Fachartikel

Enterprise Mobility Management in Zeiten der DSGVO

Immer mehr Unternehmen stellen Mitarbeitern mobile Endgeräte zur Verfügung. Mit dem Bereitstellen des Geräts ist die Arbeit jedoch noch nicht getan. Cyberattacken und die private Nutzung durch Mitarbeiter bergen Risiken für Unternehmensdaten, die sich auf den Geräten befinden. Dazu verlangt die EU-DSGVO ein Umdenken, wie mit diesen Daten umzugehen ist. Wir erklären, warum eine kontrollierte und automatisierte Verteilung von Apps und Zugangsprofilen zu Unternehmensressourcen sinnvoll ist und wie ein gutes Enterprise Mobility Management aussieht.
In Zeiten der EU-DSGVO gilt es auch die Daten auf Mitarbeiter-Smartphones unter Kontrolle zu halten. Ein EMM kann hierbei helfen.
Die Mehrheit der Unternehmen stattet ihre Mitarbeiter mit mobilen Endgeräten wie Smartphones oder Tablets aus. Das Ziel: Erreichbarkeit sicherstellen und mobiles Arbeiten ermöglichen, von unterwegs oder zuhause. Für Unternehmen bringt dies jedoch neue Herausforderungen mit sich. Denn auf diesen Geräten befinden sich auf der einen Seite empfindliche Unternehmensdaten, auf der anderen werden Daten über die Mitarbeiter generiert. Denn das Gerät auch privat zu nutzen, ist attraktiver und mehr und mehr Arbeitgeber erlauben dies. Im Rahmen der EU-DSGVO sollten Sie daher diese Endgeräte nicht außer Acht lassen und Sicherheitsmaßnahmen zum Schutz der Daten und Geräte einleiten. Ein gutes Enterprise Mobility Management (EMM) kann hierbei helfen.

EMM ermöglicht es, alle Endgeräte eines Unternehmens zentral zu verwalten. So ist es etwa möglich, Softwareupdates zentral auszuspielen oder eigene App-Stores einzurichten um bestimmte Programme zur Verfügung zu stellen, die für die Arbeit notwendig sind, etwa interne Projektmanagementtools oder Apps zur Zusammenarbeit. Für die Richtlinien der DSGVO entscheidend ist jedoch der Faktor der Sicherheit. Denn dort wird in Artikel 25 "Privacy by Design und by Default" vorausgesetzt, also ein "Datenschutz nach Design und nach Standard". Mit Bezug auf das EMM ist hier der Punkt Design wichtig: Eine Organisation muss die Sicherheit der Daten in jedem Schritt sicherstellen. Landen also Kundendaten auf dem Mobilgerät eines Mitarbeiters, müssen diese geschützt sein.
Privates und Berufliches trennen
Diesen Schutz ermöglicht ein EMM-System, in dem es die Unternehmensdaten strikt von den anderen Daten auf dem Endgerät trennt. So ist es möglich, diese im Notfall sofort aus dem Speicher zu löschen. Verliert ein Mitarbeiter beispielsweise sein Smartphone oder scheidet aus dem Unternehmen aus, kann sofort reagiert werden. Ebenso lassen sich Zugriffsrechte zentral einschränken oder verwehren.

Für den Mitarbeiter ist zudem sichergestellt, dass das Unternehmen keinen Zugriff auf private Apps, Daten und Konten erhält. Somit deckt das EMM einen der Kernpunkte der DSGVO ab: Das ausgeschriebene Ziel ist es, den Menschen mehr Transparenz über die Verwertung ihrer Daten zu gewähren. Mit der klaren Trennung zwischen privaten und geschäftlichen Daten ist der Mitarbeiter darüber aufgeklärt, dass das Unternehmen keine Daten erhebt, die nicht für seine beruflichen Tätigkeiten wichtig sind.

Das bedeutet aber auch, dass zu überprüfen ist, welche Apps welche Daten aufzeichnen, beispielsweise den Standort. Hier muss das Unternehmen dann erörtern, ob dies für den beruflichen Alltag notwendig ist – und dies dem Mitarbeiter dezidiert mitteilen. Doch mit einem EMM kann dies schnell und übersichtlich geschehen und es muss nicht jedes Gerät und jede App händisch überprüft werden.

