Enterprise Mobility Beginner’s Guide – Part 6: Mobile Sicherheit und Richtlinien

Mobile Sicherheit und Richtlinien - Enterprise Mobility Beginner's Guide Part 5 Der Enterprise Mobility Beginner’s Guide neigt sich dem Ende. Von Begriffserklärungen über mobile Endgeräte bis hin zu Verwaltungs- und Entwicklungs-Technologien wie dem MDM, MAM oder der MEAP wurden bereits essenzielle Bestandteile der Mobilisierung von Unternehmen vorgestellt. Nichtsdestotrotz gibt es immer noch weitere, relevante Komponenten der mobilen Strategie, welche nicht vernachlässigt werden dürfen.

Part 6 soll mit Bezug auf die bisherigen Parts der Blog-Reihe festhalten, wie wichtig die mobile Sicherheit beim Einsatz mobiler Endgeräte im Unternehmen ist und wie entscheidend eine angemessene Balance zwischen Sicherheit und Nutzerfreundlichkeit für den Erfolg einer mobilen Strategie ist.

Mobile Sicherheit ist essenziell

Unternehmensdaten waren noch nie so gefährdet wie heute. Der abzudeckende Schutzbereich beim Einsatz von mobilen Anwendungen wächst, da sensible Daten durch Cloud-Dienste, öffentliche Netzwerke, Hacker oder menschliches Fehlverhalten schnell abhanden kommen können. Mobile Sicherheit zieht sich wie ein roter Faden durch alle Enterprise Mobility Bereiche. Dabei können die notwendigen Maßnahmen entweder technisch in Systemen (z.B. MDM und MAM) implementiert werden oder organisatorisch in Form von Richtlinien und Handlungsanweisungen (Policies und Guidelines) definiert werden. Durch die Mobilisierung wird vor allem die Gewichtung von Sicherheitsanforderungen beeinflusst. Während Diebstahl oder Verlust von Geräten im stationären Bereich noch ein eher seltenes Ereignis darstellt, so ist das Risiko im mobilen Bereich deutlich höher. Dieses Beispiel verdeutlicht, weshalb für die Mobilisierung eine Neubewertung bereits bestehender Risiken vorgenommen werden muss. Darüber hinaus erweitern mobile Endgeräte durch neue Funktionen und Features auch das Bedrohungsportfolio und müssen durch adäquate Regelungen und Maßnahmen adressiert werden. Bereits bestehende Sicherheitsanforderungen dienen hierbei als wichtiger Input bei der Anschaffung von Hard- sowie Software. Durch eine detailliert Risikoanalyse können alle notwendigen Sicherheitsanforderungen abgeleitet werden und folglich mit der aktuellen IT-Infrastruktur sowie vorhandenen organisatorischen Sicherheitsmaßnahmen verglichen werden.

Policies und Guidelines – Richtlinien zum Umgang mit mobilen Endgeräten im Unternehmen

Speziell beim Einsatz von privaten Endgeräten für dienstliche Zwecke (BYOD) besteht häufig das Problem, dass Unternehmen nur beschränkt Zugriff auf das private Gerät des Mitarbeiters haben. Policies und Guidelines bieten Unternehmen die Möglichkeit, dennoch relevante Sicherheitsaspekte auf organisatorischer Ebene zu regeln und sich so rechtlich abzusichern. Policies und Guidelines sind Unternehmensrichtlinien und Handlungsempfehlungen für den Umgang mit mobilen Endgeräten im Unternehmensumfeld. Hierbei werden unter anderem folgende Aspekte abgedeckt:

  • Was muss bei Diebstahl oder bei Verlust des Gerätes beachtet werden?
  • Wie haben Nutzer sich in öffentlichen WLANs zu verhalten?
  • Wie wird die Nutzung im Ausland geregelt?
  • Wie generiert man sichere Passwörter?
  • Was geschieht, wenn das Device an Dritte weiterveräußert wird?

Beispiel einer Policy:

Jailbreak und Rooting

Ziel dieser Policy ist die Untersagung des Jailbreakings oder Rootens von mobilen Endgeräten. Ein Jailbreak oder Rooting ermöglicht die vollständige Berechtigung auf alle Funktionalitäten des Devices, welche standardgemäß nicht vom Hersteller geboten wird. Durch Rooten oder einen Jailbreak sinkt das Sicherheitsniveau des Endgerätes erheblich, da Apps beispielsweise nicht mehr an die strengen Vorgaben und Einschränkungen des ursprünglichen Betriebssystems gebunden sind. Das Jailbreaken sowie Rooten von mobilen Endgeräten, welche sich im Einsatz der Mustermann AG befinden, ist strengstens verboten. Dies gilt ebenso für ähnliche Praktiken auf Geräten mit anderen Betriebssystemen.

