Im letzten Frühjahr haben sich fast alle Unternehmen mit der Umsetzung der komplexen EU-DSGVO-Vorschriften (Datenschutz-Grundverordnung) in ihre IT-Sicherheitsrichtlinien befasst. In der großen Hektik haben allerdings einige die mobilen Endgeräte vernachlässigt. Diese Lücke müssen IT-Organisationen schließen. Denn mobile Endgeräte und deren Apps können in gewissen Fällen die Konformität eines Unternehmens mit Datenschutzgesetzen grundlegend gefährden.

Wirklich abgeschlossen ist die Arbeit mit der DSGVO nie. Dafür gibt es im Wesentlichen zwei Gründe. Auf der einen Seite dürften auch fast ein Jahr nach Fristablauf im Mai 2018 noch immer nicht alle Unternehmen die Vorgaben der DSGVO vollumfänglich umgesetzt haben. Einer Umfrage des Branchenverbands Bitkom zufolge hatte im September 2018 erst ein Viertel der Befragten die Vorgaben komplett erfüllt; weitere 40 Prozent hatten sie größtenteils implementiert. Viele haben erst im Projektverlauf realisiert, welchen Handlungsbedarf es in ihrem Unternehmen beim Datenschutz tatsächlich gibt. Auf der anderen Seite stellen sich bei jeder Erweiterung einer vorhandenen, selbst erstellten Anwendung oder eines Prozesses und natürlich auch bei einem gänzlich neuen Applikationsprojekt immer wieder die Anforderungen der Datenschutzgesetzgebung – unabhängig davon, mit welcher Software oder welchen Endgeräten die Benutzer personenbezogene Daten abfragen und verarbeiten.

Speicherort der Daten ermitteln

Zu Beginn aller Maßnahmen zur Umsetzung der DSGVO müssen sich Unternehmen einen genauen Überblick über die vorhandenen personenbezogenen Daten verschaffen und ermitteln, wo sich die Daten befinden und wer darauf zugreift; zudem gilt es, dies auch zu dokumentieren. Dies sind Grundvoraussetzungen für die Planung und Umsetzung organisatorischer und technischer Schutzmaßnahmen.

Ein weiterer Aspekt bei der Lokalisierung der Daten ist das „Recht auf Vergessenwerden“. Diese Anforderung fehlte bislang im Bundesdatenschutzgesetz. Die DSGVO fordert die Löschung personenbezogener Daten, etwa wenn Kunden oder Geschäftspartner ihre Einwilligung zur Speicherung widerrufen oder wenn Mitarbeiter das Unternehmen verlassen. Die zuverlässige Umsetzung der Löschpflicht bedeutet, dass Unternehmen den Speicherort der Daten kennen müssen. Sehr schwierig und aufwendig wird die beispielsweise, wenn Mitarbeiter personenbezogene Daten auf einem privaten Smartphone speichern. Unternehmen müssen wissen, auf welchen Geräten Daten lokal liegen könnten, um in der Lage zu sein, diese zu löschen.

Auch bei unternehmenseigenen mobilen Endgeräten muss die IT wissen, welche Daten darauf gespeichert sind, und dafür Sicherheitsmaßnahmen ergreifen, zumal wenn Mitarbeiter ihre dienstlichen Geräte auch privat nutzen können. Gibt es keinen expliziten Schutz der beruflichen Daten, entstehen Angriffspunkte auf die IT und damit auch auf vertrauliche Daten des Unternehmens.

Verwenden die Mitarbeiter ihre eigenen Smartphones oder Tablets nach dem BYOD-Modell für den Zugriff auf Unternehmensdaten, weiß die IT-Abteilung meist nicht, welche Apps darauf installiert sind und wer die Geräte sonst noch nutzt. Unternehmen, die ihre mobilen Endgeräte – seien es firmeneigene oder die privaten der Mitarbeiter – noch nicht ausreichend geschützt haben, oder die neue einführen, müssen die Vorschriften der DSGVO befolgen. Dies erfordert den Aufbau einer sicheren System­umgebung für alle von Mitarbeitern genutzten Smartphones und Tablets.

Technische Schutzmaßnahmen

Die DSGVO schreibt dazu den Einsatz angemessener technischer und organisatorischer Maßnahmen (TOMs) vor. Eines der Ziele dabei: Es muss zu jeder Zeit ein ho-hes Sicherheitsniveau gewährleistet sein, und die TOMs müssen auf dem „neuesten Stand der Technik“ sein. Dazu ist es erstens auf jeden Fall erforderlich, die personenbezogenen Daten auf den mobilen Geräten wie auch während der Übertragung durchgängig zu verschlüsseln. Die zweite technische Maßnahme ist eine strikte Trennung betrieblicher von privaten Daten auf den mobilen Endgeräten. Eine derartige Isolation ist explizit in der DSGVO gefordert.

