Tipps zur Erstellung einer effizienten Sicherheits-Policy für mobile Endgeräte

Wer im Unternehmen mobile Endgeräte zulässt, der muss auch für die Sicherheit sorgen. Diese Tipps helfen bei der Erstellung entsprechender Policies.

Viele große Unternehmen verstehen, dass eine Absicherung mobiler Daten enorm wichtig ist. Allerdings sind diese Unternehmen oft ratlos, wenn es um das Management all der verschiedenen mobilen Endgeräte geht, die auf Unternehmensdaten zugreifen. Sicherheitsrichtlinien für mobile Endgeräte sind der erste Schritt, um die Kontrolle über diese Betriebsmittel wiederzuerlangen.

Wie gehen Sie aber an die Sache heran, effiziente Sicherheitsrichtlinien für Ihre mobilen Firmengeräte zu entwickeln? Sehen wir uns zunächst an, an welcher Stelle Sie am besten beginnen. Im Anschluss beschäftigen wir uns mit der Frage, was Security-Richtlinien eigentlich enthalten sollen und welche Fehler es zu vermeiden gilt.

Security-Richtlinien für Smartphones und Tablets: Der Einstieg

Wie bei allen Sicherheitsrichtlinien gilt auch hier, dass Sie die Business-Ziele, die Bedrohungen und Risiken sowie deren Auswirkungen und Effekte genau kennen und verstehen sollten. Finden Sie dann zunächst heraus, auf wie vielen mobilen Geräten sich Geschäftsdaten befinden. 

Inventarisieren Sie die Unternehmensdaten, die auf diesen Geräten gespeichert sind. Klassifizieren Sie diese nach Ursprung, Anwendung und Sensibilität. Die Policy muss das Unternehmen und die Geschäftsziele unterstützen und daher wissen, wie die entsprechenden Geräte zu behandeln sind.

Im Anschluss daran identifizieren Sie potenzielle Bedrohungen Ihrer mobil zugänglichen Daten. Schätzen Sie ein, wie realistisch die jeweilige Gefahr ist und welchen Einfluss das auf Ihren Geschäftsablauf hat. In den meisten Fällen dürften etwa viele Unternehmensdaten abhandenkommen, wenn ein unverschlüsseltes Gerät verloren geht. 

Viele Firmen stufen diese Bedrohung als hohes Risiko mit weitreichenden Konsequenzen ein. Vielleicht ist auch ein mobiler Trojaner für das Stehlen der Daten verantwortlich. Das würde ein ähnlich dramatisches Security-Ereignis nach sich ziehen, auch wenn man das Risiko in der Regel als geringer einstuft.

Damit Sie sich auf die Bedrohungen mit den größten Risiken und den weitreichendsten Konsequenzen konzentrieren können, zeichnen Sie am besten ein Raster. Dieses zeigt das Risikoniveau Ihrer mobil zugänglichen Daten und stellt die potenziellen Auswirkungen eines Datenverlustes in Relation dar.

Danach sollten Sie sich um mögliche Kontrolloptionen für jede Bedrohung kümmern, deren Risiken Sie kompensieren wollen. In Fällen, in denen das Restrisiko akzeptabel ist, könnte Ihre Richtlinie mobilen Datenzugriff mithilfe spezieller Kontrollen erlauben. Sie müssen sich dennoch Gedanken darüber machen, wie man diese Richtlinien überwacht und auch durchsetzt. Diese Entscheidungen bilden die Grundstruktur Ihrer Security-Policies für mobile Unternehmensgeräte.

Security-Richtlinie für mobile Geräte: Die Policy zu Papier bringen

Haben Sie sich für eine Richtung Ihrer Security-Policy für mobile Endgeräte entschlossen, geht es an die Dokumentation dieser Entscheidungen. Sie sollte klar und knapp sowie einfach auszurollen und zu implementieren sein. Das klingt wahrscheinlich nach gesundem Menschenverstand, in vielen Unternehmen stehen sich Richtlinien aber oft selbst im Weg, weil eines dieser Elemente fehlt.

Es gibt kein magisches Universalkonzept oder eine Policy-Vorlage, die einen Erfolg garantiert. Effiziente Richtlinien enthalten in der Regel allerdings einige gemeinsame Elemente:

