Beste Mobil-Sicherheitsrichtlinie bei Diebstahl oder Verlust

Warum ist eine mobile Sicherheitsrichtlinie für gestohlene oder verlorene Geräte so wichtig?

Der erste Schritt für die Entwicklung eines angemessenen Reaktionsverfahrens für ein verlorenes oder gestohlenes Unternehmens-Smartphone ist: Sie müssen sich im Klaren sein, was auf dem Spiel steht. Auf vielen modernen Firmen-Smartphones und manchmal auch -Tablets sind Unmengen an Informationen gespeichert. Deswegen muss die IT-Abteilung verlorene oder gestohlene Geräte als echte Bedrohungen betrachten.

Die IT-Abteilung muss sämtliche mobilen Geräte mit allen möglichen Schutzmaßnahmen, Passwortanforderungen und Verschlüsselungen ausstatten. Gibt es solche Richtlinien für Unternehmensgeräte und BYOD nicht, könnte ein Smartphone in den falschen Händen katastrophale Folgen haben.

Ohne angemessenen Schutz bietet ein verlorenes oder gestohlenes Mobilgerät Zugriff auf Bereiche wie:

• E-Mail-Konten des Unternehmens
• Dateien, die lokal und in der Cloud gespeichert sind
• Multifaktor-Authentifizierungskontrollen
• Verlauf des Webbrowsers
• Gespeicherte Passwörter

Was kann die IT tun, um den Schaden durch verlorene oder gestohlene Unternehmens-Smartphones einzudämmen?

Die IT-Abteilung sollte nach Möglichkeit Mobile Device Management (MDM) oder Enterprise Mobility Management (EMM) einsetzen. Mit diesen Tools ist der Zwang nachfolgender Sicherheitskontrollen ratsam:

• PINs und Passwörter sollten mindestens fünf Zeichen haben.
• Nach fünf oder mehr erfolglosen Versuchen das Gerät zu entsperren, sollte es sich automatisch sperren.
• Tracking des mobilen Geräts.
• Im Falle eines Diebstahls können Sie das Gerät aus der Entfernung löschen (Remote Wipe).

Solche Kontrollmechanismen finden Sie in vielen EMM- und MDM-Tools. Damit sind zum Beispiel Next-Gen Access Tool von Idaptive, IBMs MaaS360, VMware AirWatch und viele andere gemeint.

Die IT-Abteilung kann den Schaden eines verlorenen Firmen-Smartphones auch reduzieren, wenn Anwender die mobile Sicherheitsrichtlinie und die dazugehörigen Best Practices kennen und einhalten. Die Mitarbeiter müssen im Falle eines Verlusts oder Diebstahls genau wissen, welche Schritte sie durchführen müssen. Ein verlorenes Gerät muss sofort gemeldet werden. Zusätzlich versuchen Sie gleich, es zu lokalisieren. Die IT-Administratoren stellen möglicherweise eine Liste oder eine Anleitung zur Verfügung, in der die notwendigen Schritte dokumentiert sind. Allerdings müssen die Maßnahmen auch an die Nutzer kommuniziert werden.

Schlussendlich muss die IT-Abteilung existierende Kontrollmechanismen und Prozesse für verlorene Mobilgeräte untersuchen. IT-Administratoren können die Richtlinien einmal pro Jahr testen. Dafür eignen sich Umfragen oder auch Einzelgespräche. Möglicherweise lassen sie sich weiterhin in laufende Schwachstellen- und Penetrationstests sowie Maßnahmen und Reaktionen bei Vorfällen integrieren.

Die meisten Unternehmen verwenden mindestens Office 365, aber MDM- und EMM-Kontrollmechanismen eignen sich hervorragend für Sicherheitsrichtlinien von mobilen Geräten, weil sie robuster sind. Haben Sie solche Plattformen im Einsatz, muss die IT-Abteilung mit dem Management im Bereich Logistik zusammenarbeiten. Damit sind interne Richtlinien, externe Verträge und Compliance-Anforderungen gemeint. Die IT-Abteilung sollte der Unternehmensführung die Bedeutung von verlorenen Geräten darlegen. Damit überzeugen Sie die Geschäftsführung, dass sie angemessene Ressourcen zur Verfügung stellt.