Apps sperren auf dem Firmenhandy – wie geht das?

Von Werner Krahe am 27.3.2019
Werner Krahe
Vernetzen:

Es gibt gute Gründe, auf einem Firmenhandy bestimmte Apps zu sperren: drohende DSGVO-Verstöße, Datenschutz im Allgemeinen und die Sicherheit der Unternehmensdaten im Besonderen. Und wie setzt man das jetzt um?

Apps sperren Firmenhandy_720

 

Warum Apps sperren?

Apps können prinzipiell eine Sicherheitslücke auf einem Smartphone darstellen und Unbefugten Zugriff auf das Gerät und die darauf befindlichen Daten gewähren. Manchem Nutzer ist es auch nicht lieb, dass etwa die Bildergalerie oder Messenger-Apps prinzipiell lesbar sind, wenn er das Mobilgerät einer anderen Person kurzzeitig überlassen möchte.

 

Apps auf einem privaten Gerät sperren

Um auf ausschließlich privat genutzten Geräten Apps zu sperren gibt, gibt es reichlich Lösungen, nachfolgend in Kürze.

Android

Im Google Play Store gibt es zahlreiche Apps, die den Zugriff auf andere Anwendungen per Passwort, Geste oder Fingerabdruck sperren. Am besten suchen Sie nach Begriffen wie „App Lock“, was auch der Name einer weit verbreiteten Applikation ist. Eine Variante davon ist „MaxLock“.

Zudem bietet Android die Möglichkeit, einen eigenen geschützten Bereich für Apps einzurichten. Dieser heißt bei Samsung „Secure Folder“, bei Huawei/Honor lautet die Bezeichnung „PrivateSpace“.

Eine weitere Möglichkeit ist es ein zweites Nutzerprofil unter Android anzulegen. Mehr dazu lesen Sie bei androidpit.de: So sperrt Ihr Apps mit einem Extra-Passwort.

 

iOS

Apple-User wünschen sich gegebenenfalls auch das kleine Extra an Privatsphäre. Auch unter iOS gibt es Möglichkeiten, Apps zu sperren, beispielsweise über die Funktion „Einschränkungen“. Für temporäre Zugriffsbeschränkungen können Nutzer auch den sogenannten „Geführten Zugriff“ einrichten. Eine weitere Möglichkeit sind wie bei Android Third-Party-Applikationen, die allerdings meist ein Jailbreak des iOS-Gerätes voraussetzen. Wie Sie zu den einzelnen Einstellungen gelangen und den namen zweier Drittanbieter erfahren Sie hier: 4 Wege, Apps auf dem iPhone und iPad sicher zu sperren.

 

Wie sperrt man Apps auf einem Firmenhandy?

Was bei einem privaten Gerät bereits äußerst heikel sein kann – denken wir etwa an private Fotos, Zugangsdaten von Bezahldiensten, E-Mail-Konten und dergleichen – ist im beruflichen Umfeld noch viel kritischer. Hier geht es ja nicht nur um die persönlichen Daten des Nutzers, sondern auch um Geschäftskontakte oder wertvolle Unternehmensdaten. Im schlimmsten Fall drohen durch Identitätsdiebstahl oder andere Cyberangriffe Wirtschaftsspionage, Datenklau, Datenverlust und Ransomware/Erpressungsversuche.

Sicherlich kann man durch rein arbeitsrechtliche Schritte wie eine Nutzungsvereinbarung seinen Angestellten bestimmte Nutzungsverhalten vorschreiben. Hier lauern aber erstens rechtliche Fallstricke für den Arbeitnehmer (Abmahnungen, Haftungen, Schadensersatz) und Sicherheitsrisiken für das Unternehmen durch nicht ausreichend sensibilisierte Angestellte.

Zunächst gilt es zu unterscheiden, ob das Unternehmen im Rahmen von „Bring Your Own Device“ auch den Einsatz von Privatgeräten im Unternehmensumfeld zulässt, auf rein beruflich genutzte Firmengeräte setzt oder Firmensmartphones vergibt, die auch privat genutzt werden können.

Sofern eine rein berufliche Nutzung vorliegt, kann die IT die Geräte so konfigurieren, dass das Installieren, Deinstallieren, Updaten, Ausführen etc. von Anwendungen nur gemäß den gewünschten Unternehmensvorgaben geschieht.

 

Blacklists

Für ein hieb- und stichfestes Mobile-Security-Konzept kann es notwendig werden, bestimmte Apps zu verbieten („Blacklisting“). Dies kann zum Beispiel der Fall sein, wenn die Anwendungen aus datenschutzrechtlichen Erwägungen nicht sicher sind (lesen Sie hierzu: WhatsApp und DSGVO – wo ist das Problem?) und durch die App etwa bei einer Datenschutzkontrolle im Rahmen der EU-DSGVO Strafzahlungen drohen. Auch Apps mit bekannten Sicherheitslücken können von der IT unterdrückt werden.

