Dabei muss zunächst der Schutzbedarf für die Geräte und Informationen, die mit dem Gerät gespeichert und übertragen werden, ermittelt werden. Eine pragmatische Risikoanalyse gibt recht schnell Aufschluss darüber, welche Anforderungen an die Sicherheitsmaßnahmen zu stellen sind. Folgende Punkte sollten in einer Richtlinie mindestens geregelt werden:
Welche Voraussetzungen müssen vorliegen, damit ein Smartphone auf Unternehmensressourcen zugreifen darf? Es muss zunächst klargestellt werden, dass Smartphones erst dann zum Einsatz kommen dürfen, wenn sie einem festgelegten Unternehmensstandard entsprechen oder durch die IT-Sicherheits-Administration explizit getestet und freigegeben sind. Außerdem sollte eine sichere Grundkonfiguration definiert werden.
Ist die private Nutzung der Geräte erlaubt, geduldet oder verboten? Hier ist eine Regelung zu treffen, die konsistent mit der Unternehmens-IT-Security-Policy und der Betriebsvereinbarung ist und mit der Rechtsabteilung abgestimmt ist.
Es sind Maßnahmen für die physische Sicherheit – Verlust, Beschädigung oder Diebstahl – der Smartphones zu ergreifen. Hier sind Verhaltensweisen der Nutzer festzulegen sowie eine Notfallroutine, die die Fern-Deaktivierung und den Ersatz der Geräte zügig einleitet.
Welche Netzwerke dürfen mit dem Smartphone genutzt werden und wie erfolgt der Fernzugriff auf das Unternehmensnetz? Für die genutzten Netzwerke ist eine geeignete Verschlüsselung und Geräteauthentisierung zu wählen; beim Fernzugriff auf das Unternehmensnetzwerk kommen gegebenenfalls noch starke Verfahren für die Nutzerauthentisierung und Network Access Control (NAC) hinzu.
Wie müssen die Daten auf dem Gerät und die Sprach- oder Daten-Kommunikation vor unautorisiertem Zugriff geschützt werden? Hier geht es in der Regel um Firewalls, Verschlüsselungskonzepte und die Authentisierung von Nutzern und Kommunikationspartnern, die bei hohen Sicherheitsanforderungen zertifikatsbasiert auszulegen ist.
Welche Maßnahmen gegen bösartigen Code und ähnliche Bedrohungen sind notwendig? Unter Umständen reichen Maßnahmen am Mail-Gateway oder beim Mobilfunknetzbetreiber aus – je mehr Ports und Luftschnittstellen am Gerät offen sind und je höher der Schutzbedarf ist, desto eher muss über Virenschutz am Client nachgedacht werden. Dies hängt allerdings vom einzelnen Smartphone-Betriebssystem ab, da dort zum Teil ein Basisschutz durch Sandbox-Ansätze hergestellt wird.
Wie werden Daten auf dem Gerät gesichert und wiederhergestellt? Grundsätzlich wird zwischen Datensynchronisation und Online-Zugriff auf Unternehmensdaten und -anwendungen unterschieden. Für die Synchronisation müssen die Backup-Intervalle definiert werden.
Wie werden die verschiedenen Sicherheitsfunktionalitäten zentral verwaltet und die Systeme überwacht? Hier geht es zum Teil um Aspekte des Sicherheits- und Notfallmanagements, aber auch um eine kosteneffiziente und wirksame Administration. Ohne zentrales Management sind die Konfiguration und die auf dem einzelnen Smartphone genutzten Dienste kaum mehr steuerbar.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.