Geschäftsdaten auf dem privaten Smartphone. Das sollten Sie beachten.

Portrait von Lorenzo Erroi
Von Lorenzo Erroi

Mit einem Griff zum Smartphone kurz die Geschäftsmails checken und das Word-Dokument mit den Budget-Daten korrigieren – heute allgegenwärtig. Doch wie sieht es mit der Sicherheit und Kontrolle aus, dass Unternehmensinterna via Privatgerät nicht in falsche Hände geraten? Das Management und die IT sind gefordert.

Mobile Device Management (MDM) und Mobile Application Management (MAM)

Die technischen Schlagworte heissen hier Mobile Device Management und Mobile Application Management - kurz MDM und MAM. Zu einem modernen IT-Arbeitsplatz gehören heute Smartphones und Tablets dazu, weil die Arbeitskräfte immer mehr von unterwegs arbeiten und ihre Tasks geräteunabhängig erledigen wollen.

Von den Arbeitergebern und IT-Abteilungen werden diese mobilen Arbeitsgeräte aber in den meisten Fällen sicherheitstechnisch vernachlässigt. Die Geräte werden nicht verwaltet und es gibt weder Kontroll- noch Schutzmechanismen beim Zugriff auf die Geschäftsdaten. Microsoft selbst bietet in diesem Fall mit Microsoft Intune eine flexible und einfache Lösung sowohl für das Mobile Device Management als auch das Mobile Application Management. Die Anwendungszwecke sind vielfältig und decken viele verschiedene Szenarien ab. So beispielsweise auch eine «Bring your own Device-Policy», das Einfügen eines Softwarekioskes als App oder die Konfiguration von mobilen Arbeitsgeräten für Techniker oder Aussendienstmitarbeitende.

MAM

Mithilfe von Mobile Application Management können die Geschäftsdaten bei der Synchronisierung auf einem Smartphone oder Tablet geschützt und von den persönlichen Daten des Mitarbeitenden isoliert werden. Der Zugriff auf die Mailbox, SharePoint/OneDrive sowie auch Teams kann kontrolliert freigegeben werden. Die Geschäftsdaten werden automatisch verschlüsselt auf dem Gerät abgelegt und können nur durch die verwalteten Apps (bspw. mit den Microsoft Office Applikationen) geöffnet und bearbeitet werden. So wird auf einfachem Weg verhindert, dass die Geschäftsdaten über private Kanäle (z.B.: Social Media und private Cloudspeicher) geteilt oder hochgeladen werden.

Mit-ohne-MAM

  1. Dieses Smartphone wird nicht verwaltet, Geschäftsdaten und private Dokumente können vermischt und ohne jedwede Kontrollmechanismen geöffnet und geteilt werden.
  2. MAM sichert die Geschäftsdaten, ohne die persönlichen Daten irgendwie zu beeinträchtigen. Will der Mitarbeitende ein Geschäftsdokument öffnen, kann er dies in Microsoft Word tun, nachdem er sich mit seinem Geschäftskonto identifiziert hat. Ein Teilen des Dokuments auf sozialen Medien wird ausgeschlossen.

MDM

Ähnlich wie beim Device Management für Windows können mit Microsoft Intune Apple-Geräte wie iPhones und iPads und auch Android Geräte verwaltet werden. Mithilfe des Mobile Device Managements können auf dem Gerät firmenspezifische Konfigurationen angewendet werden, Applikationen direkt auf das Smartphone gespielt oder über einen Softwarekiosk zum Download zur Verfügung gestellt werden. Ausserdem sind die Informationen zum Gerätestatus und der Compliance verfügbar. Diese Informationen umfassen den Updatestand, einen etwaigen Jailbreak oder Verschlüsselungsoptionen. Private Geräte können aus Datenschutzgründen nur zu einem bestimmten Grad verwaltet und überwacht werden. Die persönlichen Daten der Mitarbeitenden sind in solchen Fällen weiterhin isoliert und werden nicht ausgelesen.

Kombination aus MAM und MDM

Die beiden Vorgehensweisen für die Geräteverwaltung können gemeinsam verwendet werden. So kann ein optimaler Schutz für die Mitarbeitenden und die Geschäftsdaten garantiert werden. Das Gerät wird über das Mobile Device Management verwaltet und die Daten und Apps über das Mobile Application Management geschützt.

MAM+MDM

3. MAM regelt wie im obigen Beispiel den Schutz der Dokumente und definiert, mit welchen Applikationen auf Geschäftsdaten zugegriffen werden kann. MDM etabliert eine weitere Sicherheitsebene indem beispielsweise den Mitarbeitenden vorgeschrieben wird, dass ihr Gerät zwingend mit einem PIN-Code geschützt sein muss.

Wenn mein privates Smartphone verwaltet wird, worauf hat meine Firma Zugriff?

Wichtig zu beachten ist, dass die IT-Abteilung nie Zugriff erhält auf die persönlichen und privaten Daten auf dem Gerät. Diese können auch nicht durch die IT-Abteilung gelöscht werden. Die Firma hat nur Zugriff auf die Geschäftsdaten und die Geschäfts-Applikationen. Mitarbeitende können jederzeit die Registrierung ihres persönlichen Geräts wieder aufheben und die Geschäftsdaten werden vom Gerät entfernt. Gleiches gilt für die IT-Abteilung: auch sie hat die Möglichkeit, die Registrierung jederzeit aufzuheben, zum Beispiel bei einem Diebstahl oder einem Verlust des Geräts oder bei einem Austritt des betreffenden Mitarbeitenden.

Profitieren Sie von unserem Know-how im Bereich MAM und MDM. Beide Aspekte lassen sich ideal mit dem SmartWorkplace kombinieren, sodass sowohl das Arbeitslaptop UND das private iPhone sicher mit Geschäftsdaten umgehen.