EU-DSGVO erfordert das Management mobiler Endgeräte

Mobile Endgeräte sind als zentrale Kommunikations- und Arbeitsmittel in den Unternehmen etabliert. E-Mails, Kontakte, Kunden- und Produktinformationen sowie weitere vertrauliche und personenbezogene Daten werden mobil verarbeitet und gespeichert. Mit der EU-Datenschutz-Grundverordnung wurden die rechtlichen Rahmenbedingungen für den Umgang mit personenbezogenen Daten neu definiert.

Mobile First, Security Second?

Neben den typischen IT-Risiken wie Schadsoftware, Spam oder Phishing ist in den letzten Jahren die Anzahl der Security-relevanten Vorfälle durch mobile Geräte stark gestiegen. Zentrale Ursachen sind der physische Datenverlust, Diebstahl, das Verlieren des Gerätes oder die missbräuchliche Verwendung von Apps. Die sich ergebenden Herausforderungen an Datenvertraulichkeit, -integrität und -verfügbarkeit werden verstärkt durch dezentrale Strukturen: Fachbereiche beauftragen Apps und Cloud-Services, Anwender sind aus dem privaten Umfeld einen intuitiven Umgang mit Geräten und Daten gewohnt.

Bedingt durch diese Ausgangssituation gepaart mit den sich aus der EU-Datenschutzgrundverordnung ergebenden Anforderungen, wird Mobile Security spätestens ab Frühjahr 2018 zentraler Eckpfeiler der IT Security.

Was ist die EU-DSGVO?

Ziel der EU-DSGVO ist die Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten von EU-Bürgern. Das bedeutet, die Verordnung trifft nicht nur Unternehmen mit Sitz oder Standorten in der EU, sondern alle Unternehmen, die Daten von EU-Bürgern verarbeiten, und hat somit weltweite Auswirkungen auf den Datenschutz. Die sich ergebenden Implikationen müssen durch Unternehmen bis zum 25. Mai 2018 umgesetzt werden.

Was ändert sich?

Im Kern werden die Auskunftsrechte der Betroffenen gestärkt und die Rechenschaftspflichten für Unternehmen ausgeweitet. Damit einher geht eine Pflicht zur Meldung von Datenschutzlecks. Gleichzeitig werden an die neuen Regularien strengere Sanktionen geknüpft. Bei Nichteinhaltung der Implikationen der EU-DSGVO ergeben sich für Unternehmen empfindliche Strafen. So können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden. Verschärfend hinzu kommt, dass der Unternehmensbegriff als wirtschaftliche Einheit definiert wird, weshalb auch bei Verstößen von Unternehmenseinheiten der gesamte Konzernumsatz zugrunde gelegt werden kann.

Bestandsaufnahme

Für die Unternehmens-IT besteht in diesem Zusammenhang Handlungsbedarf. Zunächst sollte der Status Quo erhoben werden, um festzustellen, welche Maßnahmen ergriffen werden müssen. Daraus könnten sich die folgenden Konsequenzen ergeben:

  • Überarbeitung der Privacy Policy
  • Implementierung transparenter Datenschutzrichtlinien
  • Einführung bzw. Überarbeitung der Datenschutzmechanismen
  • Sensibilisierung von Anwendern und Fachbereichen

Datenschutz vs. mobile Prozesse

Gerade im Kontext mobiler Geschäftsprozesse gewinnt die sichere Verarbeitung, Speicherung und der sichere Transfer personenbezogener Daten auf Endgeräten, Apps und in den Daten-Repositories – ob on premise oder in der Cloud – eine besondere Bedeutung. Die Unternehmen stehen vor der Aufgabe eine Balance zu finden zwischen den Möglichkeiten, die die mobile Datenverarbeitung mit sich bringt und den Anforderungen an Compliance, Security und Monitoring ohne die User Experience des mobilen Prozesses zu stark zu beeinträchtigen.

Mobile Device Management

Ein Mobile Device Management-System ermöglicht den sicheren Einsatz von mobilen Endgeräten im Unternehmen und ist zentraler Bestandteil zur Integration der Devices ins Firmennetz. Sicherheitsrisiken, die sich durch mobile Geräte und den Business-Einsatz von Apps ergeben, können einfacher gemanagt werden. Dabei gibt es verschiedene Optionen das Mobile Device Management-System zu konfigurieren. Die finale Konfiguration sollte sich nach der individuell zu definierenden Mobile Strategie jedes Unternehmens richten. Im Mittelpunkt aller Lösungen steht jedoch die Absicherung von Geräten, Daten und Apps:

Geräte

Der Verlust von mobilen Endgeräten ist häufiger als beispielsweise bei Geräten wie Laptops oder Desktop-PCs. Der Einsatz eines Mobile Device Management-Systems ermöglicht die einfache und zentrale Umsetzung von Remote-Aktionen wie Sperrung oder Löschung eines Gerätes.

Daten

Vor allem im Kontext von BYOD und bei gleichzeitiger Nutzung von privaten Daten und Unternehmensdaten auf den Endgeräten muss sichergestellt werden, dass beispielsweise Kontaktdaten nicht in unautorisierte Anwendungen repliziert werden. Hier kann ein App Black-/Whitelisting oder eine Container-Lösung unterstützen.

Durch die Sicherstellung der Trennung von geschäftlichen und privaten Daten ist auch eine Nutzung von bspw. Messenger-Diensten wie WhatsApp möglich. Dies ist besonders relevant bei BYOD-Strategien.

Apps

Öffentliche Apps werden als beliebtes Einfallstor für Schadsoftware genutzt. Durch die Nutzung eines Enterprise App Stores mit zentralem App-Katalog und vorgelagertem App-Freigabeprozess, können Apps auf Legitimität und Sicherheit geprüft werden.

Im Hinblick auf die EU-DSGVO ermöglicht der Einsatz eines Mobile Device Management-Systems die einfache Anwendung der Security Policies auf die gemanagten Geräte. So werden der sichere mobile Zugriff auf Unternehmensdaten gewährleistet und die Daten vor externen Angriffen oder unerwünschten Transfers geschützt. Bei physischem Verlust kann schnell reagiert werden, indem die Geräte gesperrt oder gelöscht werden.

Giannina Vetrano, Marketing

Kontakt

Marcia Bohn
T +49 711 62030 433
marcia.bohn@datagroup.de