Sicherheit und Mobilität als geschäftskritische Faktoren Mobile Device Management in der Finanzbranche

Autor / Redakteur: Jürgen Dick, Finanz Informatik Technologie Service / Stephan Augsten

Mobilgeräte sind zumeist nicht sicher in die IT eingebunden. Gerade in Finanzunternehmen kommt das einem Spiel mit dem Feuer gleich. In diesem Beitrag wird beleuchtet, was man bei der Einführung von Mobile Device Management (MDM) beachten sollte.

Eine MDM-Lösung muss auf verschiedenen Ebenen funktionieren: Device Management, Data Management und App Management.
Eine MDM-Lösung muss auf verschiedenen Ebenen funktionieren: Device Management, Data Management und App Management.
(Bild: FI-TS)

Die Finanzbranche steht derzeit vor einigen Herausforderungen: Finanzkrise, Kundenunzufriedenheit, zunehmende regulatorische Anforderungen und eine hohe Komplexität ihrer IT. Gleichzeitig erfordern Trends wie mobiles Arbeiten innovative IT-Lösungen und damit einhergehend neue Investitionen.

Die berufliche Nutzung von Mobilgeräten ist heute für die meisten von uns selbstverständlich. Und gerade das Finanz-Umfeld kann von dieser Entwicklung profitieren: Smartphones und Tablets in der Kundenkommunikation können die Erreichbarkeit der Berater sowie die Qualität der Beratung verbessern und flexibleres Arbeiten ermöglichen.

Bildergalerie

Doch neben den Vorteilen überwiegt derzeit noch das Risiko: der Zugang zu Firmendaten sowie zum -Netzwerk ist oftmals nicht geregelt, obwohl in der Finanzwirtschaft besonders strenge Sicherheitsregeln gelten. Finanzorganisationen sollten sich damit zeitnah auseinandersetzen, mit dem Ziel, mobile Geräte sicher in ihre IT-Infrastruktur einzubinden.

Keine Mobility-Strategie ohne Mobile Device Management

Das Stichwort lautet hier Mobile Device Management (MDM). Zunächst ist es notwendig, die gesamte Mobility-Strategie des Finanzunternehmens zu betrachten und zu entscheiden, welche Rolle das Thema Mobilität einnimmt und in welche Richtung es sich entwickeln soll.

Egal ob Mitarbeiter am Arbeitsplatz ihr eigenes privates oder ein firmeneigenes Mobilgerät beruflich nutzen – beide Szenarien bedürfen einer MDM-Lösung. Die Finanzbranche bevorzugt zumeist die zweite Variante, um damit bereits im Vorfeld die gröbsten Sicherheitsrisiken aus dem Weg zu räumen. Die zweite wichtige Entscheidung ist die Wahl eines oder mehrerer Betriebssysteme: iOS, Android oder Windows Phone.

Organisatorische Anforderungen berücksichtigen

Bei der Implementierung einer MDM-Lösung im Unternehmen sollten die Bereiche Technik und Organisation unbedingt parallel bearbeitet werden. Auf organisatorischer Seite ist es empfehlenswert den Betriebsrat zu einem möglichst frühen Zeitpunkt ins Boot zu holen.

Es empfiehlt sich, in die Betriebs- und Nutzungsvereinbarung alle Information zur Nutzung des mobilen Gerätes, Pflichten und Rechte des Arbeitnehmers und des Arbeitgebers mitaufzunehmen. Ein wichtiger Punkt ist der Datenschutz, da der Arbeitgeber theoretisch auf personenbezogene Daten auf dem Gerät zugreifen kann.

Wenn die betroffenen Parteien wie Personal-, Rechts-, IT-Abteilung und Betriebsrat an einen Tisch gebracht werden, können sie gemeinsam für einen für alle Beteiligten praktikablen Lösungsansatz erarbeiten. Stellt das Unternehmen mobile Geräte, dann sind Schulungen erforderlich, da die Bedienung eines Smartphones mit Touchscreen nicht für jeden selbstverständlich ist.

Sicherheit von Daten und Geräten technologisch stützen

Technisch gesehen liegt der Fokus im hochsensiblen Finanzumfeld auf den Themen Sicherheit und Kontrolle. Eine gute MDM-Lösung setzt auf verschiedenen Ebenen – Geräte, Daten und Apps – an, um ein ganzheitliches Sicherheitskonzept darzustellen. Ziel ist die umfassende Durchsetzung der unternehmens- und branchenspezifischen Sicherheitsrichtlinien für sämtliche mobile Endgeräte.

Eine MDM-Lösung wird in der Regel als Software as a Service (SaaS) angeboten und umfasst diverse Leistungen: Zugangskontrolle, Applikationsverwaltung, Geräteverwaltung und -Konfiguration, Endnutzer-Selbstverwaltung und Sicherheit. Eine Echtzeitüberwachung gleicht die Policy-Vorgaben automatisch ab, was gerade beim Arbeiten mit vertraulichen Informationen unumgänglich ist.

