Wie man Sicherheitsrisiken für mobile Endgeräte minimiert

Mobile elektronische Geräte haben während der Corona-Pandemie einen regelrechten Boom erlebt. Das Risiko, dass ein Gerät mit Unternehmens-Interna in die falschen Hände gelangt ist dadurch gestiegen. Alexandru Bertea, Chief Cybersecurity Strategist bei Stefanini EMEA, gibt Tipps zur Prävention.

Alex Bertea, Chief Cybersecurity Strategist Stefanini EMEA

Alex Bertea, Chief Cybersecurity Strategist Stefanini EMEA

Die Corona-Pandemie hat in der Arbeitsplatz- und IT-Infrastruktur von Unternehmen markante Spuren hinterlassen. Wo es nur möglich war wurde auf Remote Work umgestellt und sofern das noch nicht zuvor geschehen war wurden Mitarbeiter mit Smartphones, Laptops oder Tablets ausgestattet, um ihre Arbeit weiter verrichten zu können.

Die Zahl der beruflich verwendeten mobilen elektronischen Geräte ist dadurch enorm angestiegen. Was wiederum ein Problem in der IT-Security verschärft hat: Was ist, wenn ein solches Gerät verloren wird?

Verlustrisiko minimieren

Unternehmen stehen daher vor der zunehmenden Herausforderung, die Risiken eines möglichen Diebstahls oder Verlusts von mobilen Endgeräten zu analysieren. Das gilt dabei nicht nur für unternehmenseigene, sondern auch für private elektronische Geräte, die von Mitarbeitern zur Speicherung von sensiblen, arbeitsbezogenen Inhalten wie Kundendaten, Benutzernamen und Passwörtern verwendet werden.

Prinzipiell geht es bei den Überlegungen darum, den angestrebten Sicherheitsstatus mit der Praktikabilität der implementierten Sicherheitsstandards in der täglichen Arbeit und der Performance der IT-Komponenten abzuwägen, da Security-Features die Performance und die Usability oft beeinträchtigen. Da jedes Unternehmen seine internen Prozesse anders definiert müssen die Cybersecurity-Vorkehrungen so angepasst werden, dass sie die jeweilige Unternehmenskultur, technische Infrastruktur sowie die internen Policies abbilden.


Sicherheitsmaßnahmen für Unternehmen

1. Technische Vorkehrungen

Ein zentralisiertes Mobile Device Management (MDM) ermöglicht die einfache und wartungsarme Anwendung von Sicherheitsprotokollen über gespeicherte und übertragene sensible Daten. Darunter fallen beispielsweise ein gesicherter Datenzugriff, Geräteverschlüsselung, geschützter Internetzugang, Sicherheitspatchings aber auch die Nutzungsüberwachung (Log-Files).

Der Ansatz von Stefanini besteht darin, Risiken vor der Einführung (neuer) mobiler Geräte zu identifizieren und entsprechende Kontrollen einzubauen, um das Restrisiko eines ungewollten Datenzugriffs zu minimieren. Auf den vom Unternehmen zur Verfügung gestellten Geräten setzt Stefanini einen privaten Bereich für persönliche Inhalte wie Telefonkontakte oder Fotos auf, der von den Unternehmensdaten durch strenge Informationssicherheitsprotokolle rigoros abgegrenzt wird. Andererseits wird bei einem "Bring your own device"-Szenario (BYOD) auf den persönlichen Endgeräten der Mitarbeiter ein dedizierter, unternehmensbezogener Bereich eingerichtet, der spezielle Sicherheitsfeatures aufweist.

Praktisch betrachtet ermöglicht es der Einsatz von Biometrie wie Fingerabdruck- oder Gesichtserkennung den Unternehmen, ein stärkeres Vertrauen zwischen einem verschlüsselten Gerät und dessen autorisierten Besitzern aufzubauen. Auf diese Weise ist es möglich, den gesamten Speicher eines mobilen Geräts zu verschlüsseln und die Daten im Falle eines Diebstahls vor einem unberechtigten Zugriff zu schützen.


2. Organisatorische Maßnahmen

Es gibt weitere praktische Maßnahmen, um mit den Risiken gestohlener oder verlorener mobiler Endgeräte umzugehen:

  • Allem voran die Aufklärung der Nutzer mobiler Geräte: Wem die Bedeutung, der Wert von Firmendaten und die damit verbundenen Risiken bewusst sind, handelt mit mehr Verantwortung. Interne Kampagnen, von eLearning bis hin zu Postern im Büro, sind hier sehr hilfreich.

  • Einbindung mobiler Geräte in ein einheitliches Endpunkt-Management-Programm, das alle Arten von Endpunkten (Desktops, Laptops, Tablets, Smartphones und andere mobile Geräte) abdeckt, um eine einheitliche und systematische Kontrolle über alle Gerätetypen und Daten zu ermöglichen.

  • Einsatz eines einfachen und klaren Vorfalls-Management-Plans: Benutzer müssen gestohlene oder verlorene Geräte unverzüglich im Unternehmen melden, damit Abhilfemaßnahmen, wie beispielsweise das Sperren oder Fernlöschen eines Geräts, schnell vollzogen werden.

  • Restriktive Richtlinien, um beispielsweise die Internetkommunikation rein auf die Unternehmensinfrastruktur zu beschränken; kein Einloggen in ungesicherte WiFi-Netze in Hotels etc.

  • Minimierung des Zugriffs und der Arten von Daten, die mobile Benutzer über ihre tragbaren Geräte haben.

  • Regelmäßige obligatorische Tests der Sicherheitsmaßnahmen, um die Wirksamkeit der Kontrollen zu gewährleisten und Lücken zu identifizieren bevor sie ein erhebliches Risiko darstellen.

  • Rechtskonforme Data Loss Prevention (DLP)-Programme mindern zusätzliche Risiken.

Auf der einen Seite ist die Datensicherheit bei Geräten, die sowohl betrieblich als auch privat genutzt werden, besonders wichtig. Dabei ist es irrelevant, ob es sich um firmeneigene Geräte oder persönliche Geräte der Mitarbeiterinnen handelt. Wenn ein Unternehmen persönliche Endgeräte bei geschäftlichen Aktivitäten zulässt und nur Unternehmensdaten sicher aufbewahrt werden, besteht die Gefahr, dass gestohlene Devices die Identität der Person und private Informationen trotzdem preisgeben. Dies kann zu gezielten Cyberangriffen, zu Erpressungen oder zum Diebstahl der persönlicher Finanzdaten führen.

Andererseits ist eine unverhältnismäßige Überwachung der Aktivitäten von Endnutzern durch Unternehmen sowie lückenhafte Datensicherheitskontrollen nicht zulässig und stellt ein Reputations- und Compliance-Risiko für das Unternehmen dar.

Es ist daher sehr wichtig, dass die mit der Nutzung mobiler Geräte verbundenen Risiken in Bezug auf Privatsphäre sowie Datensicherheit sorgfältig beleuchtet, an die Mitarbeiter klar kommuniziert werden und anschließend regelmäßige Kontrollen durchgeführt werden.


Zur Person

Alexandru Bertea ist Chief Cybersecurity Strategist bei Stefanini EMEA. Er ist in Rumänien ansässig und gilt als Cybersecurity Experte. Bertea verfügt über eingehende Erfahrung bei Finanzdienstleistern in führenden IT-Positionen.

Stefanini ist ein brasilianisches IT-Unternehmen mit mehr als 30 Jahren Erfahrung und über 25.000 Mitarbeitern in 41 Ländern. Das Unternehmen bietet Dienstleistungen im Bereich Automatisierung, Cloud, Internet of Things (IoT) und User Experience (UX) sowie Beratung, Marketing, Mobilität, personalisierte Kampagnen und künstliche Intelligenz an.

Wetransfer ermöglicht das Teilen großer bis sehr großer Daten.

Wetransfer: Große Daten sicher und einfach verschicken

Das Collaboration Tool Wetransfer wurde im Jahr 2009 wurde in Amsterdam …

Google Workspace schafft flexible Arbeitswelten - für Ein-Personen-Unternehmen genauso wie für große Konzerne.

Google Workspace – Arbeitsplätze in der Cloud

Mit "Workspace" bietet der Internet-Gigant Google ein für viele …

Asana ist ein vielseitiges Online-Collaboration Tool, mit dem Aufgaben intelligent verwaltet werden können und der Projektfortschritt übersichtlich mitverfolgt werden kann.

Asana – Projektmanagement und Collaboration-Tool im Check

Der Trend hin zu Softwarelösungen für Teamwork-Organisation, Homeoffice- …

ownCloud - eine Collaboration-Lösung, bei der Unternehmen die volle Hoheit über ihre eigenen Daten behalten.

ownCloud: Cloud-Collaboration über eigene Server

Die Open-Source-Software ownCloud bietet zahlreiche Möglichkeiten zur …