Fachartikel

Enterprise Mobility Management in Zeiten der DSGVO

Immer mehr Unternehmen stellen Mitarbeitern mobile Endgeräte zur Verfügung. Mit dem Bereitstellen des Geräts ist die Arbeit jedoch noch nicht getan. Cyberattacken und die private Nutzung durch Mitarbeiter bergen Risiken für Unternehmensdaten, die sich auf den Geräten befinden. Dazu verlangt die EU-DSGVO ein Umdenken, wie mit diesen Daten umzugehen ist. Wir erklären, warum eine kontrollierte und automatisierte Verteilung von Apps und Zugangsprofilen zu Unternehmensressourcen sinnvoll ist und wie ein gutes Enterprise Mobility Management aussieht.
In Zeiten der EU-DSGVO gilt es auch die Daten auf Mitarbeiter-Smartphones unter Kontrolle zu halten. Ein EMM kann hierbei helfen.
Die Mehrheit der Unternehmen stattet ihre Mitarbeiter mit mobilen Endgeräten wie Smartphones oder Tablets aus. Das Ziel: Erreichbarkeit sicherstellen und mobiles Arbeiten ermöglichen, von unterwegs oder zuhause. Für Unternehmen bringt dies jedoch neue Herausforderungen mit sich. Denn auf diesen Geräten befinden sich auf der einen Seite empfindliche Unternehmensdaten, auf der anderen werden Daten über die Mitarbeiter generiert. Denn das Gerät auch privat zu nutzen, ist attraktiver und mehr und mehr Arbeitgeber erlauben dies. Im Rahmen der EU-DSGVO sollten Sie daher diese Endgeräte nicht außer Acht lassen und Sicherheitsmaßnahmen zum Schutz der Daten und Geräte einleiten. Ein gutes Enterprise Mobility Management (EMM) kann hierbei helfen.

EMM ermöglicht es, alle Endgeräte eines Unternehmens zentral zu verwalten. So ist es etwa möglich, Softwareupdates zentral auszuspielen oder eigene App-Stores einzurichten um bestimmte Programme zur Verfügung zu stellen, die für die Arbeit notwendig sind, etwa interne Projektmanagementtools oder Apps zur Zusammenarbeit. Für die Richtlinien der DSGVO entscheidend ist jedoch der Faktor der Sicherheit. Denn dort wird in Artikel 25 "Privacy by Design und by Default" vorausgesetzt, also ein "Datenschutz nach Design und nach Standard". Mit Bezug auf das EMM ist hier der Punkt Design wichtig: Eine Organisation muss die Sicherheit der Daten in jedem Schritt sicherstellen. Landen also Kundendaten auf dem Mobilgerät eines Mitarbeiters, müssen diese geschützt sein.
Privates und Berufliches trennen
Diesen Schutz ermöglicht ein EMM-System, in dem es die Unternehmensdaten strikt von den anderen Daten auf dem Endgerät trennt. So ist es möglich, diese im Notfall sofort aus dem Speicher zu löschen. Verliert ein Mitarbeiter beispielsweise sein Smartphone oder scheidet aus dem Unternehmen aus, kann sofort reagiert werden. Ebenso lassen sich Zugriffsrechte zentral einschränken oder verwehren.

Für den Mitarbeiter ist zudem sichergestellt, dass das Unternehmen keinen Zugriff auf private Apps, Daten und Konten erhält. Somit deckt das EMM einen der Kernpunkte der DSGVO ab: Das ausgeschriebene Ziel ist es, den Menschen mehr Transparenz über die Verwertung ihrer Daten zu gewähren. Mit der klaren Trennung zwischen privaten und geschäftlichen Daten ist der Mitarbeiter darüber aufgeklärt, dass das Unternehmen keine Daten erhebt, die nicht für seine beruflichen Tätigkeiten wichtig sind.

Das bedeutet aber auch, dass zu überprüfen ist, welche Apps welche Daten aufzeichnen, beispielsweise den Standort. Hier muss das Unternehmen dann erörtern, ob dies für den beruflichen Alltag notwendig ist – und dies dem Mitarbeiter dezidiert mitteilen. Doch mit einem EMM kann dies schnell und übersichtlich geschehen und es muss nicht jedes Gerät und jede App händisch überprüft werden.

