Geschäftsführer und andere verantwortliche Manager haften nach Unternehmensgesetzbuch (UGB) für eine ordnungsgemäße, nachhaltige Geschäftsführung. Durch EU-Normen werden ihre Pflichten weiter präzisiert, beispielsweise in Bezug auf IT-Sicherheit und Datenschutz. Mit der Verschärfung der EU-Datenschutz-Grundverordnung (DSGVO), deren Übergangsfrist zum 25. Mai 2018 geendet hat, greifen unter anderem härtere Sanktionen, wenn Daten von Mitarbeitern, Kunden oder Geschäftspartnern nicht ausreichend gesichert wurden und es dadurch zu Datendiebstahl kommt.
Besonderes Augenmerk sollte dabei die Sicherheit mobiler Geräte genießen. Diese wurden in der Vergangenheit oft stiefmütterlich behandelt, während Desktop-PCs standardmäßig hohen Schutz bekamen. Zudem hat der Einsatz von Smartphones und Tablets dazu geführt, dass die weltweite Nutzung des Internets inzwischen zum großen Teil über mobile Geräte erfolgt.
Laut Statista erzeugen mobile Geräte 2018 bereits 52,2 % des gesamten Internet-Traffics
weltweit. 2013 war der Anteil nur 16,2 %. Diese Entwicklung wird sich weiter fortsetzen. Das wissen auch die Angreifer – und dementsprechend konzentrieren sie ihre Angriffe stärker auf Android- und iOSAnwendungen. Die wichtigsten Aspekte, wie Sie mobile Arbeitskonzepte in Ihrem Unternehmen sicherer machen können, haben wir Ihnen auf dieser Seite zusammengestellt.
Erst die Strategie, dann die Investition!
Die Auswirkungen der Hardware- und Software-Verfelchtung bei Smartphones und Tablets.
Bei Desktop-PCs, Notebooks und Tablet-PCs auf Basis von x86-Plattformen sind die Anwender weitgehend frei, welche Betriebssysteme und Anwendungen sie auf ihrer Hardware laufen lassen. Lediglich MacOS ist an Apple-Hardware gebunden, ansonsten sind verschiedene Windows-Versionen und Linux-Derivate verfügbar sowie dazu passende Anwendungen. Nur wenige Sicherheitsfunktionen sind an eine Hardware-Security- Komponente wie das Trusted Platform Modul (TPM) gebunden.
In der Regel gibt es hier keine Einschränkungen bei der Auswahl der Sicherheitsmechanismen. Bei Smartphones und Tablets, die auf ARM-basierenden CPUs aufsetzen, stellt sich die Lage völlig anders dar. Von den ehemals vier großen Betriebssystem-Plattformen sind lediglich zwei relevant: iOS von Apple und Android von Google. Windows 10 Mobile findet kaum Beachtung bei Kunden und Geräteherstellern, und das Blackberry-eigene Betriebssystem wurde eingestellt; aktuelle Blackberrys basieren auf Android.
Wer ein Sicherheitskonzept für den Einsatz mobiler Geräte im Unternehmen erstellt, muss aber nicht nur nach Apple- oder Google-Welt unterscheiden. Bei Android sind zudem die zur Verfügung stehenden Funktionen eng an die Hardware geknüpft. Leistungsfähigkeit, verfügbare Android-Version und spezifische Anpassungen des Geräteherstellers schränken die Sicherheitsfunktionen stark ein. Deshalb gilt: Erst wenn die Sicherheitsstrategie geklärt ist, kann eine Entscheidung über die einzusetzende Hardware getroffen werden.
Der umgekehrte Weg – erst „schicke“ Geräte anzuschaffen, dann zu schauen, wie diese abgesichert werden können – führt im Extremfall in die totale Sackgasse, wenn es keine Sicherheitslösung für diese Hardware gibt. Das Problem zu ignorieren würde die Geschäftsführung haftungsrechtlich angreifbar machen, letztlich bleibt nur ein vollständiger Neukauf geeigneter Geräte.
