MobiVisor-Blogreihe: Datenschutz mit MDM – mobile Geräte rundum absichern

Die Einführung der DSGVO stellt gerade für KMU eine Herausforderung dar, denn oftmals sind die finanziellen und personellen Ressourcen für die Umsetzung der umfangreichen Anforderungen begrenzt. In unserem Artikel beleuchten wir daher, wie Sie durch den Einsatz eines MDMs bereits wichtige Schritte hin zu mehr Datenschutz im Unternehmen tätigen können.

 

Was hat ein MDM mit Datenschutz zu tun?

In der DSGVO wird klar geregelt, wie der Umgang mit personenbezogenen Daten zu erfolgen hat. Dies gilt zum einen natürlich für Kund*innendaten und zum anderen für die Daten der Mitarbeiter*innen. Da mittlerweile für die Arbeit auch immer mehr mobile Geräte wie Tablets oder Handys zum Einsatz kommen, muss sichergestellt werden, dass auch diese aufgrund ihrer Verbindung zum Unternehmensnetzwerk ausreichend abgesichert werden. Dieses sogenannte Endpoint Management stellt einen wichtigen Faktor bei der Implementierung der DSGVO-Richtlinien im Unternehmen dar. Um mobile Geräte DSGVO-gerecht abzusichern, sollte ein MDM eingesetzt werden.

In Bezug auf mobile Geräte in Unternehmen sind folgende Punkte der DSGVO besonders relevant:

  • Der Zweck aus dem Daten gesammelt werden, muss klar sein
  • Informationen zur Datenverarbeitung müssen transparent, zugänglich und leicht verständlich bereitgestellt werden
  • Nutzer*innen müssen informiert werden, wie lange die Daten gespeichert werden
  • Jede*r kann verlangen, dass Daten gelöscht werden
  • Alle Menschen können auf die sie betreffenden Daten zugreifen und auch deren Richtigstellung verlangen
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Grundsätzlich sind Unternehmen also viel stärker in der Pflicht, alle personenbezogenen Daten zu schützen. Bezüglich mobiler IT bedeutet dies also, dass folgendes sichergestellt werden muss:

  • Unbefugte außerhalb des Unternehmens haben keinen Zugriff auf personenbezogene Daten
  • Mitarbeitende haben keinen Zugriff auf personenbezogene Daten außer ihren eigenen
  • Datenlecks müssen verhindert werden
  • Daten müssen schnell gelöscht werden können, sie dürfen nach der Löschung nicht wieder herstellbar sein
  • Software und Apps die im Unternehmen genutzt werden, dürfen nur die Daten erheben und speichern, die wirklich relevant sein

Wie setzen Sie Datenschutz mit einem MDM um?

Für mobile Geräte können die oben genannten Datenschutzanforderungen mithilfe eines Mobile Device Managements umgesetzt werden. Dazu verfügt jedes MDM über bestimmte Sicherheitsrichtlinien, die auf die Geräte angewendet werden können. Im folgenden Abschnitt beleuchten wir die oben genannten Punkte genauer und erklären, was zu tun ist.

 

Kein Zugriff für Unbefugte

Ein besonders wichtiger Punkt in Bezug auf den Datenschutz von personenbezogenen Daten ist die Verhinderung des Zugriffs durch Unbefugte. Dies schließt alle Außenstehenden Parteien mit ein, wie Konkurrenzunternehmen, Hacker, Freunde oder Familie der Mitarbeitenden uvm. Für diese unterschiedlichen Gruppen muss klar sein, wie deren Zugriff verhindert wird, wobei sich die Maßnahmen durchaus unterscheiden können. 

