Jedes dritte Unternehmen in Deutschland stellt seinen Beschäftigten zu betrieblichen Zwecken tragbare Geräte mit mobiler Internetverbindung zur Verfügung, so das Statistische Bundesamt im Dezember 2012. Eine interne Sicherheitsrichtlinie zur Internetnutzung ohne Berücksichtigung der mobilen Zugänge ergibt somit kaum noch Sinn.

Während sich die Vorgaben der Richtlinie relativ einfach von einem stationären Internetzugang auf einen mobilen übertragen lassen, stellt die mobile Kontrolle der Einhaltung durchaus eine Herausforderung dar. Verschiedene Hersteller bieten Lösungen zur mobilen Internet- und Content-Filterung an. Nicht alle Verfahren sind jedoch mit dem Beschäftigtendatenschutz vereinbar.

1. Spezielle Apps als Web-Filter

Unternehmen, die die mobile Internetnutzung kontrollieren möchten, können auf den firmeneigenen Smartphones und Tablets spezielle Filter-Apps installieren und betreiben. Die 40 Prozent der deutschen Unternehmen, die die Nutzung von Facebook wegen Sicherheitsbedenken auf Desktop-Rechnern verbieten, können das mit solchen Apps auch auf Tablets und Smartphones umsetzen.

Apps wie Cloudacl WebFilter, Mobicip Safe Browser und PhoneSheriff versprechen unter anderem, verbotene Webseiten zu sperren. Die Apps richten sich zwar auch an besorgte Eltern, werden in erster Linie aber Unternehmenskunden angeboten. Cloudacl WebFilter und Mobicip Safe Browser beschränken sich auf typische Filterfunktionen wie die Unterscheidung zulässiger und verbotener Web-Seiten und die Möglichkeit, verbotene Webseiten-Kategorien zu definieren sowie eine dynamische Webseiten-Einstufung auf Basis einer Content-Filterung (inhaltsbasierte Kontrolle). Darüber hinaus arbeiten die Apps mit den Cloud-Diensten der Anbieter zusammen, die entsprechende Sperrlisten vorhalten.

PhoneSheriff geht jedoch wesentlich weiter und protokolliert laut Anbieter unter anderem auch SMS-Nachrichten, Anrufe und GPS-Positionen, so dass ein betrieblicher Einsatz aller Funktionen in Deutschland bedenklich erscheint.

Rechtlich unbedenkliche Apps können auf den einzelnen mobilen Endgeräten jeweils installiert und eingerichtet werden, wenn das Unternehmen nur wenige Smartphones oder Tablets einsetzt. Andernfalls empfiehlt sich eine zentrale Verteilung über einen Mobile Device Manager bzw. einen Enterprise App Store.

Mit Hilfe von Commtouchs GlobalView URL Filtering (URLF) for Mobile lassen sich mobile Filterfunktionen auch in selbst entwickelte Android-Apps einfügen. Dadurch wird nicht nur der Internetverkehr über mobile Browser, sondern auch der mobile Datenverkehr über entsprechend erweiterte Apps gefiltert.

2. Internet-Filter für Smartphones inklusive

Neben speziellen mobilen Browsern mit Filter-Funktion und Filter-Apps stehen auch mobile Sicherheitslösungen bereit, um eine Internet-Filterung auf Tablets und Smartphones vorzunehmen. Beispiele für mobile Security-Apps, die auch eine Web- und Content-Filterung anbieten, sind Kaspersky Mobile Security, McAfee Antivirus & Security und avast Mobile Security.

Die Filterung und Kontrolle beim mobilen Surfen bezieht sich meistens auf die Warnung vor und Blockade von potenziell gefährlichen Webseiten oder verdächtigen Phishing-Sites. Für eine individuelle, vom Unternehmen definierbare Internetfilterung gemäß der internen Web-Policy braucht es jedoch mehr.

Eine entsprechend konfigurierbare Internetfilterung bietet beispielsweise Kaspersky Workspace Security. Diese Sicherheitslösung läuft auch auf allen Smartphones, die Windows Mobile OS, Symbian OS, BlackBerry OS oder Android OS nutzen. Administratoren können die erlaubten oder verbotenen Webzugriffe nach Internetadressen, Inhaltskategorien und Datentypen definieren. Zudem lässt sich die mobile Internetnutzung auf bestimmte Nutzergruppen beschränken. Zur Durchsetzung der internen Web-Policy gehört auch die Möglichkeit, die Internetnutzung zum Beispiel zeitlich zu beschränken.

EdgeWave Mobile Security stellt neben anderen cloud-basierten Sicherheitsfunktionen für Smartphones und Tablets mit EdgeWave Secure Browser einen speziellen, mobilen Webbrowser zur Verfügung. Zusammen mit iPrism Remote Filter wird der mobile Internetverkehr damit nach den internen Richtlinien gefiltert und kontrolliert.

