Vertrauen ist gut, Kontrolle ist besser

14.05.2008
Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Nur wer seine Daten, Endgeräte und Anwender genau kennt, kann eine maßgeschneiderte Sicherheitsrichtlinie für die mobile Kommunikation erstellen.
Unternehmen kommen in mehreren Schritten zu einer strukturierten Sicherheitsrichtlinie für ihre mobile Kommunikation.
Unternehmen kommen in mehreren Schritten zu einer strukturierten Sicherheitsrichtlinie für ihre mobile Kommunikation.

Notebooks, Handys, Smartphones und andere Kleinstcomputer gehen schnell verloren - und mit ihnen eventuell sensible Daten. Es gilt deshalb, mögliche Gefahren in der mobilen Kommunikation exakt zu erfassen und zur Abwehr ein präventiv wirkendes Datenschutz- und Datensicherheitskonzept zu entwickeln.

Was Forrester empfiehlt

Laut Forrester Research sollte eine Mobile Policy aus vier Teilen bestehen:

einem Mobility-Framework, das zunächst einmal die Richtlinien für die unterstützten Geräte und Anwendungen schafft;

einer Security-Policy, die danach festlegt, durch welche Techniken und Prozesse die Daten auf den mobilen Geräten und den Übertragungswegen geschützt sind;

einem IT-getriebenen Geräte- und Support-Management, das die mobilen Geräte und Anwender über Remote-Helpdesks, Anwendungsinstallationen und regelmäßige Pflege dauerhaft unterstützt;

einer dezidierten Rollout- und Schulungsplanung, um den mobilen Anwendern die Einführung und Wahrung von Regeln zu erleichtern.

Zu den einzelnen Punkten halten die Analysten weiterführende Vorschläge parat:

Mobility Framework: Forrester empfiehlt, dass nur registrierte Geräte Zugriff auf das Unternehmensnetz bekommen. Ebenso sollten die Richtlinien dazu verpflichten, dass nur zwei mobile Betriebssysteme eingesetzt werden dürfen. Dies vermindert die Abhängigkeit von einem Hersteller sowie einer beschränkten Modellauswahl und hält gleichzeitig den Verwaltungsaufwand in Grenzen. Zu guter Letzt muss das Framework Angaben zu den erlaubten Applikationen auf den Endgeräten und den hierarchischen Positionen der Mitarbeiter, die ein mobiles Gerät einsetzen dürfen, enthalten.

Security-Policy: Als grundlegende Maßnahme bei der Einrichtung neuer Geräte ist eine Mobile-Security-Software-Suite zu installieren. Zur Authentifizierung des Benutzers ist ein Passwort Pflicht. Nach dreimaliger Falscheingabe sollte das Gerät gesperrt und erst nach telefonischer Rücksprache wieder freigeschaltet werden. Für den Fall, dass ein mobiles Gerät verloren geht, sollten Unternehmen eine sofortige Bekanntgabe des Verlustes vorschreiben. Nur dann kann die IT das Gerät sperren, auch während der Anwender vielleicht weiterhin danach sucht. Kann er es innerhalb von 24 Stunden nicht wiederfinden, sollte das Gerät dauerhaft aus dem Unternehmensnetz ausgesperrt bleiben. Im günstigsten Fall ist sogar eine Fernlöschung aller Daten vorzunehmen ("Remote Wipe"-Funktion).

Geräte- und Support-Management: Die technische Infrastruktur richtet sich nach den Geschäftsprozessen aus. IT- und Business-Verantwortliche müssen gemeinsame Richtlinien erarbeiten und deren regelmäßige Umsetzung genau terminieren. Um für die rapide technische Entwicklung Sorge zu tragen, sollten Notebooks alle 26 bis 32 Monate, Smartphones sogar alle 18 Monate rundum ausgetauscht werden. Die Verwaltung aller unternehmenseigenen Geräte erfolgt zentralisiert. Vierteljährliche Treffen der IT-Abteilung mit den Carriern bieten sich an, um technische Änderungen zu besprechen. Im Idealfall baut die IT ein unternehmensübergreifendes Team auf, das Geräte und Applikationen auf ihre Nutzerfreundlichkeit hin testet.