Ziele einer mobilen Unternehmens-IT definieren
Zunächst sollte geklärt werden, wofür die mobilen Helferlein verwendet werden sollen: Welche Tätigkeiten und Unternehmensprozesse sollen auch mobil zur Verfügung stehen? Dies ist keine rein
betriebswirtschaftliche Frage, bei der es nur um die verbesserte Effizienz unternehmerischer Abläufe geht, sondern hier können sich bereits Änderungen der bisherigen Tätigkeiten bis hin zu einem Wandel des Geschäftsmodells ergeben.
Zumindest die Optionen für eine Weiterentwicklung der Geschäftsabläufe sollten geprüft und in die Konzeption mobiler Arbeitsprozesse integriert werden. Neben den reinen Business-Applikationen sind auch die Sicherheitslösungen zu hinterfragen: Welchen Datenschutz benötigt man? Welche Management-oder Security-Funktionen werden benötigt?
Die Digitale Transformation ist eben nicht nur eine Fortsetzung des Alten mit neuen Mitteln.
Anforderungen ableiten: Software…
Aus den so gewonnenen Erkenntnissen lassen sich bereits diverse Anforderungen ableiten. Beispielsweise
welche Business-Applikationen grundsätzlich gebraucht werden oder auch welche Daten zwischen
Unternehmensservern und mobilen Geräten ausgetauscht werden sollen. In der Regel werden die
Informationen nur innerhalb einer Anwendung verfügbar gemacht, nicht in Form von Dateien auf dem Gerät
abgelegt.
Hier gilt es zu klären, welche Schnittstellen benötigt werden, welche Datenformate zur Verfügung stehen,
und welche Applikationen konkret mit diesen umgehen können; Gleiches gilt für die Security-Applikationen:
Gibt es bereits Enterprise-Mobility- bzw. Mobile-Device-Management-Lösungen (EMM/ MDM) im
Unternehmen, auf die aufgesetzt werden soll? Welche Anwendungen ermöglichen die geplanten
Schutzfunktionen?
…und Hardware
Wie bereits weiter oben gezeigt, sind die zur Verfügung stehenden Funktionen auch von der Geräte-
Hardware abhängig, und diese ist wiederum eng mit dem Betriebssystem verflochten. Wer auf Apples iOS
setzt, hat nur die Wahl zwischen wenigen Varianten des einen Herstellers, die sich nur geringfügig
unterscheiden, nämlich– abgesehen von der Farbe und der Bildschirmgröße – vor allem in Speichergröße
und der Integration von LTE.
Bei Android dagegen sind die Unterschiede enorm, da es ein breites Spektrum an Herstellern und
Geräteklassen gibt. Günstige Consumer-Smartphones unterstützen beispielsweise oft nicht die
Management-Funktionen eines MDM oder EMM. Hier sollte im Zweifelsfall der Anforderungskatalog mit
dem Hardware-Lieferanten besprochen werden, um teure Fehlkäufe zu vermeiden.
Android versus iOS
Apple bietet mit iOS eine geschlossene Gerätewelt an. Hier kommen Hard- und Software aus einer Hand.
Applikationen werden nur aus dem Apple-eigenen iTunes-Shop erlaubt, und Updates gibt es im Halbjahres-
Turnus für alle Geräte, die noch nicht den „End of Life“-Status erreicht haben – bei Apple in der Regel nach
fünf Jahren oder später. Der Hersteller von iPhones und iPads hat allerdings erkannt, dass die bisherige
Strategie – Standardgeräte mit einem MDM-Profil nachzurüsten – keine ausreichende Funktionalität bietet.
Das Device Enrollment Program (DEP) soll diese Mängel beheben. Unternehmenskunden müssen aber am
Apple Deployment Program teilnehmen, DEP-taugliche Geräte direkt bei Apple oder einem lizenzierten
Partner beziehen und eine geeignete MDM-Lösung nutzen. Dann können die iOS-Devices jederzeit
vollständig administriert werden, ohne dass die Unternehmens-IT physischen Zugriff auf das
Gerät benötigt.
Der Nutzer wiederum kann sich diesem Management nicht entziehen. Google nutzt das Android-
Betriebssystem nicht nur für die eigenen Geräte der Marke Nexus, sondern ist auch OS-Zulieferer für
zahlreiche Hardware-Hersteller. Diese können das Betriebssystem in gewissen Grenzen für die eigenen
Ansprüche modifizieren.
