In der heutigen digitalisierten Welt sind mobile Endgeräte wie Notebooks, Smartphones und Tablets zu einem unverzichtbaren Bestandteil unseres Alltags geworden. Sie ermöglichen Kommunikation, Zugang zu Informationen, Online-Banking und eine Vielzahl weiterer Anwendungen. Mit der zunehmenden Nutzung von mobilen Technologien steigt jedoch auch das Risiko von Sicherheitsvorfällen. Daher ist die Sicherheit von mobilen Endgeräten zu einem zentralen Thema für Unternehmen und auch Einzelpersonen geworden.

Da mobile Geräte häufig Unternehmensinformationen, persönliche Daten der Anwender und auch Kontakte, sowie Projektinformationen speichern, sind sie attraktive Ziele für Cyberkriminelle. Ein Sicherheitsvorfall kann nicht nur die Unternehmensinformationen gefährden, sondern auch zu einem erheblichen finanziellen Verlust führen, sowohl für Einzelpersonen als auch für Unternehmen. Daher ist es wichtig, Maßnahmen zur mobilen Sicherheit zu ergreifen, um mobile Geräte vor Bedrohungen wie Malware, Datenverlust und unbefugtem Zugriff zu schützen.

Aktuell sind geschätzte 850.000 mobile Schadcodes im Internet auf der Suche nach Opfern. Jeder Schadcode hat das Ziel die persönlichen Daten auf den Endgeräten auszuspähen und diese betrügerisch zu nutzen. Sorgen macht an der Stelle, dass viele Nutzer sehr unachtsam und unwissend mit Daten umgehen und über öffentliche Hotspots oder App-Berechtigungen Dritten leichte Zugriffsmöglichkeiten ermöglichen.

Um die Sicherheit von mobilen Geräten zu gewährleisten, sollten mehrere Maßnahmen ergriffen werden:

• Regelmäßige Software-Updates: Betriebssysteme und Anwendungen erhalten ständig Updates, die Sicherheitslücken schließen und die Stabilität verbessern. Benutzer sollten sicherstellen, dass sie ihre Geräte immer auf dem neuesten Stand halten.
• Antiviren- und Sicherheitssoftware: Die Installation von Sicherheitssoftware trägt dazu bei, potenzielle Bedrohungen zu erkennen und zu neutralisieren, bevor sie Schaden anrichten können.
• Verwendung von starken Passwörtern, Passphrasen und biometrischer Authentifizierung: Sicherheitspasswörter und biometrische Daten (wie Fingerabdrücke oder Gesichtserkennung) erhöhen die Sicherheit des Zugangs zu den Geräten und den darauf gespeicherten Informationen.
• Verschlüsselung aktivieren: Nutzer sollten die Verschlüsselungsfunktionen auf ihren Geräten nutzen, um sicherzustellen, dass ihre Daten im Falle eines Diebstahls geschützt sind.
• Vorsicht bei App-Installationen: Apps sollten nur aus vertrauenswürdigen Quellen, wie dem Google Play Store oder dem Apple App Store, heruntergeladen werden. Benutzer sollten auch die Berechtigungen, die eine App anfordert, sorgfältig prüfen.

Die Sensibilisierung der Benutzer ist ebenfalls ein entscheidender Faktor für die mobile Sicherheit. Die Beschäftigten sollten über die Risiken und die besten Praktiken zum Schutz ihrer mobilen Endgeräte informiert werden. Unternehmen sollten regelmäßige Schulungen anbieten, um sicherzustellen, dass alle Beschäftigten über aktuelle Bedrohungen und Sicherheitsmaßnahmen informiert sind.

Die Sicherheitsanforderungen für mobile Geräte sind angesichts der zunehmenden Bedrohungen von entscheidender Bedeutung. Durch die Kombination aus starken Authentifizierungsmaßnahmen, regelmäßigen Software-Updates, sicherem Umgang mit Anwendungen, sorgfältigem Netzwerkmanagement und der Sensibilisierung der Benutzer kann das Risiko von Sicherheitsvorfällen erheblich minimiert und die Datenintegrität geschützt werden. In einer Zeit, in der mobile Endgeräte essenzielle Begleiter des Alltags sind, bleibt es unerlässlich, die damit verbundenen Sicherheitsanforderungen ernst zu nehmen und entsprechende Maßnahmen zu ergreifen.

Für den sicheren Umgang sollten klare Regelungen im Unternehmen festgelegt werden. Dazu ist es sinnvoll, die Beschäftigten über den sicheren Umgang mit mobilen Geräten aufzuklären und verbindliche Regeln für die Bereiche aufzustellen, die durch rein technische Mittel nicht praktikabel abzusichern sind. Die Aufgabe des Datenschutz- bzw. Informationssicherheitsbeauftragten ist es, die Unternehmensleitung dabei zu unterstützen, ein solches Regelwerk zu entwickeln, das dem Risiko angemessen und zugleich für die Beschäftigten nachvollziehbar und praktikabel ist.

