lässt sich über zwei unterschiedliche Strategien festlegen: Beim Whitelisting sind ausschließliche jene Anwendungen zugelassen, die von der Unternehmens-IT vorab definiert
wurden. Das Blacklisting dagegen entspricht einer Ausschlussliste: Nur Anwendungen, die nicht auf der
schwarzen Liste stehen, sind zugelassen.

Kontrolle über das App-Verhalten

Per MDM kann der IT-Administrator auch auf das Verhalten bestimmter Apps Einfluss nehmen. So kann
festgelegt werden, dass sich die Anwendung auf dem 
Mobile Device beispielsweise außerhalb des Firmen-
WLANs ausschließlich per VPN ins Unternehmensnetzwerk einwählt, was die Sicherheit der Datenübertragung deutlich erhöht.

Kontrolle über den Datenzugang

Stellt das MDM eine Regelverletzung fest, zum Beispiel wenn der Nutzer eine unerlaubte App installiert hat,
kann es den Nutzer mit sofortiger Wirkung aus dem Unternehmensnetz aussperren. Er hat dann keinen Zugriff mehr auf Unternehmensinformationen, kann beispielsweise keine E-Mails mehr empfangen oder senden und
keine Kontaktinformationen mehr abrufen. Auch der VPN-Zugang oder die Nutzung von 
Cloud-Services 
können aufgrund regelbasierter Einstellungen automatisiert unterbunden werden.

Kontrolle über Schutzmaßnahmen

Stellt das MDM eine Regelverletzung fest, zum Beispiel wenn der Nutzer eine unerlaubte App installiert hat,
kann es den Nutzer mit sofortiger Wirkung aus dem Unternehmensnetz aussperren. Er hat dann keinen Zugriff mehr auf Unternehmensinformationen, kann beispielsweise keine E-Mails mehr empfangen oder senden und
keine Kontaktinformationen mehr abrufen. Auch der VPN-Zugang oder die Nutzung von 
Cloud-Services 
können aufgrund regelbasierter Einstellungen automatisiert unterbunden werden.

 

  • dafür sorgen, dass Updates von Betriebssystem, Apps und Frameworks unmittelbar nach Erscheinen neuer Patches angestoßen werden;
  • eine automatische Installation und Aktualisierung von Anti-Malware-Lösungen auslösen, wenn neue
    Sicherheitsrisiken auftauchen und dafür zusätzliche Lösungen notwendig werden. Dies betrifft in der
    Regel nur Android-Geräte. Für iOS gibt es bislang erst wenige Angriffsszenarien. Zudem ist Apples App
    Store sehr gut gegen das Einschleusen verseuchter Anwendungen abgesichert.

Security in a box: Containerlösungen

In vielen Unternehmen ist es zulässig, das eigene Smartphone oder das persönliche Tablet auch dienstlich zu gebrauchen. Ist das so, dann müssen private und unternehmenseigene Daten streng voneinander abgeschottet werden. Mittels Applikations- und Daten-Containern kann dies unter Einhaltung der Datenschutzvorschriften
für beide Seiten zufriedenstellend gelöst werden.

Grundsätzliche Funktionsweise

Container bieten in einer potenziell unsicheren Umgebung – dem privaten mobilen Gerät – einen geschützten Bereich für Applikationen und Daten des Unternehmens. Die Container stellen sicher, dass die Anwendungen
in einem geschützten Umfeld laufen, zudem verhindern sie, dass Unternehmensdaten diese Umgebung
verlassen oder von außen manipuliert werden können. Ein Kopieren aus der Unternehmens-App, die im
Container läuft, in eine Facebook-Gruppe, die über die private App aufgerufen wurde, ist so beispielsweise
nicht möglich.

 

In der Praxis verhält sich ein Container zunächst wie eine App, die nur über ein eigenes Passwort zugänglich
ist: Je nach Charakteristik stellt sie selbst bestimmte Funktionen dar, oder sie präsentiert sich wie eine eigene Bedienoberfläche, die den Zugriff auf weitere – sichere –Unternehmens-Apps ermöglicht. Um eine sichere
Installation und kontinuierliche Pflege der Container zu ermöglichen, bedarf es einer EMM-Lösung (Enterprise Mobility Management). Nur so kann gewährleistet werden, dass einerseits die Privatsphäre des Nutzers
geschützt und andererseits die Integrität der davon abgeschotteten Firmen-Umgebung gesichert ist.