Das heißt jedoch auch, dass jedes Android-Update vom Gerätehersteller speziell auf die eigene Hardware
angepasst werden muss – das sparen sich viele Anbieter. So sind zahlreiche veraltete Varianten von Android
im Umlauf, die bestimmte Funktionen nicht anbieten, dafür aber bekannte Lücken aufweisen, die nicht mehr
gepatcht werden.
Bei der Auswahl der Hardware ist demnach darauf zu achten, dass diese sowohl von der Leistungsfähigkeit
und der Funktionsausstattung her für den Unternehmenseinsatz geeignet ist, als auch eine Update-Garantie
für einen überschaubaren Zeitraum gegeben wird, in der das Betriebssystem vom Gerätehersteller
regelmäßig und zeitnah gepflegt wird.
Besondere Aufmerksamkeit verdienen HTC, Huawei und Samsung, die daran arbeiten, den Android-
Befehlssatz um Corporate-Funktionen zu erweitern. Eine echte Alternative zu Apples DEP stellt auf der
Android-Plattform Samsungs Lösung Knox Mobile Enrollment (KME) dar. Sie ermöglicht es, das Gerät
automatisiert mit einem MDM-Profil des Unternehmens auszustatten und die MDM-Anwendung zu starten.
Dazu muss das Gerät lediglich zuvor in der MDM-Lösung des Unternehmens registriert werden. Sobald eine
WLAN-Verbindung hergestellt wird, startet Knox Mobile Enrollment seinen Dienst. KME ist Teil der Knox-
Plattform, die nicht auf allen Samsung-Geräten läuft. Auf der Samsung-Website findet sich eine Liste,
welches Gerät Knox unterstützt und welche Software-Version damit kompatibel ist.
Mobile Device Management
Stellt das Unternehmen die mobilen Arbeitsmittel zur Verfügung, dann hat es auch die vollständige Kontrolle – zumindest in der Theorie. In der Praxis müssen Regeln erst definiert, dann überwacht und durchgesetzt werden. Mobile Device Management ermöglicht eine zentrale Administration aller Geräte, um diese aktuell und sicher zu halten.
Aufstellen von IT-Security-Policies
Das wichtigste Element des Datenschutzes in einem Unternehmen ist nicht etwa die Firewall, die den Zugang zum Internet überwacht, oder die Schutzsoftware, die auf den einzelnen Geräten installiert ist. Sondern das Sicherheitskonzept mit seinen Ge- und Verboten, Standards und Richtlinien – den IT-Security-Policies. Sie legen fest, wie sich Mitarbeiter zu verhalten haben, um die Gefahr von Cyberattacken und Datendiebstahl zu minimieren.
Dies beginnt bei Informationen über Social-Engineering-Attacken, über den Umgang mit Attachements, bis
hin zu Regelungen, welche Apps beispielsweise auf einem Smartphone installiert werden dürfen.
Mitarbeiter müssen über verbindliche Verhaltensweisen informiert und von ihrer Sinnhaftigkeit überzeugt
werden. In der Regel wird dies über arbeitsrechtliche Vereinbarungen sowie Schulungen geschehen. Aber
auch die Schutzmaßnahmen der IT-Abteilung leiten sich aus den Policies ab. Diese muss beispielsweise
die Möglichkeit haben, die Einhaltung zu überwachen, Verstöße zu verhindern oder wenigstens zu bemerken
und zu sanktionieren. Dazu ist zumindest online Zugriff auf die Geräte nötig, um Einstellungen und
Installationen überprüfen und verändern zu können – entweder manuell oder regelbasiert.
Durchsetzung der IT-Security-Policies
Das Mittel der Wahl zur Durchsetzung der Security-Policies auf mobilen Geräten ist das Mobile Device
Management. Dieses sichert der IT-Abteilung die volle Kontrolle über Smartphone und Tablets in allen
sicherheitsrelevanten Fragen. Beispiele sind:
Kontrolle über Inbetriebnahme und Passworterstellung
Ein kritischer Moment ist die erstmalige Inbetriebnahme des mobilen Gerätes. Es muss sichergestellt sein,
dass sich tatsächlich nur ein autorisiertes Gerät mit dem Unternehmensserver verbindet. Zum anderen muss
der Nutzer nach dem ersten Login ein neues Passwort gemäß der geltenden Security-Policies, also mit einer
Mindestlänge und einem vorgegebenen Zeichenmix, erstellen. Nur wenn der richtige Nutzer auf der richtigen Hardware sich mit dem passenden Start-Code einloggt, lässt die Software die Verbindung mit dem
Unternehmensnetzwerk zu und verhindert so den Zugriff mit unternehmensfremden Geräten.
