Zehn Fragen für eine erfolgreiche Risikobewertung von Enterprise Mobility

Wer über Enterprise Mobility nachdenkt, sollte zunächst eine entsprechende Risikobewertung durchführen. Diese zehn Fragen helfen bei der Bewertung.

Für Unternehmen kann es eine Menge Vorteile mit sich bringen, mobile Arbeitsprozesse zu etablieren. Das Endergebnis könnte jedoch auch katastrophal sein, wenn zuvor keine detaillierte und durchgehende Risikobewertung stattgefunden hat. Zu den durchaus realen Gefahren gehören zum Beispiel der Verlust von geistigem Eigentum an Wettbewerber, digitale Einbrüche ins Netzwerk oder der Befall der Unternehmens-IT mit Malware und Viren.

Diese Risiken lassen sich mithilfe neuer Richtlinien für die Gerätenutzung, entsprechendem Geräte- und Netzwerkmanagement sowie besser ausgebildeten Security-Administratoren und Anwendungsentwicklern zumindest deutlich vermindern oder sogar ganz vermeiden.

Der erste wichtige Schritt ist eine umfassende Risikobewertung, die detailliert erfasst, welche Security-Maßnahmen vorhanden sind. Dadurch zeigt sich, wo riskante Lücken für Daten oder das Netzwerks entstehen könnten. Außerdem beschreibt die Risikobewertung erforderliche Schritte, um eine erfolgreiche und sichere Strategie für die Implementierung mobiler Endgeräte zu gewährleisten.

Die Risikobewertung Ihrer aktuellen IT-Landschaft

Stellen Sie zu Beginn Ihrer Bewertung sicher, dass Ihre aktuellen Daten sowie die Netzwerkarchitektur gut dokumentiert sind. Dadurch können Sie sich ein Bild davon machen, wer auf welche Bereiche Zugriff hat. Folgende kritische Bereiche sind zu berücksichtigen:

  • Welche aktuellen Endpunkte gibt es (Data Center, Server, Desktops und Laptops)?
  • Wie greifen Ihre Mitarbeiter direkt oder indirekt und per Fernzugriff (beispielsweise per VPN oder Virtualisierung) auf das Netzwerk zu?
  • Welche Netzwerkarchitekturen gibt es für Wireless LAN und Wi-Fi, und wer hat Zugang dazu?
  • Welche Technologien regeln die Zugriffskontrolle (beispielsweise LDAP und Active Directory), und wie werden sie verwaltet?
  • Womit sind die einzelnen Netzwerksegmente verbunden, gleichzeitig mit Up- und Down-Stream (Dateiserver, Netzlaufwerke, SharePoint-Instanzen, Intranet/Extranet oder Cloud-Storage)?
  • Wie werden Unternehmensdaten und -inhalte bewertet, und wie nimmt man diese Bewertung vor? Informationen über die Identität von Kunden und Mitarbeitern, geistiges Eigentum, Geschäftsgeheimnisse, Preise, Bestandsdaten und so weiter müssen allesamt mit einem geeigneten „Verlustrisiko“-Wert klassifiziert werden.

Eine mobile Strategie, die BYOD-Szenarien unterstützt (Bring Your Own Device), wird die Anzahl der Geräte und Benutzer, die von außerhalb auf die Unternehmensnetzwerke zugreifen, deutlich erhöhen. Die entfernten Zugriffspunkte unterliegen aber natürlich nicht der Kontrolle des Unternehmens. In der ersten Phase der Risikobewertung muss also identifiziert werden, was potenziell gefährdet ist und welche Auswirkungen ein Datenverlust durch einen digitalen Einbruch hätte.

Höchstwahrscheinlich müssen Ihre IT-Teams und Ihre Security-Spezialisten unternehmensweite Änderungen vornehmen. Betroffen sind hiervon Netzwerktechnologien, Zugriffskontrollen und Regelungen, welche die Nutzung und den Zugang zu gespeicherten Daten auf dem Unternehmensnetzwerk festlegen. Diese Updates sind erforderlich, bevor Sie innerhalb eines BYOD-Programms auf sichere Art und Weise persönliche Geräte hinzufügen können.