EMM und MDM – was ist was?

Geht es um die Sicherheit von mobilen Geräten im Unternehmenseinsatz empfehlen Experten Konzepte und
Lösungsprodukte sowohl unter dem Begriff 
Mobile Device Management (MDM) als auch unter dem Begriff
Enterprise Mobility Management (EMM). Streng genommen sind die Begriffe nicht synonym zu verwenden.
Mobile Device Management ist ein Software-Werkzeug, mit dem verschiedenste Inventarisierungs- und
Verwaltungsmaßnahmen auf mobile Endgeräte unterschiedlichster mobiler Betriebssysteme angewendet
werden können. Enterprise Mobility Management ist die Summe aller Software Werkzeuge (z.B. MDM) und
Mobilisierungstools, mit denen erreicht wird, dass Unternehmen ihre operativen Prozesse mittels Einsatz
mobiler Endgeräte optimieren können.

Konzeptionelle Unterschiede zwischen Corporate Device und Bring Your own Device

Hintergrund für den Einsatz von Container-Lösungen ist die schwierige Balance nicht nur auf Seiten der
Sicherheit, sondern auch auf Seiten des Datenschutzes bei privaten Geräten. Bei einem COPE-Device
(Corporate Owned, Personally Enabled) oder COBO-Gerät (Corporate Owned, Business Only), also
unternehmenseigenem Smartphone oder Tablet, hat der Administrator weitgehende Zugriffsrechte und kann
dem Nutzer Vorgaben machen, wie das Gerät verwendet werden darf. Beim 
BYOD-Konzept (Bring Your own
Device) ist dies nicht der Fall. 
Es kann nicht verhindert werden, dass der User potenziell unsichere Apps
installiert, die beispielsweise Tastatureingaben oder Adressbücher ausschnüffeln.

 

Erfahren Sie, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können -  Whitepaper
 Mobile Sicherheit jetzt herunterladen!

 

Und auch die Zugriffsrechte des Administrators sind stark eingeschränkt, denn bei einem privaten Gerät sind
die Persönlichkeitsrechte des Nutzers zu beachten. Es darf kein Zugriff auf dessen private Daten erfolgen,
keine Aufzeichnung von Standorten, Bewegungs- oder Nutzungsprofilen. Die Lösung besteht deshalb darin,
für alle Unternehmensanwendungen und -daten eine eigene
Umgebung zu schaffen, die von der privaten Umgebung streng abgeschirmt ist. Diese verhindert auch, dass
beim Backup des Anwenders Unternehmensdaten unverschlüsselt auf der privaten Festplatte landen.

 

Mobile Security

SecurePIM Enterprise / 7P EMM

Auf Apples iOS-Geräten sowie auf Standard Android Devices bietet sich als Alternative zu Samsung Knox die
Anwendung 
SecurePIM Enterprise von Virtual Solution an, die zusammen mit der Enterprise-Mobility-Management-Lösung der Seven Principles Group, 7P EMM, vertrieben wird. E-Mails, Kontakte, Kalender, Notizen, Aufgaben, Dokumente und sogar der Intranet-Zugang werden hier in einem sicheren Container zur Verfügung gestellt, ebenso ein sicherer Browser und ein abgesicherter Zugang zur integrierten Kamera. Seven Principles
und ihr Partner Virtual Solutions sind deutsche Hersteller. Sie betonen ihre Erfahrung im Umgang mit europäischen Datenschutzrechten, die beispielsweise auch die Rechte von Arbeitnehmern und deren Schutz der Privatsphäre umfassen. Dementsprechend sind ihre Lösungen so gestaltet, dass auch Bedenken des Betriebsrats
ausgeräumt werden können.