EMM reagiert und schützt bei Cyberattacken
Auch gegen Cyberattacken können sich IT-Abteilungen mithilfe des EMM schützen. Zuletzt sorgten Schwachstellen wie Spectre und Meltdown für Schlagzeilen, die gezielt mobile Endgeräte ins Visier nahmen. Hier helfen ergänzend MTD-Lösungen, also "Mobile Thread Defense". Diese alarmieren das EMM im Ernstfall. Erkennt das MTD eine Attacke auf ein Gerät, meldet es diese an das EMM. Dieses löscht augenblicklich die Unternehmensdaten. Zusätzlich wird die Attacke eingeloggt und protokolliert und die Zugriffsrechte des betroffenen Mitarbeiters werden eingeschränkt. Nach der Attacke lässt sich dann mit Hilfe der Audit-Protokolle feststellen, wie es zu der Lücke kam. Und die entsprechenden Gegenmaßnahmen können eingeleitet werden.

Doch nicht nur im Extremfall schützt das EMM die Endgeräte. Bereits präventiv ermöglicht es Maßnahmen. So kann die IT-Abteilung festlegen, welche Apps ein Mitarbeiter installieren darf und welche verweigert werden, etwa Apps, die Malware enthalten könnten. Sogar die Profile lassen sich individuell anpassen. So ist selektierbar, welcher Mitarbeiter auf welche Bereiche und Daten Zugriff erhält. Diese Profile können verschiedene Rollen abdecken, wie etwa Admin, Helpdesk oder Endanwender.

Fazit
Natürlich lassen sich viele der erwähnten Maßnahmen auch anders einleiten und mit anderer Software abdecken – hier ist dann aber meist viel Improvisation vonnöten. Ein Artikel in der DSGVO ermahnt übrigens zu besonderer Sorgfalt. Denn in Artikel 32 wird verlangt, dass Unternehmen "unter Berücksichtigung des Standes der Technik" die Datensicherheit gewährleisten. Sprich: Gibt es einen Ernstfall, der von den Behörden untersucht wird, ist die Organisation in der Erklärungspflicht. Mit der Einführung eines EMM lassen sich jedoch viele Cyberattacken abwehren und Sicherheitslücken schließen.
14.03.2018/ln/Marco Föllmer, Gründer und Geschäftsführer der EBF GmbH

Nachrichten

Genauer Blick aufs Active Directory [30.07.2021]

Angesichts der wachsenden Zahl von Ransomware-Angriffen und ausgeklügelten Cyberangriffen hat Tenable zehn grundlegende Konfigurationschecks für seine Produkte entwickelt, darunter Tenable.io, Tenable.sc sowie Nessus Professional und Nessus Essentials. Diese bewerten die Active-Directory-Sicherheit und stimmen die Gegenmaßnahmen auf die Bedrohungslage ab. [mehr]

Erweiterte Angriffserkennung [30.07.2021]

Sophos hat sein Endpoint-Detection-and-Response-Angebot "Intercept X with EDR" und sein Extended-Detection-and-Response-System "XDR" in einem Produkt zusammengefasst. Kunden, die Sophos-Security-Dienste mit EDR im Einsatz haben, würden derzeit automatisch und kostenlos auf die umfangreichere XDR-Technologie umgestellt. Zudem hat der Hersteller die Datenhistorie im "Sophos Data Lake" von sieben auf 30 Tage erhöht. [mehr]

Tipps & Tools

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Vorschau Juli 2021: Container- und Applikationsmanagement [21.06.2021]

Das flexible Bereitstellen von Anwendungen und Software-Umgebungen ist dank der Container-Technologie kein Hexenwerk mehr. Dennoch gilt es für Admins, so manche Fallstricke zu umgehen. In der Juli-Ausgabe befasst sich IT-Administrator mit dem Thema "Container- und Applikationsmanagement". Darin lesen Sie, wie Sie Ihre eigenen Container-Templates erstellen und serverlose, cloudnative Anwendungen mit Knative automatisiert betreiben. Außerdem beleuchten wir das Windows Subsystem für Linux 2 und zeigen, wie Sie Kubernetes in vSphere ohne Cloud Foundation betreiben. In de Produkttests werfen wir einen Blick auf Red Hat OpenShift. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen