Mobile Security: Sicherheitsrichtlinien sind ein Muss
Der Verlust eines mobilen Endgerätes kann ein sehr großes Problem für ein Unternehmen darstellen. Dabei geht es nicht in erster Linie um den materiellen Wert des Gerätes sondern um die darauf gespeicherten Daten. Es ist ärgerlich, wenn gerade eingegebene Verträge verloren sind, viel schwerwiegender ist jedoch die Sicherheitslücke, die im System entsteht.
Experten für mobile Sicherheit empfehlen daher unbedingt eine maßgeschneiderte Sicherheitsrichtlinie für jedes Unternehmen, das mobile Endgeräte nutzt. Die Ausarbeitung eines solchen Konzeptes für Datenschutz und Datensicherheit ist einigermaßen zeitaufwändig. Nur so kann aber im Falle des Verlustes eines Handys, Smartphones oder Notebooks garantiert werden, dass sensibles Datenmaterial ausreichend geschützt ist.
Klassifizierung der Daten und Geräte
Im ersten Schritt müssen sämtliche Daten, Geräte und Medien klassifiziert werden. Es empfiehlt sich eine Einteilung in „interne, vertrauliche und streng vertrauliche Daten“. Für verschiedene Geräte sollten verschiedene Regeln gelten, der Umgang mit dem Smartphone beispielsweise unterscheidet sich von der Benutzung eines USB-Sticks. Ebenso unterscheiden sich die Kommunikationsmedien voneinander. Für die Nutzung von WLAN, Bluetooth oder UMTS sowie für den Internetzugang zu Unternehmensdaten müssen Regelungen getroffen werden.
Im nächsten Schritt werden die Gefährdungen definiert: wie hoch ist die Wahrscheinlichkeit eines Verlustes in den verschiedenen Bereichen? Unter Umständen dürfen bestimmte mobile Medien nicht für sensible Daten benutzt werden, da das Risikopotential zu hoch ist.
Einteilung der Nutzer und Notfallplan
Sobald ein Überblick über die Situation der Daten und Geräte im Unternehmen besteht, sollten die Anforderungen an die verschiedenen Zielgruppen festgelegt werden. Dabei hat sich die Einordnung in „Anwender, Führungskräfte und Betreiber (= IT-Abteilung)“ bewährt. Die Führungskräfte haben in diesem System eine Kontrollfunktion, da sie in engem Kontakt mit den Anwendern der mobilen Geräte stehen. Sämtliche Aspekte einer Sicherheits-Policy können nur dann funktionieren, wenn die Unternehmen sie auch kontrollieren. Es muss einen Notfallplan, eine standardisierte Vorgehensweise für den Verlustfall geben, die immer eingehalten wird. Muster-Policies stehen zur Verfügung, müssen aber auf das jeweilige Unternehmen zugeschnitten werden.
Von Passwort bis Trainings-Seminar
Die Marktanalysten von Forrester Research empfehlen konkret, dass nur registrierte Geräte Zugriff auf das Unternehmensnetz bekommen. Auch bietet es sich an, lediglich zwei verschiedene Betriebssysteme einzusetzen: Das vermindere die Abhängigkeit von einem einzigen Hersteller, halte aber dennoch den Verwaltungsaufwand in Grenzen. In den USA beispielsweise setzen viel Unternehmen auf Windows Mobile und BlackBerry-OS, in Europa ist Symbian eine Alternative.
Zur Authentifizierung der Besucher muss ein Passwort Pflicht sein, sowie nach einer gewissen Zeit eine automatische Neuabfrage. Nach dreimaliger Falscheingabe sollte das Gerät gesperrt werden, ebenso wie nach einem Verlust. Inzwischen ist es möglich, eine Fernlöschung aller Daten durchzuführen („Remote Wipe“). Aufgrund der rapiden technischen Entwicklung sollten Notebooks alle 26 bis 32 Monate ausgetauscht werden, Smartphones alle 18 Monate. Regelmäßige Treffen der IT-Abteilung mit den Betreibern sind sehr ratsam. Außerdem sollte jede IT-Abteilung speziell für mobile Endgeräte geschultes Personal beschäftigen, das den Anwendern Hilfestellung bieten kann. Darüber hinaus helfen Trainings-Seminare, den Mitarbeitern das notwendige Wissen zu vermitteln.
Autor: FN
Anzeige