Der Ein­satz mobi­ler Gerä­te im Unter­neh­men birgt Sicher­heits­ri­si­ken. Oft grei­fen auf ihnen her­kömm­li­che Sicher­heits­vor­keh­run­gen der IT nicht. Pro­ble­ma­tisch ist außer­dem, wenn Gerä­te pri­vat und beruf­lich genutzt wer­den. Mit die­sen sie­ben Regeln bleibt die Sicher­heit gewahrt.

Auf Mobil­ge­rä­ten muss eine strik­te Tren­nung von betrieb­li­chen und pri­va­ten Daten erfol­gen. Gra­fik: Vir­tu­al Solu­ti­on

Mobi­les Arbei­ten hat sich eta­bliert. Mit­ar­bei­ter grei­fen ganz selbst­ver­ständ­lich mit ihren Smart­pho­nes oder Tablets auf Unter­neh­mens­da­ten zu. Damit sind die mobi­len Sys­te­me aber auch für Cyber­kri­mi­nel­le inter­es­sant gewor­den. Oft haben Angrei­fer gera­de hier leich­tes Spiel, denn die­se Gerä­te wer­den häu­fig in unsi­che­ren Umge­bun­gen betrie­ben, und her­kömm­li­che Sicher­heits­vor­keh­run­gen der IT grei­fen nicht. Vie­len Unter­neh­men sind die beson­de­ren Risi­ken auch gar nicht bewusst.

BYOD – aber mit Sicherheit

Dies gilt beson­ders für den Ein­satz pri­va­ter mobi­ler Gerä­te in Unter­neh­men (Bring Your Own Device – BYOD). Hier besteht das zusätz­li­che Risi­ko, dass pri­va­te und geschäft­li­che Daten ver­mischt wer­den. Zudem hat die IT schon aus daten­schutz­recht­li­chen Grün­den kei­ne Kon­trol­le über die pri­va­ten Daten und Apps des jewei­li­gen Nut­zers. Nicht zuletzt, wenn die Mit­ar­bei­ter auf betrieb­lich genutz­ten Smart­pho­nes und Tablets belieb­te Kom­mu­ni­ka­ti­ons-Apps wie Whats­App oder Face­book ver­wen­den, müs­sen Unter­neh­men sicher­stel­len, dass die Sicher­heits­vor­schrif­ten trotz­dem ein­ge­hal­ten wer­den.

Neue Herausforderungen durch DSGVO

Zusätz­lich kom­men mit der im Mai 2018 in Kraft tre­ten­den EU-Daten­schutz-Grund­ver­ord­nung (EU-DSGVO) ver­schärf­te Com­pli­an­ce- und Sicher­heits­an­for­de­run­gen auf die Unter­neh­men zu, die sich natür­lich auch auf betrieb­lich genutz­te Smart­pho­nes und Tablets erstre­cken. Nur wenn sich Unter­neh­men die­ser spe­zi­el­len Risi­ken bewusst sind, kön­nen sie sich effek­tiv schüt­zen. Dabei ist es ohne gro­ßen Auf­wand mög­lich, mobi­le Gerä­te im Unter­neh­men sicher zu nut­zen. Sicher­heits­spe­zia­list Vir­tu­al Solu­ti­on hat die wich­tigs­ten Regeln dafür zusam­men­ge­fasst.

  1. Grund­sätz­lich müs­sen Mit­ar­bei­ter für die Risi­ken, die aus dem Betrieb mobi­ler Gerä­te ent­ste­hen, sen­si­bi­li­siert und geschult wer­den. Dazu gehört bei­spiels­wei­se auch die Ver­wen­dung siche­rer Pass­wör­ter.
  2. Bei vie­len mobi­len Sys­te­men sind die Nut­zer selbst für das Ein­spie­len von Updates ver­ant­wort­lich; ver­al­te­te Anwen­dun­gen sind immer ein Ein­falls­tor für Angrei­fer. Daher müs­sen Unter­neh­men dar­auf ach­ten, dass alle betrieb­lich genutz­ten mobi­len Sys­te­me up to date sind.
  3. Auf den Mobil­ge­rä­ten muss eine strik­te Tren­nung von betrieb­li­chen und pri­va­ten Daten erfol­gen. Unter­neh­mens­da­ten und -anwen­dun­gen müs­sen sich immer in einem abge­schot­te­ten Bereich (Con­tai­ner) des End­ge­rä­tes befin­den. Ande­re Apps dür­fen kei­nen Zugriff auf Daten im Con­tai­ner haben, bei­spiels­wei­se darf Whats­App kei­ne Kon­takt­da­ten über­neh­men.
  4. Sol­che Con­tai­ner soll­ten in ihrem geschütz­ten Bereich alle wesent­li­chen Office-Funk­tio­nen abde­cken: E-Mail, Kon­tak­te, Kalen­der, Auf­ga­ben, Bear­bei­tung von Doku­men­ten, Inter­net­zu­griff und Kame­ra. Aus dem Con­tai­ner muss der Mit­ar­bei­ter zudem sicher auf Unter­neh­mens­res­sour­cen zugrei­fen kön­nen, bei­spiels­wei­se Intra­net oder File­sha­re. Es darf für die Nut­zer kei­nen Grund geben, Apps außer­halb des Con­tai­ners betrieb­lich zu ver­wen­den.
  5. Die Daten im Unter­neh­mens­be­reich müs­sen sowohl auf dem Gerät als auch wäh­rend der Über­tra­gung durch­gän­gig ver­schlüs­selt sein.
  6. Die IT-Admi­nis­tra­ti­on muss in der Lage sein, die Daten des Con­tai­ners aus der Fer­ne zu löschen, wenn ein Gerät ver­lo­ren oder ent­wen­det wird.
  7. Alle Sicher­heits­vor­keh­run­gen müs­sen so gestal­tet sein, dass sie den Mit­ar­bei­ter in sei­ner Tätig­keit mög­lichst nicht ein­schrän­ken – nur pra­xis­taug­li­che Sicher­heit wird ernst­haft ver­wen­det; so wer­den bei­spiels­wei­se auf­wän­di­ge manu­el­le Ver­schlüs­se­lungs­ver­fah­ren von den Nut­zern in der Regel umgan­gen.