Mobiles arbeiten wird auch bei Behörden und öffentlichen Institutionen immer beliebter. Die Zahl der dienstlich genutzten Notebooks, Tablets und Smartphones wächst ständig, seien die Geräte nun gestellt oder privat. Was für Firmen und Unternehmen gilt, das trifft deshalb auch hier zu: Sicherheit ist oberstes Gebot. So schlummern beispielsweise in der Nutzung von E-Mail-Clients und Messenger-diensten erhebliche Sicherheits- und Compliance-Risiken, gegen die entsprechende Schutzvorkehrungen getroffen werden müssen.
Beim mobilen Arbeiten verlassen die Mitarbeiter zumindest partiell den geschützten Raum der internen IT-Infrastruktur mit ihren Firewalls, Proxy-Servern und dem Patch-Management. Aber auch beim Arbeiten unterwegs muss die Einhaltung der zentralen Sicherheitsstandards gewährleistet sein. Und die Datenschutzgrundverordnung schreibt explizit den Schutz personenbezogener Daten von Bürgern, Lieferanten und Mitarbeitern auch auf Mobilgeräten vor. Die dazu eingesetzten Schutzmechanismen und IT-Lösungen sind zu dokumentieren und müssen jederzeit auf Anforderung vorgewiesen werden können.
Besonderes Augenmerk gilt dabei den im privaten Bereich so beliebten Messenger-Diensten, bei denen die Datenschutzverstöße leider „gratis“ mitgeliefert werden: Whats-App etwa liest die auf dem Mobilgerät gespeicherten Adressbücher ungefragt aus. Die so abgesaugten Kontaktdaten der Mitarbeiter inklusive E-Mail-Kontakten und Telefonnummern von Kollegen, Bürgern und Lieferanten werden dann bei der Konzernmutter Facebook abgeliefert. Ein gravierender Verstoß gegen die Datenschutzbestimmungen. Allerdings wird hier nicht gegen den Verursacher Facebook, sondern gegen den Nutzer und seinen Arbeitgeber vorgegangen.
Und das ist kein Einzelfall: Viele Apps räumen sich selbst automatischen Zugriff auf die sensiblen gespeicherten Daten des Mobilgeräts ein. Das ist häufig Teil des Geschäftsmodells. Ganz besonders kritisch wird das dann, wenn ein Mitarbeiter eine für private Zwecke erworbene App auch für dienstliche Aufgaben nutzt. Die Einhaltung der Bestimmungen zu Datenschutz, Geheimhaltung, Urheberrecht oder Aufbewahrungspflichten wird so zur Makulatur, mit möglicherweise fatalen und teuren Folgen für den Dienstherrn. Deshalb kommt den Mitarbeitern beim Security-Management eine wichtige Rolle zu. Entsprechende Security-Schulungen zur Aufklärung über potenzielle Gefahren und zur Sensibilisierung für entsprechende Verhaltensweisen sind Pflicht: Die Palette der Vorgaben reicht dabei von der Meidung verdächtiger Links, spionierender Apps und öffentlicher WLAN bis hin zur physischen Sicherung gegen
Diebstahl. Wichtig ist dabei auch die strikte Trennung von beruflicher und privater Nutzung des Mobilgeräts beziehungsweise der Apps auf den Mobilgeräten.
Damit allein ist es aber nicht getan. Unverzichtbar für die Prophylaxe ist die Einrichtung von technischen „Abschottungsmaßnahmen“, die den hohen Anforderungen der verbindlichen, strafbewehrten Sicherheitsstandards genügt. Ein bewährtes und umfassendes Schutzkonzept für den Einsatz mobiler Geräte in Behörden und öffentlichen Einrichtungen ist eine Container-Lösung wie Secure-PIM. Denn im Gegensatz zu nativen oder Stand-alone-Apps werden sowohl innerhalb des Containers als auch bei der Datenübertragung sämtliche Daten automatisch verschlüsselt. Auch der kritische Faktor Mensch wird entschärft, denn der Zugang ist per PIN oder Touch-/Face-ID gesichert, und im Falle von Diebstahl oder Verlust des Geräts bleiben die Daten durch die Container-Technologie vor Missbrauch geschützt. Sie verhindert zudem, dass Mitarbeiter aus dem sicheren Unternehmensbereich auf eine private App zugreifen und so Daten etwa mit Copy and paste in den privaten Bereich übernehmen.
Der Schutz durch Secure-PIM erfolgt ohne funktionale Einschränkungen bei der Nutzung der Office-Funktionen, wie Mail, Kalender, Kontakte, Messenger oder Voice. Im Fall eines dienstlich genutzten Privathandys wird neben den beruflich relevanten Daten und Anwendungen auch die Privatsphäre der Eigentümer geschützt. Die jeweiligen IT-Administratoren haben dabei keinen Zugang zu den privaten Daten, wie zum Beispiel Fotos oder Videos, sondern steuern immer nur den Container.
Sascha Wellershoff
Vorstand Virtual Solution AG, München
Kennwort: Virtual Solution
Fotos: Virtual Solution; I-Stock (1)