Samsung Knox

Auf Android-Geräten stellt Samsung Knox eine sehr umfangreiche Technologie-Plattform bereit, die auf einem mehrschichtigen Konzept basiert. Teil der Lösung sind spezielle Hardware-Komponenten, sodass sie nur auf
Knox-kompatiblen Geräten zum Einsatz kommen kann. Die Containerlösung
 KNOX Platform for Enterprise 
sorgt für eine saubere Trennung von privaten und geschäftlichen Anwendungen sowie Daten. Zudem
ermöglicht sie der IT-Administration einen erweiterten Zugriff auf bestimmte Gerätefunktionen. Zahlreiche
hinterlegte IT-Richtlinien und installierte MDM-Richtlinien erleichtern die Verwaltung der Geräte. Die
Integration in das Mobile Device Management eines Unternehmens ist ebenfalls Teil der Lösung. Sie wird
unter dem Namen Knox Mobile Enrollment angeboten.

Android im Unternehmen

Mit Android im Unternehmen, früherer Name Android for Work, bietet Google zumindest grundlegende
Funktionen für den sicheren Einsatz von Android-basierenden Geräten im Unternehmen an. Zentraler Baustein sind „Managed Profiles“, ähnlich der User-Profile auf einem Windows-PC, mit getrennten Arbeitsumgebungen und Speicherbereichen. Vorinstallierte Anwendungen und ein eigener Business-Premium-Bereich zum
Download weiterer Applikationen aus dem Play-Store ergänzen das Konzept. Samsung Knox kann auf diese
Basis aufgesetzt werden.

Blackberry Unified Endpoint Manager (UEM)

Das EMM von Blackberry, das zuvor unter dem Namen Blackberry Enterprise Service 12 (BES12) vertrieben
wurde, nutzt die für einen mobilen Endpunkt spezifischen Sicherheitsmaßnahmen wie Verschlüsselung,
Zertifikate und eben auch den Einsatz von Containern. Neben der eigenen Lösung lassen sich mit Blackberry UEM auch Geräte und Containerlösungen anderer Hersteller verwalten, also beispielsweise native
Containerlösungen wie Android im Unternehmen und
 Samsung KNOX Platform for Enterprise oder alternative Schutzkonzepte wie Windows Information Protection oder Apples iOS-verwaltete Apps.

Weitere Lösungen: Container für Sharepoint, Secure Browser, VPN und mehr

Die vorgestellten Lösungen sind eine gute Grundausstattung, jedoch nicht für jeden Fall ausreichend. Sie
können teils mit zusätzlichen Apps erweitert werden. Zum Teil ist es aber auch angebracht, Anwendungen
über eigene Container zu ergänzen. Damit sind auch die Unternehmensanwendungen gegeneinander
abgeschottet. Oder sie stellen grundsätzliche Funktionen für andere Container bereit, wie ein VPN, das einen
sicheren Zugriff auf die Unternehmensdaten gewährleistet. Auch die Verlagerung des Internet-Zugangs auf das Unternehmensnetzwerk ist möglich. Dann greifen die dort getroffenen Schutzmechanismen und
Zugangsbeschränkungen auch auf dem mobilen Gerät.

Was tun wenn das Gerät weg ist?

70 Prozent der Nutzer von mobilen Geräten haben eines ihrer Devices bereits einmal verloren. In vier von fünf war es die eigene Schuld, Diebstähle machen nur 19 Prozent der Vorkommnisse aus. Und weniger als die
Hälfte der Geräte kehren zu ihrem ursprünglichen Besitze
r zurück. Oft sind die darauf gespeicherten Daten
sehr viel wertvoller als die Hardware. Deshalb gilt es, auch für den Fall, dass ein Gerät abhanden kommt,
Vorsorge in Sachen Datenschutz zu treffen.

Lock & Wipe bei Verlust, Diebstahl und Mitarbeiter-Kündigung...

Für den Umgang mit Verlust bzw. Diebstahl eines Geräts oder mit dem Ausscheiden eines Mitarbeiters aus
dem Unternehmen bieten alle Lösungen zum Mobile Device Management von unternehmenseigenen Geräten
in der Regel zwei Funktionen an: Die softere Lösung LOCK ist das Remote-Sperren des Bildschirms. Hierbei
wird lediglich der Sperrbildschirm aus der Ferne aktiviert. Nur mit den richtigen Zugangsdaten kann man das Gerät weiter nutzen.

 

Die radikalere Lösung WIPE ist einem „remote factory reset“ gleichzusetzen. Dabei werden alle Daten am Gerät aus der Ferne gelöscht. Da die Daten, die sich auf dem Gerät befinden, in der Regel nur ein Abbild der
Informationen von Unternehmensservern sind, gehen der Firma bei einem WIPE keine Informationen verloren. Ein Dieb, ein unehrlicher Finder oder ein gekündigter Mitarbeiter, der noch Zugriff auf das Gerät hat, kann
dann keine Daten mehr entwenden.

