Mobile Security: So sichert ihr eure Firmengeräte

Mit dem steigenden Anteil auch privat genutzter Mobilgeräte in Unternehmen wächst auch das Sicherheitsrisiko. Unser Artikel zu Mobile Security gibt euch Tipps für den sicheren Umgang mit Smartphones und Tablets in eurer Firma.
Datensicherheit-in-Unternehmen_Mobile-Security
Datensicherheit-in-Unternehmen_Mobile-Security
Inhaltsverzeichnis

Sicherheitslücken durch Mobilgeräte

Der Albtraum für viele Systemadministratoren: Mitarbeiter*innen setzen private mobile Endgeräte unkontrolliert im Unternehmen ein und bieten dadurch Angriffsflächen für Viren, Hacker, Wirtschaftsspione oder andere Übel. Datendiebstahl, Datenverlust, Identitätsdiebstahl, Erpressungen durch Ransomware und Produktivitätseinbußen durch Geräteausfälle sind dabei die größten Bedrohungen, denen sich Unternehmen gegenübersehen.

In vielen Firmen gibt es dennoch – auch mangels klarer Unternehmensvorgaben – so gut wie keine Transparenz über die Konfiguration oder sogar nur die Anzahl der eingesetzten Mobile Devices im Rahmen von BYOD („Bring your own Device“). Dieses „Dark-BYOD“ kann man als Spezialfall der sogenannten Schatten-IT betrachten.

Dark-BYOD bedeutet, dass die IT die von den Beschäftigten eingesetzten Privatgeräte nicht kennt beziehungsweise von deren Benutzung nichts weiß

Unter solchen Voraussetzungen lässt sich natürlich keine IT-Landschaft vernünftig absichern. Die mobile Sicherheit leidet zusätzlich, wenn die Angestellten nur wenig für die Belange der IT-Security sensibilisiert sind.

Das öffnet dann nicht nur Angreifer*innen Tür und Tor, sondern kann auch im Rahmen von DSGVO-Datenschutzkontrollen zu empfindlichen Strafen führen. Daher sollten dem Problembewusstsein konkrete Schritte für die Mobile Security umgehend folgen.

Mobile Security: planen und umsetzen

Die Sicherheit der eingesetzten Mobilgeräte muss zu einem integralen Bestandteil des IT-Sicherheitsmanagements werden. Will man durch den Einsatz mobiler Geräte die IT-Sicherheit des Unternehmens nicht kompromittieren, empfiehlt es sich, einen konkreten Maßnahmenplan zu erstellen und diesen dann auch konsequent umzusetzen.

Hier einige Tipps.

Mobile-Device-Vergabemodell überdenken

Bring your own Device“ ist beliebt: Bei Arbeitgebern, weil sie sich die Anschaffungskosten für die Geräte sparen. Bei Arbeitnehmer*innen, weil sie mit einem vertrauten Gerät leichter produktiv arbeiten können.

Demgegenüber steht erstens das ungute Gefühl bei vielen Mitarbeiter*innen, wenn sie einer*m Admin ihr persönliches Smartphone für die Dauer notwendiger Anpassungen am Gerät übergeben müssen. Und zweitens der Overhead in der IT zur sicheren Einbindung.

Die Aufwände beim Handling (Compliance-Konfigurationen, Autorisierungen, Registrierung, Authentifizierung) und die Belange der Mobile Security können gute Gründe sein, ein anderes Deployment-Modell als BYOD in Betracht zu ziehen: beispielsweise „Choose your own Device“ (CYOD).

Welches Schweinderl darf’s denn sein?
In CYOD-Szenarien suchen sich Angestellte ihr Firmenhandy selbst aus

Bei CYOD werden Firmengeräte ausgegeben, die von Beginn an sicher in die IT-Umgebung integriert sind, und von den Mitarbeiter*innen auch privat genutzt werden können (mehr dazu erfährst du in unserem MDM-Whitepaper – klicke hier für den Download.

Keine unkontrollierte Privatnutzung von Firmengeräten

Setzt das Unternehmen auf Firmengeräte, ist es nicht ratsam, den Mitarbeiter*innen die private Verwendung dieser Geräte unkontrolliert zu erlauben. Das können Arbeitgeber schon deswegen nicht wollen, weil sich bereits durch eine fehlende Kontrolle eine sogenannte „betriebliche Übung der Privatnutzung“ juristisch begründen kann.

Diese wiederum kann bei arbeitsrechtlichen Auseinandersetzungen zur Rechtsgrundlage für eine private Nutzung werden – selbst wenn das Unternehmen diese aus Gründen der Mobilgeräte-Sicherheit gar nicht gestatten will.

