Mobile Security: So sichern Sie Ihre Firmengeräte

Von Ronny Wiegand am 17.1.2019
Ronny Wiegand
Vernetzen:

Mit dem steigenden Anteil auch privat genutzter Mobilgeräte in Unternehmen wächst auch das Sicherheitsrisiko. Unser Artikel zu Mobile Security gibt Ihnen Tipps für den sicheren Umgang mit Smartphones und Tablets in Ihrer Firma.

Inhalt: Mobile Security

Mobile Security everphone
Mobile Security wird eine immer größere Herausforderung für viele Unternehmen

Sicherheitslücken durch Mobilgeräte

Der Albtraum für viele Systemadministratoren: Mitarbeiter setzen private mobile Endgeräte unkontrolliert im Unternehmen ein und bieten dadurch Angriffsflächen für Viren, Hacker, Wirtschaftsspione oder andere Übel. Datendiebstahl, Datenverlust, Identitätsdiebstahl, Erpressungen durch Ransomware und Produktivitätseinbußen durch Geräteausfälle sind dabei die größten Bedrohungen, denen sich Unternehmen gegenübersehen.

In vielen Firmen gibt es dennoch – auch mangels klarer Unternehmensvorgaben – so gut wie keine Transparenz über die Konfiguration oder sogar nur die Anzahl der eingesetzten Mobile Devices im Rahmen von BYOD („Bring Your Own Device“). Unter solchen Voraussetzungen lässt sich natürlich keine IT-Landschaft vernünftig absichern. Die mobile Sicherheit leidet zusätzlich, wenn die Angestellten nur wenig für die Belange der IT-Security sensibilisiert sind.

Mobile Sicherheit Private EndgeräteDer Einsatz privater Endgeräte im Unternehmen wirft Sicherheitsfragen auf

 

Das öffnet dann nicht nur Angreifern Tür und Tor, sondern kann auch im Rahmen von DSGVO-Datenschutzkontrollen zu empfindlichen Strafen führen. Mehr zu diesem Thema erfahren Sie in unserem Whitepaper „Bring Your Own Device  und DSGVO”, das Sie hier kostenlos herunterladen können. Daher sollten dem Problembewusstsein konkrete Schritte für die Mobile Security umgehend folgen.

 

Mobile Security: planen und umsetzen

Die Sicherheit der eingesetzten Mobilgeräte muss zu einem integralen Bestandteil des IT-Sicherheitsmanagements werden. Will man durch den Einsatz mobiler Geräte die Informationssicherheit des Unternehmens nicht kompromittieren, empfiehlt es sich, einen konkreten Maßnahmenplan zu erstellen und diesen dann auch konsequent umzusetzen. Hier einige Tipps.

 

Mobile-Device-Vergabemodell überdenken

„Bring Your Own Device“ ist beliebt: Bei Arbeitgebern, weil sie sich die Anschaffungskosten für die Geräte sparen. Bei Arbeitnehmern, weil sie mit einem vertrauten Gerät leichter produktiv arbeiten können.

Demgegenüber steht erstens das ungute Gefühl bei vielen Mitarbeitern, wenn sie dem Admin ihr persönliches Smartphone für die Dauer notwendiger Anpassungen am Gerät übergeben müssen. Und zweitens der Overhead in der IT zur sicheren Einbindung.

Die Aufwände beim Handling (Compliance-Konfigurationen, Autorisierungen, Registrierung, Authentifizierung) und die Belange der Mobile Security können gute Gründe sein, ein anderes Deployment-Modell als BYOD in Betracht zu ziehen: beispielsweise „Choose Your Own Device“ (CYOD).

Mobile Security SmartphonesWelches Schweinderl darf’s denn sein? In CYOD-Szenarien suchen sich Angestellte ihr Firmenhandy selbst aus

 

Bei CYOD werden Firmengeräte ausgegeben, die von Beginn an sicher in die IT-Umgebung integriert sind, und von den Mitarbeitern auch privat genutzt werden können (mehr dazu erfahren Sie in unserem MDM-Whitepaper – Hier geht’s zum kostenlosen Download.