Kontrolle über App-Verwendung per Black-/White-Listing
Welche Apps verwendet werden dürfen, lässt sich über zwei unterschiedliche Strategien festlegen: Beim
Whitelisting sind ausschließliche jene Anwendungen zugelassen, die von der Unternehmens-IT vorab
definiert wurden. Das Blacklisting dagegen entspricht einer Ausschlussliste: Nur Anwendungen, die nicht auf
der schwarzen Liste stehen, sind zugelassen.
Kontrolle über das App-Verhalten
Per MDM kann der IT-Administrator auch auf das Verhalten bestimmter Apps Einfluss nehmen. So kann
festgelegt werden, dass sich die Anwendung auf dem Mobile Device beispielsweise außerhalb des Firmen-
WLANs ausschließlich per VPN ins Unternehmensnetzwerk einwählt, was die Sicherheit der
Datenübertragung deutlich erhöht.
Kontrolle über den Datenzugang
Stellt das MDM eine Regelverletzung fest, zum Beispiel wenn der Nutzer eine unerlaubte App installiert hat,
kann es den Nutzer mit sofortiger Wirkung aus dem Unternehmensnetz aussperren. Er hat dann keinen
Zugriff mehr auf Unternehmensinformationen, kann beispielsweise keine E-Mails mehr empfangen oder
senden und keine Kontaktinformationen mehr abrufen. Auch der VPN-Zugang oder die Nutzung von
Cloud-Services können aufgrund regelbasierter Einstellungen automatisiert unterbunden werden.
Kontrolle über Schutzmaßnahmen
Stellt das MDM eine Regelverletzung fest, zum Beispiel wenn der Nutzer eine unerlaubte App installiert hat,
kann es den Nutzer mit sofortiger Wirkung aus dem Unternehmensnetz aussperren. Er hat dann keinen
Zugriff mehr auf Unternehmensinformationen, kann beispielsweise keine E-Mails mehr empfangen
oder senden und keine Kontaktinformationen mehr abrufen. Auch der VPN-Zugang oder die Nutzung von
Cloud-Services können aufgrund regelbasierter Einstellungen automatisiert unterbunden werden.
- dafür sorgen, dass Updates von Betriebssystem, Apps und Frameworks unmittelbar nach Erscheinen
neuer Patches angestoßen werden; - eine automatische Installation und Aktualisierung von Anti-Malware-Lösungen auslösen, wenn neue
Sicherheitsrisiken auftauchen und dafür zusätzliche Lösungen notwendig werden. Dies betrifft in der
Regel nur Android-Geräte. Für iOS gibt es bislang erst wenige Angriffsszenarien. Zudem ist Apples App
Store sehr gut gegen das Einschleusen verseuchter Anwendungen abgesichert.
Security in a box: Containerlösungen
In vielen Unternehmen ist es zulässig, das eigene Smartphone oder das persönliche Tablet auch dienstlich zu gebrauchen. Ist das so, dann müssen private und unternehmenseigene Daten streng voneinander
abgeschottet werden. Mittels Applikations- und Daten-Containern kann dies unter Einhaltung der
Datenschutzvorschriften für beide Seiten zufriedenstellend gelöst werden.
Grundsätzliche Funktionsweise
Container bieten in einer potenziell unsicheren Umgebung – dem privaten mobilen Gerät – einen
geschützten Bereich für Applikationen und Daten des Unternehmens. Die Container stellen sicher, dass die
Anwendungen in einem geschützten Umfeld laufen, zudem verhindern sie, dass Unternehmensdaten diese
Umgebung verlassen oder von außen manipuliert werden können. Ein Kopieren aus der Unternehmens-App, die im Container läuft, in eine Facebook-Gruppe, die über die private App aufgerufen wurde, ist so
beispielsweise nicht möglich.
