Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Mobile Device Management

Der Spion in der Hosentasche

19.07.2018
Harald Kiy ist Geschäftsführer des aut Mobility-Lösungen spezialisierten IT-Dienstleisters  sector27.
Die Nutzung von Smartphones birgt viele Gefahren in sich - insbesondere im Hinblick auf die DSGVO.

Es gibt Sicherheitsmaßnahmen, die wirkungsvoll die mobilen Gefahren abwehren, außerdem existieren Business-Messenger-Dienste, die sicherer sind als WhatsApp und dennoch eine hohe Nutzerakzeptanz erreichen.

Wie sich sensible Unternehmensdaten in der mobilen Kommunikation schützen lassen

Seit Jahren steigt die Anzahl der Smartphone-Nutzer an. Waren es 2012 noch 36 Prozent der deutschen Bevölkerung ab 14 Jahren, die ein Smartphone genutzt haben, ist dieser Anteil im letzten Jahr auf 81 Prozent gestiegen (siehe: Statista). Auf Unternehmensseite ist das Smartphone mittlerweile ein wichtiger Stellhebel in der Beschleunigung von Unternehmensprozessen und als Arbeitsgerät nicht mehr wegzudenken.

Mit einem professionellen Business-Messaging-Dienst wird das Smartphone in der Hosentasche zu einem sicheren Begleiter im Geschäftsalltag.
Mit einem professionellen Business-Messaging-Dienst wird das Smartphone in der Hosentasche zu einem sicheren Begleiter im Geschäftsalltag.
Foto: shpakdm - shutterstock.com

Doch die mobile Zugriffsmöglichkeit auf das Unternehmensnetzwerk macht das Smartphone zu einem interessanten Angriffsziel. Zumal Smartphones hoch entwickelte Spionagegeräte sind - ständig erreichbar und intelligent. Über Mikrofon und Kamera liefern sie potenziell jedem Außenstehenden Bild und Ton und greifen über das Unternehmens-WiFi auf sensible Daten im Netzwerk zu. Und obwohl das in den Führungsetagen bekannt ist, wird das Thema Mobile Security noch immer eher stiefmütterlich behandelt, entsprechende Schutzvorkehrungen nur zögerlich getroffen.

Malware: Unternehmen haften

Das macht es kriminellen Angreifern mit Phishing-Mails oder Man-in-the-Middle-Attacken leicht, Schwachstellen in der Software auszunutzen. So geschehen beispielsweise beim Pegaus-Trojaner, der in den letzten zwei Jahren Smartphones mit iOS- und Android-Betriebssystem ins Visier nahm. Nach Installation konnte das Schadprogramm unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers feststellen.

Ein solcher Angriff auf ein geschäftlich genutztes Smartphone schadet dem Unternehmensimage und - noch gravierender - verursacht meist hohe wirtschaftliche Verluste bis hin zur Insolvenz. Gerade im Hinblick auf die neue Datenschutz-Grundverordnung (DSGVO) machen sich Unternehmen strafbar, wenn sie diese Einfallstore nicht schließen. Ein Verstoß wird mit bis zu vier Prozent des gesamten Jahresumsatzes geahndet; Geschäftsführer haften mit ihrem privaten Vermögen.

"Container" schotten Daten ab

Der Druck durch die DSGVO steigt. Dennoch gibt es gerade in den Führungsetagen Manager, die weit über 400 Apps auf ihren Smartphones installiert haben und damit Schadprogrammen Tür und Tor öffnen. Zumal die Geräte von CEOs und weiteren Führungskräften für Angreifer hochinteressante Ziele sind, weil auf ihnen sensible Daten gespeichert sind. So werden auf höchster Unternehmensebene die Vorgaben im Sinne der Datensicherheit und des Schutzes vertraulicher Daten praktisch ausgehebelt.

