Sicherheitsstandards für mobile Geräte

Angriffe auf oder durch Endgeräte, die sich gerade nicht auf dem Firmengelände befinden, passieren immer wieder. Ein VPN ist wichtig und unverzichtbar, wenn es um Remote-Verbindungen ins Firmen-LAN geht, es ist jedoch nur die halbe Miete. Sichere Daten erhält man durch Informationssicherheit, nicht allein durch IT-Sicherheit. Und zur Informationssicherheit gehören eben auch ein paar Aspekte, an die in manchen Unternehmen nicht gedacht wird. So ist es immer noch nicht selbstverständlich, eine Richtlinie, englisch „Policy“ sowohl für die Nutzung der Endgeräte als auch für deren mobile Nutzung festzulegen. Beide Aspekte können in einem Dokument kombiniert oder auf zwei verteilt sein, aber existieren muss es. Genauso wichtig ist, dass die Mitarbeiter davon wissen und es gelesen und verstanden haben. Das impliziert eine eindeutige, knappe Sprache ohne Fachbegriffe. Viel zu oft schreiben die CISOs Romane und verlieren sich in Details. Wenn die Anwender den Text überhaupt lesen verstehen sie nicht, was verlangt ist und die Richtlinie fällt unter die „klassische“ ISO-Definition: Idioten Schreiben Ordner.

Sinnvolle Vorlagen gibt es zuhauf im Netz. Oft sind diese zur direkten Nutzung freigegeben, zum Beispiel hier (Deutsch) oder hier (Englisch). Andere Richtlinien stehen unter Copyright, hier lassen sich aber thematische Anregungen aufgreifen. Was passt wird genutzt, was nicht, rausgeworfen. Wichtig sind beispielsweise Aspekte wie die Anwendungen und Daten, die auf ein mobiles Endgerät geladen werden dürfen, ob die private Nutzung gestattet ist und in welchem Umfang generelles Wohlverhalten vorausgesetzt wird und ob die Nutzung vom Unternehmen überwacht wird. Unbedingt müssen Regeln für den Fall von Verlust oder Diebstahl darin definiert sein. Kontaktdaten für das Incident Reporting und richtiges Vorgehen im Ernstfall sind immens wichtig. Es ist sinnvoll, die wichtigsten Regeln in Form eines kleinen, kreditkartengroßen Ausdrucks an die Mitarbeiter zu verteilen.

Wenn die Regeln klar sind, müssen die technischen Maßnahmen passen. Die VPN Software von NCP hilft dabei, Daten während der Übertragung abzusichern. Dass gespeicherte Informationen geschützt werden müssen ist ebenfalls klar. Ob ein Verzeichnis, die komplette Festplatte oder, zum Beispiel bei einem Tablet, gleich das ganze Gerät verschlüsselt wird, hängt von den spezifischen Anforderungen ab. Klar ist nur, dass Firmen, die ihre sensiblen Daten nicht als Pfand bei einer Erpressung oder bei der Konkurrenz sehen wollen, nicht ohne Verschlüsselung auskommen. Wenn es die Anwendungen und Bandbreiten hergeben, kann es sicherer sein, keine Daten auf dem Endgerät lokal vorzuhalten und entweder über Netzlaufwerke oder einen virtuellen Desktop zu arbeiten.

Einen Sonderfall stellen BYOD-Gerät dar. Hier darf die IT-Abteilung viele Maßnahmen nicht umsetzen. Der sicherste Weg, um Daten richtlinienkonform und unter Berücksichtigung der DSGVO zu schützen, verwendet einen Container. Der Container enthält die beruflich genutzte Umgebung und die Zugänge zu den Firmendaten, es gibt keine Schnittstellen zum Host-System. Eine andere Möglichkeit bieten Data Security-Lösungen. Sie verschlüsseln Geräten, E-Mails und Daten und sind häufig mit Kontroll- und Überwachungsfunktionen verbunden. So lassen sich sensible Informationen in E-Mails sowie Anhänge mit einem Security-Tag klassifizieren und verschlüsseln.

In die gleiche Kerbe schlägt Data Loss Prevention (DLP). DLP-Software klassifiziert vertrauliche und geschäftskritische Daten und identifiziert Verstöße gegen die von Unternehmen definierten Richtlinien oder gesetzlichen Regelungen wie der DSGVO. Die Software kann in der Regel Verstöße aktiv verhindern. Erkennt sie beispielsweise einen Anhang, der nicht zur Verteilung außerhalb des Unternehmens gedacht ist, wird sie die E-Mail blockieren und den Vorfall ins Log schreiben.

Am Ende kommt es aber vor allem auf den Mitarbeiter und sein Verständnis für die Sicherheitsmaßnahmen an. Wenn Tools und Prozesse als sinnfreies Hindernis gesehen werden, ist ihre Wirkung zumindest eingeschränkt, wenn nicht sogar aufgehoben. Um das zu verhindern, ist es wichtig so wenig einschränkend wie möglich zu gestalten. Weil Sicherheit aber immer auf Kosten des Komforts geht, ist es wichtig, die zwei Maßnahmen, kontinuierlich und einleuchtend zu kommunizieren. Sicherheit wichtig ist, um das Unternehmen zu schützen, dessen Geschäft und damit auch die eigenen Arbeitsplätze.

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.