In der Praxis verhält sich ein Container zunächst wie eine App, die nur über ein eigenes Passwort zugänglich
ist: Je nach Charakteristik stellt sie selbst bestimmte Funktionen dar, oder sie präsentiert sich wie eine
eigene Bedienoberfläche, die den Zugriff auf weitere – sichere –Unternehmens-Apps ermöglicht. Um eine
sichere Installation und kontinuierliche Pflege der Container zu ermöglichen, bedarf es einer EMM-Lösung
(Enterprise Mobility Management). Nur so kann gewährleistet werden, dass einerseits die Privatsphäre des
Nutzers geschützt und andererseits die Integrität der davon abgeschotteten Firmen-Umgebung gesichert
ist.
EMM und MDM – was ist was?
Geht es um die Sicherheit von mobilen Geräten im Unternehmenseinsatz empfehlen Experten Konzepte und
Lösungsprodukte sowohl unter dem Begriff Mobile Device Management (MDM) als auch unter dem Begriff
Enterprise Mobility Management (EMM). Streng genommen sind die Begriffe nicht synonym zu verwenden.
Mobile Device Management ist ein Software-Werkzeug, mit dem verschiedenste Inventarisierungs- und
Verwaltungsmaßnahmen auf mobile Endgeräte unterschiedlichster mobiler Betriebssysteme angewendet
werden können. Enterprise Mobility Management ist die Summe aller Software Werkzeuge (z.B. MDM) und
Mobilisierungstools, mit denen erreicht wird, dass Unternehmen ihre operativen Prozesse mittels Einsatz
mobiler Endgeräte optimieren können.
Konzeptionelle Unterschiede zwischen Corporate Device und Bring Your own Device
Hintergrund für den Einsatz von Container-Lösungen ist die schwierige Balance nicht nur auf Seiten der
Sicherheit, sondern auch auf Seiten des Datenschutzes bei privaten Geräten. Bei einem COPE-Device
(Corporate Owned, Personally Enabled) oder COBO-Gerät (Corporate Owned, Business Only), also
unternehmenseigenem Smartphone oder Tablet, hat der Administrator weitgehende Zugriffsrechte und kann
dem Nutzer Vorgaben machen, wie das Gerät verwendet werden darf. Beim BYOD-Konzept (Bring Your own
Device) ist dies nicht der Fall. Es kann nicht verhindert werden, dass der User potenziell unsichere Apps
installiert, die beispielsweise Tastatureingaben oder Adressbücher ausschnüffeln.
Und auch die Zugriffsrechte des Administrators sind stark eingeschränkt, denn bei einem privaten Gerät sind
die Persönlichkeitsrechte des Nutzers zu beachten. Es darf kein Zugriff auf dessen private Daten erfolgen,
keine Aufzeichnung von Standorten, Bewegungs- oder Nutzungsprofilen. Die Lösung besteht deshalb darin,
für alle Unternehmensanwendungen und -daten eine eigene Umgebung zu schaffen, die von der
privaten Umgebung streng abgeschirmt ist. Diese verhindert auch, dass beim Backup des Anwenders
Unternehmensdaten unverschlüsselt auf der privaten Festplatte landen.
SecurePIM Enterprise / 7P EMM
Auf Apples iOS-Geräten sowie auf Standard Android Devices bietet sich als Alternative zu Samsung Knox die
Anwendung SecurePIM Enterprise von Virtual Solution an, die zusammen mit der Enterprise-Mobility-
Management-Lösung der Seven Principles Group, 7P EMM, vertrieben wird. E-Mails, Kontakte, Kalender,
Notizen, Aufgaben, Dokumente und sogar der Intranet-Zugang werden hier in einem sicheren Container zur
Verfügung gestellt, ebenso ein sicherer Browser und ein abgesicherter Zugang zur integrierten Kamera.
Seven Principles und ihr Partner Virtual Solutions sind deutsche Hersteller. Sie betonen ihre Erfahrung im
Umgang mit europäischen Datenschutzrechten, die beispielsweise auch die Rechte von Arbeitnehmern und
deren Schutz der Privatsphäre umfassen. Dementsprechend sind ihre Lösungen so gestaltet, dass auch
Bedenken des Betriebsrats ausgeräumt werden können.
