249407

Mobile Sicherheit gibt es nur mit Regeln

14.07.2008 | 10:01 Uhr |

Einen Sack Flöhe zu hüten ist fast einfacher, als die Sicherheit für mobile Daten und Endgeräte zu gewährleisten. Nur mit einem guten Plan und strikten Regeln lässt sich die Aufgabe bewältigen.

Mobilität hat ihre Tücken: Alles, was von de Mitarbeitern unterwegs an Geräten genutzt wird, läuft Gefahr abhanden zu kommen – und mit ihnen wertvolle und oft vertrauliche Daten. Doch auch unsichere Anbindung ins Firmennetz oder eingeschleuste Schädlinge sorgen für Ärger. Ein gutes Organisations- und Abwehrkonzept muss umfassend sein und systematisch aufgebaut werden.

1. Klassifizierung der Daten

Bei der Entwicklung einer Sicherheitsrichtlinie kommt man nicht umhin, als erstes die im Unternehmen verwendeten Daten anzuschauen und genau zu klassifizieren. Erst wenn man weiß, welche Daten mit welchem Grad an Sicherheit behaftet werden muss, lässt sich daraus ermitteln, wie sie außerhalb des Unternehmens behandelt werden müssen. Zum Beispiel gelten andere Regeln für interne Daten auf einem USB-Stick als das bei streng vertraulichen Daten der Fall ist. Sinnvolle ist deshalb eine dreigliedrige Klassifizierung in "interne Daten", "vertrauliche Daten" und "streng vertrauliche Daten".
Für jede Klasse müssen dann Definitionen hinsichtlich Umgang, Weitergabe, Bearbeitung und Löschung getroffen werden. Personenbezogene Daten fallen mindestens unter die Stufe "Vertrauliche Daten" (siehe Bundesdatenschutzgesetz BDSG).

2. Klassifizierung der Geräte

Auch mobile Endgeräte müssen klassifiziert werden, je nach dem welche Ausstattung sie mitbringen und wie sie die Anforderungen der jeweiligen Datenklasse erfüllen können. Zum Beispiel sind USB-Sticks anders als Smartphones zu behandeln und Handys anders als Notebooks.

3. Definition und Klassifizierung der Medien

Die Kommunikationsmedien müssen ebenfalls genau betrachtet und hinsichtlich der an sie gestellten Anforderungen beurteilt werden. Je nach Datenklasse kann die Nutzung von WLAN, Bluetooth, Infrarot, UMTS, DECT oder GSM mehr oder weniger sinnvoll sein. Auch für den Zugang zu Unternehmensdaten über das Internet muss geregelt werden.

4. Betrachtung der Gefährdungen

Die Frage, wie nach dem Verlust einzelner Geräte oder der darauf befindlichen Daten umgegangen werden muss, sollte vor dem Ernstfall genau definiert werden. Faktoren wie Eintrittswahrscheinlichkeit und Relevanz spielen dabei ein Rolle, um den sich daraus ableitenden Handlungsbedarf festzulegen. Dabei ist der Verlust des Gerätes selbst aus materieller Sicht weniger relevant als der Verlust der Daten, die sich auf den jeweiligen Geräten befinden. Aus der konsequenten Gefährdungsbetrachtung unter Berücksichtigung der Daten- und Geräteklassifizierung kann auch resultieren, dass bestimmte mobile Medien nicht für sensible Daten genutzt werden dürfen, da das Risiko des Verlustes und der Einsichtnahme in die Daten zu groß wäre.

5. Den Zielgruppen anpassen

Nach der Festlegung von Daten-, Geräte- und Medienklassen und der Betrachtung möglicher Risken sollten die Anforderungen an verschiedene Zielgruppen festgelegt und deren Verantwortung aufgezeigt werden. Als optimale Lösung hat sich die Einordnung in Anwender, Führungskräfte und Betreiber erwiesen. Regelungen für den Umgang und die Nutzung durch den Anwender sind unbedingt nötig. Auf Führungskräfte kommt hier eine Kontrollfunktion zu, da diese den engsten Kontakt zu den Anwendern in ihrem jeweiligen disziplinarischen Bereich haben. Darüber hinaus sind mobile Systeme nicht immer an das Unternehmensnetz angeschlossen und somit von zentralen Kontrollinstanzen nicht einsehbar. Die Zielgruppe "Betreiber" ist im klassischen Sinne die IT-Abteilung, die diese Geräte vorkonfiguriert, die geforderten Sicherheitsmaßnahmen implementiert und so weit wie möglich die Einhaltung der technischen Anforderungen an Sicherheit überwacht und möglichst mit technischen Mitteln erzwingt.

6. Vertrauen ist gut, Kontrolle ist besser

Alle Anforderungen und Regelungen können nur dann greifen, wenn Unternehmen die Einhaltung der Regelungen auch kontrollieren. Sicherheit muss betrieben werden. Dafür ist ein Prozess zu definieren und dessen Wirksamkeit zu prüfen. In diesem Kontrollsystem sind Regelungen und Meldewege für einen eventuellen Verlust von mobilen Geräten und auch für den Verlust der jeweils enthaltenen Daten festzulegen.

Die aufgezeigten Strukturen und Anforderungen an notwendige Definitionen haben sich in Unternehmen als optimale Regelung zum Einsatz mobiler Systeme erwiesen. Bei einer derartig etablierten Struktur besteht auch Sicherheit bei zukünftigen Neuerungen und Änderungen, da auch für diese auf der gegebenen Basis das Gefährdungspotenzial minimiert werden kann. Muster-Policies sind zu allen angesprochenen Regelungen verfügbar. Sie müssen jedoch in die Gesamtstruktur der Sicherheitspolitik des Unternehmens eingebettet und auf die Belange und Daten des Unternehmens abgestimmt werden. Diese Struktur erfüllt dann bereits die vom Gesetzgeber und Wirtschaftsprüfern geforderten Standards in vielen Bereichen, so auch dem Datenschutz.

Die gesamte Kette mit den organisatorischen Regelungen und Anweisungen für die Mitarbeiter funktioniert aber nur dann, wenn die Unternehmen ihre technischen Konzepte zukünftig allesamt entsprechend der aufgestellten Policies entwickeln.

0 Kommentare zu diesem Artikel
249407