Eine solche Richtlinie zum sicheren Umgang mit mobilen Geräten sollte insbesondere folgende Aspekte berücksichtigen:

• Verwaltung: Eine unternehmenseigene IT-Abteilung sollte nach Möglichkeit als verantwortliche Stelle für die Verwaltung vorgesehen und mit der Unterstützung der technischen Umsetzung betrauen werden, wie der Durchführung der Vorkonfiguration der Geräte, der Aktivierung der Sicherheitsfunktionen, der Installation von geprüften Apps und der Ausgabe der Geräte dient.
• Dokumentation: Um nicht in die Situation zu kommen, die Übersicht über die ausgegebenen Geräte zu verlieren, ist die Ausgabe der mobilen Geräte in einer Inventarliste zu dokumentieren und vom Beschäftigten per Unterschrift zu bestätigen. Außerdem sollten darin weitere Informationen über das ausgegebene Gerät (Gerätehersteller und -typ), die zugeordnete Rufnummer und die Spezifikationen des Geräts (Version des Betriebssystems, Patch-Level, verwendete und zugelassene Apps) festgehalten werden.
• Rücknahme und Löschung bzw. Vernichtung: Durch eine zentrale Rücknahme und Löschung der mobilen Geräte wird sichergestellt, dass sich bei einer etwaigen Weitergabe der Geräte nach deren Rückgabe keine personenbezogenen Daten mehr auf dem Gerät befinden und eine Wiederherstellung ausgeschlossen ist.
• Verlust oder Diebstahl: Zur Vermeidung eines unbefugten Zugriffs durch Dritte sind technische und organisatorische Maßnahmen zu treffen. Empfehlenswert ist es, zusätzlich eine ständige Verschlüsselung beim Abspeichern sämtlicher Daten vorzusehen. Auf der organisatorischen Seite ist die Einrichtung einer Hotline sinnvoll, an die ein Verlust des Gerätes gemeldet werden kann. Auf der technischen Seite besteht die Möglichkeit, eine zentrale Sperrung (Remote-Lock-Funktion) oder eine zentrale Löschung (Remote-Wipe-Funktion) einzurichten.

Für den Einsatz von Mobiltelefonen lässt sich auch die Frage stellen, ob Firmengeräte oder private Geräte (Bring Your Own Device – BYOD) eingesetzt werden sollen. Die sicherste Option zur Sicherung der mobilen Endgeräte der Beschäftigten ist wohl, Firmengeräte zur Verfügung zu stellen, die ausschließlich für die Arbeit verwendet werden dürfen. Die privaten Daten und Aktivitäten der Beschäftigten sind dann vollständig vom Unternehmen getrennt. Sicherheitsrichtlinien lassen sich übersichtlicher umsetzen und werden in der Regel eher akzeptiert.

Wenn ein Unternehmen seinen Beschäftigten erlaubt, private Endgeräte für die Arbeit zu nutzen, ist eine entsprechende BYOD-Sicherheitsrichtlinie essenziell für den Schutz der Unternehmensdaten. Bei der Erstellung einer BYOD-Richtlinie sind mehrere wichtige Faktoren zu berücksichtigen, um Sicherheit, Compliance und Benutzerfreundlichkeit zu gewährleisten. Ebenso sind alle Interessengruppen mit einzubeziehen. Im besten Fall wird Input aus allen Abteilungen eingeholt: Welche Daten und Anwendungen benötigen die Beschäftigten? Welche Anwendungen werden am meisten benutzt? Wo sehen die Beschäftigten Probleme? Im Anschluss sind einige Schlüsselpunkte für eine BYOD-Richtlinie beschrieben:

• Ziel und Umfang der Richtlinie: Definition der Geräte und Betriebssysteme (z. B. iOS, Android, Windows) von der Richtlinie abgedeckt sind und welche Benutzergruppen die Richtlinie betrifft.
• Sicherheitsanforderungen: Festlegung von Regelungen für Passwörter (z. B. Mindestlänge, Komplexität) und Multi-Faktor-Authentifizierung. Außerdem sind Richtlinien zur Verschlüsselung von Daten auf Geräten festzulegen genauso wie Sicherheitssoftware-Anforderungen (z. B. Antivirenprogramme).
• Datenmanagement: Zur Speicherung und Übertragung von Unternehmensdaten auf persönliche Geräte sind klare Festlegungen zu vereinbaren. Ebenso ist zu regeln, welche Daten auf den Geräten gespeichert werden dürfen und welche nicht.
• Zugriffsrichtlinien: Für den Zugang mit persönlichen Geräten ist festzulegen, welche Geschäftsressourcen (z. B. E-Mail, Cloud-Dienste) zugänglich sind.
• Überwachung und Durchsetzung: Legen Sie fest, wie die Einhaltung der Richtlinie überwacht wird (z. B. durch IT-Abteilungen). Bestimmen Sie mögliche Konsequenzen bei Verstößen gegen die Richtlinie.
• Privatsphäre und rechtliche Aspekte: Berücksichtigen Sie rechtliche Fragen und Datenschutzgesetze (z. B. DSGVO) in Bezug auf die Verwendung persönlicher Geräte. Ebenso sollte geklärt sein, inwieweit das Unternehmen auf persönliche Daten zugreifen kann und welche Maßnahmen zum Schutz der Privatsphäre der Benutzer ergriffen werden.

Werden die Beschäftigten bei der Einführung der Richtlinie einbezogen, neigen sie eher dazu, die Richtlinie zu akzeptieren. Immerhin geht es ein Stück weit um Kontrolle des Unternehmens über die privaten Geräte und Aktivitäten der Beschäftigten. Die Umsetzung einer BYOD ist häufig schwierig, da es keine konkreten Angaben zur Verfolgung, Messung und Durchsetzung der Richtlinie gibt. Ebenso fehlen die Konsequenzen für einen Richtlinienverstoß, sodass die Beschäftigten mit der Zeit immer lockerer damit umgehen.

Weitere Informationen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Informationen zum effektiven Schutz von Smartphone und Tablet zur Verfügung. Ebenso finden Sie dort auch Informationen zur sicheren Einrichtung Ihres Computers, Tablets und Smartphones.