 

Keine unkontrollierte Privatnutzung von Firmengeräten

Setzt das Unternehmen auf Firmengeräte, ist es nicht ratsam, den Mitarbeitern die private Verwendung dieser Geräte unkontrolliert zu erlauben. Das können Arbeitgeber schon deswegen nicht wollen, weil sich bereits durch eine fehlende Kontrolle eine sogenannte „betriebliche Übung der Privatnutzung“ juristisch begründen kann. Diese wiederum kann bei arbeitsrechtlichen Auseinandersetzungen zur Rechtsgrundlage für eine private Nutzung werden – selbst wenn das Unternehmen diese aus Gründen der Mobilgeräte-Sicherheit gar nicht gestatten will.

Die auf dem Gerät gespeicherten Privatdaten machen allerdings Kontrollen und auch den Zugriff auf Unternehmensdaten (zum Beispiel im Krankheitsfall) datenschutzrechtlich problematisch. Neben Verstößen gegen die seit Mai 2018 gültige EU-DSGVO (unlängst begannen die ersten Datenschutzkontrollen) können Unternehmen im schlimmsten Fall sogar einen Straftatbestand erfüllen (Verletzung des Post- oder Fernmeldegeheimnisses, § 206 StGB). Mehr zu den arbeitsrechtlichen Hintergründen können Sie in diesem Artikel zur Privatnutzung des Smartphones lesen.

 

Mobilgeräteverwaltung vereinfachen (Mobile Device Management)

Wird die Mobilgeräteverwaltung mit Excel oder anderen Hilfslösungen organisiert, sinkt die Transparenz über die aktuell verwendeten Geräte, Rufnummern, Tarife, Betriebssysteme etc. schnell – und zwar umso schneller, je mehr Devices im Unternehmen verwendet werden.

Es empfiehlt sich daher der Einsatz einer dezidierten Mobile-Device-Management-Software, um den Aufwand bei der Mobilgeräteverwaltung in den Griff zu bekommen. MDM-Lösungen vereinfachen die Geräteregistrierung (Enrollment) und sparen durch die automatische Konfiguration der registrierten Geräte (zum Beispiel für E-Mails, WLAN, VPN) sehr viel Zeit in der IT-Abteilung ein.

Eine Liste gängiger MDM-Anbieter finden Sie in unserem MDM-Whitepaper.

 

Mitarbeiter für Mobile Security sensibilisieren

Ein enorm wichtiger Faktor ist das Sicherheitsbewusstsein bei den Mitarbeitern, insbesondere bei geschäftlich genutzten Privatgeräten.

Hier gibt es oft Wissensdefizite. Die Probleme fangen mit dem Einsatz schwacher Passwörter an, gehen über ignorierte Updates des mobilen Betriebssystems und anderer Software und hören bei der gedankenlosen Installation unsicherer Apps aus dem Play Store oder dem iStore auf.

 EU-DSGVO und BYOD AppsSpeziell die Verwendung des beliebten Messengers WhatsApp in Unternehmenskontexten steht immer wieder zur Debatte. Dieser überträgt Kontaktdaten an Server im Ausland und ist deswegen nicht DSGVO-konform

 

Angestellte sollten deshalb genau darüber aufgeklärt werden, was sie dürfen und was sie nicht dürfen. Das kann ganz einfache Arbeitsanweisungen bedeuten: Wie wähle ich ein sicheres Passwort? Welchen Passwort-Manager kann ich gegebenenfalls verwenden? Gibt es im Unternehmen eine Single-Sign-on-Lösung? Welche Apps sind erlaubt, welche sind tabu?

Machen Sie Ihren Kollegen klar, dass das Installieren nicht genehmigter Apps nicht nur aus Sicherheitsgründen ein No-go ist, sondern auch ernste arbeitsrechtliche Konsequenzen haben kann.

 

Privaten und geschäftlichen Bereich mit Container-Lösung trennen

Eine mögliche technische Lösung für Mobile Security ist das Installieren eines sogenannten Sicherheits-Containers, der einen verschlüsselten Workspace für die Geschäftsanwendungen vom Rest des Mobilgeräts „abtrennt“. Vielleicht ist Ihnen dieser Ansatz unter dem Namen „Sandboxing“ oder „Containerisierung“ bekannt.

