Präsenzpflicht im Büro war gestern. Immer mehr Unternehmen bieten neben Homeoffice auch mobiles Arbeiten und hybride Arbeitsmodelle an. Bei allen Neuerungen müssen Mitarbeitende allerdings weiterhin geltende Sicherheitsstandards einhalten – ohne sichere Kommunikations- und Kollaborationslösungen ist das jedoch nicht umsetzbar.
The times they are a-changin‘ – dass diese Feststellung mehr als nur der Titel eines Welthits von Bob Dylan ist, haben viele Unternehmen in den letzten Jahren festgestellt. Nicht erst seit der Corona-Pandemie befinden sich traditionelle Arbeitsmodelle im Umbruch und immer mehr Mitarbeitende drehen den klassischen Bedingungen eines Bürojobs den Rücken zu. Homeoffice und mobiles Arbeiten etablieren sich als die neuen Standards. Ein Umstand, auf den sich Unternehmen auf den verschiedensten Ebenen einstellen müssen.
Neben der Bereitstellung der richtigen Ausrüstung, erhöhtem Abstimmungsbedarf in verteilt arbeitenden Teams und neuen Kollaborations-Tools müssen Unternehmen dabei vor allem eine sichere Kommunikation und Zusammenarbeit gewährleisten. Dafür müssen sie von Beginn an die Einfallstore in der mobilen Kommunikation schließen und mit sicheren Lösungen ein datenschutzkonformes Arbeiten ermöglichen.
Datensicherheit braucht Datenschutz. Remote Work ist keine branchenspezifische Angelegenheit mehr. Als Folge arbeiten auch Menschen, die mit personenbezogenen und schutzbedürftigen Daten arbeiten, im Homeoffice oder mobil von unterwegs. Keine Überraschung stellen hier die gesonderten Vorschriften und gesetzlichen Richtlinien, wie etwa die der Datenschutzgrundverordnung (DSGVO) dar, die im Umgang mit sensiblen Informationen unbedingt einzuhalten sind. In diesem Zusammenhang landen die Begriffe »Datenschutz« und »Datensicherheit« schnell in einem Topf – ein Trugschluss. Denn während der Datenschutz auf die rechtlichen Grundlagen für den Umgang mit personenbezogenen Daten abzielt, bezeichnet das Schlagwort »Datensicherheit« die ergriffenen Maßnahmen zur praktischen Umsetzung. Diese umfassen sowohl den Schutz vor Datenverlust, als auch vor Verfälschung und dem unberechtigten Datenzugriff durch nicht autorisierte Personen.
Um den datenschutzrechtlichen Anforderungen gerecht werden zu können, müssen Unternehmen einige Voraussetzungen erfüllen – von sicherer IT-Infrastruktur über geeignete Endgeräte bis hin zu zertifizierten Kollaborations- und Kommunikationsanwendungen. Doch gerade der Einsatz von modernen mobilen Geräten mit entsprechenden Sicherheitsfunktionen wird von Unternehmen immer noch zu oft vernachlässigt. Die Konsequenz: Mitarbeitende nutzen eigene Smartphones für die Arbeit und vermischen damit schnell private und berufliche Daten. Dieses Vorgehen verstößt nicht nur gegen Datenschutzrichtlinien, sondern es droht auch eine Gefahr durch heruntergeladene Apps, die in der mobilen Kommunikation gefährliche Einfallstore darstellen. Diese müssen nicht zwangsläufig eine Malware enthalten, oft reichen schon die falsch gewählten Zugriffsrechte und die Software sendet Informationen aus dem Notizbuch, Kontakte oder andere Daten an Dritte. Konzepte wie BYOD (Bring Your Own Device) bringen für IT-Abteilungen besondere Herausforderungen mit sich, da sie in diesen Fällen keinen Einfluss auf das Handeln und die Geräte der Mitarbeitenden haben. Sicherer ist der COPE-Ansatz (Corporate Owned, Personally Enabled), bei dem Mitarbeitende Firmengeräte auch privat nutzen können. Dabei können Unternehmen die erforderlichen Sicherheitsstandards einfacher umsetzen und haben mehr Kontrolle über die Geräte.
Ein Container für den Datenschutz … Egal ob BYOD oder COPE – Wenn Angestellte ihre Endgeräte sowohl für die Verarbeitung von beruflichen Daten, als auch für private Zwecke nutzen, entstehen Sicherheitslücken und es drohen Verstöße gegen die DSGVO. Um das zu verhindern, sind klare Trennlinien notwendig. Für diesen Zweck haben sich Container-Lösungen als besonders geeignet erwiesen, indem sie einen geschützten und separaten Bereich für berufliche Daten auf dem Gerät schaffen, der vor äußeren Zugriffen, etwa durch private Apps (wie WhatsApp) oder Malware, geschützt ist.
Zusätzliche Verifizierungsmethoden, etwa mit Multifaktor-Authentifizierungen, sichern die Daten auch bei Verlust oder Diebstahl ab. Somit wird es Mitarbeitenden möglich, auf einem Gerät sowohl sensible Informationen zu speichern, als auch im Internet zu surfen und Anwendungen herunterzuladen, ohne dass es zu einem unbefugten Zugriff auf die Unternehmensdaten kommen kann. Darüber hinaus sollte eine Container-Lösung über einen eigenen Messenger und Browser verfügen, eine lückenlose Ende-zu-Ende-Verschlüsselung sicherstellen und unabhängig vom Betriebssystem und Gerätetyp verwendbar sein.
… und für die Usability Auch die besten Sicherheitslösungen können nur dann erfolgreich sein, wenn Nutzende sie akzeptieren und ordnungsgemäß anwenden. Damit das der Fall ist, muss die Software so bedienungsfreundlich wie möglich sein und darf den Arbeitsalltag der Mitarbeitenden nicht erschweren. Aufwändige Lösungen mit langwierigen Prozessen und Wartezeiten senken die Akzeptanz und verleiten dazu, wesentliche Sicherheitsfunktionen zu umgehen. Ein zentraler Fokus muss aus diesen Gründen auf der Usability liegen, die bereits bei der Einrichtung, beziehungsweise der Installation beginnt. Während Mitarbeitende die App nur herunterladen und sich registrieren müssen, übernehmen Administratorinnen und Administratoren die Verwaltung der Nutzenden, ihrer Zugriffsrechte und die Datenschutzeinstellungen. Im Mittelpunkt steht der Bedienungskomfort für die Mitarbeitenden, die mit wenig Aufwand eine sichere Lösung erhalten.
Container-Lösungen eignen sich ideal für die Umsetzung hoher Sicherheitsstandards auf mobilen Endgeräten und ebnen damit den Weg zu abgesicherten Remote-Arbeitsweisen – ob unterwegs oder im Homeoffice. Durch die einfache Handhabung und den geringen administrativen Aufwand lassen sich die Lösungen unkompliziert und schnell in den Arbeitsalltag integrieren.
Christian Pohlenz,
Security Expert
bei Materna Virtual Solution