Die Nutzung mobiler Endgeräte ist geradezu ein Musterbeispiel für Consumerization: Angefangen hatten die privaten Anwender, und einmal auf den Geschmack gekommen, wollen sie auch im Job nicht auf ihre Smartphones und Tablets verzichten – nicht auf das überlegene Bedienungskonzept, nicht auf die vielfältigen Kommunikationsmöglichkeiten, nicht auf Kompaktheit und Flexibilität. Dagegen sahen die herkömmlichen Desktops einfach ziemlich alt aus. Eine Zeitlang verhinderten noch die Bedenken der Unternehmen den breiten Einsatz mobiler Systeme – die unzureichende Compliance und vor allem die oft eklatanten Sicherheitsmängel –, doch es zeigt sich immer wieder, dass sich echter Bedarf nicht einfach durch Vorschriften ausbremsen lässt. Mittlerweile haben die meisten Unternehmen in dieser Frage die weiße Flagge gehisst, und Bedienkomfort bedeutet ja auch Produktivität und Effizienz.
Risiken erkennen und bewerten
Die Bedenken speziell der IT-Abteilungen sind damit freilich nicht aus der Welt, die Herausforderungen für Management, Datenschutz und Sicherheit bleiben bestehen. Mobile Systeme werden anders als Desktops in ungeschützten Umgebungen benutzt – im Hotel, auf dem Bahnsteig, im Bus – und da sind die Risiken naturgemäß groß, beispielsweise durch unsichere WLANs. Dies gilt besonders, wenn es um mobile Geräte geht, die gar nicht dem jeweiligen Unternehmen gehören, sondern um private Smartphones und Tablets, die von den Mitarbeitern – nebenbei – für berufliche Zwecke genutzt werden (Bring Your Own Device – BYOD).
Die IT hat auf diese Geräte nur einen eingeschränkten Zugriff, sie muss diesen immer auch mit dem Eigentümer teilen, so dass es nicht so ohne weiteres möglich ist, einheitliche Sicherheitseinstellungen, Richtlinien und Zugriffsrechte zu definieren und zu realisieren. Da sich auf diesen Geräten regelmäßig auch private Daten befinden, die unter strengem gesetzlichen Schutz stehen, kann eine IT-Abteilung hier nicht so ohne weiteres „durchgreifen“ und beispielsweise Daten und Anwendungen auf einem verloren gegangen Gerät aus der Ferne löschen.
Dabei sind die Risiken, die für Unternehmen aus dem Einsatz von Smartphones und Tablets entstehen, überaus real: Die Marktforscher von IDC schätzen, dass 2017 in etwa zwei Drittel der Unternehmen in Deutschland, die mit mobilen Endgeräten arbeiten, auch entsprechend Sicherheitsvorfälle zu verzeichnen sind; da zahlreiche Angriffe gar nicht erst entdeckt werden, kommt noch eine hohe Dunkelziffer dazu.
So wichtig Lösungen für MDM (Mobile Device Management), die mobile Geräte zentral verwalten, grundsätzlich sein mögen, für die Sicherung der auf mobilen Geräten befindlichen Daten und Anwendungen reichen sie keinesfalls aus. Dafür müssen unmittelbar auf dem jeweiligen mobilen Gerät die privaten und die dienstlichen Daten und Anwendungen strikt voneinander getrennt werden. Nur wenn beide Bereiche voneinander abgeschottet sind, wenn das mobile Gerät gewissermaßen aus zwei virtuellen Systemen besteht, kann es auch mit hinreichender Sicherheit betrieben werden.
Lösungen finden und integrieren
Realisieren lässt sich dieses Konzept mit einer Container-Lösung, wie sie SecurePIM von Virtual Solution zur Verfügung stellt. Ein solcher Container ist ein automatisch verschlüsselter Bereich, in dem Unternehmensdaten, E-Mails, Kontakte, Kalender, Notizen, Aufgaben und Dokumente gespeichert werden. Auch im Falle von Diebstahl oder Verlust des Geräts bleiben die Daten auf diese Weise vor Missbrauch geschützt. Der Container verhindert auch, dass Mitarbeiter aus dem sicheren Unternehmensbereich auf eine private App zugreifen und so Daten etwa mit Copy-and-Paste in den privaten Bereich übernehmen. Andere Anwendungen erhalten grundsätzlich keinen Zugriff auf die Inhalte des Containers; so kann beispielsweise WhatsApp daraus keine Kontaktdaten übernehmen.
Die Container-Lösung verfügt über ein Management-Portal, in dem Administratoren Sicherheitsregeln festlegen können, zum Beispiel Vorgaben für die Länge von Passwörtern, Regeln für das Sperren von Geräten und für den Zugriff auf Intranet-Anwendungen oder Fileshare. Die Verschlüsselung erstreckt sich nicht nur auf die Inhalte des Containers auf dem mobilen Endgerät, sondern ebenfalls auf den Datenaustausch, so dass auch keine Man-in-The-Middle-Angriffe möglich sind.
Eine Container-Lösung schützt nicht nur die Daten und Anwendungen des Unternehmens, sondern im BYOD-Fall zugleich auch die Privatsphäre der Eigentümer. IT-Administratoren haben keinen Zugang zum Gerät, sondern steuern immer nur den Container, es ist also kein Problem die gesetzlichen Anforderungen hinsichtlich des Schutzes der Privatsphäre einzuhalten. Auf der anderen Seite können Unternehmen damit auch die rechtlichen Vorgaben für den Schutz der Unternehmensdaten einhalten, etwa bezüglich personenbezogener Daten von Kunden, Lieferanten, Geschäftspartnern und Mitarbeitern, die ja regelmäßig in E-Mails und Dokumenten enthalten sind. Unternehmen sind gesetzlich für die Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten verantwortlich, was auch gilt, wenn Mitarbeiter private mobile Endgeräte dafür benutzen.
Mit einer derartigen Container-Lösung sind Unternehmen auch hinsichtlich der Anforderungen der EU-DSGVO auf der sicheren Seite. Die damit technisch realisierte Trennung von beruflichen und privaten Apps und Daten erlaubt es, die geltenden Compliance- und rechtlichen Vorgaben sowie die unternehmensweiten IT-Sicherheitsrichtlinien auch auf mobilen Systemen umzusetzen und deren Einhaltung zu überwachen. Auf diese Weise lassen sich die drohenden hohen Bußgelder, die Aufsichtsbehörden aufgrund unzureichender organisatorischer und technischer Sicherheitsmaßnahmen verhängen können, vermeiden.
Autor: Günter Junk, CEO des IT-Sicherheitsspezialisten
Virtual Solution AG in München