Sicherheitscontainer vereinen die unterschiedlichen Anforderungen von Anwendern, IT-Administratoren und Sicherheitsverantwortlichen. Bild: Virtual Solution

Isolation per Container

Umsetzen kann die IT-Abteilung die Trennung der Datenbestände mittels Containertechnik. Diese ermöglicht die Isolation geschäftlicher von privaten Daten und bildet damit das Fundament einer sicheren mobilen Systemumgebung. Sicherheitscontainer auf den Mobilgeräten packen Unternehmensdaten, E-Mails, Kalendereinträge, Kontakte, Dokumente oder Bilder und damit auch alle personenbezogenen Daten in einen verschlüsselten Bereich auf dem Endgerät. Die Verschlüsselung im Container sorgt dafür, dass die Daten selbst bei einem Geräteverlust vor Missbrauch sicher sind. Der verschlüsselte Bereich ist durch PIN, Passwort, TouchID oder FaceID geschützt.

Via WhatsApp oder Facebook gibt es keinen Zugang zu Daten im Sicherheitscontainer, beispielsweise zu den dienstlichen Kontakten. Ein hohes Maß an Sicherheit erzielt die Containertechnik zudem dadurch, dass sich keine Unternehmensinformationen und damit auch keine personenbezogenen Daten mit Copy and Paste in den Privatbereich verschieben lassen. Zudem kann man die Daten im Container aus der Ferne löschen, wenn der Mitarbeiter das Gerät verliert oder das Unternehmen verlässt. Unternehmen haben also immer die Hoheit über die Daten.

Zusätzlich zur verschlüsselten Kommunikation mit der Unternehmenszentrale oder -filiale müssen Administratoren festlegen und überwachen, welche Mitarbeiter mit welchem Endgerät Zugriff auf Unternehmensressourcen erhalten. Ziel ist es sicherzustellen, dass das mobile Endgerät nicht zum Einfallstor von Malware wird und nur autorisierte Mitarbeiter und Anwendungen Zugriff bekommen. Gateways können hier den Weg in die IT-Infrastruktur absichern, ohne dass eine VPN-Infrastruktur erforderlich ist. Die Sicherheit basiert auf der Authentifizierung durch Zertifikate. Das Gateway bietet einen verschlüsselten Tunnel für die Übertragung von Daten. Es überprüft die Identität des Mitarbeiters und erlaubt nur berechtigten Nutzern den Zugriff auf die internen IT-Ressourcen.

Komfortables Arbeiten möglich

Die technischen Vorkehrungen spielen bei der Umsetzung der DSGVO eine zentrale Rolle, doch ohne dazugehörige organisatorische Maßnahmen reicht das oft nicht aus. Es kommt auch auf klare Regeln und das Verhalten und Engagement der Benutzer an, denn Schätzungen zufolge ist bei rund der Hälfte der Sicherheitsvorfälle fahrlässiges Verhalten der Anwender im Spiel. Entscheidend ist es daher, dass Unternehmen keine allzu einschränkenden Lösungen einführen, sondern auch die leichte Handhabung immer im Auge behalten. Andernfalls suchen Mitarbeiter erfahrungsgemäß nach Möglichkeiten, die einengenden Vorgaben zu umgehen – und das ist vor allem bei Sicherheitsregeln nicht im Sinne der Erfinder. Benutzer favorisieren Apps, mit denen sie produktiv, sicher und komfortabel arbeiten können. Das gilt auch bei der Einführung und Nutzung von Sicherheitscontainern auf mobilen Endgeräten, die damit zu den zentralen Bausteinen bei der Umsetzung der komplexen DSGVO-Vorgaben zählen.

Die Kernpunkte der DSGVO

Die EU-Datenschutz-Grundverordnung definiert Regeln zur Verarbeitung personenbezogener Daten in privaten Unternehmen und im öffentlichen Dienst. Festgelegt ist darin eine Vereinheitlichung und Verschärfung der Vorschriften zum Schutz von Daten und Privatsphäre, eine klare Definition der Haftung und eine Erhöhung der Bußgelder bei Verstößen. Bußgelder werden bereits dann fällig, wenn die Dokumentation der Sicherheitsmaßnahmen und -prozesse lückenhaft ist.

Die DSGVO erfordert eine strikte Trennung von betrieblichen und privaten Daten auf den beruflich genutzten mobilen Endgeräten. Der Datenschutz muss durch geeignete Technik und zugehörige Voreinstellungen gewährleistet sein. Dazu müssen Unternehmen sowie Einrichtungen der öffentlichen Verwaltung angemessene technische und organisatorische Maßnahmen (TOMs) implementieren. Gefordert sind zudem Vorkehrungen zur Verschlüsselung von Daten, sowohl auf den mobilen Geräten als auch bei der Übertragung. Und schließlich sind die Mitarbeiter nach der Verordnung zu informieren und zu schulen.

Günter Junk ist CEO des IT-Sicherheitsspezialisten Virtual Solution mit Sitz in München, www.virtual-solution.com.