135x10_tmobile_claim.png

Mobile Security

Geschäftsführer und andere verantwortliche Manager haften nach Unternehmensgesetzbuch (UGB) für eine ordnungsgemäße, nachhaltige Geschäftsführung. Durch EU-Normen werden ihre Pflichten weiter präzisiert, beispielsweise in Bezug auf IT-Sicherheit und Datenschutz. Mit der Verschärfung der EU-Datenschutz-Grundverordnung (DSGVO), deren Übergangsfrist zum  25. Mai 2018 geendet hat, greifen unter anderem härtere Sanktionen, wenn Daten von Mitarbeitern, Kunden oder Geschäftspartnern nicht ausreichend gesichert wurden und es dadurch zu Datendiebstahl kommt.

Besonderes Augenmerk sollte dabei die Sicherheit mobiler Geräte genießen. Diese wurden in der Vergangenheit oft stiefmütterlich behandelt, während Desktop-PCs standardmäßig hohen Schutz bekamen. Zudem hat der Einsatz von Smartphones und Tablets dazu geführt, dass die weltweite Nutzung des Internets inzwischen zum großen Teil über mobile Geräte erfolgt.

Laut Statista erzeugen mobile Geräte 2018 bereits 52,2 % des gesamten Internet-Traffics
weltweit. 2013 war der Anteil nur 16,2 %. Diese Entwicklung wird sich weiter fortsetzen. Das wissen auch die Angreifer – und dementsprechend konzentrieren sie ihre Angriffe stärker auf Android- und iOSAnwendungen. Die wichtigsten Aspekte, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können, haben wir Ihnen auf dieser Seite zusammengestellt.

Erst die Strategie, dann die Investition!

Die Auswirkungen der Hardware- und Software-Verfelchtung bei Smartphones und Tablets.

Bei Desktop-PCs, Notebooks und Tablet-PCs auf Basis von x86-Plattformen sind die Anwender weitgehend frei, welche Betriebssysteme und Anwendungen sie auf ihrer Hardware laufen lassen. Lediglich MacOS ist an Apple-Hardware gebunden, ansonsten sind verschiedene Windows-Versionen und Linux-Derivate verfügbar sowie dazu passende Anwendungen. Nur wenige Sicherheitsfunktionen sind an eine Hardware-Security-Komponente wie das Trusted Platform Modul (TPM) gebunden.

In der Regel gibt es hier keine Einschränkungen bei der Auswahl der Sicherheitsmechanismen. Bei Smartphones und Tablets, die auf ARM-basierenden CPUs aufsetzen, stellt sich die Lage völlig anders dar. Von den ehemals vier großen Betriebssystem-Plattformen sind lediglich zwei relevant: iOS von Apple und Android von Google. Windows 10 Mobile findet kaum Beachtung bei Kunden und Geräteherstellern, und das Blackberry-eigene Betriebssystem wurde eingestellt; aktuelle Blackberrys basieren auf Android.

Wer ein Sicherheitskonzept für den Einsatz mobiler Geräte im Unternehmen erstellt, muss aber nicht nur nach Apple- oder Google-Welt unterscheiden. Bei Android sind zudem die zur Verfügung stehenden Funktionen eng an die Hardware geknüpft. Leistungsfähigkeit, verfügbare Android-Version und spezifische Anpassungen des Geräteherstellers schränken die Sicherheitsfunktionen stark ein. Deshalb gilt: Erst wenn die Sicherheitsstrategie geklärt ist, kann eine Entscheidung über die einzusetzende Hardware getroffen werden.

Der umgekehrte Weg – erst „schicke“ Geräte anzuschaffen, dann zu schauen, wie diese abgesichert werden können – führt im Extremfall in die totale Sackgasse, wenn es keine Sicherheitslösung für diese Hardware gibt. Das Problem zu ignorieren würde die Geschäftsführung haftungsrechtlich angreifbar machen, letztlich bleibt nur ein vollständiger Neukauf geeigneter Geräte.

Erst wenn die Sicherheitsstrategie geklärt ist, kann eine Entscheidung über die einzusetzende Hardware getroffen werden.