Samsung Knox
Auf Android-Geräten stellt Samsung Knox eine sehr umfangreiche Technologie-Plattform bereit, die auf
einem mehrschichtigen Konzept basiert. Teil der Lösung sind spezielle Hardware-Komponenten, sodass sie
nur auf Knox-kompatiblen Geräten zum Einsatz kommen kann. Die Containerlösung KNOX Platform for
Enterprise sorgt für eine saubere Trennung von privaten und geschäftlichen Anwendungen sowie Daten.
Zudem ermöglicht sie der IT-Administration einen erweiterten Zugriff auf bestimmte Gerätefunktionen.
Zahlreiche hinterlegte IT-Richtlinien und installierte MDM-Richtlinien erleichtern die Verwaltung der Geräte.
Die Integration in das Mobile Device Management eines Unternehmens ist ebenfalls Teil der Lösung.
Sie wird unter dem Namen Knox Mobile Enrollment angeboten.
Android im Unternehmen
Mit Android im Unternehmen, früherer Name Android for Work, bietet Google zumindest grundlegende
Funktionen für den sicheren Einsatz von Android-basierenden Geräten im Unternehmen an. Zentraler
Baustein sind „Managed Profiles“, ähnlich der User-Profile auf einem Windows-PC, mit getrennten
Arbeitsumgebungen und Speicherbereichen. Vorinstallierte Anwendungen und ein eigener Business-
Premium-Bereich zum Download weiterer Applikationen aus dem Play-Store ergänzen das Konzept.
Samsung Knox kann auf diese Basis aufgesetzt werden.
Blackberry Unified Endpoint Manager (UEM)
Das EMM von Blackberry, das zuvor unter dem Namen Blackberry Enterprise Service 12 (BES12) vertrieben
wurde, nutzt die für einen mobilen Endpunkt spezifischen Sicherheitsmaßnahmen wie Verschlüsselung,
Zertifikate und eben auch den Einsatz von Containern. Neben der eigenen Lösung lassen sich mit Blackberry UEM auch Geräte und Containerlösungen anderer Hersteller verwalten, also beispielsweise native
Containerlösungen wie Android im Unternehmen und Samsung KNOX Platform for Enterprise oder
alternative Schutzkonzepte wie Windows Information Protection oder Apples iOS-verwaltete Apps.
Weitere Lösungen: Container für Sharepoint, Secure Browser, VPN und mehr
Die vorgestellten Lösungen sind eine gute Grundausstattung, jedoch nicht für jeden Fall ausreichend. Sie
können teils mit zusätzlichen Apps erweitert werden. Zum Teil ist es aber auch angebracht, Anwendungen
über eigene Container zu ergänzen. Damit sind auch die Unternehmensanwendungen gegeneinander
abgeschottet. Oder sie stellen grundsätzliche Funktionen für andere Container bereit, wie ein VPN, das einen
sicheren Zugriff auf die Unternehmensdaten gewährleistet. Auch die Verlagerung des Internet-Zugangs auf
das Unternehmensnetzwerk ist möglich. Dann greifen die dort getroffenen Schutzmechanismen und
Zugangsbeschränkungen auch auf dem mobilen Gerät.
Was tun wenn das Gerät weg ist?
70 Prozent der Nutzer von mobilen Geräten haben eines ihrer Devices bereits einmal verloren. In vier von fünf war es die eigene Schuld, Diebstähle machen nur 19 Prozent der Vorkommnisse aus. Und weniger als die
Hälfte der Geräte kehren zu ihrem ursprünglichen Besitzer zurück. Oft sind die darauf gespeicherten Daten
sehr viel wertvoller als die Hardware. Deshalb gilt es, auch für den Fall, dass ein Gerät abhanden kommt,
Vorsorge in Sachen Datenschutz zu treffen.
Lock & Wipe bei Verlust, Diebstahl und Mitarbeiter-Kündigung…
Für den Umgang mit Verlust bzw. Diebstahl eines Geräts oder mit dem Ausscheiden eines Mitarbeiters aus
dem Unternehmen bieten alle Lösungen zum Mobile Device Management von unternehmenseigenen
Geräten in der Regel zwei Funktionen an: Die softere Lösung LOCK ist das Remote-Sperren des Bildschirms.
Hierbei wird lediglich der Sperrbildschirm aus der Ferne aktiviert. Nur mit den richtigen Zugangsdaten kann man das Gerät weiter nutzen.
