Organisationen statten Mitarbeiter mit mobilen Endgeräten aus, um produktiver, effizienter und erfolgreicher zu werden. Gleichzeitig steigt dadurch die Anzahl potenzieller Angriffspunkte. Doch es gibt benutzerfreundliche Lösungen wie sichere Container, um die Daten der Organisation auf mobilen Endgeräten zuverlässig vor Missbrauch zu schützen.
Mit mobilen Geräten wie Smartphones oder Tablets ermöglichen Organisationen der Produktivität und Flexibilität ihrer Mitarbeiter einen enormen Schub. Das hat auch positive Auswirkungen auf Umsatz, Gewinn und Mitarbeiterzufriedenheit. Kaum einer will mehr darauf verzichten. Gleichzeitig steigen durch den mobilen Gerätepark aber auch die Anforderungen an Management und Sicherheit, vor allem, weil viele Mitarbeiter nicht mehr exakt zwischen Arbeit und Freizeit trennen. Sie benutzen ihr privates Gerät für dienstliche Aufgaben oder erledigen auf dem Geschäftshandy schon mal schnell private Angelegenheiten. Viele auf den Geräten installierte Apps und genutzte Websites sind aber nicht durch die IT-Abteilung der Organsiation autorisiert. Das kann die Sicherheit der Daten extrem gefährden.
In dieser neuen Welt der Mobilität stehen Organisationen heute vor der Herausforderung, geschäftskritische Daten wirksam vor Diebstahl und Missbrauch zu schützen. Im Detail heißt das: Daten müssen auf dem mobilen Gerät und auf dem Transportweg gesichert werden. Der Zugriff auf interne Ressourcen sollte nur autorisierten Personen und Anwendungen möglich sein. Gleichzeitig stehen Organisationen in der Pflicht, die Privatsphäre ihrer Mitarbeiter zu respektieren und die Vorgabe der EU-DSGVO zu erfüllen.
Sicherheitsfunktionen des Betriebssystems sind nicht ausreichend
Es stehen drei gängige Sicherheitskonzepte grundsätzlich zur Auswahl, wenn Endgeräte sowohl privat aus auch geschäftlich genutzt werden – aber nur eins schützt wirklich gut. Am einfachsten und kostengünstigsten ist, die vom Geräte-Hersteller im Betriebssystem bereitgestellten Sicherheitsfunktionen zu aktivieren, ergänzt um grundlegende Sicherheitsmechanismen wie eine PIN und komplexe, in regelmäßigen Abständen erneuerte Passwörter. Apple iPhones sind von Haus aus schon recht gut geschützt. Das iOS-Betriebssystem unterstützt das Kryptografieverfahren AES-256 auf Hardware-Ebene, verschlüsselt auf dem Gerät abgespeicherte Daten vollständig und erlaubt auch eine Remote-Löschung, falls das iPhone entwendet werden sollte. Sandboxes limitieren die Zugriffe einzelner Apps auf Daten und andere Apps und die Systempartition inklusive Root-Verzeichnis ist schreibgeschützt, sodass Malware in diesem hochsensiblen Bereich keine Änderungen vornehmen kann.
Android-Geräte bieten viele wichtige, elementare Sicherheitsfunktionen, allerdings erweist sich der Open-Source-Ansatz des Android-Betriebssystem als Risikofaktor: Google kontrolliert sein Android-Betriebssystem nicht so ausführlich wie Apple sein iOS-Betriebssystem. Infolgedessen können sich Updates des Android-Betriebssystems verzögern, was die Gefahr von Zero-Day-Exploits erhöht. Noch komplexer wird die Situation, wenn in einer Organisation verschiedene Gerätetypen mit unterschiedlichen Betriebssystemen zum Einsatz kommen.
Neben der eigentlichen Sicherheit der Daten auf den Geräten gibt es einen weiteren, sicherheitsrelevanten Aspekt, nämlich dann, wenn zum Beispiel öffentliche Apps wie WhatsApp ungefragt auf die Kontaktlisten der User zugreift; solche Apps stellen bei der dienstlichen Nutzung privater Android- und Apple-Geräte ein unkalkulierbares Risiko dar. Insgesamt bieten die Sicherheitsfunktionen der Betriebssysteme einen guten Basisschutz, reichen aber bei weitem nicht aus, um Unternehmensdaten wirksam vor Missbrauch zu bewahren und DSGVO-konform zu sein.
Nicht DSGVO-konform: MDM-Systeme
Einen besseren Schutz bieten Mobile-Device-Management-Lösungen (MDM), die in moderneren, auf das Internet der Dinge ausgeweiteten Versionen auch Unified-Endpoint-Management-Systeme (UEM) heißen. Diese Lösungen eignen sich sehr gut dafür viele unterschiedliche mobile Endgeräte zu verwalten. Damit können Administratoren Rechte für einzelne Anwender beziehungsweise Anwendergruppen oder Passwort-Policies festlegen und einen internen App-Shop mit zertifizierten, sicheren Applikationen betreiben.