Ziele einer mobilen Unternehmens-IT definieren

Zunächst sollte geklärt werden, wofür die mobilen Helferlein verwendet werden sollen: Welche Tätigkeiten und Unternehmensprozesse sollen auch mobil zur Verfügung stehen? Dies ist keine rein betriebswirtschaftliche Frage, bei der es nur um die verbesserte Effizienz unternehmerischer Abläufe geht, sondern hier können sich bereits Änderungen der bisherigen Tätigkeiten bis hin zu einem Wandel des Geschäftsmodells ergeben.

Zumindest die Optionen für eine Weiterentwicklung der Geschäftsabläufe sollten geprüft und in die Konzeption mobiler Arbeitsprozesse integriert werden. Neben den reinen Business-Applikationen sind auch die Sicherheitslösungen zu hinterfragen: Welchen Datenschutz benötigt man? Welche Management- oder Security-Funktionen werden benötigt?

Die Digitale Transformation ist eben nicht nur eine Fortsetzung des Alten mit neuen Mitteln.

Anforderungen ableiten: Software...

Aus den so gewonnenen Erkenntnissen lassen sich bereits diverse Anforderungen ableiten. Beispielsweise welche Business-Applikationen grundsätzlich gebraucht werden oder auch welche Daten zwischen Unternehmensservern und mobilen Geräten ausgetauscht werden sollen. In der Regel werden die Informationen nur innerhalb einer Anwendung verfügbar gemacht, nicht in Form von Dateien auf dem Gerät abgelegt.

Hier gilt es zu klären, welche Schnittstellen benötigt werden, welche Datenformate zur Verfügung stehen, und welche Applikationen konkret mit diesen umgehen können; Gleiches gilt für die Security-Applikationen: Gibt es bereits Enterprise-Mobility- bzw. Mobile-Device-Management-Lösungen (EMM/ MDM) im Unternehmen, auf die aufgesetzt werden soll? Welche Anwendungen ermöglichen die geplanten Schutzfunktionen?

...und Hardware

Wie bereits weiter oben gezeigt, sind die zur Verfügung stehenden Funktionen auch von der Geräte-Hardware abhängig, und diese ist wiederum eng mit dem Betriebssystem verflochten. Wer auf Apples iOS setzt, hat nur die Wahl zwischen wenigen Varianten des einen Herstellers, die sich nur geringfügig unterscheiden, nämlich – abgesehen von der Farbe und der Bildschirmgröße – vor allem in Speichergröße und der Integration von LTE.

Bei Android dagegen sind die Unterschiede enorm, da es ein breites Spektrum an Herstellern und Geräteklassen gibt. Günstige Consumer-Smartphones unterstützen beispielsweise oft nicht die Management-Funktionen eines MDM oder EMM. Hier sollte im Zweifelsfall der Anforderungskatalog mit dem Hardware-Lieferanten besprochen werden, um teure Fehlkäufe zu vermeiden.

Android versus iOS

Apple bietet mit iOS eine geschlossene Gerätewelt an. Hier kommen Hard- und Software aus einer Hand. Applikationen werden nur aus dem Apple-eigenen iTunes-Shop erlaubt, und Updates gibt es im Halbjahres-Turnus für alle Geräte, die noch nicht den „End of Life“-Status erreicht haben – bei Apple in der Regel nach fünf Jahren oder später. Der Hersteller von iPhones und iPads hat allerdings erkannt, dass die bisherige Strategie – Standardgeräte mit einem MDM-Profil nachzurüsten – keine ausreichende Funktionalität bietet.

Das Device Enrollment Program (DEP) soll diese Mängel beheben. Unternehmenskunden müssen aber am Apple Deployment Program teilnehmen, DEP-taugliche Geräte direkt bei Apple oder einem lizenzierten Partner beziehen und eine geeignete MDM-Lösung nutzen. Dann können die iOS-Devices jederzeit vollständig administriert werden, ohne dass die Unternehmens-IT physischen Zugriff auf das Gerät benötigt.

Der Nutzer wiederum kann sich diesem Management nicht entziehen. Google nutzt das Android-Betriebssystem nicht nur für die eigenen Geräte der Marke Nexus, sondern ist auch OS-Zulieferer für zahlreiche Hardware-Hersteller. Diese können das Betriebssystem in gewissen Grenzen für die eigenen Ansprüche modifizieren.