Die radikalere Lösung WIPE ist einem „remote factory reset“ gleichzusetzen. Dabei werden alle Daten am
Gerät aus der Ferne gelöscht. Da die Daten, die sich auf dem Gerät befinden, in der Regel nur ein Abbild der
Informationen von Unternehmensservern sind, gehen der Firma bei einem WIPE keine Informationen
verloren. Ein Dieb, ein unehrlicher Finder oder ein gekündigter Mitarbeiter, der noch Zugriff auf das Gerät hat,
kann dann keine Daten mehr entwenden.
Selective Wipe
Bei BYOD-Geräten ist besondere Vorsicht geboten: Hier kann von Unternehmensseite aus nicht das
komplette Gerät gelöscht werden. Denn damit wären auch die privaten Daten auf dem Gerät verloren. Zudem dürfte das Unternehmen auf den privaten Bereich des Smartphones oder Tablets gar keinen Zugriff haben.
Deshalb werden nur die installierten Container, die per Enterprise Mobility Management verwaltet werden,
von dem Gerät gelöscht. Die privaten Daten werden nicht angetastet.
Sperren von Exchange-Zugang und Cloud-Diensten
Ebenso können per MDM und EMM die Zugangsdaten entfernt werden, mit denen beispielsweise auf das
E-Mail-Konto, Kontakte und Termine des Exchange-Servers, auf Cloud- und Webdienste oder auf
Unternehmensserver zugegriffen werden konnte. Dies verhindert sowohl den Datendiebstahl als auch eine
mögliche Zerstörung oder Manipulation von Unternehmensdaten – auch dies ist ein wichtiger Aspekt der
mobilen Datensicherheit.
Rasch löschen, rasch wiederherstellen
Im Falle des Geräteverlustes gibt es nur eines: Die Löschfunktion so schnell wie möglich auslösen, um die
Daten vor Diebstahl und Missbrauch zu schützen. Völlig verkehrt wäre es, zunächst abzuwarten, ob sich das
Gerät wieder einfindet und die „unnötige“ Wiederherstellung vermeiden zu wollen. Denn diese ist mit
Unterstützung eines Enterprise- Mobility-Management-Systems oder einer Mobile-Device-Management-
Lösung völlig unproblematisch.
Die relevanten Daten befinden sich auf den Unternehmensservern, ebenso die Informationen zum Account
des Nutzers sowie seinen Zugängen zu Cloud-Diensten und Unternehmensanwendungen. Auch wenn das
Mobile Device nicht wieder auftaucht, sondern neue Hardware angeschafft werden muss, kann ein
Smartphone oder Tablet innerhalb kurzer Zeit wieder für den Unternehmenseinsatz eingerichtet werden.
Heißt Datensicherheit nicht auch: Backup?
Das Mantra der IT in den vergangenen Jahren war stets, dass Daten nur dann wirklich geschützt sind, wenn
es auch ein Backup gibt. Für Desktop-PCs und Notebooks mag das heute noch stimmen. Mobiler
Datenschutz dagegen ist nicht auf gerätespezifische Backups angewiesen – jedenfalls wenn die richtige
Anwendungsstrategie gewählt wurde.
Daten nur im Zugriff
Viele Daten, mit denen auf mobilen Devices gearbeitet wird, lagern in der Cloud oder auf
Unternehmensservern und werden lediglich auf das Gerät gespiegelt. Prominentestes Beispiel ist der
Exchange-Server: Er enthält Mails inklusive der Anhänge, Kontaktdaten und den Terminkalender. Werden
vom Smartphone aus neue Termine eingetragen, Adressdaten bearbeitet oder E-Mails verschickt, landen die
Änderungen direkt auf dem Exchange-Server.
Der Server selbst wird von der Unternehmens-IT gesichert, ein eigenes Backup der Smartphone-Daten ist
somit obsolet. Ähnliches gilt für viele Firmenanwendungen, bei denen die Apps lediglich auf Informationen
der Unternehmensserver zugreifen und Veränderungen direkt zurückschreiben – beispielsweise bei
datenbankbasierenden Anwendungen wie SAP.
Dateien auf dem Gerät nur in Containern
Aus Sicherheitsgründen sollten also alle Zugriffe entweder App-, Web- oder Cloud-basiert sein und das
Arbeiten mit Dateien die Ausnahme bleiben. Wenn Files zum Einsatz kommen, werden diese aber besser
nicht direkt auf dem Gerät gespeichert. Zumindest einen gewissen Schutz bieten Datei-Container, die im Fall
des Geräteverlustes per WIPE oder Selective WIPE gelöscht werden können.