Allerdings wird der Aufwand für den Rollout und die Administration einer solchen Lösung meistens deutlich unterschätzt. Die Mehraufwände schlagen sich in zusätzlichen Kosten nieder, und Device-Management-Systeme bringen auch Nachteile mit sich, denn der Administrator erhält Zugriff nicht nur auf Business-Apps und Business-Daten, sondern auf das gesamte Gerät. Im Zweifelsfall werden durch einen Remote Swipe auch die privaten Daten des Nutzers gelöscht. Ein weiterer Nachteil: Freelancer und Projektmitarbeiter, die für mehrere Unternehmen tätig sind, werden ein MDM auf ihrem eigenen Device komplett ablehnen.
Am sichersten: Sichere Container und Krypto-Algorithmen
Als dritte Sicherheitslösung, die die Vorteile der ersten beiden Konzepte kombiniert und deren Nachteile vermeidet, bieten sich sichere, weil verschlüsselte Container an. Container trennen auf ein und demselben Gerät sauber zwischen geschäftlichen und privaten Apps sowie Daten. Diese strikte Trennung gibt Dritt-Apps oder sogar Malware grundsätzlich keine Chance, auf sensible Business-Informationen zuzugreifen. Gleichzeitig bleibt die Privatsphäre der Nutzer geschützt und er behält die vollständige Kontrolle über seine privaten Daten. Die IT der Organisation hat nur Zugriff auf die Daten der geschäftlichen Container-App, aber nicht auf die privaten Daten des Mitarbeiters.
Unabdingbar für ein sicheres, mobiles Arbeiten ist eine starke Verschlüsselung auf dem Gerät selbst und auf dem Transportweg. Für die Verschlüsselung der im Container gehaltenen Daten haben sich die beiden Verschlüsselungsverfahren AES-256 und RSA-4096 als De-facto-Standards durchgesetzt.
Verschlüsselte Container sind außerdem eine kostengünstige, einfach einzuführende und leicht zu bedienende Lösung, mit denen sich auch interne Datensicherheitsansprüche und externe Datenschutzvorgaben wie die EU-DSGVO vollständig erfüllen lassen. Sie bieten für sensible Daten den stärksten Schutz und garantieren ein gleichbleibend hohes Sicherheitsniveau. Es gibt auch Container, die im MDM integriert sind. Am flexibelsten aber ist eine Container-Lösung, die sowohl mit als auch ohne ein MDM betrieben werden kann. Nicht zu vergessen ist, dass die MDM Lösung selber nach den DSGVO-Anforderungen auszuwählen ist. Hier gibt es im Rechenzentrum der Anbieter gehostete Lösung als auch on Premise Lösungen. Lösungen aus der Cloud sind hier nach den strengen Vorschriften der DSGVO zu bewerten.
Mit den folgenden exemplarischen Arbeitsschritten können IT-Verantwortliche die Aspekte des mobilen Arbeitens verwalten und systematisch für mehr sichere Mobilität in ihrer Organisation sorgen:
- Schutz für Benutzer und Geräte
- Passwortrichtlinien implementieren
- Möglichkeit verlorene Geräte zu finden bzw. Daten auf verlorenen Geräten zu löschen
- Antiviren- und Mobile-Security-Software aktualisieren
- Netzwerkschutz
- Richtlinien für den WLAN-/Netzwerkzugriff und Compliance-Maßnahmen einführen
- Unerwünschte Funktionen einschränken und Sicherheitseinstellungen vornehmen
- Sicheres Browsen für häufig aufgerufene Websites durch zusätzliche Schutzschicht ermöglichen
- Schutz der Unternehmensdaten
- Isolation wichtiger Daten durch Containerlösungen
- Cloud-Zugriffe standardisieren und absichern
- Unternehmensspezifische Anwendungen zusätzlich schützen
Natürlich gilt es die Vor- und Nachteile einer Containerlösung sorgsam abzuwägen, denn auch diese Technik hat Grenzen. Mögliche hohe Anschaffungs- und Wartungskosten können einen Nachteil darstellen, gerade entsprechende Infrastruktur ist hier zu berücksichtigen. Ein weiterer Nachteil kann sich in Kompatibilitätsproblemen zeigen, indem Zugriffe unmöglich werden oder z.B. getrennte Kalender installiert werden müssen. Andere Anwendungen lassen sich eventuell nicht einfach in Container stecken oder erlauben nur das Speichern von Daten in Containern.
Grundsätzlich bleibt festzuhalten, dass es nicht um die Frage geht „Setze ich eine MDM-Lösung ein?“, sondern welche Lösung muss ich einsetzen?
Gerne helfen wir Ihnen bei der richtigen Auswahl einer MDM Lösung.
Neueste Kommentare