Das heißt jedoch auch, dass jedes Android-Update vom Gerätehersteller speziell auf die eigene Hardware angepasst werden muss – das sparen sich viele Anbieter. So sind zahlreiche veraltete Varianten von Android im Umlauf, die bestimmte Funktionen nicht anbieten, dafür aber bekannte Lücken aufweisen, die nicht mehr gepatcht werden.

Mobile Security

Bei der Auswahl der Hardware ist demnach darauf zu achten, dass diese sowohl von der Leistungsfähigkeit und der Funktionsausstattung her für den Unternehmenseinsatz geeignet ist, als auch eine Update-Garantie für einen überschaubaren Zeitraum gegeben wird, in der das Betriebssystem vom Gerätehersteller regelmäßig und zeitnah gepflegt wird.

Besondere Aufmerksamkeit verdienen HTC, Huawei und Samsung, die daran arbeiten, den Android-Befehlssatz um Corporate-Funktionen zu erweitern. Eine echte Alternative zu Apples DEP stellt auf der Android-Plattform Samsungs Lösung Knox Mobile Enrollment (KME) dar. Sie ermöglicht es, das Gerät automatisiert mit einem MDM-Profil des Unternehmens auszustatten und die MDM-Anwendung zu starten.

Erfahren Sie, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können -  Whitepaper Mobile Sicherheit

Dazu muss das Gerät lediglich zuvor in der MDM-Lösung des Unternehmens registriert werden. Sobald eine WLAN-Verbindung hergestellt wird, startet Knox Mobile Enrollment seinen Dienst. KME ist Teil der Knox-Plattform, die nicht auf allen Samsung-Geräten läuft. Auf der Samsung-Website findet sich eine Liste , welches Gerät Knox unterstützt und welche Software-Version damit kompatibel ist.

Whitepaper Mobile Sicherheit

Mobile Device Management

Stellt das Unternehmen die mobilen Arbeitsmittel zur Verfügung, dann hat es auch die vollständige Kontrolle – zumindest in der Theorie. In der Praxis müssen Regeln erst definiert, dann überwacht und durchgesetzt werden. Mobile Device Management ermöglicht eine zentrale Administration aller Geräte, um diese aktuell und sicher zu halten.

Aufstellen von IT-Security-Policies

Das wichtigste Element des Datenschutzes in einem Unternehmen ist nicht etwa die Firewall, die den Zugang zum Internet überwacht, oder die Schutzsoftware, die auf den einzelnen Geräten installiert ist. Sondern das Sicherheitskonzept mit seinen Ge- und Verboten, Standards und Richtlinien – den IT-Security-Policies. Sie legen fest, wie sich Mitarbeiter zu verhalten haben, um die Gefahr von Cyberattacken und Datendiebstahl zu minimieren.

Dies beginnt bei Informationen über Social-Engineering-Attacken, über den Umgang mit Attachements, bis hin zu Regelungen, welche Apps beispielsweise auf einem Smartphone installiert werden dürfen. Mitarbeiter müssen über verbindliche Verhaltensweisen informiert und von ihrer Sinnhaftigkeit überzeugt werden. In der Regel wird dies über arbeitsrechtliche Vereinbarungen sowie Schulungen geschehen. Aber auch die Schutzmaßnahmen der IT-Abteilung leiten sich aus den Policies ab. Diese muss beispielsweise die Möglichkeit haben, die Einhaltung zu überwachen, Verstöße zu verhindern oder wenigstens zu bemerken und zu sanktionieren. Dazu ist zumindest online Zugriff auf die Geräte nötig, um Einstellungen und Installationen überprüfen und verändern zu können – entweder manuell oder regelbasiert. 

Mobile Security

Durchsetzung der IT-Security-Policies

Das Mittel der Wahl zur Durchsetzung der Security-Policies auf mobilen Geräten ist das Mobile Device Management. Dieses sichert der IT-Abteilung die volle Kontrolle über Smartphone und Tablets in allen sicherheitsrelevanten Fragen. Beispiele sind:

Kontrolle über Inbetriebnahme und Passworterstellung

Ein kritischer Moment ist die erstmalige Inbetriebnahme des mobilen Gerätes. Es muss sichergestellt sein, dass sich tatsächlich nur ein autorisiertes Gerät mit dem Unternehmensserver verbindet. Zum anderen muss der Nutzer nach dem ersten Login ein neues Passwort gemäß der geltenden Security-Policies, also mit einer Mindestlänge und einem vorgegebenen Zeichenmix, erstellen. Nur wenn der richtige Nutzer auf der richtigen Hardware sich mit dem passenden Start-Code einloggt, lässt die Software die Verbindung mit dem Unternehmensnetzwerk zu und verhindert so den Zugriff mit unternehmensfremden Geräten.