Ein höheres Sicherheitsniveau erreicht man, wenn auch für diesen Anwendungsfall Cloud-basierende
Lösungen verwendet werden, beispielsweise ein Container für Sharepoint-Services. Dann werden die Daten
automatisch auf den Server übertragen und dort per Backup zusätzlich gesichert.
Finger weg von privaten Daten
Und wie sieht es mit Backups aus, wenn Anwender ihr privates Gerät für Unternehmensaufgaben einsetzen
dürfen? Für diesen Fall gibt es nur eine vernünftige Strategie: Finger weg von privaten Daten. Ein Backup
eines Gerätes, das nicht der vollständigen Kontrolle des IT-Administrators unterliegt, wie es bei Corporate
Devices der Fall ist, bereitet schon konzeptionell gesehen Probleme. Wie soll der Zugriff auf
unternehmensfremde Daten erfolgen? Wie kann sichergestellt werden, dass mit dem Backup keine Malware
auf Unternehmensserver gelangt?
Noch gravierender sind die rechtlichen Problemstellungen. Sowohl der Schutz der Privatsphäre des
Angestellten als auch der Arbeitnehmerschutz stehen dem Zugriff des Unternehmens auf private Daten
entgegen. Deshalb sollte die Datensicherung eines BYOD-Geräts ausschließlich vom Anwender selbst in
seiner privaten IT-Umgebung erfolgen.
Tipp zum Ende des Device Lifecycle
Ob wegen Beschädigung oder mangelnder Unterstützung aktueller Funktionen: Auch das tollste Smartphone muss irgendwann ausgetauscht werden. Dieser Schritt sollte vom Unternehmen von vornherein strategisch
geplant werden, denn es soll ja nur die Hardware das Unternehmen verlassen, keinesfalls die darauf
gespeicherten Daten. Nur selten werden gebrauchsfähige Geräte, die an Mitarbeiter zum privaten Gebrauch
abgegeben werden, von der IT vollständig gelöscht. Im schlimmsten Fall landen diese als Gebrauchtgeräte
bei eBay & Co., und die Kontrolle über noch vorhandene Firmendaten geht vollständig verloren.
Eine sichere Entsorgung ermöglicht T-Mobile Austria in Kooperation mit Teqcycle über die Website
handyankaufsportal.at mit einem DEKRA-zertifizierten Rücknahmeprozess. Datenschutzkonforme, sichere
Löschung der Geräte, die einer Wiedervermarktung zugeführt werden können, sowie die Wiederverwertung
wertvoller Rohstoffe aus Geräten, die nur noch zum Recycling taugen, sind die wesentlichen Punkte dieses
Rücknahmeprogramms.
Über die Smartphones, die weiterverkauft werden, erhält der Einsender einen Nachweis auf Basis der IMEI-
Kennung mit zugehörigem Löschprotokoll. Zudem bekommt er die Erlöse aus der Wiedervermarktung,
abzüglich der entstandenen Kosten. So verbinden sich hier betriebswirtschaftliche Vernunft, Corporate
Social Responsibility und Datenschutz.
Fazit Mobile Security
Mobile Security hat zahlreiche Facetten, mit denen sich die Verantwortlichen auseinandersetzen müssen.
Dabei drängt die Zeit: mit zunehmender Nutzung mobiler Geräte für Unternehmensaufgaben steigt das
Risiko für Datenverluste und Angriffe über die mobilen Geräte. Zudem muss seit Mai 2018 die neue
EU-Datenschutz-Grundverordnung eingehalten werden. Und wenn die Aspekte der mobilen Sicherheit auch noch so zahlreich sind, so gibt es doch umfassende Lösungen, die nicht nur das Schutzniveau deutlich
erhöhen, sondern auch das Handling der mobilen Geräte für die IT-Administration deutlich vereinfachen.
Voraussetzung ist, dass Geschäftsführer und IT-Abteilungen ihren rechtlichen Pflichten nachkommen und
sich aktiv um den Datenschutz kümmern –gegebenenfalls auch mit externer Unterstützung.