Für den Datenschutz per MDM bieten sich hierfür insbesondere folgende Funktionen an:

  • Definition einer Liste von Passwort und Firewall geschützten WLAN-Verbindungen die verwendet werden dürfen
  • Werden Geräte hauptsächlich für die Arbeit eingesetzt, sollten sie als Arbeitsgeräte eingerichtet werden. Dafür müssen die Geräte einmal zurückgesetzt und während der Einrichtung “Nur für die Arbeit verwenden” ausgewählt werden. Ein vollständiges Tutorial dazu finden Sie hier. Dadurch erhält das Unternehmen die umfassendsten Zugriffsrechte und kann mehr und strengere Sicherheitsrichtlinien implementieren.
  • Vorgabe einer Passwortrichtlinie mit hoher Komplexität, sodass Nutzer*innen ein Passwort vergeben müssen, bevor sie das Gerät vollends nutzen können. So wird verhindert, dass die Passwortvergabe aus Bequemlichkeit übergangen wird und fremde Personen das Gerät ohne Hürde nutzen können.
  • Im Verlustfall, oder wenn das Gerät gestohlen wird, muss sichergestellt werden, dass Daten nicht entwendet werden können. Dafür wird bei Android Geräten eine Funktion namens “Lost Modus” angewendet. Diese sperrt das Gerät temporär und verhindert, dass die Inhalte des Gerätes genutzt werden können.
  • Die Anwendung von Datenschutzrichtlinien für Android und iOS Geräte, stellt eine DSGVO-konforme Absicherung bereits sicher. Durch diese Richtlinien werden Funktionen, die die Datensicherheit beeinträchtigen können, bereits deaktiviert, wie z.B. das USB-Debugging oder Social Media Apps

Zugriffe innerhalb des Unternehmens verwalten

Auch innerhalb des Unternehmens kann es zu Verletzungen des Datenschutzes kommen, zum Beispiel wenn Mitarbeitende Zugriff auf sensible Daten von Klient*innen, Kund*innen oder Patient*innen haben, mit denen sie nichts zu tun haben. Ein weiteres Beispiel ist die unzureichende Absicherung von Unternehmensdokumenten, sodass diese beliebig kopiert werden könnten. Alles in allem steht das Rollen-und Vergabemanagement im Fokus des unternehmensinternen Datenschutzes. 

Im Zuge des Zugriffs Managements des Unternehmens können folgende MDM Funktionen angewendet werden:

  • Je nach Berechtigungen und Tätigkeit bzw. Rolle im Unternehmen sollten die Mitarbeitenden in Gruppen innerhalb des MDMs eingeteilt werden. Zu diesen Gruppen können unterschiedliche Apps hinzugefügt werden, je nach Bedarf der Gruppe. Des Weiteren können verschiedene Sicherheitsrichtlinien und Berechtigungen vergeben werden. Zusätzlich können Apps auch konfiguriert werden, sodass bestimmte Aktionen mit diesen nicht mehr möglich sind, z.B. Screenshots erstellen.
  • Eine weitere Möglichkeit Zugänge zu beschränken ist der KIOSK Modus: Hierbei werden Einstellungen und auf Wunsch auch die Benachrichtigungsleiste ausgeblendet. Auf dem Bildschirm des Gerätes erscheint nur ein ausgewählter App-Katalog. Damit wird die Bedienung verschlankt und somit weniger fehleranfällig.

Datenlecks verhindern

Zu Verletzungen des Datenschutzes gehören auch Datenlecks, bei denen Daten des Unternehmens ungewollt in Umlauf geraten. Dies kann schnell passieren, wenn Mitarbeitende die mobilen Geräte neben der Arbeit auch für private Zwecke nutzen dürfen. Für Unternehmen, die mit vielen personenbezogenen Daten arbeiten, bietet sich diese Doppelnutzung daher nicht an. Auch hier kann der Datenschutz mit einem MDM unterstützt werden:

  • Schon durch die Art, wie die Geräte eingerichtet werden, kann ein erhöhter Datenschutz gewährleistet werden. So können Android Geräte mit zwei Profilen eingerichtet werden: Eines enthält alle Arbeitsapps, das zweite enthält alle persönlichen Apps. Auf dem Arbeitsprofil befinden sich nur arbeitsrelevante Apps. Diese Seite kann vom Unternehmen vollständig verwaltet werden.
  • Empfehlenswert ist es ebenfalls, den App Store und den Google Play Store so zu konfigurieren, dass nur Apps gelassen werden, die vom Unternehmen genehmigt wurden. Damit verhindern sie, dass Apps heruntergeladen werden, die evtl. Nicht den DSGVO Vorschriften entsprechen.
  • Für die Absicherung der mobilen IT ist es sinnvoll, einen sicheren E-Mail Provider zu wählen. Zusätzlich kann mithilfe des MDMs festgelegt werden, dass nur Unternehmensaccounts auf dem mobilen Gerät verwendet werden dürfen. So kann ausgeschlossen werden, dass über private Accounts z.B. Phishing-Mails oder Malware auf die Geräte gelangen.

