Smartphones sind aus unserem Alltag kaum noch wegzudenken. Dabei handelt es sich bei ihnen auch um hoch entwickelte Geräte, die sich perfekt zur Spionage des Benutzers und seines Umfeldes missbrauchen lassen. Wie schlimm die Lage ist, hat der Skandal um die Software Pegasus der israelischen NSO Group gezeigt. Auf mehreren Dutzend Mobiltelefonen von Journalisten, Menschenrechtlern und ihren Familienangehörigen fanden IT-Experten Spuren der Spionagesoftware. Glücklicherweise gibt es Sicherheitsmaßnahmen, die die mobilen Gefahren wirkungsvoll abwehren. Außerdem existieren Business-Messenger-Dienste, die sicherer sind als WhatsApp & Co. und dennoch eine hohe Nutzerakzeptanz erreichen.
Wie Sie Unternehmensdaten in der mobilen Kommunikation schützen
Seit Jahren steigt die Anzahl der Smartphone-Nutzer an. Waren es 2012 noch 36 Prozent der deutschen Bevölkerung ab 14 Jahren, die ein Smartphone genutzt haben, ist dieser Anteil nach Berechnungen der Marktforschungsgesellschaft Deloitte im Jahr 2020 auf rund 89 Prozent gestiegen. 94 Prozent der besitzer verwenden es täglich. Auf Unternehmensseite ist das Smartphone mittlerweile ein wichtiger Stellhebel in der Beschleunigung von Unternehmensprozessen und als Arbeitsgerät nicht mehr wegzudenken. Selbst außerhalb der Arbeitszeit nutzen es 59 Prozent der Smartphone-Besitzer für berufliche Aufgaben.
Doch die mobile Zugriffsmöglichkeit auf das Unternehmensnetzwerk macht das Smartphone zu einem interessanten Angriffsziel. Zumal Smartphones hoch entwickelte Spionagegeräte sind - ständig erreichbar und intelligent. Über Mikrofon und Kamera liefern sie potenziell jedem Außenstehenden Bild und Ton und greifen über das Unternehmens-Wi-Fi auf sensible Daten im Netzwerk zu. Und obwohl das in den Führungsetagen bekannt ist, wird das Thema Mobile Security noch immer eher stiefmütterlich behandelt, entsprechende Schutzvorkehrungen nur zögerlich getroffen.
Malware: Unternehmen haften
Das macht es kriminellen Angreifern mit Phishing-Mails oder Man-in-the-Middle-Attacken leicht, Schwachstellen in der Software auszunutzen. So geschehen beispielsweise beim Pegaus-Trojaner, der in den letzten zwei Jahren Smartphones mit iOS- und Android-Betriebssystem ins Visier nahm. Nach Installation konnte das Schadprogramm unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers feststellen.
Ein solcher Angriff auf ein geschäftlich genutztes Smartphone schadet dem Unternehmensimage und - noch gravierender - verursacht meist hohe wirtschaftliche Verluste bis hin zur Insolvenz. Gerade im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) machen sich Unternehmen strafbar, wenn sie diese Einfallstore nicht schließen. Ein Verstoß wird mit bis zu vier Prozent des gesamten Jahresumsatzes geahndet; Geschäftsführer haften mit ihrem privaten Vermögen.
"Container" schotten Daten ab
Der Druck durch die DSGVO steigt. Dennoch gibt es gerade in den Führungsetagen Manager, die weit über 400 Apps auf ihren Smartphones installiert haben und damit Schadprogrammen Tür und Tor öffnen. Zumal die Geräte von CEOs und weiteren Führungskräften für Angreifer hochinteressante Ziele sind, weil auf ihnen in der Regel sensible Daten gespeichert sind. So werden auf höchster Unternehmensebene die Vorgaben im Sinne der Datensicherheit und des Schutzes vertraulicher Daten praktisch ausgehebelt.