Erweitern Sie Ihren Ansatz auf eine mobile Risikobewertung

Sie haben die aktuelle IT-Landschaft ausgekundschaftet und riskante Lücken identifiziert, die beseitigt werden müssen. Jetzt ist es an der Zeit, die Risikobewertung für das geplante BYOD-Programm zu erweitern. Dabei sollten Sie Folgendes beachten:

  • Welche Geräte werden im offiziellen BYOD-Programm erlaubt sein? Es gibt viele Arten von mobilen Geräten und mehrere mögliche Betriebssysteme. Die Betriebssysteme von Microsoft (Windows und Windows Phone) und Apple (iOS und Mac OS) werden von den beiden Unternehmen zentral verwaltet. Im Gegensatz dazu gibt es unterschiedliche Varianten des Android-Betriebssystems von den diversen Geräteherstellern und Mobilfunkbetreibern. Infolgedessen würden Sie wahrscheinlich dem Android-Tablet eines unbekannten Billiganbieters eher ungern den Zugang auf Ihr Netzwerk gewähren.
  • Was ist mit den BYOD-Nutzern selbst und den Aufgabenbereichen dieser Mitarbeiter? Angenommen, Sie gestatten einem freien Mitarbeiter, der auf Stundenbasis arbeitet, den Zugang zu arbeitsrelevanten Netzwerken und Inhalten. Das gilt auch dann, wenn er nicht im Büro ist, sondern während seiner Freizeit. Wie sehen in diesem Fall die rechtlichen Implikationen aus?
  • Welche Daten werden übertragen, von wo und wohin und mit welchen Mitteln? Es ist wichtig herauszufinden, wie gesetzliche Standards wie PCI DSS, Sarbanes-Oxley und HIPAA die Richtlinien eines Unternehmens für die Verschlüsselung, Datenübertragung und Netzwerkzugänge beeinflussen.
  • Welchen lokalen Applikationen auf dem Anwendergerät soll der Zugriff auf Unternehmensdaten und Server erlaubt werden? Intern entwickelte, von Drittanbietern stammende und sogar öffentlich zugängliche Anwendungen können allesamt eingesetzt werden, um die Produktivität der Mitarbeiter zu erhöhen. Doch mit jeder weiteren Anwendung erhöht sich auch das Potenzial für neue Risiken und Schwachstellen.

Es ist wichtig, dass Unternehmen vollständig begreifen, was ein BYOD-Programm mit sich bringt und möglich macht. Erst dann können sie geeignete Technologien aussuchen und implementieren, um die Risiken zu steuern. Mit Hilfe einer MDM-Lösung (Mobile Device Management) können Sie kontrollieren, welche Geräte auf Ihre Systeme Zugriff haben. Außerdem können Sie festlegen, welche Maßnahmen automatisch eingeleitet werden, wenn ein inkompatibles Gerät Zugang zu sensiblen Netzwerken verlangt.

Darüber hinaus stellt die MDM-Lösung sicher, dass die Verschlüsselungsstufen gemäß den regulatorischen Standards vorhanden sind und durchgesetzt werden. Eine MAM-Lösung (Mobile Application Management) erlaubt es Ihnen, parallel dazu festzulegen, welche Anwendungen Zugang haben und welche nicht.

Es erleichtert auch die Übertragung von Anwendungen auf das Gerät, die von dem Unternehmen freigegeben wurden. Ein MCM-Produkt (Mobile Content Management) wiederum hilft zusammen mit MDM und MAM dabei, die Kontrollen und Richtlinien der Firma durchzusetzen. 

Auf diese Weise wird sichergestellt, dass nur genehmigte Daten und Inhalte für mobile Geräte zugänglich sind. Es gibt diverse Hersteller, die Produkte für diese Zwecke anbieten. Einige verkaufen kompakte Paketlösungen, die alle Bereiche und mehr abdecken.

Bei neuen Technologien springen die Vorteile oft auf den ersten Blick ins Auge. Die Nachteile sind dagegen meist weniger schnell ersichtlich. Eine gründliche Risikobewertung für den Einsatz mobiler Endgeräte hilft einem Unternehmen daher, die potenziellen Fallstricke zu erkennen. Weiterhin zeigt sie die erforderlichen Veränderungen und notwendigen Technologien auf, die eine produktive Strategie zur Einbindung mobiler Geräte unterstützen.

Es ist wichtig zu verstehen, dass Mobility eine immer wieder anzupeilende Richtung ist, und keine einmal zu treffende Entscheidung. Die Welt wird zunehmend mobiler, mit oder ohne uns. Daher ist es am besten, das Unvermeidbare willkommen zu heißen und alle geeigneten Schritte einzuleiten, die möglichen Risiken zu mindern.

Über den Autor:
Bryan Barringer ist Experte für Technologie und Geschäftsabläufe. Er hat sich auf die Bereiche Mobility, Benutzerfreundlichkeit, UX/UI-Design, Kunden-Akquise, Produktdesign/Management, Strategie und Unternehmensentwicklung spezialisiert. Bryan begann seine Karriere 1994 bei FedEx. Seine Aufgabe war es zunächst mobile Lösungen für Betriebsabläufe und Verkaufspersonal auszuwerten. Später wurde er Leiter der Service-Abteilung für Mobility und Kollaboration von FedEx. Im Juni 2014 verließ er das Unternehmen. Seitdem arbeitet als unabhängiger Berater für Unternehmensmobilität und als Referent

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Mobile Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close