Datensicherheit-in-Unternehmen_Mobile-Security
Mobile Security wird eine immer größere Herausforderung für viele Unternehmen

Die auf dem Gerät gespeicherten Privatdaten machen allerdings Kontrollen und auch den Zugriff auf Unternehmensdaten (zum Beispiel im Krankheitsfall) datenschutzrechtlich problematisch. Neben Verstößen gegen die seit Mai 2018 gültige EU-DSGVO (noch im selben Jahr begannen die ersten Datenschutzkontrollen) können Unternehmen im schlimmsten Fall sogar einen Straftatbestand erfüllen (Verletzung des Post- oder Fernmeldegeheimnisses, § 206 StGB). Mehr zu den arbeitsrechtlichen Hintergründen kannst du in diesem Artikel zur Privatnutzung des Smartphones lesen.

Mobilgeräteverwaltung vereinfachen (Mobile Device Management)

Wird die Mobilgeräteverwaltung mit Excel oder anderen Hilfslösungen organisiert, sinkt die Transparenz über die aktuell verwendeten Geräte, Rufnummern, Tarife, Betriebssysteme etc. schnell – und zwar umso schneller, je mehr Devices im Unternehmen verwendet werden.

Es empfiehlt sich daher der Einsatz einer dedizierten Mobile-Device-Management-Software, um den Aufwand bei der Mobilgeräteverwaltung in den Griff zu bekommen. MDM-Lösungen sind meist Teil eines übergeordneten Enterprise-Mobility-Managements. Sie vereinfachen die Geräteregistrierung (Enrollment) und sparen durch die automatische Konfiguration der registrierten Geräte (zum Beispiel für E-Mails, WLAN, VPN) sehr viel Zeit in der IT-Abteilung ein.

Belegschaft für Mobile Security sensibilisieren

Ein enorm wichtiger Faktor ist das Sicherheitsbewusstsein bei den Beschäftigten, insbesondere bei geschäftlich genutzten Privatgeräten.

Hier gibt es oft Wissensdefizite. Die Probleme fangen mit dem Einsatz schwacher Passwörter an, gehen über ignorierte Updates des mobilen Betriebssystems und anderer Software („Patches“) und hören bei der gedankenlosen Installation unsicherer und datenhungriger mobiler Apps aus App-Story wie Google Play (oder schlimmer noch: Direkt-Downloads von Anwendungsdateien aus den Tiefen eines obskuren Forums) auf.

Speziell die Verwendung des beliebten Messengers WhatsApp in Unternehmenskontexten steht immer wieder zur Debatte. Dieser überträgt Kontaktdaten an Server im Ausland und ist deswegen nicht DSGVO-konform

Angestellte sollten deshalb genau darüber aufgeklärt werden, was sie dürfen und was sie nicht dürfen. Das kann ganz einfache Arbeitsanweisungen bedeuten:

  • Wie wähle ich ein sicheres Passwort?
  • Welchen Passwort-Manager kann ich gegebenenfalls verwenden?
  • Gibt es im Unternehmen eine Single-Sign-on-Lösung?
  • Welche Apps sind erlaubt, welche sind tabu?

Macht eurem Team klar, dass das Installieren nicht genehmigter Apps nicht nur aus Sicherheitsgründen ein No-go ist, sondern auch ernste arbeitsrechtliche Konsequenzen haben kann.

Privaten und geschäftlichen Bereich mit Container-Lösung trennen

Eine mögliche technische Lösung für Mobile Security ist das Installieren eines sogenannten Sicherheits-Containers, der einen verschlüsselten Workspace für die Geschäftsanwendungen vom Rest des Mobilgeräts ‚abtrennt“. Vielleicht ist dir dieser Ansatz unter dem Namen „Sandboxing“ oder „Containerisierung“ bekannt.

Abtrennen und sichern: Eine Container-App richtet auf dem Endgerät einen verschlüsselten Workspace ein, in welchem Unternehmensdaten geschützt sind

Da Daten aus diesem Business-Bereich nicht einfach in den privaten Teil des Geräts kopiert werden können und die IT-Admins festlegen können, welche Apps im Workspace überhaupt installiert werden können, sind die unternehmensrelevanten Daten in diesem isolierten Bereich vor Missbrauch geschützt.

