Wie Sie die richtige Policy erarbeiten

Mobile Security: Ohne Regeln geht es nicht

14.05.2008
Von  und Michael Foth
Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Nur wer seine Daten, Endgeräte und Anwender genau kennt, kann eine maßgeschneiderte Sicherheitsrichtlinie für die mobile Kommunikation erstellen.

Notebooks, Handys, Smartphones und andere Kleinstcomputer gehen schnell verloren - und mit ihnen eventuell sensible Daten. Es gilt deshalb, mögliche Gefahren in der mobilen Kommunikation exakt zu erfassen und zur Abwehr ein präventiv wirkendes Datenschutz- und Datensicherheitskonzept zu entwickeln.

1. Klassifizierung der Daten

Der erste Schritt zur Entwicklung einer Sicherheits-Policy (nicht nur für den Einsatz mobiler Geräte) ist die Klassifizierung der im Unternehmen verwendeten Daten. Erst daraus lässt sich ableiten, welche Daten mit welchen Sicherheitsanforderungen auf mobilen Datenträgern verwendet werden dürfen. Für interne Daten auf einem USB-Stick ergeben sich beispielsweise andere Anforderungen als bei streng vertraulichen Daten. Die verschiedenen Daten sollten mindestens in "interne Daten", "vertrauliche Daten" und "streng vertrauliche Daten" klassifiziert werden. Für jede Klasse sind Definitionen zu Umgang, Weitergabe, Bearbeitung und Löschung zu treffen. Personenbezogene Daten fallen mindestens unter die Stufe "Vertrauliche Daten" (siehe Bundesdatenschutzgesetz BDSG).

2. Klassifizierung der Geräte

Unterschiedliche mobile Geräte verlangen zur Erfüllung der Anforderungen an die jeweiligen Datenklassen eine Klassifizierung und Festschreibung nach Gerätetyp und Ausstattung. Für Handys sollten demnach andere Richtlinien gelten als für Notebooks, für Smartphones andere Regeln als für USB-Sticks und so weiter.

3. Definition und Klassifizierung der Medien

Eine Einteilung der Kommunikationsmedien ist ebenfalls unbedingt notwendig. Die Sicherheitsanforderungen dieser Medien sowie die Anforderungen aus der jeweiligen Datenklassifizierung müssen erfüllt sein. Für die Nutzung von WLAN, Bluetooth, Infrarot, UMTS, Dect, GSM, aber auch für den Zugang zu Unternehmensdaten über das Internet sind Regelungen zu treffen.

4. Betrachtung der Gefährdungen

Unternehmen kommen in mehreren Schritten zu einer strukturierten Sicherheits-Richtlinie für ihre mobile Kommunikation.
Unternehmen kommen in mehreren Schritten zu einer strukturierten Sicherheits-Richtlinie für ihre mobile Kommunikation.
Foto: IBS Schreiber / Michael Foth

Bei jedem der mobilen Geräte besteht die Gefahr des Verlustes, wodurch auch die gespeicherten Daten verloren gehen und nicht mehr vor unbefugtem Zugriff geschützt sind. Unternehmen müssen Eintrittswahrscheinlichkeit, Relevanz, Handlungsbedarf und die entsprechenden Maßnahmen präventiv definieren. Der Verlust des Gerätes selbst ist aus materieller Sicht weniger relevant als der Verlust der Daten, die sich auf den jeweiligen Geräten befinden. Aus der konsequenten Gefährdungsbetrachtung unter Berücksichtigung der Daten- und Geräteklassifizierung kann auch resultieren, dass bestimmte mobile Medien nicht für sensible Daten genutzt werden dürfen, da das Risiko des Verlustes und der Einsichtnahme in die Daten zu groß wäre.