Vollständige, sichere Löschung der Daten

Werden mobile Geräte nicht mehr genutzt, müssen sie sachgerecht außer Dienst genommen werden. Das beinhaltet zum einen die fachgerechte Sicherung der Daten, das Zurücksetzen des Gerätes, sowie evtl. die Rückgabe an den Hardware-Anbieter. Folgende MDM Funktionen können dies unterstützen:

  • Sollte das Gerät nicht mehr zur Verfügung stehen, muss es trotzdem möglich sein, dieses zu löschen. Dafür kann das Gerät aus der Ferne durch den IT Admin vollständig zurückgesetzt werden.

Datenerhebung von Apps und Software beschränken

Eine immer wiederkehrende Sorge von Unternehmen ist, dass Apps im Hintergrund auf personenbezogene Daten zugreifen können und diese ggf. ins Ausland weitergeleitet werden. Im Unternehmenskontext sollte also darauf geachtet werden, dass Apps den DSGVO-Richtlinien entsprechen. Auch sollten am besten Apps genutzt werden, deren Hosting-Server in der EU stehen. In Nicht-EU Staaten gilt oftmals ein anderer Umgang mit personenbezogenen Daten und nicht selten werden diese, auch ohne vorherige Zustimmung, an Dritte – sei es die Regierung oder Shopping-Anbieter – weitergegeben. Um den Umgang mit Apps zu verwalten können folgende MDM Funktionen genutzt werden:

  • Um zu verhindern, dass bestimmte Apps genutzt werden , können sie auf eine Blacklist gesetzt werden. Dadurch können sie weder heruntergeladen, noch geöffnet werden. Alle anderen Apps dürfen jedoch, sofern keine anderen Einschränkungen vorliegen, genutzt werden. Das setzt allerdings voraus, dass die Liste der verbotenen Apps immer wieder aktualisiert werden muss. Eine umfassendere Lösung bietet die Whitelist: Hier wird nur das erlaubt, was auf der Whitelist steht – alles andere wird automatisch blockiert.
  • Wie oben schon erwähnt, sollten Sie immer Apps präferieren, den datenschutzrechtlichen Standards genügen. Dazu gehört auch, dass klar angegeben wird, welche Daten erhoben werden und wozu die App diese benötigt. Es sollte zudem Auskunft darüber geben, wo die Daten gespeichert werden und wer im Falle einer Löschung der Daten kontaktiert werden muss.
  • Um richtig funktionieren zu können, benötigen Apps Zugriff auf bestimmte Teile des Telefons, wie zum Beispiel den Standort, Fotos, Kontakte usw. Es sollte dabei jedoch immer beachtet werden, dass auch wenn eine App nach bestimmten Berechtigungen fragt, sie diese unter Umständen gar nicht benötigt. Daher sollte über das MDM festgelegt werden, worauf die Apps Zugriff haben. Android bietet die Möglichkeit, die Berechtigungen (Permissions) diese manuell per MDM zu konfigurieren.

Fazit

Um die DSGVO und die damit verbundenen Datenschutzanforderungen zu erfüllen, müssen Unternehmen verstärkt darauf achten, wie und in welchem Umfang sie ihre mobile IT einsetzen. Neben der reinen Absicherung der Geräte müssen auch Zugangsberechtigungen und der Umgang mit Apps bedacht werden. Mithilfe eines MDMs können aber bereits viele datenschutzrelevante Einstellungen bereits vorgenommen werden.

In Ihrem Unternehmen fehlt es bislang an geeigneten Lösungen für die Verwaltung und Absicherung mobiler Geräte? Lernen Sie unsere Services kennen und kontaktieren Sie uns unverbindlich.

Mehr erfahren
Linkedin Youtube Instagram

Copyright: © 2020 IOTIQ

Kontakt