Daten hinter Schloss und Riegel
Daten zu schützen ist Pflicht - erst recht, wenn Mitarbeiter sie lokal auf Mobilgeräten speichern und bearbeiten. Damit E-Mail-Anhänge, Kundendaten und sensible Informationen nicht in falsche Hände gelangen, bieten einige EMM-Lösungen sogenannte Container an, in denen die Daten verschlüsselt werden. Der Vorteil einer solchen Lösung ist: Sie kann nahtlos in die App integriert werden, sodass der Mitarbeiter innerhalb des Containers beispielsweise eine Enterprise-Dropbox-Lösung nutzen kann, ohne Gefahr zu laufen, dass Daten unverschlüsselt gespeichert und versendet werden.
Eine Alternative ist ein in die App integrierter VPN-Tunnel, der sich unbemerkt im Hintergrund aufbaut und Informationen codiert übermittelt. Der Anwender muss dafür weder selbst eine sichere Verbindung herstellen noch sich jedes Mal mit Nutzername und Passwort beim Öffnen der App einloggen. So lässt sich vermeiden, dass Sicherheitsmaßnahmen die Benutzerfreundlichkeit so weit einschränken, dass Mitarbeiter alternative Anwendungen ohne Verschlüsselungsmechanismus selbst installieren und nutzen.
- Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management? - Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden. - ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung. - Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle. - Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich. - Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen. - Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen. - User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.
Damit zusammenwächst, was zusammengehört
Soweit die technischen Möglichkeiten. Genauso wichtig sind allerdings organisatorische Vorkehrungen in Form ergänzter Compliance-Richtlinien, die unmissverständlich definieren, was den Mitarbeitern auf ihren Mobilgeräten erlaubt ist und was nicht. Denn jenseits der meist technologisch fokussierten Debatte wird der Faktor Mensch immer noch zu oft aus dem Blick verloren: Der Anwender selbst birgt ein nicht zu unterschätzendes Gefahrenpotenzial. Daher sollten Unternehmen eine ganzheitliche Mobility-Strategie entwickeln und die Regeln für den Umgang mit mobilen Endgeräten, Anwendungen und Daten in einer Nutzungsvereinbarung mit ihren Mitarbeitern fixieren.
Wie aber kann der Arbeitgeber sicherstellen, dass Mitarbeiter die Compliance-Richtlinien einhalten? Wie lässt sich verhindern, dass innerhalb des Unternehmens eine Schatten-IT entsteht? Hierfür empfiehlt es sich, einen erfahrenen Mobile-Enterprise-Dienstleister mit ins Boot zu holen, der das Thema Mobility ganzheitlich betrachtet. Darüber hinaus sollten bei der Entwicklung der Mobility-Strategie alle Beteiligten möglichst früh an einem Tisch sitzen: erstens die IT-Abteilung, um die Entscheidung zu treffen, welche mobilen Services inhouse erbracht werden können und welche zugekauft werden müssen. Zweitens die Finanzabteilung, die die finanziellen Ressourcen für den Mobility-Rollout zur Verfügung stellt, drittens der Betriebsrat, denn Themen wie die Ausgestaltung der Arbeitszeiten werden immer wichtiger, je mehr die Mitarbeiter mobil und damit losgelöst von ihrem Arbeitsplatz im Unternehmen arbeiten. Und viertens die Anwender. Nur wenn all diese Parteien mit an Bord sind, kann das Thema Mobility aus allen wichtigen Perspektiven betrachtet und eine tragfähige Strategie entwickelt werden.
Gute Aussichten für anwenderfreundliche, mobile Sicherheit
Sobald die Anwender mit von der Partie sind, wird meist automatisch der Blick über den technologischen Tellerrand hinaus auf die Lösungen geworfen, die das mobile Arbeiten unterstützen. Im Mittelpunkt stehen dann Lösungen, die beide Welten vereinen - Nutzerfreundlichkeit und mobile Security. Denn die wirksamsten Sicherheitslösungen sind diejenigen, die so integriert sind, dass der Anwender den Unterschied zur Nutzung seiner privaten Apps und Daten nicht bemerkt. Daher gilt es, die Security-Prozesse so geräuschlos wie möglich - am besten unsichtbar - zu betreiben, damit der Anwender die sicheren, vorgeschriebenen Enterprise-Apps freiwillig und gern nutzt.
Diesen Trend haben einige Hersteller frühzeitig erkannt, sodass es mittlerweile Endgeräte mit bereits eingebauten Sicherheitslösungen gibt. Bestes Beispiel ist hier die FIDO (Fast IDentity Online) Alliance, eine Non-Profit-Organisation, die eine nutzerfreundliche, standardisierte und sichere Authentisierung zum Ziel hat. Dieser Trend wird sich mehr und mehr durchsetzen - sehr zum Vorteil der Unternehmen, die dadurch einen weitaus geringeren organisatorischen Aufwand bewältigen müssen, um mobile Geräte anwenderfreundlich abzusichern.
Dieser Artikel entstand mit Material von Günter Kurth, Solution Director Mobility, und Carsten Dibbern, Solution Manager Secure Information, bei der Computacenter AG & Co. oHG.