von Redaktion IT-A…
Lesezeit
2 Minuten
Enterprise Mobility Management in Zeiten der DSGVO
Immer mehr Unternehmen stellen Mitarbeitern mobile Endgeräte zur Verfügung. Mit dem Bereitstellen des Geräts ist die Arbeit jedoch noch nicht getan. Cyberattacken und die private Nutzung durch Mitarbeiter bergen Risiken für Unternehmensdaten, die sich auf den Geräten befinden. Dazu verlangt die EU-DSGVO ein Umdenken, wie mit diesen Daten umzugehen ist. Wir erklären, warum eine kontrollierte und automatisierte Verteilung von Apps und Zugangsprofilen zu Unternehmensressourcen sinnvoll ist und wie ein gutes Enterprise Mobility Management aussieht.
Die Mehrheit der Unternehmen stattet ihre Mitarbeiter mit mobilen Endgeräten wie Smartphones oder Tablets aus. Das Ziel: Erreichbarkeit sicherstellen und mobiles Arbeiten ermöglichen, von unterwegs oder zuhause. Für Unternehmen bringt dies jedoch neue Herausforderungen mit sich. Denn auf diesen Geräten befinden sich auf der einen Seite empfindliche Unternehmensdaten, auf der anderen werden Daten über die Mitarbeiter generiert. Denn das Gerät auch privat zu nutzen, ist attraktiver und mehr und mehr Arbeitgeber erlauben dies. Im Rahmen der EU-DSGVO sollten Sie daher diese Endgeräte nicht außer Acht lassen und Sicherheitsmaßnahmen zum Schutz der Daten und Geräte einleiten. Ein gutes Enterprise Mobility Management (EMM) kann hierbei helfen.
EMM ermöglicht es, alle Endgeräte eines Unternehmens zentral zu verwalten. So ist es etwa möglich, Softwareupdates zentral auszuspielen oder eigene App-Stores einzurichten um bestimmte Programme zur Verfügung zu stellen, die für die Arbeit notwendig sind, etwa interne Projektmanagementtools oder Apps zur Zusammenarbeit. Für die Richtlinien der DSGVO entscheidend ist jedoch der Faktor der Sicherheit. Denn dort wird in Artikel 25 "Privacy by Design und by Default" vorausgesetzt, also ein "Datenschutz nach Design und nach Standard". Mit Bezug auf das EMM ist hier der Punkt Design wichtig: Eine Organisation muss die Sicherheit der Daten in jedem Schritt sicherstellen. Landen also Kundendaten auf dem Mobilgerät eines Mitarbeiters, müssen diese geschützt sein.
Privates und Berufliches trennen
Diesen Schutz ermöglicht ein EMM-System, in dem es die Unternehmensdaten strikt von den anderen Daten auf dem Endgerät trennt. So ist es möglich, diese im Notfall sofort aus dem Speicher zu löschen. Verliert ein Mitarbeiter beispielsweise sein Smartphone oder scheidet aus dem Unternehmen aus, kann sofort reagiert werden. Ebenso lassen sich Zugriffsrechte zentral einschränken oder verwehren.
Für den Mitarbeiter ist zudem sichergestellt, dass das Unternehmen keinen Zugriff auf private Apps, Daten und Konten erhält. Somit deckt das EMM einen der Kernpunkte der DSGVO ab: Das ausgeschriebene Ziel ist es, den Menschen mehr Transparenz über die Verwertung ihrer Daten zu gewähren. Mit der klaren Trennung zwischen privaten und geschäftlichen Daten ist der Mitarbeiter darüber aufgeklärt, dass das Unternehmen keine Daten erhebt, die nicht für seine beruflichen Tätigkeiten wichtig sind.
Das bedeutet aber auch, dass zu überprüfen ist, welche Apps welche Daten aufzeichnen, beispielsweise den Standort. Hier muss das Unternehmen dann erörtern, ob dies für den beruflichen Alltag notwendig ist – und dies dem Mitarbeiter dezidiert mitteilen. Doch mit einem EMM kann dies schnell und übersichtlich geschehen und es muss nicht jedes Gerät und jede App händisch überprüft werden.
EMM reagiert und schützt bei Cyberattacken
Auch gegen Cyberattacken können sich IT-Abteilungen mithilfe des EMM schützen. Zuletzt sorgten Schwachstellen wie Spectre und Meltdown für Schlagzeilen, die gezielt mobile Endgeräte ins Visier nahmen. Hier helfen ergänzend MTD-Lösungen, also "Mobile Thread Defense". Diese alarmieren das EMM im Ernstfall. Erkennt das MTD eine Attacke auf ein Gerät, meldet es diese an das EMM. Dieses löscht augenblicklich die Unternehmensdaten. Zusätzlich wird die Attacke eingeloggt und protokolliert und die Zugriffsrechte des betroffenen Mitarbeiters werden eingeschränkt. Nach der Attacke lässt sich dann mit Hilfe der Audit-Protokolle feststellen, wie es zu der Lücke kam. Und die entsprechenden Gegenmaßnahmen können eingeleitet werden.
Doch nicht nur im Extremfall schützt das EMM die Endgeräte. Bereits präventiv ermöglicht es Maßnahmen. So kann die IT-Abteilung festlegen, welche Apps ein Mitarbeiter installieren darf und welche verweigert werden, etwa Apps, die Malware enthalten könnten. Sogar die Profile lassen sich individuell anpassen. So ist selektierbar, welcher Mitarbeiter auf welche Bereiche und Daten Zugriff erhält. Diese Profile können verschiedene Rollen abdecken, wie etwa Admin, Helpdesk oder Endanwender.