Sandboxing, Mobile Security, Container-AppAbtrennen und sichern: Eine Container-App richtet auf dem Endgerät einen verschlüsselten Workspace ein, in welchem Unternehmensdaten geschützt sind

 

Da Daten aus diesem Business-Bereich nicht einfach in den privaten Teil des Geräts kopiert werden können und der IT-Admin festlegen kann, welche Apps im Workspace überhaupt installiert werden können, sind die unternehmensrelevanten Daten in diesem isolierten Bereich vor Missbrauch geschützt.

Mobile Device Management - Screenshot Workspace App (2)Der Workspace ist quasi ein Smartphone im Smartphone

Mobile Device Management Cortado 780 Screenshot eines Workspaces mit vorkonfigurierten Produktivitäts-Apps

 

Es gibt zahlreiche Drittanbieter von Container-Apps. Die Smartphone-Hersteller sowie die Anbieter mobiler Betriebssysteme bieten aber auch native Container-Lösungen an, diese heißen:

  • Knox (Samsung)
  • iOS Business Container (Apple)
  • Secure Work Space (BlackBerry)
  • InTune (Microsoft)

Ein weiterer Vorteil von Sicherheitscontainern: Konfiguration und Rollout neuer Geräte werden einfacher; dies reduziert Aufwände in der IT.

 

Mobile-Security-Aufwand im Auge behalten

Denn sollen mitgebrachte Privatgeräte sicher eingebunden werden, bedeutet dies in der Regel, dass die IT die Smartphones einzeln und „händisch“ integrieren muss. Bei großer Heterogenität der Gerätelandschaft, wie sie in BYOD-Szenarien zu erwarten ist, ist dies eine echte Herausforderung.

Unserer Erfahrung nach fallen bei IT-Fachkräften bis zu fünf Stunden Arbeitszeit pro Jahr und Gerät dafür an. Legt man diese Zahl zugrunde, ist ab gut 200 Firmensmartphones eine IT-Fachkraft in Vollzeit mit Mobile Device Management beschäftigt.

Twitter_Wussten Sie schon_

Unternehmen sind hier gut beraten, diesen Aufwand zu analysieren und gegebenenfalls BYOD-Szenarien auch kritisch zu hinterfragen. Hier gibt es oft erhebliches Einsparpotenzial, zum Beispiel, wenn Firmenhandys gemietet werden.

 

Für klare Mobile-Security-Vorgaben sorgen

Fehlen klare Unternehmensvorgaben zur Privatnutzung eines Diensthandys, sollte der Arbeitgeber hier zügig handeln und Regelungen zur privaten Nutzung klar und deutlich kommunizieren: Dürfen die Geräte privat überhaupt genutzt werden? Was bedeutet die private Nutzung konkret? Welche Kontrollmöglichkeiten kann und muss der Arbeitgeber haben? Muss der Arbeitnehmer aktiv bei der Sicherung des Smartphones mitwirken (zum Beispiel Apps oder Betriebssystem aktuell halten, Passwörter in bestimmten Abständen ändern etc)?

Eine Möglichkeit, hier für Klarheit zu sorgen, ist eine Nutzungsvereinbarung für Firmengeräte. Es gibt aber auch technische Möglichkeiten für die saubere Trennung von privaten und geschäftlichen Daten und einen hohen Grad an Mobile Security, wie zum Beispiel den Einsatz von Container-Lösungen oder eben gleich eines Mobile Device Managements.

Wie sichern Sie Ihre Geschäfts-Smartphones? Ich freue mich auf Ihre Kommentare.

Neuer Call-to-Action

 

Weblinks Mobile Security

 

Themen: Mobile Device Management, Bring Your Own Device, Mobile Security

Phone as a Service

everphone ist die One-Stop-Lösung für Firmensmartphones und -tablets. Im Blog schreiben wir über alles rund um Enterprise Mobility.

 

E-Mail-Abonnement

Beliebte Beiträge