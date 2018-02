Mobiles Arbeiten hat sich in den Unternehmen mittlerweile fest etabliert. Mitarbeiter greifen ganz selbstverständlich mit ihren Smartphones oder Tablets auf Unternehmensdaten zu. Damit sind die mobilen Systeme aber auch für Cyber-Kriminelle aller Art interessant geworden. Oft haben Angreifer gerade hier leichtes Spiel, denn diese Geräte werden häufig in unsicheren Umgebungen betrieben und herkömmliche Sicherheitsvorkehrungen der IT greifen nicht.

Private und geschäftliche Daten trennen

Vielen Unternehmen sind die besonderen Risiken auch gar nicht bewusst. Dies gilt besonders für den Einsatz privater mobiler Geräte in Unternehmen (Bring Your Own Device - BYOD). Hier besteht das zusätzliche Risiko, dass private und geschäftliche Daten vermischt werden. Zudem hat die IT schon aus datenschutzrechtlichen Gründen keine Kontrolle über die privaten Daten und Apps des jeweiligen Nutzers.

Nicht zuletzt, wenn die Mitarbeiter auf betrieblich genutzten Smartphones und Tablets beliebte Kommunikations-Apps wie WhatsApp oder Facebook verwenden, müssen Unternehmen sicherstellen, dass die Sicherheitsvorschriften trotzdem eingehalten werden. Dies gilt besonders in Hinblick auf die Ende Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung (EU-DSGVO, GDPR). Mit dieser kommen verschärfte Compliance- und Sicherheitsanforderungen auf die Unternehmen zu, die sich natürlich auch auf betrieblich genutzte Smartphones und Tablets erstrecken.

Sieben Regeln für mobile Sicherheit

Nur wenn sich Unternehmen dieser speziellen Risiken bewusst sind, können sie sich effektiv schützen. Der Sicherheitsspezialist Virtual Solution hat die wichtigsten Regeln dafür - natürlich mit Blick auf die eigene Lösung SecurePIM - zusammengefasst:

1. Grundsätzlich müssen Mitarbeiter für die Risiken, die aus dem Betrieb mobiler Geräte entstehen, sensibilisiert und geschult werden. Dazu gehört beispielsweise auch die Verwendung sicherer Passwörter.

2. Bei vielen mobilen Systemen sind die Nutzer selbst für das Einspielen von Updates verantwortlich; veraltete Anwendungen sind immer ein Einfallstor für Angreifer. Daher müssen Unternehmen darauf achten, dass alle betrieblich genutzten mobilen Systeme up to date sind.

3. Auf den Mobilgeräten muss eine strikte Trennung von betrieblichen und privaten Daten erfolgen. Werden private Devices auch beruflich genutzt oder umgekehrt, müssen sich Unternehmensdaten und -anwendungen immer in einem abgeschotteten Bereich (Container) befinden. Andere Apps dürfen keinen Zugriff auf betriebliche Daten haben, beispielsweise darf WhatsApp keine Kontaktdaten übernehmen.

4. Für die Nutzer sollte es keinen Grund geben, Apps außerhalb des Containers betrieblich zu verwenden. In dem geschützten Bereich sollten deshalb alle wesentlichen Office-Funktionen bereitstehen abdecken: E-Mail, Kontakte, Kalender, Aufgaben, Bearbeitung von Dokumenten, Internetzugriff und Kamera. Aus dem Container muss der Mitarbeiter zudem sicher auf Unternehmens-Ressourcen zugreifen können, beispielsweise Intranet oder Fileshare. Es darf.

5. Betriebliche Daten müssen sowohl auf dem Gerät als auch während der Übertragung durchgängig verschlüsselt sein.

6. Die IT-Administration muss in der Lage sein, die beruflichen Daten aus der Ferne zu löschen, wenn ein Gerät verloren oder entwendet wird.

7. Alle Sicherheitsvorkehrungen müssen so gestaltet sein, dass sie den Mitarbeiter in seiner Tätigkeit möglichst nicht einschränken - nur praxistaugliche Sicherheit wird ernsthaft verwendet; so werden beispielsweise aufwändige manuelle Verschlüsselungsverfahren von den Nutzern in der Regel umgangen.

Schutz vor Schädigung der Firmenkasse - und der Reputation

"Unzureichend gesicherte Smartphones und Tablets sind für Unternehmen ein großes Risiko", bringt es Günter Junk, CEO der Virtual Solution AG, auf den Punkt. So könnten erfolgreiche Angriffe immense finanzielle Verluste verursachen und die Reputation nachhaltig beschädigen. Außerdem drohten Unternehmen, die die Vorschriften der DSGVO nicht einhalten, künftig erhebliche Kosten durch Strafzahlungen; dazu muss gar kein Angriff erfolgt sein. Umso wichtiger sei es daher, mobile Systeme durch eine technische Lösung von vorneherein zu schützen, so Junk.