Lesen Sie hierzu auch: Unsichere Apps erkennen – Drei Dinge sollten Sie beachten.

 

Whitelists

Ein anderer Ansatz geht genau andersrum an das Problem: Hier wird von der IT eine Positivliste zulässiger Anwendungen erstellt; nur diese erlaubten Apps können dann heruntergeladen und installiert werden („Whitelisting“).

 

Privat genutzte Firmenhandys

Sind die Firmenhandys auch zur privaten Nutzung vorgesehen, wird die Sache etwas komplizierter: Denn erstens gibt es Apps, die sind im Unternehmenseinsatz kritisch zu sehen – für eine rein private Nutzung aber in Ordnung (zum Beispiel WhatsApp). Zweitens macht die DSGVO es im Fall einer Mischnutzung notwendig, die privaten von den beruflichen Daten strikt zu trennen. Eine rein arbeitsrechtliche Lösung wie eine Nutzungsvereinbarung ist hier dann nicht mehr ausreichend und sorgt auch nicht für positive Nutzerlebnisse.

Deshalb benötigt man in diesem Fall eine Software-Lösung, die die beiden Datensätze trennt und in je einem eigenen Silo aufbewahrt. Diese „Containerisierung“ erreicht man entweder durch den Einsatz einer speziellen Container-App wie zum Beispiel SecurePIM oder durch eine Mobile-Device-Management-Software.

Den Unterschied zwischen App und MDM-Suite erläutern wir in unserem MDM-Whitepaper. Dort finden Sie auch eine Liste mit MDM-Anbietern. Hier geht’s zum kostenlosen Download.

 

Mobile Application Management: Apps nach Bedarf sperren

Das zentrale Verwalten und Steuern mobiler Applikationen nennt man „Mobile Application Management“ (MAM). Üblicherweise ist das MAM in eine übergeordnete Enterprise-Mobility-Management-Suite integriert.

Mit einem MAM lassen sich alle Anwendungen auf dem Endgerät verwalten. IT-Administratoren können hierzu beispielsweise einen eigenen Enterprise App Store einrichten, aus welchem sich Mitarbeiter dann bedienen können. Alternativ kann auch der übliche Android Play Store verwendet werden, um bestimmte Apps bereitzustellen oder eben um Apps zu sperren.

Zudem können per MAM auch Zugriffsrechte der einzelnen Anwendungen administriert und Anwenderdaten erhoben werden. Dazu gehört zum Beispiel:

  • Erlauben/Verbieten automatischer Updates
  • Erlauben/Verbieten der Zwischenablage
  • Erlauben/Verbieten, dass Nutzer Anwendungen starten oder beenden
  • USB-Zugriff erlauben/verbieten
  • Benachrichtigungen verwalten
  • Grundlegende Anwendungsdaten erfassen (z. B. App-Größe)
  • Statistiken erheben (z. B. Anzahl der Anwendungsstarts, Speicherverbrauch, verwendeter Arbeitsspeicher, Netzwerkstatus)

 

Unternehmensdaten per Wiping schützen

Abschließend noch ein besonders wichtiger Aspekt beim Mobile Application Management: das sogenannte Wiping. Dadurch können Unternehmensdaten auf abhanden gekommenen Mobilgeräten aus der Ferne gelöscht („gewipet“) werden. Das ist wichtig, wenn etwa ein Firmenhandy gestohlen wird und der Zugriff auf relevante oder gar geschäftskritische Daten befürchtet werden muss.

 

Fazit zur Sperrung von Apps auf Firmengeräten

Die uneingeschränkte Erlaubnis für Arbeitnehmer, Apps nach Gutdünken zu installieren, empfiehlt sich keinesfalls – oder jedenfalls nur, wenn alle Angestellten im höchten Maß für die Belange von IT-Security und Mobile Security sensibilisiert sind.

Eine „weiche“ Methode sind arbeitsrechtliche Regelungen wie eine Nutzungsvereinbarung. Hier verbleiben aber auf beiden Seiten Risiken.

Die sichere Methode, Apps auf einem Firmenhandy zu sperren, ist ein Mobile Application Management. Hier administriert die IT den Zugang: Entweder werden Anwendungen genehmigt und in einem Enterprise App Store bereitgestellt oder unerwünschte Apps werden gesperrt.

 

Neuer Call-to-Action

 

Themen: Mobile Device Management, Bring Your Own Device, Choose Your Own Device, Mobile Security

Phone as a Service

everphone ist die One-Stop-Lösung für Firmensmartphones und -tablets. Im Blog schreiben wir über alles rund um Enterprise Mobility.

Mobile Device Management

E-Mail-Abonnement

Beliebte Beiträge