Kontrolle über App-Verwendung per Black-/White-Listing

Welche Apps verwendet werden dürfen, lässt sich über zwei unterschiedliche Strategien festlegen: Beim Whitelisting sind ausschließliche jene Anwendungen zugelassen, die von der Unternehmens-IT vorab definiert wurden. Das Blacklisting dagegen entspricht einer Ausschlussliste: Nur Anwendungen, die nicht auf der schwarzen Liste stehen, sind zugelassen.

Kontrolle über das App-Verhalten

Per MDM kann der IT-Administrator auch auf das Verhalten bestimmter Apps Einfluss nehmen. So kann festgelegt werden, dass sich die Anwendung auf dem Mobile Device beispielsweise außerhalb des Firmen-WLANs ausschließlich per VPN ins Unternehmensnetzwerk einwählt, was die Sicherheit der Datenübertragung deutlich erhöht.

Kontrolle über den Datenzugang

Stellt das MDM eine Regelverletzung fest, zum Beispiel wenn der Nutzer eine unerlaubte App installiert hat, kann es den Nutzer mit sofortiger Wirkung aus dem Unternehmensnetz aussperren. Er hat dann keinen Zugriff mehr auf Unternehmensinformationen, kann beispielsweise keine E-Mails mehr empfangen oder senden und keine Kontaktinformationen mehr abrufen. Auch der VPN-Zugang oder die Nutzung von Cloud-Services können aufgrund regelbasierter Einstellungen automatisiert unterbunden werden.

Kontrolle über Schutzmaßnahmen

Ähnlich wie bei der Installation unzulässiger Apps kann der Datenzugang für das mobile Gerät auch gesperrt werden, wenn sein Zustand als unsicher eingestuft wird. Um das zu verhindern, kann der Administrator

  • dafür sorgen, dass Updates von Betriebssystem, Apps und Frameworks unmittelbar nach Erscheinen neuer Patches angestoßen werden;

  • eine automatische Installation und Aktualisierung von Anti-Malware-Lösungen auslösen, wenn neue Sicherheitsrisiken auftauchen und dafür zusätzliche Lösungen notwendig werden. Dies betrifft in der Regel nur Android-Geräte. Für iOS gibt es bislang erst wenige Angriffsszenarien. Zudem ist Apples App Store sehr gut gegen das Einschleusen verseuchter Anwendungen abgesichert.

Whitepaper Mobile Sicherheit

Security in a box: Containerlösungen

In vielen Unternehmen ist es zulässig, das eigene Smartphone oder das persönliche Tablet auch dienstlich zu gebrauchen. Ist das so, dann müssen private und unternehmenseigene Daten streng voneinander abgeschottet werden. Mittels Applikations- und Daten-Containern kann dies unter Einhaltung der Datenschutzvorschriften für beide Seiten zufriedenstellend gelöst werden.

Grundsätzliche Funktionsweise

Container bieten in einer potenziell unsicheren Umgebung – dem privaten mobilen Gerät – einen geschützten Bereich für Applikationen und Daten des Unternehmens. Die Container stellen sicher, dass die Anwendungen in einem geschützten Umfeld laufen, zudem verhindern sie, dass Unternehmensdaten diese Umgebung verlassen oder von außen manipuliert werden können. Ein Kopieren aus der Unternehmens-App, die im Container läuft, in eine Facebook-Gruppe, die über die private App aufgerufen wurde, ist so beispielsweise nicht möglich.

In der Praxis verhält sich ein Container zunächst wie eine App, die nur über ein eigenes Passwort zugänglich ist: Je nach Charakteristik stellt sie selbst bestimmte Funktionen dar, oder sie präsentiert sich wie eine eigene Bedienoberfläche, die den Zugriff auf weitere – sichere –Unternehmens-Apps ermöglicht. Um eine sichere Installation und kontinuierliche Pflege der Container zu ermöglichen, bedarf es einer EMM-Lösung (Enterprise Mobility Management). Nur so kann gewährleistet werden, dass einerseits die Privatsphäre des Nutzers geschützt und andererseits die Integrität der davon abgeschotteten Firmen-Umgebung gesichert ist.