 

Erfahren Sie, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können - Whitepaper 
Mobile Sicherheit jetzt herunterladen!

Mobile Security

Selective Wipe

Bei BYOD-Geräten ist besondere Vorsicht geboten: Hier kann von Unternehmensseite aus nicht das komplette Gerät gelöscht werden. Denn damit wären auch die privaten Daten auf dem Gerät verloren. Zudem dürfte das Unternehmen auf den privaten Bereich des Smartphones oder Tablets gar keinen Zugriff haben. Deshalb
werden nur die installierten Container, die per 
Enterprise Mobility Management verwaltet werden, von dem
Gerät gelöscht. Die privaten Daten werden nicht angetastet.

Sperren von Exchange-Zugang und Cloud-Diensten

Ebenso können per MDM und EMM die Zugangsdaten entfernt werden, mit denen beispielsweise auf das
E-Mail-Konto, Kontakte und Termine des Exchange-Servers, auf Cloud- und Webdienste oder auf
Unternehmensserver zugegriffen werden konnte. Dies verhindert sowohl den Datendiebstahl als auch eine
mögliche Zerstörung oder Manipulation von Unternehmensdaten – auch dies ist ein wichtiger Aspekt der
mobilen Datensicherheit.

Rasch löschen, rasch wiederherstellen

Im Falle des Geräteverlustes gibt es nur eines: Die Löschfunktion so schnell wie möglich auslösen, um die
Daten vor Diebstahl und Missbrauch zu schützen. Völlig verkehrt wäre es, zunächst abzuwarten, ob sich das
Gerät wieder einfindet und die „unnötige“ Wiederherstellung vermeiden zu wollen. Denn diese ist mit
Unterstützung eines Enterprise- Mobility-Management-Systems oder einer Mobile-Device-Management-
Lösung völlig unproblematisch. 

 

Die relevanten Daten befinden sich auf den Unternehmensservern, ebenso die Informationen zum Account des Nutzers sowie seinen Zugängen zu Cloud-Diensten und Unternehmensanwendungen. Auch wenn das Mobile Device nicht wieder auftaucht, sondern neue Hardware angeschafft werden muss, kann ein Smartphone oder Tablet innerhalb kurzer Zeit wieder für den Unternehmenseinsatz eingerichtet werden.

Heißt Datensicherheit nicht auch: Backup?

Das Mantra der IT in den vergangenen Jahren war stets, dass Daten nur dann wirklich geschützt sind, wenn es auch ein Backup gibt. Für Desktop-PCs und Notebooks mag das heute noch stimmen. Mobiler Datenschutz
dagegen ist 
nicht auf gerätespezifische Backups angewiesen – jedenfalls wenn die richtige
Anwendungsstrategie gewählt wurde.

Daten nur im Zugriff

Viele Daten, mit denen auf mobilen Devices gearbeitet wird, lagern in der Cloud oder auf
Unternehmensservern und werden lediglich auf das Gerät gespiegelt. Prominentestes Beispiel ist der
Exchange-Server: Er enthält Mails inklusive der Anhänge, Kontaktdaten und den Terminkalender. Werden vom Smartphone aus neue Termine eingetragen, Adressdaten bearbeitet oder E-Mails verschickt, landen die
Änderungen direkt auf dem Exchange-Server.

 

Der Server selbst wird von der Unternehmens-IT gesichert, ein eigenes Backup der Smartphone-Daten ist
somit obsolet. Ähnliches gilt für viele Firmenanwendungen, bei denen die Apps lediglich auf Informationen der Unternehmensserver zugreifen und Veränderungen direkt zurückschreiben – beispielsweise bei
datenbankbasierenden Anwendungen wie SAP.

Dateien auf dem Gerät nur in Containern

Aus Sicherheitsgründen sollten also alle Zugriffe entweder App-, Web- oder Cloud-basiert sein und das
Arbeiten mit Dateien die Ausnahme bleiben. Wenn Files zum Einsatz kommen, werden diese aber besser nicht direkt auf dem Gerät gespeichert. Zumindest einen gewissen Schutz bieten Datei-Container, die im Fall des 
Geräteverlustes per WIPE oder Selective WIPE gelöscht werden können.