  • Zweck: Jede Richtlinie wird die Geschäftsziele nur schwer adressieren können, wenn der Zweck der Richtlinie nicht klar kommuniziert wird. Erklären Sie deswegen kurz, warum die Sicherheit mobiler Endgeräte überhaupt wichtig ist. Das können zum Beispiel gesetzliche Vorgaben sein, Compliance-Gründe, Kostensenkungen oder ganz simpel der Schutz von Kundendaten. Erläutern Sie außerdem, wie die Richtlinie hilft, diese Ziele zu erfüllen.
  • Umfang: Bestimmten Sie die mobilen Geräte, für die Ihre Policy gelten soll. Entsprechend sollen Sie auch festlegen, für welche Geräte sie nicht gilt. Weisen Sie darauf hin, ob sich die Richtlinie auf Geräte bezieht, für die der Mitarbeiter oder das Unternehmen verantwortlich ist und listen Sie relevanten Gerätetypen auf. Das können Telefone, Smartphones, Tablets, eReader, Netbooks und so weiter sein.
  • Angemessene Benutzung: Beschreiben Sie die Regeln, die für den Zugriff oder das Speichern von Geschäftsdaten auf mobilen Geräten gelten. Müssen Mitarbeiter zum Beispiel explizit dem Monitoring, Management oder dem Remote-Löschen zustimmen? Welche Daten gehören dem Mitarbeiter? Welche Nutzungsrechte werden dem mobilen Anwender gewährt, die sich mit der Richtlinie in Einklang bringen lassen?
  • Richtlinien: Listen Sie die Schutzanforderungen hinsichtlich der mobilen Geräte inklusive mobiler Daten auf. Dazu gehören auch zwingend erforderliche und empfohlene Kontrollmechanismen. Spezifizieren Sie zum Beispiel die PIN- und Passwortvorgaben. Dazu gehören minimale Länge, Komplexität, Update-Häufigkeit und das Zeitlimit für Inaktivität. Legen Sie akzeptable Verschlüsselungsmethoden fest. Das gilt sowohl für Datenübertragungen als auch für gespeicherte Daten, sowie für den Umfang der Daten, auf die das zutrifft.
  • Durchsetzung: Beschreiben Sie, wie Sie als Arbeitgeber die Nutzung und Einstellung mobiler Geräte überwachen. Das gilt auch für die Methoden, mit denen Sie die Policy-Compliance durchsetzen. Fassen Sie zum Beispiel zusammen, unter welchen Umständen es zu einem Remote-Löschen kommt oder der Zugriff auf mobile Daten verhindert wird. In diesen Bereich gehören auch rechtliche und personelle Konsequenzen.
  • Verantwortung: Weisen Sie auf Aufgaben hin, an die sich Arbeitgeber und Arbeitnehmer halten müssen, um mobil zugängliche Daten zu schützen. Wer ist zum Beispiel für Backup und Wiederherstellung verantwortlich? Welche Maßnahmen muss der Mitarbeiter ergreifen? Dazu gehören zum Beispiel die Deaktivierung von Dateisynchronisationen oder das Abgeben eines ausgedienten Geräts, um die Daten komplett löschen zu können.
  • Definitionen: Gehen Sie nicht davon aus, dass die Anwender Security- oder Mobility-Fachbegriffe verstehen. Richtlinien enthalten oft technische Begriffe, daher sollten Sie definieren, was das im jeweiligen Zusammenhang bedeutet.

Security-Richtlinien für mobile Geräte: Stolperfallen vermeiden

Natürlich gibt es bei der Erstellung von Sicherheits-Policies für mobile Endgeräte auch viele Fehlerquellen. Als einer der häufigsten Fehler wird nur zu oft eine zu lange Richtlinie mit zu vielen Fachwörtern erstellt, die keiner außer den Autoren versteht. Enthält die Policy allerdings nur ein paar wenige und zu einfache Regeln, ist das genauso schlecht. Sind die Richtlinien unpraktisch oder unmöglich zu implementieren, ist das sogar kontraproduktiv.

Um die besten Resultate zu erhalten, involvieren Sie von Beginn an Interessengruppen, um die Richtlinien gemeinsam zu definieren. Dazu gehören Endanwender, Geräteadministratoren, Datenverantwortliche, Security-Mitarbeiter sowie die Personal- und Rechtsabteilung. 

Gehen Sie nicht davon aus, dass Sie wissen, welche Daten man absichern muss. Inventarisieren Sie repräsentative Geräte und klassifizieren Sie die dort enthaltenen Daten. Das gilt auch für Geräte, die den Mitarbeitern gehören (BYOD). Fokussieren Sie sich bei der Entwicklung darauf, die Geschäftsziele zu erfüllen. Lassen Sie sich nicht von persönlichen Daten ablenken. Das trifft auch auf Daten zu, die wenig bis gar kein Risiko für das Unternehmen bedeuten.

Bei der Risikobewertung sollten Sie bedenken, dass Risiko-Toleranzen stark variieren können, oft sogar innerhalb eines Unternehmens. Weisen Sie einer Arbeitsgruppe gewisse Rollen zu, kann das helfen, differenzierte Richtlinien für unterschiedliche Anwender zu erstellen. 

Gleichzeitig schwächen Sie Ihre Security-Policy dadurch nicht durch zu viele Ausnahmen. Gehen Sie weiterhin nicht davon aus, dass sich Gegenmaßnahmen ganz allgemein auf alle mobilen Geräte anwenden lassen. Untersuchen Sie daher auf jeden Fall, welche Kontrollen sich praktisch und effizient auf alle großen mobilen Gerätetypen oder Betriebssysteme anwenden lassen. Spezifizieren Sie außerdem Standardentscheidungen für untypische Geräte.

Am Schluss sollten Sie Ihren Entwurf der Sicherheitsrichtlinie noch testen. Fangen Sie mit einer kleinen, aber repräsentativen Gruppe an Anwendern und mobilen Geräten an. Nutzen Sie das Pilotprojekt nicht nur, um Sprache, Regeln und Kontrollmaßnahmen in der Richtlinie zu verbessern. 

Entwickeln Sie außerdem Prozesse, um die Anwender zu schulen, Geräte zu aktivieren, für den technischen Support und Nachbesserung bei nicht-konformen Geräten. Im Endeffekt ist eine Security-Richtlinie nicht deswegen effizient, weil etwas auf dem Papier steht. Es geht vielmehr darum, wie sich diese Entscheidungen durchsetzen lassen.

Über den Autor:
Lisa A. Phifer ist Vice President von Core Competence Inc. Sie beschäftigt sich seit mehr als 20 Jahren mit Design, Implementierung und Bewertung von Produkten für Datenkommunikation, Internet-Networking sowie für Sicherheit und Netzwerkverwaltung. Bei Fragen zu Sicherheit, Produktbewertung und dem Einsatz neuer Technologien sowie Best Practices hören große wie kleine Unternehmen auf ihren Rat.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close