Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: MDM – Vor- und Nachteile

In Unternehmen und Behörden kommen immer mehr mobile Geräte wie Smartphones oder Tablets zum Einsatz. Dies bringt neue Herausforderungen mit sich. Mit einem Mobile Device Management System (MDM) ist es möglich, mobile Geräte mittels verschiedener Nutzungsprofile zentral zu verwalten. Dies ermöglicht auch Einschränkungen bezüglich der Konfiguration der Geräte durch die Benutzer: Ohne MDM können die Benutzer ihre Mobilgeräte in jeder Hinsicht selbständig einstellen. Damit ist ein grosses Risiko für Sicherheitslücken gegeben, so z.B. wenn der Benutzer keinen Schutz (z.B. Pin) zur Entsperrung des Gerätes definiert und er dieses unbeaufsichtigt lässt oder verliert. Das MDM bietet hier viele Möglichkeiten, die Sicherheit der Daten zu verbessern. So werden die Einstellungen zentral gemäss den jeweiligen Benutzerprofilen vorgenommen und durchgesetzt, z.B. Zugriff auf Mail-Synchronisation nur mit Pin, ggf. auch mit Vorgabe einer Minimallänge. Zudem können sensible geschäftliche Daten per Fernzugriff gelöscht werden. Das Unternehmen oder die Behörde definiert ihre Benutzerprofile selbst; die Zuweisung erfolgt durch die Informatik-Abteilung auf Grund der Angaben im Bestellprozess. Damit ergeben sich für Unternehmen und Behörden einige betriebliche Vorteile: So ist eine Erstkonfiguration der Geräte mit weniger manuellem Aufwand möglich. Es existiert ein Inventar der eingesetzten Smart Devices.Ein schnellerer Gerätewechsel ist möglich. Zudem bietet es die Option, den Mitarbeitenden „Bring your own Device“ mit vertretbarer Sicherheit anzubieten. Somit kann Privat- und Geschäft-Handy/Tablet kombiniert werden, was zu geringeren Gerätekosten und auch zu höherer Mitarbeitendenzufriedenheit beitragen kann. Teilweise wird dies mittlerweile von Mitarbeitenden erwartet (vor allem wenn diese keinen Anspruch auf ein geschäftliches Gerät haben), und kann somit einen Vorteil bei der Personalgewinnung darstellen. Den vielen Vorteilen von MDM stehen auch Nachteile gegenüber: Problematisch kann das Wiping, die Löschung von Daten z.B. bei Austritt des Mitarbeitenden sein, falls private und geschäftliche Daten nicht sauber getrennt sind. Es bestehen gewisse Fragezeichen bezüglich des Datenschutzes, z.B. betreffend einer möglichen Überwachung von Mitarbeitenden mit Ortungsdiensten und der Auswertung von Protokolldateien. Auch bezüglich Benutzerfreundlichkeit gibt es Zielkonflikte: Zwei Geräte (für privat und Geschäft) oder nur eines? So ist zum Beispiel die Trennung von privatem und geschäftlichem Terminkalender nicht benutzerfreundlich. Schliesslich sind die Kosten von MDM-Lösungen teilweise beträchtlich. Es gibt noch weitere Gründe, warum sich Unternehmen (noch) nicht für den Einsatz einer MDM-Software entscheiden.  Vielleicht gibt es nicht genügend qualifizierte IT-Mitarbeitende, die das System administrieren können, vor allem in kleineren Unternehmungen. Möglicherweise müssen auch zuerst Policies festgelegt werden, wie mobile Endgeräte der Firma genutzt werden dürfen. Unter Umständen stehen derzeit andere IT-Vorhaben im Vordergrund, wie z.B. eine neue Desktop- und Notebook-Architektur, und das Budget erlaubt momentan Beschaffung und Einsatz eines MDM-Systems nicht. In einigen Unternehmen und Behörden gibt es vielleicht striktere Security-Anforderungen als ein MDM-System unterstützen kann. Manche Firmen wollen zum Beispiel, dass gar keine Daten ihre Kontrolle verlassen. Mobile Device Management kann aber nicht immer verhindern, dass Daten z.B. via Cloud-Services entweichen könnten. Zusammenfassend kann festgehalten werden, dass die Hauptnutzen von MDM schnellere betriebliche Prozesse und eine höhere Sicherheit bei der Nutzung mobiler Endgeräte sind. Die Vorteile überwiegen meist die Nachteile. Ob ein MDM für das eigene Unternehmen oder die eigene Behörde sinnvoll ist, muss jedoch individuell abgeklärt werden.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.