 

Ein höheres Sicherheitsniveau erreicht man, wenn auch für diesen Anwendungsfall Cloud-basierende
Lösungen verwendet werden, beispielsweise ein Container für Sharepoint-Services. Dann werden die Daten
automatisch auf den Server übertragen und dort per Backup zusätzlich gesichert.

Finger weg von privaten Daten

Und wie sieht es mit Backups aus, wenn Anwender ihr privates Gerät für Unternehmensaufgaben einsetzen
dürfen? Für diesen Fall gibt es nur eine vernünftige Strategie: Finger weg von privaten Daten. Ein Backup
eines Gerätes, das nicht der vollständigen Kontrolle des IT-Administrators unterliegt, wie es bei Corporate
Devices der Fall ist, bereitet schon konzeptionell gesehen Probleme. Wie soll der Zugriff auf
unternehmensfremde Daten erfolgen? Wie kann sichergestellt werden, dass mit dem Backup keine Malware
auf Unternehmensserver gelangt?

 

Noch gravierender sind die rechtlichen Problemstellungen. Sowohl der Schutz der Privatsphäre des
Angestellten
 als auch der Arbeitnehmerschutz stehen dem Zugriff des Unternehmens auf private Daten
entgegen. Deshalb sollte die Datensicherung eines BYOD-Geräts ausschließlich vom Anwender selbst in seiner privaten IT-Umgebung erfolgen.

 

Mobile Security

Tipp zum Ende des Device Lifecycle

Ob wegen Beschädigung oder mangelnder Unterstützung aktueller Funktionen: Auch das tollste Smartphone muss irgendwann ausgetauscht werden. Dieser Schritt sollte vom Unternehmen von vornherein strategisch
geplant werden, denn es soll ja nur die Hardware das Unternehmen verlassen, keinesfalls die darauf
gespeicherten Daten. Nur selten werden gebrauchsfähige Geräte, die an Mitarbeiter zum privaten Gebrauch
abgegeben werden, von der IT vollständig gelöscht. Im schlimmsten Fall landen diese als Gebrauchtgeräte bei eBay & Co., und die Kontrolle über noch vorhandene Firmendaten geht vollständig verloren.

 

Eine sichere Entsorgung ermöglicht T-Mobile Austria in Kooperation mit Teqcycle über die Website
handyankaufsportal.at mit einem DEKRA-zertifizierten Rücknahmeprozess. Datenschutzkonforme, sichere
Löschung der Geräte, die einer Wiedervermarktung zugeführt werden können, sowie die Wiederverwertung
wertvoller Rohstoffe aus Geräten, die nur noch zum Recycling taugen, sind die wesentlichen Punkte dieses
Rücknahmeprogramms.

 

Über die Smartphones, die weiterverkauft werden, erhält der Einsender einen Nachweis auf Basis der IMEI-
Kennung mit zugehörigem Löschprotokoll. Zudem bekommt er die Erlöse aus der Wiedervermarktung,
abzüglich der entstandenen Kosten. So verbinden sich hier betriebswirtschaftliche Vernunft, Corporate Social Responsibility und Datenschutz.

Fazit Mobile Security

Mobile Security hat zahlreiche Facetten, mit denen sich die Verantwortlichen auseinandersetzen müssen.
Dabei drängt die Zeit: mit zunehmender Nutzung mobiler Geräte für Unternehmensaufgaben steigt das Risiko für Datenverluste und Angriffe über die mobilen Geräte. Zudem muss seit Mai 2018 die neue EU-Datenschutz-Grundverordnung eingehalten werden. Und wenn die Aspekte der mobilen Sicherheit auch noch so zahlreich sind, so gibt es doch umfassende 
Lösungen, die nicht nur das Schutzniveau deutlich erhöhen, sondern auch das Handling der mobilen Geräte für die IT-Administration deutlich vereinfachen. Voraussetzung ist, dass
Geschäftsführer und IT-Abteilungen 
ihren rechtlichen Pflichten nachkommen und sich aktiv um den Datenschutz kümmern –gegebenenfalls auch mit externer Unterstützung.

 

New Call-to-action