Strategie

Risiken im Rahmen einer Mobility-Strategie begrenzen

FuM_Joerg Mecke_Business Unit Manager Business Productivity
0 13 1 Kommentar

Mobile Risk und Mobile Security Management ist nötig, um mobile Geräte sicher in Unternehmen zu bringen, meint Jörg Mecke, Business Unit Manager Business Productivity bei Fritz & Macziol.

Es folgt die Einschätzung von Jörg Mecke, Business Unit Manager Business Productivity bei Fritz & Macziol: Schleichend hat Mobile Computing Einzug in unsere Arbeitswelt gehalten. Nach und nach haben immer mehr Arbeitnehmer ihre mobilen Endgeräte zum Checken der Mails oder zur Kommunikation mit Kollegen benutzt. Der Druck, mobiles Arbeiten einfach und sicher zu ermöglichen, stellt Unternehmen seitdem vor große Herausforderungen. Digitale Bedrohungen gehen nicht mehr nur von Hacker-Angriffen oder Schadsoftware aus: Jedes zweite Sicherheitsproblem wird von Anwendern verursacht, so das Ergebnis der Studie „Mobile Security in Deutschland 2015“ des amerikanischen Marktanalyse- und Beratungsinstituts IDC. In einer Enterprise-Mobility-Strategie dürfen Mobile Risk (MRM) und Mobile Security Management (MSM) daher auf keinen Fall fehlen.

Beschäftigte sollen produktiver und zugleich flexibler arbeiten – darin sind sich die meisten Unternehmen und öffentlichen Einrichtungen einig. Und viele Mitarbeiter teilen diese Auffassung. Vor allem jüngere Menschen wollen den Großteil ihrer beruflichen Aufgaben auch von zu Hause oder unterwegs erledigen können und somit dem lange beschworenen Anspruch der “Work Life Balance” näher kommen.

Jedoch beschränkt sich mobiles Arbeiten schon lange nicht mehr auf das Schreiben von E-Mails mit dem Smartphone. Heute wird erwartet, dass mobile Geräte so nahtlos an die Unternehmensinfrastruktur angebunden sind wie der stationäre Office-PC im Büro. Dafür müssen Geschäftsprozesse mobil abgebildet und Unternehmensdaten für die Mitarbeiter verfügbar gemacht werden. Beispielsweise wollen Außendienst und Vertrieb von überall auf Kundeninformationen zugreifen, ihren Service verbessern, Bestellungen mobil erfassen, zusätzliche Angebote unterbreiten und dadurch Vertriebsziele leichter und schneller erreichen. Genau das bringt den Unternehmen oft die erhofften wirtschaftlichen Vorteile bei einer gleichzeitigen Bindung der Mitarbeiter und der Erhöhung Motivation.

Unsicherheit – die Kehrseite des mobilen Datenzugriffs

Jedoch gibt es auch hier eine Kehrseite der Medaille: Diese heißt Sicherheit, oder besser gesagt, Unsicherheit. Denn ist die Enterprise-Mobility-Strategie nicht von Anfang bis Ende durchdacht, nur halbherzig im Unternehmen implementiert oder Zuständigkeiten und Rechte nicht klar geregelt, dominieren in der Applikationsschicht allerorten Freeware, Schatten-IT und Insellösungen. Die Risiken, die Unternehmen damit eingehen, sind hoch: Geschäftskritische Daten liegen isoliert auf den Geräten der Mitarbeiter, Datenschutzauflagen werden nicht gewahrt und selbst einfachster Schutz mittels zentraler AV-Scanner und Firewalls findet dann oft nicht statt.

Das hat zur Folge, dass manche Chief Information Officers (CIOs) gewissermaßen die Notbremse ziehen müssen und den Einsatz von mobilen Systemen einschränken. Ein beliebtes Mittel ist, nur bestimmte Endgeräte, Anwendungen und Betriebssysteme zur betrieblichen Nutzung freizugeben. Dadurch bleibt jedoch viel Potenzial für zufriedene Kunden und Mitarbeiter ungenutzt. Dies gilt bei weitem nicht nur für Bereiche wie etwa den Außendienst. So brachte eine von Microsoft in Auftrag gegebene Studie von Techconsult ans Licht, dass zum Beispiel auch das Marketing vom mobilen Arbeiten profitiert: In Unternehmen mit einer Enterprise-Mobility-Strategie weisen Mitarbeiter eine um 10 Prozent höhere Produktivität auf, so das Ergebnis.