EMM und MDM – was ist was?

Geht es um die Sicherheit von mobilen Geräten im Unternehmenseinsatz empfehlen Experten Konzepte und Lösungsprodukte sowohl unter dem Begriff Mobile Device Management (MDM) als auch unter dem Begriff Enterprise Mobility Management (EMM). Streng genommen sind die Begriffe nicht synonym zu verwenden. Mobile Device Management ist ein Software-Werkzeug, mit dem verschiedenste Inventarisierungs- und Verwaltungsmaßnahmen auf mobile Endgeräte unterschiedlichster mobiler Betriebssysteme angewendet werden können. Enterprise Mobility Management ist die Summe aller Software Werkzeuge (z.B. MDM) und Mobilisierungstools, mit denen erreicht wird, dass Unternehmen ihre operativen Prozesse mittels Einsatz mobiler Endgeräte optimieren können.

Konzeptionelle Unterschiede zwischen Corporate Device und Bring Your own Device

Hintergrund für den Einsatz von Container-Lösungen ist die schwierige Balance nicht nur auf Seiten der Sicherheit, sondern auch auf Seiten des Datenschutzes bei privaten Geräten. Bei einem COPE-Device (Corporate Owned, Personally Enabled) oder COBO-Gerät (Corporate Owned, Business Only), also unternehmenseigenem Smartphone oder Tablet, hat der Administrator weitgehende Zugriffsrechte und kann dem Nutzer Vorgaben machen, wie das Gerät verwendet werden darf. Beim BYOD-Konzept (Bring Your own Device) ist dies nicht der Fall. Es kann nicht verhindert werden, dass der User potenziell unsichere Apps installiert, die beispielsweise Tastatureingaben oder Adressbücher ausschnüffeln.

Erfahren Sie, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können -  Whitepaper Mobile Sicherheit

Und auch die Zugriffsrechte des Administrators sind stark eingeschränkt, denn bei einem privaten Gerät sind die Persönlichkeitsrechte des Nutzers zu beachten. Es darf kein Zugriff auf dessen private Daten erfolgen, keine Aufzeichnung von Standorten, Bewegungs- oder Nutzungsprofilen. Die Lösung besteht deshalb darin, für alle Unternehmensanwendungen und -daten eine eigene Umgebung zu schaffen, die von der privaten Umgebung streng abgeschirmt ist. Diese verhindert auch, dass beim Backup des Anwenders Unternehmensdaten unverschlüsselt auf der privaten Festplatte landen.

Mobile Security

SecurePIM Enterprise / 7P EMM

Auf Apples iOS-Geräten sowie auf Standard Android Devices bietet sich als Alternative zu Samsung Knox die Anwendung SecurePIM Enterprise von Virtual Solution an, die zusammen mit der Enterprise-Mobility-Management-Lösung der Seven Principles Group, 7P EMM, vertrieben wird. E-Mails, Kontakte, Kalender, Notizen, Aufgaben, Dokumente und sogar der Intranet-Zugang werden hier in einem sicheren Container zur Verfügung gestellt, ebenso ein sicherer Browser und ein abgesicherter Zugang zur integrierten Kamera. Seven Principles und ihr Partner Virtual Solutions sind deutsche Hersteller. Sie betonen ihre Erfahrung im Umgang mit europäischen Datenschutzrechten, die beispielsweise auch die Rechte von Arbeitnehmern und deren Schutz der Privatsphäre umfassen. Dementsprechend sind ihre Lösungen so gestaltet, dass auch Bedenken des Betriebsrats ausgeräumt werden können.

