Notebooks, Handys, Smartphones und andere Kleinstcomputer gehen schnell verloren - und mit ihnen eventuell sensible Daten. Es gilt deshalb, mögliche Gefahren in der mobilen Kommunikation exakt zu erfassen und zur Abwehr ein präventiv wirkendes Datenschutz- und Datensicherheitskonzept zu entwickeln.
1. Klassifizierung der Daten
Der erste Schritt zur Entwicklung einer Sicherheits-Policy (nicht nur für den Einsatz mobiler Geräte) ist die Klassifizierung der im Unternehmen verwendeten Daten. Erst daraus lässt sich ableiten, welche Daten mit welchen Sicherheitsanforderungen auf mobilen Datenträgern verwendet werden dürfen. Für interne Daten auf einem USB-Stick ergeben sich beispielsweise andere Anforderungen als bei streng vertraulichen Daten. Die verschiedenen Daten sollten mindestens in "interne Daten", "vertrauliche Daten" und "streng vertrauliche Daten" klassifiziert werden. Für jede Klasse sind Definitionen zu Umgang, Weitergabe, Bearbeitung und Löschung zu treffen. Personenbezogene Daten fallen mindestens unter die Stufe "Vertrauliche Daten" (siehe Bundesdatenschutzgesetz BDSG).
2. Klassifizierung der Geräte
Unterschiedliche mobile Geräte verlangen zur Erfüllung der Anforderungen an die jeweiligen Datenklassen eine Klassifizierung und Festschreibung nach Gerätetyp und Ausstattung. Für Handys sollten demnach andere Richtlinien gelten als für Notebooks, für Smartphones andere Regeln als für USB-Sticks und so weiter.
3. Definition und Klassifizierung der Medien
Eine Einteilung der Kommunikationsmedien ist ebenfalls unbedingt notwendig. Die Sicherheitsanforderungen dieser Medien sowie die Anforderungen aus der jeweiligen Datenklassifizierung müssen erfüllt sein. Für die Nutzung von WLAN, Bluetooth, Infrarot, UMTS, Dect, GSM, aber auch für den Zugang zu Unternehmensdaten über das Internet sind Regelungen zu treffen.
4. Betrachtung der Gefährdungen
Foto: IBS Schreiber / Michael Foth
Bei jedem der mobilen Geräte besteht die Gefahr des Verlustes, wodurch auch die gespeicherten Daten verloren gehen und nicht mehr vor unbefugtem Zugriff geschützt sind. Unternehmen müssen Eintrittswahrscheinlichkeit, Relevanz, Handlungsbedarf und die entsprechenden Maßnahmen präventiv definieren. Der Verlust des Gerätes selbst ist aus materieller Sicht weniger relevant als der Verlust der Daten, die sich auf den jeweiligen Geräten befinden. Aus der konsequenten Gefährdungsbetrachtung unter Berücksichtigung der Daten- und Geräteklassifizierung kann auch resultieren, dass bestimmte mobile Medien nicht für sensible Daten genutzt werden dürfen, da das Risiko des Verlustes und der Einsichtnahme in die Daten zu groß wäre.
5. Den Zielgruppen anpassen
Nach der Festlegung von Daten-, Geräte- und Medienklassen und der Betrachtung möglicher Risken sollten die Anforderungen an verschiedene Zielgruppen festgelegt und deren Verantwortung aufgezeigt werden. Als optimale Lösung hat sich die Einordnung in Anwender, Führungskräfte und Betreiber erwiesen. Regelungen für den Umgang und die Nutzung durch den Anwender sind unbedingt nötig. Auf Führungskräfte kommt hier eine Kontrollfunktion zu, da diese den engsten Kontakt zu den Anwendern in ihrem jeweiligen disziplinarischen Bereich haben. Darüber hinaus sind mobile Systeme nicht immer an das Unternehmensnetz angeschlossen und somit von zentralen Kontrollinstanzen nicht einsehbar. Die Zielgruppe "Betreiber" ist im klassischen Sinne die IT-Abteilung, die diese Geräte vorkonfiguriert, die geforderten Sicherheitsmaßnahmen implementiert und so weit wie möglich die Einhaltung der technischen Anforderungen an Sicherheit überwacht und möglichst mit technischen Mitteln erzwingt.
6. Vertrauen ist gut, Kontrolle ist besser
Alle Anforderungen und Regelungen können nur dann greifen, wenn Unternehmen die Einhaltung der Regelungen auch kontrollieren. Sicherheit muss betrieben werden. Dafür ist ein Prozess zu definieren und dessen Wirksamkeit zu prüfen. In diesem Kontrollsystem sind Regelungen und Meldewege für einen eventuellen Verlust von mobilen Geräten und auch für den Verlust der jeweils enthaltenen Daten festzulegen.
Die aufgezeigten Strukturen und Anforderungen an notwendige Definitionen haben sich in Unternehmen als optimale Regelung zum Einsatz mobiler Systeme erwiesen. Bei einer derartig etablierten Struktur besteht auch Sicherheit bei zukünftigen Neuerungen und Änderungen, da auch für diese auf der gegebenen Basis das Gefährdungspotenzial minimiert werden kann. Muster-Policies sind zu allen angesprochenen Regelungen verfügbar. Sie müssen jedoch in die Gesamtstruktur der Sicherheitspolitik des Unternehmens eingebettet und auf die Belange und Daten des Unternehmens abgestimmt werden. Diese Struktur erfüllt dann bereits die vom Gesetzgeber und Wirtschaftsprüfern geforderten Standards in vielen Bereichen, so auch dem Datenschutz.