EMM reagiert und schützt bei Cyberattacken
Auch gegen Cyberattacken können sich IT-Abteilungen mithilfe des EMM schützen. Zuletzt sorgten Schwachstellen wie Spectre und Meltdown für Schlagzeilen, die gezielt mobile Endgeräte ins Visier nahmen. Hier helfen ergänzend MTD-Lösungen, also "Mobile Thread Defense". Diese alarmieren das EMM im Ernstfall. Erkennt das MTD eine Attacke auf ein Gerät, meldet es diese an das EMM. Dieses löscht augenblicklich die Unternehmensdaten. Zusätzlich wird die Attacke eingeloggt und protokolliert und die Zugriffsrechte des betroffenen Mitarbeiters werden eingeschränkt. Nach der Attacke lässt sich dann mit Hilfe der Audit-Protokolle feststellen, wie es zu der Lücke kam. Und die entsprechenden Gegenmaßnahmen können eingeleitet werden.

Doch nicht nur im Extremfall schützt das EMM die Endgeräte. Bereits präventiv ermöglicht es Maßnahmen. So kann die IT-Abteilung festlegen, welche Apps ein Mitarbeiter installieren darf und welche verweigert werden, etwa Apps, die Malware enthalten könnten. Sogar die Profile lassen sich individuell anpassen. So ist selektierbar, welcher Mitarbeiter auf welche Bereiche und Daten Zugriff erhält. Diese Profile können verschiedene Rollen abdecken, wie etwa Admin, Helpdesk oder Endanwender.

Fazit
Natürlich lassen sich viele der erwähnten Maßnahmen auch anders einleiten und mit anderer Software abdecken – hier ist dann aber meist viel Improvisation vonnöten. Ein Artikel in der DSGVO ermahnt übrigens zu besonderer Sorgfalt. Denn in Artikel 32 wird verlangt, dass Unternehmen "unter Berücksichtigung des Standes der Technik" die Datensicherheit gewährleisten. Sprich: Gibt es einen Ernstfall, der von den Behörden untersucht wird, ist die Organisation in der Erklärungspflicht. Mit der Einführung eines EMM lassen sich jedoch viele Cyberattacken abwehren und Sicherheitslücken schließen.
14.03.2018/ln/Marco Föllmer, Gründer und Geschäftsführer der EBF GmbH

Nachrichten

Pass-the-Cookie [6.10.2022]

Cyberkriminelle nutzen zunehmend gestohlene Session-Cookies, um die Multifaktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. Zu diesem Schluss kommt Sophos in einem X-Ops-Report. In einigen Fällen sei der Cookie-Diebstahl eine gezielte Attacke, bei der Cookie-Daten von kompromittierten Systemen ausgelesen würden. [mehr]

iPhone und iPads werden behördentauglich [5.10.2022]

Auch in Behörden gehört die Nutzung mobiler Endgeräte zum Alltag. Nun hat das Bundesamt für Sicherheit in der Informationstechnik bestätigt, dass die iOS-Standard-Apps für E-Mail, Kalender und Kontakte von Haus aus so sicher sind, dass mit ihnen Verschlusssachen bearbeitet werden dürfen. Dies gilt bis zur untersten Geheimhaltungsstufe "Nur für den Dienstgebrauch". [mehr]

Tipps & Tools

Studie: Cloudentwickler oft überfordert [3.10.2022]

Couchbase hat in einer globalen Studie Entwickler häufig als bremsendes Nadelöhr bei der praktischen Umsetzung von Digitalisierung und Cloud Computing identifiziert. Demnach stehen Entwicklerteams unter massivem Erwartungsdruck, verzögern Cloud- und Digitalisierungsprojekte und bekommen gleichzeitig viel zu wenig Unterstützung. [mehr]

Online-Intensivseminar "Hyper-V unter Windows Server 2019" [12.09.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen