Bei Diebstahl Daten remote löschen
3. Management und Richtlinien im Unternehmen
Wichtiges Merkmal des zentralen Managements ist die regelmäßige Aktualisierung der Smartphones inklusive der installierten Programme. Ohne eine zentrale Kontrollinstanz gibt es keinen Überblick über die Softwarestände, und Mitarbeiter arbeiten unter Umständen jahrelang mit veralteter Software, die entsprechend viele Sicherheitslücken aufweist. Smartphones sollten daher zwingend in den normalen Patch-Management-Zyklus eingebunden werden, so wie alle Systeme eines Unternehmens.
Die Richtlinie zu Anbindung und Management der Smartphones sollte vorsehen, verlorene oder gestohlene Geräte aus der Ferne löschen zu können, um zu verhindern, dass Unternehmensdaten in unbefugte Hände gelangen. Hierzu müssen die technischen Voraussetzungen geschaffen und die mobilen Endgeräte entsprechend konfiguriert werden.
Neben dem Löschen bieten moderne Smartphones auch die Möglichkeit der Lokalisierung über die Management-Schnittstelle. Für die Nutzung dieser Funktionalität nach Diebstahl und Verlust sollte die Richtlinie Vorgaben treffen, nicht zuletzt, weil diese Funktion enormes Missbrauchspotenzial bietet (Stichwort Mitarbeiterüberwachung).
Sinnvoll kann ebenfalls sein, Geräte mit einem Hinweis über den Eigentümer zu versehen, entweder über eine Anzeige auf dem Bildschirm oder über einen Aufkleber. Das erhöht nachweislich die Chance, dass ehrliche Finder das Gerät an das Unternehmen zurückschicken.
Ein wichtiger Aspekt organisatorischer Sicherheit - gerade wenn Endgeräte verwendet werden, die vom Provider gemietet wurden - ist das sichere Löschen im Schadens- oder Rückgabefall. Die Richtlinien sollten diese Fälle vorsehen und entsprechende Maßnahmen definieren. Dasselbe gilt für die Entsorgung von Geräten: Auch dann müssen im Vorfeld alle sensiblen Daten sicher gelöscht werden.
4. Mitarbeiter für Sicherheit sensibilisieren
Der Umgang mit dem Gefahrenbewusstsein der Mitarbeiter ist beim Einsatz von Smartphones eine Gratwanderung. Zu restriktiv konfigurierte Smartphones berauben diese häufig zentraler Funktionen, womit die Akzeptanz durch die Mitarbeiter schwindet und der ursprünglich erhoffte Vorteil ausbleibt. Auf der anderen Seite können zu laxe Regeln Angreifern Tür und Tor öffnen.
Das unkontrollierte Installieren von Apps durch die Mitarbeiter ist beispielsweise ein klassisches Sicherheitsrisiko. Wollen Unternehmen in diesem Punkt ganz auf Nummer sicher gehen, bleibt ihnen häufig keine andere Wahl, als ein komplettes App-Verbot auszusprechen. Hier müssen Unternehmen sorgfältig abwägen. Viele wählen eine Zwischenlösung und entwickeln einen Corporate App Store, der auf Sicherheit geprüfte Apps für die Mitarbeiter bereitstellt. So können die Mitarbeiter innerhalb gewisser Grenzen selber Apps installieren.
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.