Samsung Knox

Auf Android-Geräten stellt Samsung Knox eine sehr umfangreiche Technologie-Plattform bereit, die auf einem mehrschichtigen Konzept basiert. Teil der Lösung sind spezielle Hardware-Komponenten, sodass sie nur auf Knox-kompatiblen Geräten zum Einsatz kommen kann. Die Containerlösung KNOX Platform for Enterprise sorgt für eine saubere Trennung von privaten und geschäftlichen Anwendungen sowie Daten. Zudem ermöglicht sie der IT-Administration einen erweiterten Zugriff auf bestimmte Gerätefunktionen. Zahlreiche hinterlegte IT-Richtlinien und installierte MDM-Richtlinien erleichtern die Verwaltung der Geräte. Die Integration in das Mobile Device Management eines Unternehmens ist ebenfalls Teil der Lösung. Sie wird unter dem Namen Knox Mobile Enrollment angeboten.

Android im Unternehmen

Mit Android im Unternehmen, früherer Name Android for Work, bietet Google zumindest grundlegende Funktionen für den sicheren Einsatz von Android-basierenden Geräten im Unternehmen an. Zentraler Baustein sind „Managed Profiles“, ähnlich der User-Profile auf einem Windows-PC, mit getrennten Arbeitsumgebungen und Speicherbereichen. Vorinstallierte Anwendungen und ein eigener Business-Premium-Bereich zum Download weiterer Applikationen aus dem Play-Store ergänzen das Konzept. Samsung Knox kann auf diese Basis aufgesetzt werden.

Blackberry Unified Endpoint Manager (UEM)

Das EMM von Blackberry, das zuvor unter dem Namen Blackberry Enterprise Service 12 (BES12) vertrieben wurde, nutzt die für einen mobilen Endpunkt spezifischen Sicherheitsmaßnahmen wie Verschlüsselung, Zertifikate und eben auch den Einsatz von Containern. Neben der eigenen Lösung lassen sich mit Blackberry UEM auch Geräte und Containerlösungen anderer Hersteller verwalten, also beispielsweise native Containerlösungen wie Android im Unternehmen und Samsung KNOX Platform for Enterprise oder alternative Schutzkonzepte wie Windows Information Protection oder Apples iOS-verwaltete Apps.

Weitere Lösungen: Container für Sharepoint, Secure Browser, VPN und mehr

Die vorgestellten Lösungen sind eine gute Grundausstattung, jedoch nicht für jeden Fall ausreichend. Sie können teils mit zusätzlichen Apps erweitert werden. Zum Teil ist es aber auch angebracht, Anwendungen über eigene Container zu ergänzen. Damit sind auch die Unternehmensanwendungen gegeneinander abgeschottet. Oder sie stellen grundsätzliche Funktionen für andere Container bereit, wie ein VPN, das einen sicheren Zugriff auf die Unternehmensdaten gewährleistet. Auch die Verlagerung des Internet-Zugangs auf das Unternehmensnetzwerk ist möglich. Dann greifen die dort getroffenen Schutzmechanismen und Zugangsbeschränkungen auch auf dem mobilen Gerät.

Whitepaper Mobile Sicherheit

Was tun wenn das Gerät weg ist?

70 Prozent der Nutzer von mobilen Geräten haben eines ihrer Devices bereits einmal verloren. In vier von fünf war es die eigene Schuld, Diebstähle machen nur 19 Prozent der Vorkommnisse aus. Und weniger als die Hälfte der Geräte kehren zu ihrem ursprünglichen Besitzer zurück. Oft sind die darauf gespeicherten Daten sehr viel wertvoller als die Hardware. Deshalb gilt es, auch für den Fall, dass ein Gerät abhanden kommt, Vorsorge in Sachen Datenschutz zu treffen.

Lock & Wipe bei Verlust, Diebstahl und Mitarbeiter-Kündigung...

Für den Umgang mit Verlust bzw. Diebstahl eines Geräts oder mit dem Ausscheiden eines Mitarbeiters aus dem Unternehmen bieten alle Lösungen zum Mobile Device Management von unternehmenseigenen Geräten in der Regel zwei Funktionen an: Die softere Lösung LOCK ist das Remote-Sperren des Bildschirms. Hierbei wird lediglich der Sperrbildschirm aus der Ferne aktiviert. Nur mit den richtigen Zugangsdaten kann man das Gerät weiter nutzen.

