IT-Security

Sicherheit vs. Social Media: Der richtige Umgang mit Smartphones und Tablets in Unternehmen

04.02.2014 - Smartphones und Tablets sind aus dem privaten Umfeld kaum noch wegzudenken. Das Bedürfnis, die eigenen Geräte auch bei der Arbeit einzusetzen, wächst. Die Vorteile liegen auf der H...

Smartphones und Tablets sind aus dem privaten Umfeld kaum noch wegzudenken. Das Bedürfnis, die eigenen Geräte auch bei der Arbeit einzusetzen, wächst. Die Vorteile liegen auf der Hand: Die schnelle und einfache Vernetzbarkeit und Datenverfüg­barkeit über unterschiedliche Dienste und die damit verbundene Effizienzsteigerung, sind nur zwei von vielen Gründen, die für einen Einsatz dieser Geräte und Dienste im Businessumfeld sprechen. Was bedeutet das für die IT-Sicherheit im Unternehmen? Ein Beitrag von Alexandra Weiß von der IT-Fachstelle bei Hekatron.

Viele Mitarbeiter wünschen sich, ihre privaten Smartphones und Tablets auch im Rahmen ihres Jobs zu verwenden und in den Unternehmenskontext einzubinden. Die Unternehmen selbst - und vor allem die für die IT-Sicherheitsverantwortlichen stellt das durchaus vor Herausforderungen. Es geht um Datenschutz und Daten­sicherheit.

Zugriff auf Kontaktdaten
Es gibt beispielsweise Anwendungen und Dienste (Apps) die im Hintergrund Kontaktdaten sammeln und diese an den Hersteller der jeweiligen App übermitteln. Das bekannteste Beispiel ist sicherlich „whatsapp". Whatsapp benötigt den Zugriff auf die Kontaktdaten auf dem Gerät - nur so kann die App ihre Grundfunktionalität erfüllen, nämlich dem „Socialmedia-Networking" gerecht zu werden.

Schon für den Privatbereich ist das nicht ganz unbedenklich: Schließlich werden sämtliche Kontakte, Namen, Telefonnummern usw. beim Hersteller von Whatsapp gesammelt und gespeichert. Für den geschäftlichen Anwendungsfall ist es allerdings datenschutzrechtlich besonders kritisch einzustufen, dass eine App auf sämtliche Kontakte der geschäftlichen Adressbücher zugreift und diese mit oft unbekanntem Ziel über nicht gesicherte Internetwege beim Hersteller landen.

Bring your own device?
Eine weitere Herausforderung, der sich die Verantwortlichen im Unternehmen im Zusammenhang mit dem Einsatz von Tablet- und Smartphones stellen müssen, ist auch eine Entscheidung zu dem in den Fachmedien häufig diskutierten Ansatz „Bring your own Device". Darunter wird verstanden, dass das private Endgerät der Mitarbeiter in die IT-Struktur des Unternehmens eingebunden ist. So kann der Mitarbeiter mit seinem gewohnten Gerät auf seine geschäftlichen Daten zugreifen.

Hierzu gibt es sehr kontroverse Meinungen in der Presse und bei den Sicherheitsverantwortlichen der Unternehmen. Neben Innovation, Mitarbeiterzufriedenheit und Senkung der IT-Kosten wird immer wieder das Sicherheitsrisiko thematisiert, welches das Einbinden von privaten Geräten in die Unternehmens-Infrastruktur mit sich bringt.

So können beispielsweise Angriffe auf die Unternehmens-Infrastruktur sowie das Einschleusen von Viren oder Trojanern erleichtert werden. Das liegt daran, dass die notwendigen IT-Sicherheitsmaßnahmen aus Datenschutzgründen nicht umfänglich auf privaten Geräten eingesetzt werden können.

Tablets im Vertrieb
Auch Hekatron hat sich vor einiger Zeit für den Einsatz von Tablet-Geräten für die Vertriebsarbeit entscheiden. Während der Erarbeitung einer zu Hekatron und seiner Unternehmenskultur passenden Strategie für den Einsatz von Tablets wurden auch die Themen IT-Sicherheit, Datenschutz- und Datensicherheit intensiv diskutiert.

Eingeführt wurden die Tablets bei Hekatron mit der Strategie, so viel Freiheit für den Anwender wie möglich zu gewähren - ohne die Vorgaben aus den Sicherheitspolicies des Unternehmens zu verletzen. Hekatron stellt seinen Mitarbeitern die Geräte als Firmenequipment mit dem Zugriff auf geschäftliche Daten zur Verfügung. So behält sich das Unternehmen das Recht vor, über die Art und Ausführung der Sicherheitspolicies zu entscheiden.

Private Nutzung erlaubt - mit Einschränkungen
Um aber auch die Attraktivität der Geräte für die Mitarbeiter aufrecht zu erhalten, ist es erlaubt, in einem geregelten Umfang die Geräte auch privat zu nutzen. So dürfen private Postfächer eingebunden werden oder Filme und Musik aus dem App-Store auf die Geräte geladen werden. Nutzungseinschränkungen aus Sicherheitsgründen gibt es aber für die Installation von Apps mit Clouddiensten. Diese stehen auf einer von Hekatron gepflegten „Blacklist" und dürfen von den Mitarbeitern nicht installiert werden. Da, wie im Beispiel von Whatsapp beschrieben, das Risiko von Datenübertragung der geschäftlichen Daten an Dritte hoch ist.

Das Ziel, die Freiheit der Anwender im Einsatz der Tablets nicht zu sehr einzuschränken und trotzdem die Sichheitspolicies nicht zu verletzten, ist bei Hekatron mit diesem Ansatz gut gelungen: Das zeigt sich am positiven Feedback der Mitarbeitern und an zufriedenen IT-Sicherheitsverantwortlichen.