Um die hohen Sicherheitsanforderungen der Finanzbranche umzusetzen, genügt die gängige vierstellige PIN nicht. Will man sicherzustellen, dass nur der autorisierte Nutzer Zugriff auf das Gerät hat, ist eine komplexe, mindestens sechsstellige PIN oder besser noch ein Passwort zum Entsperren des Gerätes unerlässlich. Empfohlen wird ein Passwort nach den „Sicherer IT-Betrieb (SITB)“-Richtlinien, ein ISO-basierendes Produkt der Sparkassen-Gruppe.

Das Unternehmen kann gemeinsam mit dem Betriebsrat und unter Berücksichtigung des Datenschutzes verschiedene Nutzerrollen für Geschäftsführung, Controlling, IT, etc. mit den entsprechenden Zugriffsrechten anlegen sowie Sicherheitssperren individuell definieren und konfigurieren, wie z. B. die Sperrung von Kamera, bestimmten Apps, Browsern, WLAN oder Bluetooth.

Durch die kontinuierliche Überwachung erkennt MDM mögliche Jailbreaks oder Root-Zugriffe sofort und sperrt den Zugang zu den Unternehmensdaten. Abhängig von den Einstellungen ist in diesem Fall ein Wipe der Unternehmensdaten und Apps empfehlenswert. Bei Unternehmensgeräten gibt es auch die Möglichkeit eines kompletten Wipes, der das Gerät in den Auslieferungszustand zurückversetzt.

App-Installation als Risikofaktor effizient steuern

Gerade Apps bergen potenzielle Risiken für Unternehmensdaten. Hinzu kommt, dass es sich hier um einen Wachstumsmarkt handelt – Apple hatte 2013 durchschnittlich zwei Milliarden App-Downloads pro Monat.

Banken und Versicherungen sollten daher einen internen „Corporate App Store“ mit ausgewählten Apps einrichten. Somit entsprechen alle Anwendungen, die auf firmeneigenen Geräten laufen, den Sicherheitsrichtlinien der Unternehmen entsprechen.

Eine Alternative, um die Risiken für das Firmennetz zu minimieren, ist das sogenannte „White Listing“. Dabei wird eine Liste von zugelassenen Apps erstellt, die über den App-Store des Anbieters (z. B. Apple) angeboten werden. Gegebenenfalls ist dies die bessere Option, da ein Firmen-Smartphone mit Corporate App Store an Attraktivität einbüßen kann.

Fokus auf Datensicherheit

Natürlich müssen die vertraulichen Unternehmensdaten auf mobilen Geräten verschlüsselt abgelegt werden. Die Verschlüsselung basiert auf anerkannten Standards, die den Anforderungen der Finanzbranche entsprechen und für zuverlässigen und transparenten Schutz personenbezogener und unternehmensinterner Daten innerhalb des Netzwerks sorgen.

Darüber hinaus können mit Hilfe der MDM-Lösung auch Daten kontrolliert gelöscht werden, wie z. B. Unternehmens-E-Mails, App-Profile oder PIM-Daten (Personal Information Manager) wie Kontakte, Termine, Aufgaben und Notizen. Das Unternehmen behält die Kontrolle über seine mobilen Endgeräte, wird aber in der Regel mit umfassender Konfiguration, Bereitstellung und Support-Funktionen unterstützt.

Bei den meisten MDM-Angeboten wird dem Kunden ein Dashboard für die Administration sowie ein Self-Service-Portal für den Endanwender zur Verfügung gestellt, so dass der User sein Gerät beispielsweise im Falle eines Verlustes selbst sperren kann. Eine MDM-Lösung für den Finanzbereich muss im Übrigen unbedingt über eine revisionssichere Mandantentrennung verfügen.

Dies ist deswegen besonders wichtig, da die Kunden in keinem Fall gegenseitig Einblick in Daten oder Benutzerverwaltung erhalten dürfen. Werden die notwendigen Schritte der operativen und technischen Umsetzung gleichzeitig angestoßen, steht einer erfolgreichen MDM-Lösung nichts im Wege.

Welchen Weg Finanzunternehmen auch für sich wählen mögen: die Nutzung mobiler Endgeräte wird in den kommenden Jahren wesentlich zunehmen. Eine unterschwellige Duldung oder gar ein Verbot von Mobilgeräten ist keine Lösung und führt in die Sackgasse. Mit MDM können Unternehmen Smartphones und Tablets zu ihrem Vorteil nutzen und die Sicherheit all ihrer Daten garantieren.

Über den Autor

Jürgen Dick ist Vice President Service Design bei Finanz Informatik Technologie Service (FI-TS), einem IT-Service-Partner für die Finanzbranche. Er verantwortet die Go-to-Market-Strategie, das Key Partner Relationship- und das Innovation-Management. Sein Spezialgebiet umfasst den gesamten Cloud Computing-Stack, Big Data, Mobility und einen modernen Arbeitsplatz aus der Verbindung von Sprache, Bild und Desktop.

(ID:42336321)