Fazit
Natürlich lassen sich viele der erwähnten Maßnahmen auch anders einleiten und mit anderer Software abdecken – hier ist dann aber meist viel Improvisation vonnöten. Ein Artikel in der DSGVO ermahnt übrigens zu besonderer Sorgfalt. Denn in Artikel 32 wird verlangt, dass Unternehmen "unter Berücksichtigung des Standes der Technik" die Datensicherheit gewährleisten. Sprich: Gibt es einen Ernstfall, der von den Behörden untersucht wird, ist die Organisation in der Erklärungspflicht. Mit der Einführung eines EMM lassen sich jedoch viele Cyberattacken abwehren und Sicherheitslücken schließen.
ln/Marco Föllmer, Gründer und Geschäftsführer der EBF GmbH
EMM ermöglicht es, alle Endgeräte eines Unternehmens zentral zu verwalten. So ist es etwa möglich, Softwareupdates zentral auszuspielen oder eigene App-Stores einzurichten um bestimmte Programme zur Verfügung zu stellen, die für die Arbeit notwendig sind, etwa interne Projektmanagementtools oder Apps zur Zusammenarbeit. Für die Richtlinien der DSGVO entscheidend ist jedoch der Faktor der Sicherheit. Denn dort wird in Artikel 25 "Privacy by Design und by Default" vorausgesetzt, also ein "Datenschutz nach Design und nach Standard". Mit Bezug auf das EMM ist hier der Punkt Design wichtig: Eine Organisation muss die Sicherheit der Daten in jedem Schritt sicherstellen. Landen also Kundendaten auf dem Mobilgerät eines Mitarbeiters, müssen diese geschützt sein.
Privates und Berufliches trennen
Diesen Schutz ermöglicht ein EMM-System, in dem es die Unternehmensdaten strikt von den anderen Daten auf dem Endgerät trennt. So ist es möglich, diese im Notfall sofort aus dem Speicher zu löschen. Verliert ein Mitarbeiter beispielsweise sein Smartphone oder scheidet aus dem Unternehmen aus, kann sofort reagiert werden. Ebenso lassen sich Zugriffsrechte zentral einschränken oder verwehren.
Für den Mitarbeiter ist zudem sichergestellt, dass das Unternehmen keinen Zugriff auf private Apps, Daten und Konten erhält. Somit deckt das EMM einen der Kernpunkte der DSGVO ab: Das ausgeschriebene Ziel ist es, den Menschen mehr Transparenz über die Verwertung ihrer Daten zu gewähren. Mit der klaren Trennung zwischen privaten und geschäftlichen Daten ist der Mitarbeiter darüber aufgeklärt, dass das Unternehmen keine Daten erhebt, die nicht für seine beruflichen Tätigkeiten wichtig sind.
Das bedeutet aber auch, dass zu überprüfen ist, welche Apps welche Daten aufzeichnen, beispielsweise den Standort. Hier muss das Unternehmen dann erörtern, ob dies für den beruflichen Alltag notwendig ist – und dies dem Mitarbeiter dezidiert mitteilen. Doch mit einem EMM kann dies schnell und übersichtlich geschehen und es muss nicht jedes Gerät und jede App händisch überprüft werden.
EMM reagiert und schützt bei Cyberattacken
Auch gegen Cyberattacken können sich IT-Abteilungen mithilfe des EMM schützen. Zuletzt sorgten Schwachstellen wie Spectre und Meltdown für Schlagzeilen, die gezielt mobile Endgeräte ins Visier nahmen. Hier helfen ergänzend MTD-Lösungen, also "Mobile Thread Defense". Diese alarmieren das EMM im Ernstfall. Erkennt das MTD eine Attacke auf ein Gerät, meldet es diese an das EMM. Dieses löscht augenblicklich die Unternehmensdaten. Zusätzlich wird die Attacke eingeloggt und protokolliert und die Zugriffsrechte des betroffenen Mitarbeiters werden eingeschränkt. Nach der Attacke lässt sich dann mit Hilfe der Audit-Protokolle feststellen, wie es zu der Lücke kam. Und die entsprechenden Gegenmaßnahmen können eingeleitet werden.
Doch nicht nur im Extremfall schützt das EMM die Endgeräte. Bereits präventiv ermöglicht es Maßnahmen. So kann die IT-Abteilung festlegen, welche Apps ein Mitarbeiter installieren darf und welche verweigert werden, etwa Apps, die Malware enthalten könnten. Sogar die Profile lassen sich individuell anpassen. So ist selektierbar, welcher Mitarbeiter auf welche Bereiche und Daten Zugriff erhält. Diese Profile können verschiedene Rollen abdecken, wie etwa Admin, Helpdesk oder Endanwender.
Fazit
Natürlich lassen sich viele der erwähnten Maßnahmen auch anders einleiten und mit anderer Software abdecken – hier ist dann aber meist viel Improvisation vonnöten. Ein Artikel in der DSGVO ermahnt übrigens zu besonderer Sorgfalt. Denn in Artikel 32 wird verlangt, dass Unternehmen "unter Berücksichtigung des Standes der Technik" die Datensicherheit gewährleisten. Sprich: Gibt es einen Ernstfall, der von den Behörden untersucht wird, ist die Organisation in der Erklärungspflicht. Mit der Einführung eines EMM lassen sich jedoch viele Cyberattacken abwehren und Sicherheitslücken schließen.
ln/Marco Föllmer, Gründer und Geschäftsführer der EBF GmbH
