Notebooks, Handys, Smartphones und andere Kleinstcomputer gehen schnell verloren - und mit ihnen eventuell sensible Daten. Es gilt deshalb, mögliche Gefahren in der mobilen Kommunikation exakt zu erfassen und zur Abwehr ein präventiv wirkendes Datenschutz- und Datensicherheitskonzept zu entwickeln.

1. Klassifizierung der Daten

Der erste Schritt zur Entwicklung einer Sicherheits-Policy (nicht nur für den Einsatz mobiler Geräte) ist die Klassifizierung der im Unternehmen verwendeten Daten. Erst daraus lässt sich ableiten, welche Daten mit welchen Sicherheitsanforderungen auf mobilen Datenträgern verwendet werden dürfen. Für interne Daten auf einem USB-Stick ergeben sich beispielsweise andere Anforderungen als bei streng vertraulichen Daten. Die verschiedenen Daten sollten mindestens in "interne Daten", "vertrauliche Daten" und "streng vertrauliche Daten" klassifiziert werden. Für jede Klasse sind Definitionen zu Umgang, Weitergabe, Bearbeitung und Löschung zu treffen. Personenbezogene Daten fallen mindestens unter die Stufe "Vertrauliche Daten" (siehe Bundesdatenschutzgesetz BDSG).

2. Klassifizierung der Geräte

Unterschiedliche mobile Geräte verlangen zur Erfüllung der Anforderungen an die jeweiligen Datenklassen eine Klassifizierung und Festschreibung nach Gerätetyp und Ausstattung. Für Handys sollten demnach andere Richtlinien gelten als für Notebooks, für Smartphones andere Regeln als für USB-Sticks und so weiter.

3. Definition und Klassifizierung der Medien

Eine Einteilung der Kommunikationsmedien ist ebenfalls unbedingt notwendig. Die Sicherheitsanforderungen dieser Medien sowie die Anforderungen aus der jeweiligen Datenklassifizierung müssen erfüllt sein. Für die Nutzung von WLAN, Bluetooth, Infrarot, UMTS, Dect, GSM, aber auch für den Zugang zu Unternehmensdaten über das Internet sind Regelungen zu treffen.

4. Betrachtung der Gefährdungen

Bei jedem der mobilen Geräte besteht die Gefahr des Verlustes, wodurch auch die gespeicherten Daten verloren gehen und nicht mehr vor unbefugtem Zugriff geschützt sind. Unternehmen müssen Eintrittswahrscheinlichkeit, Relevanz, Handlungsbedarf und die entsprechenden Maßnahmen präventiv definieren. Der Verlust des Gerätes selbst ist aus materieller Sicht weniger relevant als der Verlust der Daten, die sich auf den jeweiligen Geräten befinden. Aus der konsequenten Gefährdungsbetrachtung unter Berücksichtigung der Daten- und Geräteklassifizierung kann auch resultieren, dass bestimmte mobile Medien nicht für sensible Daten genutzt werden dürfen, da das Risiko des Verlustes und der Einsichtnahme in die Daten zu groß wäre.