Die radikalere Lösung WIPE ist einem „remote factory reset“ gleichzusetzen. Dabei werden alle Daten am Gerät aus der Ferne gelöscht. Da die Daten, die sich auf dem Gerät befinden, in der Regel nur ein Abbild der Informationen von Unternehmensservern sind, gehen der Firma bei einem WIPE keine Informationen verloren. Ein Dieb, ein unehrlicher Finder oder ein gekündigter Mitarbeiter, der noch Zugriff auf das Gerät hat, kann dann keine Daten mehr entwenden.

Erfahren Sie, wie Sie mobile Anwendungen in Ihrem Unternehmen sicherer machen können - Whitepaper Mobile Sicherheit

Mobile Security

Selective Wipe

Bei BYOD-Geräten ist besondere Vorsicht geboten: Hier kann von Unternehmensseite aus nicht das komplette Gerät gelöscht werden. Denn damit wären auch die privaten Daten auf dem Gerät verloren. Zudem dürfte das Unternehmen auf den privaten Bereich des Smartphones oder Tablets gar keinen Zugriff haben. Deshalb werden nur die installierten Container, die per Enterprise Mobility Management verwaltet werden, von dem Gerät gelöscht. Die privaten Daten werden nicht angetastet.

Sperren von Exchange-Zugang und Cloud-Diensten

Ebenso können per MDM und EMM die Zugangsdaten entfernt werden, mit denen beispielsweise auf das E-Mail-Konto, Kontakte und Termine des Exchange-Servers, auf Cloud- und Webdienste oder auf Unternehmensserver zugegriffen werden konnte. Dies verhindert sowohl den Datendiebstahl als auch eine mögliche Zerstörung oder Manipulation von Unternehmensdaten – auch dies ist ein wichtiger Aspekt der mobilen Datensicherheit.

Rasch löschen, rasch wiederherstellen

Im Falle des Geräteverlustes gibt es nur eines: Die Löschfunktion so schnell wie möglich auslösen, um die Daten vor Diebstahl und Missbrauch zu schützen. Völlig verkehrt wäre es, zunächst abzuwarten, ob sich das Gerät wieder einfindet und die „unnötige“ Wiederherstellung vermeiden zu wollen. Denn diese ist mit Unterstützung eines Enterprise- Mobility-Management-Systems oder einer Mobile-Device-Management-Lösung völlig unproblematisch. 

Die relevanten Daten befinden sich auf den Unternehmensservern, ebenso die Informationen zum Account des Nutzers sowie seinen Zugängen zu Cloud-Diensten und Unternehmensanwendungen. Auch wenn das Mobile Device nicht wieder auftaucht, sondern neue Hardware angeschafft werden muss, kann ein Smartphone oder Tablet innerhalb kurzer Zeit wieder für den Unternehmenseinsatz eingerichtet werden.

Whitepaper Mobile Sicherheit

Heißt Datensicherheit nicht auch: Backup?

Das Mantra der IT in den vergangenen Jahren war stets, dass Daten nur dann wirklich geschützt sind, wenn es auch ein Backup gibt. Für Desktop-PCs und Notebooks mag das heute noch stimmen. Mobiler Datenschutz dagegen ist nicht auf gerätespezifische Backups angewiesen – jedenfalls wenn die richtige Anwendungsstrategie gewählt wurde.

Daten nur im Zugriff

Viele Daten, mit denen auf mobilen Devices gearbeitet wird, lagern in der Cloud oder auf Unternehmensservern und werden lediglich auf das Gerät gespiegelt. Prominentestes Beispiel ist der Exchange-Server: Er enthält Mails inklusive der Anhänge, Kontaktdaten und den Terminkalender. Werden vom Smartphone aus neue Termine eingetragen, Adressdaten bearbeitet oder E-Mails verschickt, landen die Änderungen direkt auf dem Exchange-Server.

Der Server selbst wird von der Unternehmens-IT gesichert, ein eigenes Backup der Smartphone-Daten ist somit obsolet. Ähnliches gilt für viele Firmenanwendungen, bei denen die Apps lediglich auf Informationen der Unternehmensserver zugreifen und Veränderungen direkt zurückschreiben – beispielsweise bei datenbankbasierenden Anwendungen wie SAP.

Dateien auf dem Gerät nur in Containern

Aus Sicherheitsgründen sollten also alle Zugriffe entweder App-, Web- oder Cloud-basiert sein und das Arbeiten mit Dateien die Ausnahme bleiben. Wenn Files zum Einsatz kommen, werden diese aber besser nicht direkt auf dem Gerät gespeichert. Zumindest einen gewissen Schutz bieten Datei-Container, die im Fall des Geräteverlustes per WIPE oder Selective WIPE gelöscht werden können.