Rollout- und Schulungsplanung: Jede IT-Abteilung sollte speziell für mobile Endgeräte geschultes Personal beschäftigen, das den Anwendern im Helpdesk zur Verfügung steht. Im Notfall können auch externe Dienstleister diese Aufgabe übernehmen. Damit alle Mitarbeiter über die geltenden Sicherheitsrichtlinien Bescheid wissen, sollten diese explizit veröffentlicht werden und auch später verfügbar sein. Web-basierende Trainingsseminare, im Intranet publizierte Handbücher und Flash-Demonstrationen helfen darüber hinaus, das Wissen der Mitarbeiter zu erweitern und zu erhalten. Langfristig sollte jede Abteilung selbst das für sie notwendige Know-how besitzen, um den unternehmensweit tätigen Helpdesk zu entlasten. (Simon Hülsbömer)

Klassifizierung der Daten

Erst aus der Klassifizierung der im Unternehmen verwendeten Daten lässt sich ableiten, welche Information mit welchen Sicherheitsanforderungen auf mobilen Datenträgern verwendet werden dürfen. Für interne Daten auf einem USB-Stick ergeben sich beispielsweise andere Anforderungen als bei streng vertraulichen Daten. Die verschiedenen Informationen sollten mindestens in "interne Daten", "vertrauliche Daten" und "streng vertrauliche Daten" klassifiziert werden. Für jede Klasse sind Definitionen zu Umgang, Weitergabe, Bearbeitung und Löschung zu treffen. Personenbezogene Daten fallen mindestens unter die Stufe "Vertrauliche Daten" (siehe Bundesdatenschutzgesetz BDSG).

Klassifizierung der Geräte

Unterschiedliche mobile Geräte verlangen zur Erfüllung der Anforderungen an die jeweiligen Datenklassen eine Klassifizierung und Festschreibung nach Gerätetyp und Ausstattung. Für Handys sollten demnach andere Richtlinien gelten als für Notebooks, für Smartphones andere Regeln als für USB-Sticks und so weiter.

Definition und Klassifizierung der Medien

Eine Einteilung der Kommunikationsmedien ist ebenfalls unbedingt notwendig. Die Sicherheitsanforderungen dieser Medien sowie die Anforderungen aus der jeweiligen Datenklassifizierung müssen erfüllt sein. Für die Nutzung von WLAN, Bluetooth, Infrarot, UMTS, Dect, GSM, aber auch für den Zugang zu Unternehmensdaten über das Internet sind Regelungen zu treffen.

Betrachtung der Gefährdungen

Bei jedem der mobilen Geräte besteht die Gefahr des Verlustes, von dem auch die gespeicherten Daten betroffen sind. Unternehmen müssen Eintrittswahrscheinlichkeit, Relevanz, Handlungsbedarf und die entsprechenden Maßnahmen präventiv definieren. Aus der konsequenten Gefährdungsbetrachtung unter Berücksichtigung der Daten- und Geräteklassifizierung kann auch resultieren, dass bestimmte mobile Medien nicht für sensible Daten genutzt werden dürfen, da das Risiko des Verlustes und der Einsichtnahme in die Daten zu groß wäre.

Den Zielgruppen anpassen

Nach der Festlegung von Daten-, Geräte- und Medienklassen und der Betrachtung möglicher Risken sollten die Anforderungen an verschiedene Zielgruppen festgelegt und deren Verantwortung aufgezeigt werden. Als optimale Lösung hat sich die Einordnung in Anwender, Führungskräfte und Betreiber erwiesen. Regelungen für den Umgang und die Nutzung durch den Anwender sind unbedingt nötig. Auf Führungskräfte kommt hier eine Kontrollfunktion zu, da diese den engsten Kontakt zu den Anwendern in ihrem jeweiligen disziplinarischen Bereich haben. Darüber hinaus sind mobile Systeme nicht immer an das Unternehmensnetz angeschlossen und somit von zentralen Kontrollinstanzen nicht einsehbar. Die Zielgruppe "Betreiber" ist im klassischen Sinne die IT-Abteilung, die diese Geräte vorkonfiguriert, die geforderten Sicherheitsmaßnahmen implementiert und so weit wie möglich die Einhaltung der technischen Anforderungen an Sicherheit überwacht und möglichst mit technischen Mitteln erzwingt.

Ohne Kontrollen geht es nicht

Alle Anforderungen und Regelungen können nur dann greifen, wenn Unternehmen die Einhaltung der Regelungen auch kontrollieren. Dafür ist ein Prozess zu definieren und dessen Wirksamkeit zu prüfen. In diesem Kontrollsystem sind Regelungen und Meldewege für einen eventuellen Verlust von mobilen Geräten und auch für den Verlust der jeweils enthaltenen Daten festzulegen.

Die aufgezeigten Strukturen und Anforderungen an notwendige Definitionen haben sich in Unternehmen als optimale Regelung zum Einsatz mobiler Systeme erwiesen. Bei einer derartig etablierten Struktur besteht auch Sicherheit bei zukünftigen Neuerungen und Änderungen, da auch für diese auf der gegebenen Basis das Gefährdungspotenzial minimiert werden kann. Muster-Policies sind zu allen angesprochenen Regelungen verfügbar. Sie müssen jedoch in die Gesamtstruktur der Sicherheitspolitik des Unternehmens eingebettet und auf die Belange und Daten des Unternehmens abgestimmt werden. Diese Struktur erfüllt dann bereits die vom Gesetzgeber und Wirtschaftsprüfern geforderten Standards in vielen Bereichen, so auch dem Datenschutz. (Simon Hülsbömer)