Lesetipp: Wie Systemhäuer Enterprise-Mobility-Projekte angehen

Um die Sicherheit und den Betrieb der mobilen Endgeräte zu gewährleisten, setzen größere Unternehmen inzwischen häufig auf ein Mobile Device Management (MDM), das das Management der Geräte organisiert und die gespeicherten geschäftskritischen Informationen vor unbefugtem Zugriff schützt. Für kleinere und mittelständische Unternehmen etablieren sich Container-Technologien zum Schutz der Daten. Entsprechende Anwendungen helfen dabei, geschäftliche Informationen auf Smartphones in einem verschlüsselten "Container" vor unbefugtem Zugriff zu schützen. Berufliche E-Mails, Kontakte, Kalender, Dokumente und auch Fotos sind von vorhandenen privaten Daten und Anwendungen strikt getrennt.

DSGVO-konformes Datenhandling

Die Trennung von dienstlichen und privaten Anwendungen und Daten durch verschlüsselte Container-Technologien ist ein erster Schritt, Unbefugten den Zugriff auf sensible Informationen zu verwehren. Doch was ist mit Messenger-Diensten wie beispielsweise WhatsApp, die sowohl privat als auch beruflich als Kommunikationsmittel genutzt werden? Ein Verbot auszusprechen, reicht nicht aus. Denn das begünstigt die Entstehung einer unkontrollierten Schatten-IT, die hohe Risiken für Unternehmensnetzwerk und -daten birgt.

Unternehmen, die Messenger-Dienste wie WhatsApp für die berufliche Kommunikation nutzen, riskieren einen Verstoß gegen die Vorgaben der DSGVO: Das Recht auf Informationen und das Recht auf das Löschen der Daten werden u.a. nicht erfüllt. Gerade bei außereuropäischen Messenger-Diensten ist häufig nicht bekannt, wo genau die Daten liegen. Eine Datenlöschung ist nicht möglich, im Sinne der DSGVO aber vorgesehen, wenn ein dienstlich genutztes Smartphone verloren geht.

Lesetipp: EU-DSGVO - eine Marketing-Rakete?

Sichere mobile Unternehmenskommunikation

Mit Secure-Enterprise-Messaging-Lösungen schützen Unternehmen ihren mobilen Wissenstransfer. Als Business-Variante zu Consumer-orientierten Diensten bieten sie meist passendere Geschäftsfunktionen. In der Regel übertragen Enterprise Messaging Apps den Datenaustausch verschlüsselt über HTTPS, um die Verbindung zwischen App und den Servern zu schützen.

Dabei werden temporäre Schlüssel verwendet, die sich von einem möglichen Angreifer im Nachhinein nicht entschlüsseln lassen. Liegen dem Dienstleister personenbezogene Nutzerdaten nur anonymisiert vor, werden die Vorgaben der DSGVO gewahrt. Ein Private Messaging für vertrauliche Kommunikation im kleinen Kreis ist meist ebenso möglich wie große Gruppen-Chats mit mehreren hundert Mitgliedern. Chats und Chatverläufe von vergangenen Kommunikationen lassen sich suchen und anzeigen, Kollegen zu laufenden Chats hinzufügen.

Lesetipp: Herausforderungen der DSGVO

Eine sichere Messaging-Lösung macht aber nur Sinn, wenn sie auch unternehmensweit eingesetzt und genutzt wird. Um eine hohe Nutzerakzeptanz zu erzielen, ist bei der Auswahl einer geeigneten Lösung auf ein einfaches Handling zu achten. Hilfreich ist, wenn der Dienst im Look and Feel an bekannte Anwendungen wie WhatsApp angelehnt ist.

So müssen Mitarbeiter nicht viel Zeit investieren, um die App zu verstehen. Ansonsten lässt sich der neue Messenger-Dienst samt seiner umfangreichen Features in Mitarbeiterschulungen vorstellen und erläutern. Unternehmen, die für die private Kommunikation zusätzlich hoch akzeptierte Dienste wie WhatsApp erlauben, erhöhen auch die Akzeptanz der Alternative. So wird das Smartphone in der Tasche zu einem sicheren Begleiter im Geschäftsalltag, zu einer geschützten Schaltzentrale, über die sich die verschiedensten Aufgaben, Projekte und Prozesse unternehmensweit abwickeln und steuern lassen. (rw)