Keinen Schritt weiter ohne Sicherheits- und Risiko-Management

Zum Glück können sich Unternehmen gegen Gefahren und Risiken durch den mobilen Datenaustausch mithilfe fähiger IT-Berater wappnen. Mit Mobile Risk und Mobile Security Management als zentrale Bestandteile der Enterprise-Mobility-Strategie kann sich so jedes Unternehmen auf mobiles Terrain vor wagen. Das Kernziel von Mobile Risk Management besteht im Grunde darin, das Speichern und Bearbeiten von Firmendaten an potenziell unsicheren Orten zu unterbinden. Ein MRM soll Verstöße gegen Compliance-Vorgaben und Datenschutz-Regeln verhindern. Mobile Security Management hat die Sicherheit der Geräte, der Applikationen und der Daten zur Aufgabe und sollte daher mindestens genauso stark im Fokus jeder Mobilstrategie stehen.

Klare Regeln zur Nutzung von Smartphones

Genau genommen beginnt das Thema Mobile im Unternehmen zu dem Zeitpunkt, an dem der erste Mitarbeiter geschäftliche Kontakte auf seinem beruflich genutzten oder sogar privaten Smartphone speichert. Bereits die Frage, wo die im Unternehmen genutzten Smartphones herkommen, ist für die Mobil-Strategie und deren Sicherheits- und Risikoabsicherung daher ebenso grundlegend wie entscheidend. Hier kommen Konzepte wie Bring Your Own Device (BYOD) oder Choose Your Own Device (CYOD) zum Tragen.

Bei BYOD dürfen Mitarbeiter offiziell ihr privates Smartphone, Notebook oder einen Tablet-Rechner für die berufliche Tätigkeit verwenden. Restriktiver ist ein CYOD-Ansatz. In diesem Fall haben die Mitarbeiter die Wahl zwischen mehreren mobilen Systemen, die ihnen der Arbeitgeber zur Verfügung stellt. Das Unternehmen bleibt somit Eigentümer der Mobilgeräte und kann vorgeben, welche Anwendungen darauf laufen dürfen und wo welche Daten gespeichert werden. Bei einem reinen Company Owned Ansatz (CO) darf das Gerät sogar nur beruflich genutzt werden – bei Company Owned Private Enabled (COPE) bekommt der Nutzer ein durch das Unternehmen zur Verfügung gestelltes Gerät, darf diese aber auch für private Zwecke nutzen.

„No Risk – more Fun“

Zum MRM gehört ebenso eine umfassende Analyse mit der entschieden wird, welche Daten überhaupt auf mobilen Endgeräten gespeichert werden dürfen. Je nach Risiko werden Daten unterschiedlich klassifiziert. Außerdem zählen unverschlüsselte Cloud-Storage-Ressourcen, aber auch ungeschützte Speichermedien in Endgeräten dazu. Zudem können Funktionen integriert werden, die ein sicheres Synchronisieren von Daten zwischen unterschiedlichen Systemen ermöglichen, etwa Smartphones, Notebook und Büro-PCs. In diesem Fall werden durchgängig verschlüsselte Ende-zu-Ende-Verbindungen genutzt.
Bei der Entscheidung, wie mit den einzelnen Datenklassen umzugehen ist, hilft eine Kosten-Risiko-Analyse bestehend aus:
• Einflussfaktoren auf Kosten des Risikomanagements im Vergleich zum erzielten Sicherheitsniveau
• Zielsetzung
• Ausgangslage
• Gefährdungslage
• Schutzbedarf
• Wirksamkeit möglicher Maßnahmen
Nur wenn Unternehmen die Voraussetzungen für das mobile Arbeiten selbst schaffen, können sie Datensicherheit und Datenschutz eigenständig gewährleisten. Es ist an der IT-Abteilung, die Einhaltung rechtlicher Vorschriften im Blick zu behalten sowie echte Unternehmenslösungen einzuführen, die genau auf das eigene Geschäftsmodell zugeschnitten sind.