Wie kann gutes Mobile Working aussehen?
Gutes Mobile Working kann nur im Zusammenspiel all der erwähnten Überlegungen funktionieren: So muss die für die Aufgabenstellung und das jeweilige Unternehmen passende Mobile-Working-Variante gewählt werden. Zudem muss die Technologie bereitgestellt und ein funktionierendes ISMS mit besonderem Augenmerk auf Mitarbeiter-Awareness implementiert werden (siehe folgende Checkliste). Wie der Praxisbericht zeigt, ist dann Mobile Working auch für kleine und mittelständische Unternehmen mit hohem Sicherheitsbedürfnis gut realisierbar.
- Unternehmensweite Sicherheitsrichtlinien formulieren
Diese müssen auch den Umgang mit Daten und Informationen außerhalb des geschützten Firmennetzwerkes berücksichtigen. Die Richtlinien müssen einen vernünftigen und nachvollziehbaren Rahmen vorgeben. Sie dürfen nicht realitätsfern sein. - Security-Awareness-Maßnahmen
Geeignete Schulungen nicht nur für neue Mitarbeiter, sondern auch für „alte Hasen“ anbieten. Regelmäßig die Mitarbeiter für die Themen Sicherheit und mobiles Arbeiten sensibilisieren. - Durchsetzung der Sicherheitsrichtlinien prüfen und sicherstellen
Das kann zum einen technologisch (durch beispielsweise Erzwingen von Sperrrichtlinien bei mobilen Geräten), zum anderen durch Awareness-Maßnahmen und Schulungen realisiert werden, die regelmäßig – zum Beispiel durch interne Audits – überprüft werden. Wenn notwendig: Maßnahmen intensivieren. - Entscheidung für die passende Mobile-Office-Variante
Welche Art des Mobile Office ist für das Unternehmen und die Mitarbeiter die richtige? Natürlich ist auch ein Mix möglich. Den Mitarbeitern muss klar kommuniziert werden, welche Varianten für sie möglich sind. Dabei auch erklären, warum diese Varianten gewählt wurden, und worauf Mitarbeiter dabei besonders achten müssen. - Beim Planen von Mobile Offices noch eine Ecke weiter denken
Beispielsweise OTP-Lösungen einsetzen. Es muss keine teure Token-Access-Firewall sein; häufig gibt es auch einfache, aber nicht minder sichere Open-Source-Lösungen. Erfahrene Mitarbeiter einladen, mitzudenken und mitzuplanen. Vielleicht auch einmal einen neuen Weg mit ausgewählten Mitarbeitern ausprobieren. - Ressourcen bereitstellen
Ziel ist es, dass die gewünschten Mobile-Office-Varianten schnell und unproblematisch genutzt werden können. Wenn die Einrichtung zu lange dauert, der Zugriff zu langsam ist oder technisch nicht stabil funktioniert, dann funktioniert im besten Fall das mobile Arbeiten nicht. Im schlechtesten Fall suchen sich die Mitarbeiter andere, häufig deutlich unsichere Wege. - Flexibel sein
Ein einmaliger Kraftakt, um mobiles Arbeiten zu ermöglichen, genügt nicht. Mobile Offices müssen konstant begleitet werden. Neue Business-Anforderungen, neue Technologien und geänderte Rahmenbedingungen machen immer wieder eine Anpassung und Feinjustierung der Maßnahmen, Entscheidungen und Richtlinien notwendig.
Praxisbeispiel: Mobile Office im täglichen Einsatz
Wie sich Mobile-Office-Arbeiten erfolgreich und sicher umsetzen lässt, zeigt das Beispiel der AEB GmbH. Bei dem Stuttgarter Spezialisten für Software, Beratung und Services für Außenwirtschaft und Logistik nutzen etwas mehr als 60 Prozent der Mitarbeiter Mobile Office. Das Unternehmen bietet hierfür zwei unterschiedliche Varianten:
Mobile Office via Smartphone: Die einfachste Variante ist Zugriff auf die Postfächer und Kalender vom Smartphone aus. Dabei ist es unerheblich, ob es sich um ein Firmen-Smartphone oder um ein privates Gerät handelt. Neben dem Benutzername und dem Passwort dient das Gerät selbst als zweite Authentifizierung. Über die Geräte-ID und Zertifikate wird sichergestellt, dass nur berechtigte Mobile Devices Zugriff erhalten. Auf diesen werden zudem alle relevanten Sicherheitseinstellungen durchgesetzt.
Mobile Office via Citrix: Die zweite Variante (die sich auch mit der ersten kombinieren lässt) bietet Zugriff zu allen firmenrelevanten Programmen auf einer zentralen Citrix-Farm via Citrix Access Gateways. Neben Benutzername und Passwort wird hier für den erfolgreichen Zugang ein Einmal-Passwort benötigt. Dieses wird nach Wunsch des Mitarbeiters entweder per mOTP-App generiert oder per SMS an ihn versendet.
Auf der Citrix-Farm laufen alle firmenrelevanten Programme und werden den Mitarbeitern als Published Applications zur Verfügung gestellt. Je nach den Rollen der Mitarbeiter werden ihnen die für sie notwendigen Anwendungen präsentiert. Mitarbeitern mit besonderen Anforderungen an Software und Rechnerressourcen, beispielsweise für Programmieraufgaben, steht ein Rechner im firmeneigenen Rechenzentrum (Blade-PC) zur Verfügung. Auf diesen können sie über das Citrix Access Gateway direkt zugreifen.
Selbstverständlich ist eine Security Policy verabschiedet und allen Mitarbeitern bekannt. Durch regelmäßige Security-Awareness-Maßnahmen wird auf Gefahren und Risiken ebenso hingewiesen wie das allgemeine Sicherheitsverständnis geschärft. (sh)