Mitarbeiter sollten in den Prozess der Einführung von Policies und Guidelines miteinbezogen werden. Spezifische Workshops und Schulungen können Mitarbeitern die entstehenden Risiken beim Einsatz von mobilen Endgeräten verdeutlichen. Hierdurch kann das allgemeine Bewusstsein für die mobilen Sicherheitsrisiken gestärkt werden. Dabei ist es wichtig, nicht nur dienstliche Problematiken anzusprechen, sondern auch an privaten Beispielen den Mitarbeitern aufzuzeigen, wie allgegenwärtig Datenschutz- und mobile Sicherheitrisiken sind. Auf diese Weise lernen Mitarbeiter den sicheren Umgang mit ihren mobilen Endgeräten am effektivsten.

Mobile Sicherheit und Nutzerfreundlichkeit – ein Balanceakt

Letztendlich stellt die Implementierung von Sicherheitsmaßnahmen immer einen Konflikt zwischen Benutzbarkeit und Sicherheit dar. Die Nutzerfreundlichkeit steht speziell aufgrund der „Consumerization of IT“ im Fokus mobiler Endgeräte. Da Mitarbeiter sich bei der privaten Nutzung bereits daran gewöhnt haben, ist die Bereitschaft bei einer dienstlichen Nutzung hierauf zu verzichten, meist nicht vorhanden. Werden relevante Sicherheitsaspekte zu restriktiv reguliert, weigern sich Nutzer ihr mobilen Endgeräte oder Enterpise Apps einzusetzen. Hierzu eine organisatorische sowie eine technische Problematik:

Organisatorische Problematik: Beispiel Passwortrichtlinien

Ein starkes Passwort, welches monatlich erneuert werden muss, ist zunächst aus Sicherheitsgründen wünschenswert. Es führt jedoch in der Praxis dass, dass Passwörter nach einem bestimmten Muster gewählt werden und beispielsweise der Monat in Form einer Ziffer hochgezählt wird. Wenn eine hohe Komplexität von Passwörtern vorgeschrieben wird, so führt dies dazu, dass Anwender ihre Passwörter vergessen und diese daher abspeichern oder aufschreiben. Dies stellt sich vor allem im Bezug auf mobile Endgeräte als großes Problem dar. Denn welcher Anwender ist wirklich dazu bereit, ein langes, komplexes sowie ein regelmäßig ablaufendes Passwort jedes Mal erneut einzugeben, um das Gerät zu entsperren?

Technische Problematik: Beispiel App-Regulierungen

Die Anzahl an Apps in den diversen App Stores steigt täglich an. Zudem gibt es heutzutage Apps für jede Situation und jedes Problem, ob beim Sport, zur Unterhaltung zuhause oder auch auf der Arbeit. Viele Anwender nutzen mobile Anwendungen im Arbeitsalltag, um produktiver arbeiten oder beispielsweise Termine besser koordinieren zu können. Werden jene Apps präventiv durch eine Blacklist eines MDM/MAM verboten, kann dies zu Unstimmigkeiten bei der Akzeptanz des mobilen Sicherheitskonzepts führen. Eine angemessene Balance zwischen Nutzerfreundlichkeit und Sicherheit zu finden, benötigt dementsprechend Erfahrung in der Umsetzung mobiler Lösungen. Dies zeigt ebenfalls, dass auch im mobilen Bereich der Anwender selbst einen entscheidenden Faktor darstellt. Durch den starken Fokus mobiler Geräte und Anwendungen auf die Nutzerfreundlichkeit ist es umso wichtiger ein adäquates Sicherheitsniveau zu schaffen und die Nutzer so früh wie möglich zu involvieren, denn die Etablierung von Datenschutz- und Datensicherheit für den Einsatz mobiler Endgeräte im Unternehmen ist mehr ein Prozess als System.

Lesson’s Learned

Enteprise Mobility Circle Part 6 - Mobile Sicherheit und Richtlinien

  • Die mobile Sicherheit ist essenziell.
  • Für ein möglichst hohes Sicherheitsniveau müssen neben der technischen Absicherung (beispielsweise durch MDM und MAM) auch organisatorische Richtlinien, sogenannte Policies & Guidelines, definiert werden.
  • Es muss die richtige Balance zwischen Nutzerfreundlichkeit und mobiler Sicherheit gefunden werden.

Lesen Sie hier weiter: EMBG Teil 7 – BYOD, COD & COPE

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *