computerwoche.de

Mobile & Apps

Wie Sie die richtige Policy erarbeiten

Mobile Security: Ohne Regeln geht es nicht

14.05.2008
Von  und Michael Foth


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Alle Posts des Autors Email: Connect:

5. Den Zielgruppen anpassen

Nach der Festlegung von Daten-, Geräte- und Medienklassen und der Betrachtung möglicher Risken sollten die Anforderungen an verschiedene Zielgruppen festgelegt und deren Verantwortung aufgezeigt werden. Als optimale Lösung hat sich die Einordnung in Anwender, Führungskräfte und Betreiber erwiesen. Regelungen für den Umgang und die Nutzung durch den Anwender sind unbedingt nötig. Auf Führungskräfte kommt hier eine Kontrollfunktion zu, da diese den engsten Kontakt zu den Anwendern in ihrem jeweiligen disziplinarischen Bereich haben. Darüber hinaus sind mobile Systeme nicht immer an das Unternehmensnetz angeschlossen und somit von zentralen Kontrollinstanzen nicht einsehbar. Die Zielgruppe "Betreiber" ist im klassischen Sinne die IT-Abteilung, die diese Geräte vorkonfiguriert, die geforderten Sicherheitsmaßnahmen implementiert und so weit wie möglich die Einhaltung der technischen Anforderungen an Sicherheit überwacht und möglichst mit technischen Mitteln erzwingt.

6. Vertrauen ist gut, Kontrolle ist besser

Alle Anforderungen und Regelungen können nur dann greifen, wenn Unternehmen die Einhaltung der Regelungen auch kontrollieren. Sicherheit muss betrieben werden. Dafür ist ein Prozess zu definieren und dessen Wirksamkeit zu prüfen. In diesem Kontrollsystem sind Regelungen und Meldewege für einen eventuellen Verlust von mobilen Geräten und auch für den Verlust der jeweils enthaltenen Daten festzulegen.

Die aufgezeigten Strukturen und Anforderungen an notwendige Definitionen haben sich in Unternehmen als optimale Regelung zum Einsatz mobiler Systeme erwiesen. Bei einer derartig etablierten Struktur besteht auch Sicherheit bei zukünftigen Neuerungen und Änderungen, da auch für diese auf der gegebenen Basis das Gefährdungspotenzial minimiert werden kann. Muster-Policies sind zu allen angesprochenen Regelungen verfügbar. Sie müssen jedoch in die Gesamtstruktur der Sicherheitspolitik des Unternehmens eingebettet und auf die Belange und Daten des Unternehmens abgestimmt werden. Diese Struktur erfüllt dann bereits die vom Gesetzgeber und Wirtschaftsprüfern geforderten Standards in vielen Bereichen, so auch dem Datenschutz.

Die gesamte Kette mit den organisatorischen Regelungen und Anweisungen für die Mitarbeiter funktioniert aber nur dann, wenn die Unternehmen ihre technischen Konzepte zukünftig allesamt entsprechend der aufgestellten Policies entwickeln.