3. Zentrale Administration ist entscheidend

Ganz gleich, ob spezielle Filter-Apps oder Filterfunktionen mobiler Sicherheitslösungen für die betrieblichen Tablets und Smartphones genutzt werden: Wirklich durchsetzen lässt sich eine Web-Policy auf den mobilen Endgeräten nur, wenn sich der Filtermechanismus ausschließlich mit besonderen Rechten administrieren lässt. Andernfalls könnten einzelne Nutzer die mobile Web-Filterung immer dann umgehen, wenn der mobile Internetzugang frei gewählt werden kann - möglich beispielsweise bei zugelassener WLAN- oder Datentarif-Nutzung unterwegs. Die Filter-App oder Filterfunktion könnte dann einfach deaktiviert oder verändert werden.

Doch nicht nur eine Lösung wie Kaspersky Workspace Security bietet einen Administrator-Modus für den mobilen Webfilter. Auch Cloudacl WebFilter und Mobicip (Premium-Version) eröffnen Möglichkeiten, die individuellen Filtereinstellungen mit einem Passwort vor Veränderung zu schützen.

4. Mobiler Filter als Außenstelle

Unternehmen, die einen zentralen Webfilter wie den Blue Coat Webfilter an ihrem Internet-Gateway einsetzen, können mobile Endgeräte auch außerhalb des eigenen Netzwerkes kontrollieren. Bei Blue Coat kommt dazu auf dem mobilen Endgerät der ProxyClient zum Einsatz. Trustwave Web Filtering bietet einen Mobile Security Client, der die Filterung zum Beispiel auf iPads übernimmt, die außerhalb des Firmennetzwerkes betrieben werden. Für den zentral betriebenen Guardian Web Filter von Smoothwall zum Beispiel gibt es einen Mobile Guard als Client. Eine Version für Android-Geräte soll laut Anbieter bald verfügbar sein.

Bislang wird dieser Client insbesondere für Notebooks angeboten und arbeitet als lokaler Webfilter auf dem mobilen Endgerät. Wird das Notebook wieder im internen Netzwerk angemeldet, werden die Protokolldaten des mobilen Webfilters an die zentrale Auswertung übermittelt und mögliche neue zentrale Einstellungen an den mobilen Filter übertragen. Dadurch gerät der mobile Filter zu einer Außenstelle des zentralen Web-Filters.

5. Den Datenschutz nicht übersehen

Bei dem Einsatz mobiler Web-Filter sollte auch an die Besonderheiten bei erlaubter Privatnutzung des mobilen Internets, an die Folgen des ByoD-Trends (betriebliche Nutzung privater Smartphones und Tablets) sowie an die generellen Vorgaben zum Beschäftigtendatenschutz gedacht werden.

So ist eine Überwachung und Filterung der erlaubten oder geduldeten privaten Internetnutzung ohne weiteres nicht zulässig (Fernmeldegeheimnis). Um trotzdem den mobilen Datenverkehr filtern zu können, sind deshalb genaue Regelungen für die Privatnutzung des mobilen Internets zu treffen (Betriebsvereinbarung), wie zum Beispiel die Definition des genauen Zeitraums, in dem die mobile Internetnutzung als privat gilt.

Selbst die rein dienstliche Nutzung darf jedoch nicht vollständig und lückenlos kontrolliert werden. Erlaubt ist insbesondere eine Kontrolle auf Stichproben-Basis und erst bei konkretem Missbrauchsverdacht eine zeitlich begrenzte Kontrolle der mobilen Internetnutzung auf Anwenderebene. Über die Kontrolle der dienstlichen mobilen Internetnutzung sind die betroffenen Anwender vorab zu informieren. Dies sollte bei Verwendung der Protokollfunktionen der Filter-Apps oder der mobilen Sicherheitsanwendungen bedacht werden.

Bei betrieblicher Nutzung privater Geräte muss zudem sichergestellt sein, dass der mobile Filter ausschließlich die dienstliche Nutzung betrifft. So sollte die betriebliche Internetnutzung zum Beispiel nur mit einem bestimmten mobilen Browser erfolgen; der private mobile Browser wird dann von der Filterung ausgenommen. Außerhalb der Dienstzeiten des Nutzers darf auf den Privatgeräten keine Internetkontrolle erfolgen. Deshalb sollten die eingesetzten mobilen Filter zeitlich entsprechend konfiguriert werden.

Mobile Web-Filter sind zwar ein wichtiger Teil der mobilen Datensicherheit und dienen der Umsetzung der internen Web-Policy - sie dürfen aber nicht zum Risiko für den Beschäftigtendatenschutz werden. (sh)