Die Digitalisierung und Vernetzung unserer Kommunikationswege bringen nicht nur Vorteile, sondern bieten auch attraktive neue Angriffsflächen. Dem trägt die heuer in Kraft getretene EU-DSGVO Rechnung, indem sie von Unternehmen im Umgang mit persönlichen Daten (von EU-Bürger*innen) einiges verlangt – nach Artikel 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) sind dies beispielsweise:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz,
- Zweckbindung,
- Datenminimierung,
- Richtigkeit,
- Speicherbegrenzung,
- Integrität und Vertraulichkeit.
Der Verantwortliche ist nach Artikel 5 Absatz 2 für die Einhaltung der genannten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).
IT-Abteilungen stehen vor neuen Herausforderungen. Unternehmen müssen nach Artikel 32 („Sicherheit der Verarbeitung“) nachweislich sicherstellen, dass auch an Mobilgeräten geeignete organisatorische und technische Sicherheitsvorgaben nach Stand der Technik eingehalten werden, unter anderem:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Laptops, Smartphones oder Tablets müssen daher ab sofort verschlüsselt werden und es sind Backups zu erstellen. Es gilt zusätzliche Einfallstore, beispielsweise durch Berechtigungen am Gerät installierter Apps, abzusichern. Es dürfen nur entsprechend zertifizierte Apps installiert werden und im Zweifelsfall müssen alle Firmendaten via Fernzugriff gelöscht werden können. Private Daten und Apps sind von Unternehmensdaten zu trennen, beispielsweise mittels Container-Lösungen. Denn nur so können unerlaubte Datenzugriffe und unbefugte Offenlegung vollständig und nachweislich unterbunden werden. Zugleich können die Container die Verschlüsselung der Unternehmensdaten und der Kommunikation zwischen mobilem Endgerät und IT-Abteilung sicherstellen.
Alle Risiken und Sicherheitsvorkehrungen müssen zudem nach Artikel 35 („Datenschutz-Folgenabschätzung“) bewertet und dokumentiert werden, und auch Artikel 32 Absatz 1d) fordert „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Ohne Einsatz eines Mobile Device Management-Systems sind auch diese Anforderungen kaum zu erfüllen.
Mobile Devices: flexible Nutzung trotz strikter Vorgaben
Ein geeignetes MDM-System bietet auf einen Blick eine detaillierte Übersicht über Geräte mit Zugriff auf Unternehmensressourcen. Geräte und Applikationen können zentral verwaltet und inventarisiert werden. Auch die Softwareverteilung inklusive dem Ausrollen von Updates und Lizenzen sollte zentral steuerbar sein – selbstverständlich inklusive eines leistungsfähigen Malwareschutzes, Remote Control Features und automatischen Aktionen im Fall von Sicherheitsverletzungen.
Mobile Lösungen werden auch in Zukunft eine tragende Rolle in unserem privaten und beruflichen Leben spielen. Daher empfiehlt es sich, in eine zukunftsfähige Lösung zu investieren: Professionelle Konzepte, einfache Handhabung und zuverlässige Methoden lohnen sich. Nicht zuletzt in Anbetracht der empfindlichen Strafen im Falle einer Nicht-Compliance: Wer seine Datenschutzpflichten vernachlässigt, muss mit Strafgeldern von bis zu 20 Millionen Euro bzw. vier Prozent des weltweit erzielten Jahresumsatzes kalkulieren (Artikel 83 Absatz 5 „Allgemeine Bedingungen für die Verhängung von Geldbußen“).
Linktipp:
IKARUS mobile.management: Mobility-Lösung für Firmenumgebungen