Wo liegen denn also die sicherheitskritischen Herausforderungen:
Sicherheitsphilosophie:
- Warum werden Smartphones und Co. eigentlich schwächer verwaltet als jeder beliebige Laptop oder Desktop-PC im Unternehmen? Der Ansatz dem User die Sicherheit seiner Kommunikation zu überlassen, hat letztendlich dazu geführt, dass es so einfach möglich war das Handy von Angela Merkel auszuspähen. Warum werden nicht die gleichen Sicherheitsmaßstäbe an den Umgang mit mobilen Endgeräten angelegt, wie an die sonstige IT im Unternehmen? Kein Unternehmen überlässt es irgendeinen Mitarbeiter für die Sicherheit auf seinem PC zu sorgen. Wenn man tatsächlich ein größtmögliches Maß an Sicherheit haben will, kann die IT-Sicherheit nicht mehr dem Benutzer allein überlassen werden. Letztendlich lautet die Frage: welches Maß an Verantwortung für die Sicherheit der mobilen Geräte ist das Unternehmen bereit zu übernehmen und welchen Anteil hat der Benutzer daran zu tragen?
Management:
- Es ist nicht erstaunlich und es ist wahr, dass Führungskräfte für die Mehrzahl der sicherheitsrelevanten Zwischenfälle verantwortlich sind. Erstaunlich aber ist, dass kein leitender Angestellter in sein Auto ohne Sicherheitsgurt, Airbag, ABS & Co. einsteigt, aber sich über minimale sicherheitskritische Anforderungen hinwegsetzt und trotzdem noch ein Maximum an Verfügbarkeit von Informationen verlangt. Hier muss sich etwas ändern und zwar im Kopf. Die veränderte Sicherheitssituation ist zu akzeptieren. Das Management muss sein Denken und Verhalten und das Verhalten seines Unternehmens gegenüber der mobilen Kommunikation ändern.
IT-Governance:
- Es ist mit Sicherheit hip und es hebt den Status, das neueste und schönste Smartphone zu besitzen. Klar ist, dass bei meinem eigenen Smartphone, die private Nutzung im Vordergrund steht, also auch die Nutzung von mir installierter Apps und Dienste. Die Frage ist dann nur, ordnet sich mein Gerät dann noch der Unternehmensstrategie unter? Es liegt hier in der Verantwortung des Managements sicherzustellen, dass alle mobilen Endgeräte, die für das Unternehmen genutzt werden, sich in die Unternehmensstrategie einfügen. Dazu gehört beispielsweise auch, dass der Einsatz von privaten Smartphones im Unternehmen eindeutig geregelt sein sollte. Umgekehrt sollte auch die private Nutzung von dienstlichen Smartphones geregelt sein. Also, Aufgabe des Management ist es auf Basis gesetzlichen Vorschriften Grundsätze, Verfahren und Maßnahmen festzulegen, die sicherstellen, dass die eingesetzten mobilen Geräte im Sinne des Unternehmens verantwortungsvoll eingesetzt und Risiken der Nutzung angemessen überwacht werden. Dazu ist es notwendig, dass diese Erwartungen der IT bekannt sind und dass die IT in der Lage versetzt wird, diese Erwartungen auch zu erfüllen.
IT-Compliance:
- ]Es grenzt doch schon an Absurdistan, wenn IT-Infrastrukturen aufgebaut wurden, die mit Firewalls wie Fort Knox gesichert werden und wenn dann gedankenlose User Smartphone mit ungesicherten Schnittstellen, minimalen Zugriffsschutz nutzen und den Datenschutz auf diese Art und Weise konterkarieren. Grundsätzlich gilt, das gesetzlichen Standards, Vertragspflichten sowie selbstgesetzten Standards (eigenen Policies, Nutzungsrichtlinien, Organisationshandbücher, Arbeitsanweisungen etc.) einzuhalten sind. Wenn diese nicht eingehalten werden, sind auch entsprechende Sanktionen durchzusetzen.