Screenshot eines Workspaces mit vorkonfigurierten Produktivitäts-Apps von Google

Es gibt zahlreiche Drittanbieter von Container-Apps. Die Smartphone-Hersteller sowie die Anbieter mobiler Betriebssysteme bieten aber auch native Container-Lösungen an, diese heißen:

  • Knox (Samsung)
  • iOS Business Container (Apple)
  • Secure Work Space (BlackBerry)
  • InTune (Microsoft)

Ein weiterer Vorteil von Sicherheitscontainern: Konfiguration und Rollout neuer Geräte werden einfacher; dies reduziert Aufwände in der IT und senkt Kosten.

Mobile-Security-Aufwand im Auge behalten

Denn sollen mitgebrachte Privatgeräte sicher eingebunden werden, bedeutet dies in der Regel, dass die IT die Smartphones einzeln und „händisch“ integrieren muss. Bei großer Heterogenität der Gerätelandschaft, wie sie in BYOD-Szenarien zu erwarten ist, ist dies eine echte Herausforderung.

IT-Mitarbeiter*innen werden durch die massenhafte Bereitstellung von Mobilgeräten oft dauerhaft blockiert

Unserer Erfahrung nach fallen bei IT-Fachkräften bis zu fünf Stunden Arbeitszeit pro Jahr und Gerät dafür an. Legt man diese Zahl zugrunde, ist ab gut 200 Firmensmartphones eine IT-Fachkraft in Vollzeit mit Mobile-Device-Management beschäftigt.

Unternehmen sind hier gut beraten, diesen Aufwand zu analysieren und gegebenenfalls BYOD-Szenarien auch kritisch zu hinterfragen. Hier gibt es oft erhebliches Einsparpotenzial, zum Beispiel, wenn Firmenhandys gemietet werden.

Für klare Mobile-Security-Vorgaben sorgen

Fehlen klare Unternehmensvorgaben zur Privatnutzung eines Diensthandys, sollte der Arbeitgeber hier zügig handeln und Regelungen zur privaten Nutzung klar und deutlich kommunizieren:

  • Dürfen die Geräte privat überhaupt genutzt werden?
  • Was bedeutet die private Nutzung konkret?
  • Welche Kontrollmöglichkeiten kann und muss der Arbeitgeber haben?
  • Müssen Arbeitnehmer*innen aktiv bei der Sicherung des Smartphones mitwirken (zum Beispiel Apps oder Betriebssystem aktuell halten, Passwörter in bestimmten Abständen ändern etc)?

Eine Möglichkeit, hier für Klarheit zu sorgen, ist eine Nutzungsvereinbarung für Firmengeräte. Es gibt aber auch technische Möglichkeiten für die saubere Trennung von privaten und geschäftlichen Daten und einen hohen Grad an Mobiler Sicherheit (Mobile Security), wie zum Beispiel den Einsatz von Container-Lösungen oder eben gleich eines Mobile-Device-Managements.

Weblinks Mobile Security

Kostenloser Download

Private Endgeräte im Unternehmen – sind die Daten sicher? Finde es in unserem kostenlosen BYOD-Whitepaper raus. 

Everphone

Empfohlene Artikel

11918
mobile sicherheit antivirus

Tipps zur mobilen Sicherheit und Antivirus für das Handy

12185

Sicherheits-Apps auf Android und MDMs für mehr Sicherheit

12192
Face-ID_Security_iPhone_Apple-2

Sicherheit und Face ID: Wie notwendig ist das Feature?

10461
sophos mobile device management

Sophos Mobile Device Management für dein Unternehmen

11778
mdm mam mobile application management

Was ist ein Mobile-Application-Management?

11897
mobile device management dsgvo

Welche Bedeutung hat die DSGVO für Mobile Device Management?

Bleib' in Verbindung

Mit unserem Newsletter bekommst du die neuesten Informationen über mobile Arbeit und mobile Geräte in deinen Posteingang. Abonniere ihn hier und wir halten dich auf dem Laufenden. Du kannst uns auch auf unseren Social-Media-Kanälen folgen, um weitere Einblicke und Updates zu Everphone zu erhalten.

Blog-Kategorien

Mobiles Arbeiten

Nachhaltigkeit

Business-Mobilfunktarife

Technologie

Employer Branding

Datensicherheit

Downloads

Expertenwissen mit unseren Whitepapers

Vertiefte Lektüre zur Mobilgeräteverwaltung aus Sicht von IT, HR und Technischem Einkauf gibt es in unseren Papers. Der Download ist kostenlos.

Report: Mobilgeräte und Nachhaltigkeit

Whitepaper: Mobile Sicherheit

Whitepaper: Firmenhandys als Benefit