Um die Sicherheit und den Betrieb der mobilen Endgeräte zu gewährleisten, setzen größere Unternehmen inzwischen häufig auf ein Mobile Device Management (MDM), das das Management der Geräte organisiert und die gespeicherten geschäftskritischen Informationen vor unbefugtem Zugriff schützt. Für kleinere und mittelständische Unternehmen etablieren sich Container-Technologien zum Schutz der Daten. Entsprechende Anwendungen helfen dabei, geschäftliche Informationen auf Smartphones in einem verschlüsselten Container vor unbefugtem Zugriff zu schützen. Berufliche E-Mails, Kontakte, Kalender, Dokumente und auch Fotos sind von vorhandenen privaten Daten und Anwendungen strikt getrennt.
DSGVO-konformes Datenhandling
Die Trennung von dienstlichen und privaten Anwendungen und Daten durch verschlüsselte Container-Technologien ist ein erster Schritt, Unbefugten den Zugriff auf sensible Informationen zu verwehren. Doch was ist mit Messenger-Diensten wie beispielsweise WhatsApp, die sowohl privat als auch beruflich als Kommunikationsmittel genutzt werden? Ein Verbot auszusprechen, reicht nicht aus. Denn das begünstigt die Entstehung einer unkontrollierten Schatten-IT, die hohe Risiken für Unternehmensnetzwerk und -daten birgt.
Unternehmen, die Messenger-Dienste wie WhatsApp für die berufliche Kommunikation nutzen, riskieren einen Verstoß gegen die Vorgaben der DSGVO: Das Recht auf Informationen und das Recht auf das Löschen der Daten werden u.a. nicht erfüllt. Gerade bei außereuropäischen Messenger-Diensten ist häufig nicht bekannt, wo genau die Daten liegen. Eine Datenlöschung ist nicht möglich, im Sinne der DSGVO aber vorgesehen, wenn ein dienstlich genutztes Smartphone verloren geht.
Sichere mobile Unternehmenskommunikation
Mit Secure-Enterprise-Messaging-Lösungen schützen Unternehmen ihren mobilen Wissenstransfer. Als Business-Variante zu Consumer-orientierten Diensten bieten sie meist passendere Geschäftsfunktionen. In der Regel übertragen Enterprise Messaging Apps den Datenaustausch verschlüsselt über HTTPS, um die Verbindung zwischen App und den Servern zu schützen.
Dabei werden temporäre Schlüssel verwendet, die sich von einem möglichen Angreifer im Nachhinein nicht entschlüsseln lassen. Liegen dem Dienstleister personenbezogene Nutzerdaten nur anonymisiert vor, werden die Vorgaben der DSGVO gewahrt. Ein Private Messaging für vertrauliche Kommunikation im kleinen Kreis ist meist ebenso möglich wie große Gruppen-Chats mit mehreren hundert Mitgliedern. Chats und Chatverläufe von vergangenen Kommunikationen lassen sich suchen und anzeigen, Kollegen zu laufenden Chats hinzufügen.
Eine sichere Messaging-Lösung macht aber nur Sinn, wenn sie auch unternehmensweit eingesetzt und genutzt wird. Um eine hohe Nutzerakzeptanz zu erzielen, ist bei der Auswahl einer geeigneten Lösung auf ein einfaches Handling zu achten. Hilfreich ist, wenn der Dienst im Look and Feel an bekannte Anwendungen wie WhatsApp angelehnt ist.
So müssen Mitarbeiter nicht viel Zeit investieren, um die App zu verstehen. Ansonsten lässt sich der neue Messenger-Dienst samt seiner umfangreichen Features in Mitarbeiterschulungen vorstellen und erläutern. Unternehmen, die für die private Kommunikation zusätzlich hoch akzeptierte Dienste wie WhatsApp erlauben, erhöhen auch die Akzeptanz der Alternative. So wird das Smartphone in der Tasche zu einem sicheren Begleiter im Geschäftsalltag, zu einer geschützten Schaltzentrale, über die sich die verschiedensten Aufgaben, Projekte und Prozesse unternehmensweit abwickeln und steuern lassen. (rw)
Mehr zu Thema:
Herausforderungen der DSGVO
EU-DSGVO - eine Marketing-Rakete?
Wie Systemhäuer Enterprise-Mobility-Projekte angehen
Lösungen zum Remote Monitoring und Management
Welche IoT-Plattform ist die richtige?