Ein höheres Sicherheitsniveau erreicht man, wenn auch für diesen Anwendungsfall Cloud-basierende Lösungen verwendet werden, beispielsweise ein Container für Sharepoint-Services. Dann werden die Daten automatisch auf den Server übertragen und dort per Backup zusätzlich gesichert.

Finger weg von privaten Daten

Und wie sieht es mit Backups aus, wenn Anwender ihr privates Gerät für Unternehmensaufgaben einsetzen dürfen? Für diesen Fall gibt es nur eine vernünftige Strategie: Finger weg von privaten Daten. Ein Backup eines Gerätes, das nicht der vollständigen Kontrolle des IT-Administrators unterliegt, wie es bei Corporate Devices der Fall ist, bereitet schon konzeptionell gesehen Probleme. Wie soll der Zugriff auf unternehmensfremde Daten erfolgen? Wie kann sichergestellt werden, dass mit dem Backup keine Malware auf Unternehmensserver gelangt?

Noch gravierender sind die rechtlichen Problemstellungen. Sowohl der Schutz der Privatsphäre des Angestellten als auch der Arbeitnehmerschutz stehen dem Zugriff des Unternehmens auf private Daten entgegen. Deshalb sollte die Datensicherung eines BYOD-Geräts ausschließlich vom Anwender selbst in seiner privaten IT-Umgebung erfolgen.

Mobile Security

Tipp zum Ende des Device Lifecycle

Ob wegen Beschädigung oder mangelnder Unterstützung aktueller Funktionen: Auch das tollste Smartphone muss irgendwann ausgetauscht werden. Dieser Schritt sollte vom Unternehmen von vornherein strategisch geplant werden, denn es soll ja nur die Hardware das Unternehmen verlassen, keinesfalls die darauf gespeicherten Daten. Nur selten werden gebrauchsfähige Geräte, die an Mitarbeiter zum privaten Gebrauch abgegeben werden, von der IT vollständig gelöscht. Im schlimmsten Fall landen diese als Gebrauchtgeräte bei eBay & Co., und die Kontrolle über noch vorhandene Firmendaten geht vollständig verloren.

Eine sichere Entsorgung ermöglicht T-Mobile Austria in Kooperation mit Teqcycle über die Website handyankaufsportal.at mit einem DEKRA-zertifizierten Rücknahmeprozess. Datenschutzkonforme, sichere Löschung der Geräte, die einer Wiedervermarktung zugeführt werden können, sowie die Wiederverwertung wertvoller Rohstoffe aus Geräten, die nur noch zum Recycling taugen, sind die wesentlichen Punkte dieses Rücknahmeprogramms.

Über die Smartphones, die weiterverkauft werden, erhält der Einsender einen Nachweis auf Basis der IMEI-Kennung mit zugehörigem Löschprotokoll. Zudem bekommt er die Erlöse aus der Wiedervermarktung, abzüglich der entstandenen Kosten. So verbinden sich hier betriebswirtschaftliche Vernunft, Corporate Social Responsibility und Datenschutz.

Fazit Mobile Security

Mobile Security hat zahlreiche Facetten, mit denen sich die Verantwortlichen auseinandersetzen müssen. Dabei drängt die Zeit: mit zunehmender Nutzung mobiler Geräte für Unternehmensaufgaben steigt das Risiko für Datenverluste und Angriffe über die mobilen Geräte. Zudem muss seit Mai 2018 die neue EU-Datenschutz-Grundverordnung eingehalten werden. Und wenn die Aspekte der mobilen Sicherheit auch noch so zahlreich sind, so gibt es doch umfassende Lösungen, die nicht nur das Schutzniveau deutlich erhöhen, sondern auch das Handling der mobilen Geräte für die IT-Administration deutlich vereinfachen. Voraussetzung ist, dass Geschäftsführer und IT-Abteilungen ihren rechtlichen Pflichten nachkommen und sich aktiv um den Datenschutz kümmern –gegebenenfalls auch mit externer Unterstützung.

Whitepaper Mobile Sicherheit