Die gesamte Kette mit den organisatorischen Regelungen und Anweisungen für die Mitarbeiter funktioniert aber nur dann, wenn die Unternehmen ihre technischen Konzepte zukünftig allesamt entsprechend der aufgestellten Policies entwickeln.
Was Forrester empfiehlt
Laut Forrester Research sollte eine Mobile Policy aus vier Teilen bestehen:
einem Mobility-Framework, das zunächst einmal die Richtlinien für die unterstützten Geräte und Anwendungen schafft;
einer Security-Policy, die danach festlegt, durch welche Techniken und Prozesse die Daten auf den mobilen Geräten und den Übertragungswegen geschützt sind;
einem IT-getriebenen Geräte- und Support-Management, das die mobilen Geräte und Anwender über Remote-Helpdesks, Anwendungsinstallationen und regelmäßige Pflege dauerhaft unterstützt;
einer dezidierten Rollout- und Schulungsplanung, um den mobilen Anwendern die Einführung und Wartung neuer und bestehender Regeln so angenehm wie möglich zu gestalten.
Zu den einzelnen Punkten halten die Analysten weiterführende Vorschläge parat:
Mobility Framework: Forrester empfiehlt, dass nur registrierte Geräte Zugriff auf das Unternehmensnetz bekommen. Ebenso sollten die Richtlinien dazu verpflichten, dass nur zwei Betriebssysteme eingesetzt werden dürfen. Dies vermindert die Abhängigkeit von einem Hersteller sowie einer beschränkten Modellauswahl und hält gleichzeitig den Verwaltungsaufwand in Grenzen. In den USA haben sich in vielen Unternehmen bereits Windows Mobile und Blackberry-OS durchgesetzt, während in Europa Symbian eine Alternative ist. Zu guter Letzt muss das Framework Angaben zu den erlaubten Applikationen auf den Endgeräten und den hierarchischen Positionen der Mitarbeiter, die ein mobiles Gerät einsetzen dürfen, enthalten.
Security-Policy: Als grundlegende Maßnahme bei der Einrichtung neuer Geräte ist eine Mobile-Security-Software-Suite zu installieren. Zur Authentifizierung des Benutzers ist ein Passwort Pflicht. Als Best Practice hat sich eine automatische Neuabfrage der Anmeldedaten in Zeitintervallen von 30 Minuten bis vier Stunden erwiesen, je nach Nutzerverhalten. Nach dreimaliger Falscheingabe sollte das Gerät gesperrt und erst nach telefonischer Rücksprache wieder freigeschaltet werden. Für den Fall, dass ein mobiles Gerät verloren geht, sollten Unternehmen eine sofortige Bekanntgabe des Verlustes vorschreiben - ohne Wenn und Aber. Nur dann kann die IT das Gerät sperren, auch während der Anwender vielleicht weiterhin danach sucht. Kann er es innerhalb von 24 Stunden nicht wiederfinden, sollte das Gerät dauerhaft aus dem Unternehmensnetz ausgesperrt bleiben. Im günstigsten Fall ist sogar eine Fernlöschung aller Daten möglich und unbedingt vorzunehmen ("Remote Wipe"-Funktion).
Geräte- und Support-Management: Die technische Infrastruktur richtet sich an den Geschäftsprozessen aus. IT- und Business-Verantwortliche müssen gemeinsame Richtlinien erarbeiten und deren regelmäßige Umsetzung genau terminieren. Um der rapiden technischen Entwicklung Sorge zu tragen, sollten Notebooks alle 26 bis 32 Monate, Smartphones sogar alle 18 Monate rundum ausgetauscht werden. Die Verwaltung aller unternehmenseigenen Geräte erfolgt zentralisiert. Vierteljährliche Treffen der IT-Abteilung mit den Carriern bieten sich an, um technische Änderungen zu besprechen. Im Idealfall baut die IT ein unternehmensübergreifendes Team auf, das Geräte und Applikationen auf ihre Nutzerfreundlichkeit hin testet.
Rollout- und Schulungsplanung: Jede IT-Abteilung sollte speziell für mobile Endgeräte geschultes Personal beschäftigen, das den Anwendern im Helpdesk zur Verfügung steht. Im Notfall können auch externe Dienstleister diese Aufgabe übernehmen, solange es nicht um spezifische Anliegen geht. Damit alle Mitarbeiter über die geltenden Sicherheitsrichtlinien Bescheid wissen, sollten diese explizit veröffentlicht werden und auch später immer schnell auffindbar sein. Web-basierende Trainingsseminare, im Intranet publizierte Handbücher und Flash-Demonstrationen helfen darüber hinaus, das Wissen der Mitarbeiter zu erweitern und zu erhalten. Langfristig sollte jede Abteilung selbst das für sie notwendige Know-how besitzen, um den unternehmensweit tätigen Helpdesk zu entlasten. (sh)