Im Regelfall ist man sich nicht bewusst, welche komplexen Abläufe man mit ganz einfach zu bedienenden Apps wie Mail oder Social Media startet. Selten weiß man, woher die Geschäftsdaten, die gerade geteilt werden, geholt wurden, wo sie zwischengespeichert werden, in welcher Form der Empfänger diese Daten dann erhält und wie er darüber verfügen kann.

Als Sicherheitsverantwortlicher in einem Unternehmen muss man sich aber schon die Frage stellen, ob ein  Benutzer immer und überall die sicherheitsrelevanten Konsequenzen seines Handelns abschätzen kann. Es muss bewusst gemacht werden,  wieweit man Benutzer mit technischen Maßnahmen daran hindern kann, grobe Sicherheitsfehler zu begehen und wieviel Schulung und Reglementierung notwendig ist.

Wo sollte man beginnen?  

„Auch der längste Marsch beginnt mit dem ersten Schritt“ (Laozi - Daodejing/ Tao Te King, Kapitel 64). Die Maximierung der Datensicherheit ist eher als zyklischer Prozess zu betrachten und daher ist es meist nebensächlich, in welchem Bereich man Maßnahmen setzt. In der Regel wird die Datensicherheit immer erhöht. Daher ist auch die Reihenfolge der folgenden Maßnahmen weder als vollständig, noch als vorgegebene sequentielle Ordnung zu verstehen.

Ziele der Benutzer-Schulung

Benutzer sind sich bewusst:

  • dass einmal weitergegebene Daten nicht mehr im Einflussbereich des Unternehmens stehen
  • dass  Daten unterschiedlicher Sicherheitsstufen unterschiedlich behandelt werden müssen

Benutzer wissen:

  • dass sie ungewöhnliche Anfragen / Vorkommnisse  hinterfragen bzw. melden müssen
  • dass sie den Diebstahl oder den Verlust eines mobilen Endgerätes umgehend melden müssen
  • dass mobile Endgeräte am Ende des Lebenszyklus nicht ungelöscht der Wiederverwertung zugeführt werden dürfen

Ziele von Mobilem Datenmanagement

  • Auf Firmendaten darf nur mittels vom Unternehmen freigegebener Apps zugegriffen werden.
  • Geschäftsdaten müssen in Sicherheitscontainern auf den mobilen Endgeräten gespeichert werden (Data at rest).
  • Der Zugriff auf Geschäftsdaten darf nur verschlüsselt erfolgen (Data in transit).
  • Geschäftsdaten müssen auch in Zwischenspeichern immer verschlüsselt bleiben.
  • Das Endgerät muss frei von Viren und Malware sein.
  • Der Benutzer des Endgerätes muss eindeutig identifizierbar sein.
  • Datenaustausch muss auch die Funktionen Digital Rights Management und Data Loss Prevention unterstützen.

Ziele von Datenklassifizierung

Die Wichtigkeit bzw. das Geheimhaltungsinteresse von Geschäftsdaten wird in der Regel in Stufen abgebildet und die Daten dann entsprechend gekennzeichnet, sortiert oder markiert. Typische Klassifizierungskategorien sind:
streng vertraulich, vertraulich, intern, kundenbezogen, öffentlich.

Um weiterführende Informationen zum Thema Mobile Devices und Mobiles Datenmanagement zu erhalten, fordern Sie den Leitfaden Nummer 9 „Enterprise Mobility - Markt, Produkte und technische Herangehensweisen sowie relevante organisatorische und juristische Aspekte“ der EuroCloud Österreich an.
https://www.eurocloud.at/projekte/publikationen/leitfaeden.html