Das IT-Sicherheitsgesetz 2.0 nimmt KRITIS-Betreiber noch stärker in die Pflicht – das betrifft natürlich auch die mobile Kommunikation der öffentlichen Hand. Wenn Angestellte von Stadtwerken, Verkehrsbetrieben oder Bauämtern fürs Arbeiten außerhalb der eigentlichen Dienststelle auf Smartphones oder Tablets zurückgreifen, steigen die Sicherheitsrisiken. Virtual Solution nennt die fünf größten Fallen:
1. Keine Trennlinie zwischen dienstlich und privat.
Immer öfter kommen in Behörden private Geräte zum Einsatz, die auch beruflich genutzt werden. Richtet dann ein Mitarbeiter auf seinem Smartphone ein Exchange-Konto ein, vermischen sich dienstliche mit privaten Daten und Kontakten. Richtig kritisch wird es, wenn sensible Dokumente in ausländischen Cloud-Diensten wie Dropbox abgelegt werden. Für Behörden wird es dann schwierig, die Richtlinien der DSGVO, Bestimmungen zum Urheberrecht oder Aufbewahrungspflichten einzuhalten. Das erforderliche Schutzniveau ist damit nicht mehr vorhanden.
2. Die Neugierde vieler Apps.
Mitarbeiter sind es gewohnt, immer wieder neue Apps auszuprobieren. Ob diese tatsächlich sicher vor Malware sind oder die Richtlinien der Datenschutzgrundverordnung einhalten, wird dabei selten hinterfragt. So verlieren die IT-Verantwortlichen die Kontrolle über behördliche Daten: Sie können nicht mehr dokumentieren, wo personenbezogene Informationen gespeichert werden, und diese nicht löschen. Sogar Apps aus dem iTunes Store oder Google Play Store sind nicht hundertprozentig sicher. Immer wieder gelingt es Kriminellen, infizierte oder „spionierende“ Anwendungen einzuschleusen.
3. Ein einfaches Passwort als Einladung.
Sofern kein sicherer Login auf dem Mobilgerät konfiguriert ist, können unbefugte Personen auf gespeicherte Daten und schlimmstenfalls auf das Behördennetz zugreifen. Dazu muss das Smartphone oder Tablet nicht einmal von Betrügern gestohlen werden – es reicht, wenn der Mitarbeiter das Gerät für kurze Zeit unbeaufsichtigt liegen lässt.
4. Der „Feind“ in meinem Haus.
Es sind aber nicht nur Fremde, die zu einer Sicherheitsgefahr für die mobile Kommunikation werden können. Gerade jetzt – da auch Mitarbeiter öffentlicher Einrichtungen verstärkt im Homeoffice arbeiten – müssen die Mobilgeräte vor weiteren Risikofaktoren geschützt werden. Die beste PIN und das sicherste Passwort helfen nicht weiter, wenn das eigene Kind mit dem entsperrten Smartphone spielt. Schnell sind versehentlich wichtige Daten gelöscht oder sensible Dokumente an irgendeinen Kontakt im Adressbuch verschickt.
5. Keine Kontrolle für die IT.
Überhastet eingeführte BYOD-(Bring Your Own Device)-Modelle bringen die IT-Abteilung in Bedrängnis: Im Notfall, etwa nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes, können die Administratoren sensible Daten nicht aus der Ferne löschen. In der Folge verbleiben dienstliche Informationen unkontrollierbar auf den Geräten und können zu Datenabfluss führen. Auch der Datenschutz nach DSGVO ist nicht mehr gewährleistet. Schlimmstenfalls richten Mitarbeiter, die im Bösen ausscheiden, großen Schaden an.
Behörden und kommunale Einrichtungen brauchen eine Lösung, die die privaten und dienstlichen Daten auf dem mobilen Gerät strikt voneinander abschottet. Realisieren lässt sich dieses Zwei-Systeme-Konzept mit einer verschlüsselten Container-Lösung. Sollte sich ein Fremder tatsächlich Zugang zum Smartphone oder Tablet verschafft haben, kommt er nicht an die dienstlichen Daten heran. Diese sind so sicher wie in einem Safe aufbewahrt.
Über Virtual Solution
Virtual Solution ist ein auf sichere mobile Anwendungen spezialisiertes Softwareunternehmen mit Sitz in München und Entwicklungsstandort in Berlin. Das Unternehmen entwickelt und vertreibt die Applikationen SecurePIM, SecureCOM und die Sicherheitsarchitektur SERA für iOS und Android.
SecurePIM ermöglicht verschlüsseltes und benutzerfreundliches mobiles Arbeiten. Behörden können mit Smartphones und Tablets auf Geheimhaltungsstufe „VS-NUR FÜR DEN DIENSTGEBRAUCH“ („VS-NfD“) kommunizieren. Für Unternehmen stellt SecurePIM die Anforderungen der Datenschutzgrundverordnung (DSGVO) auf mobilen Geräten sicher und senkt damit die Risiken strafbewährter DSGVO-Verstöße und des Verlustes von Unternehmensdaten.
Virtual Solution wurde 1996 gegründet und beschäftigt rund 90 Mitarbeiter. Alle Produkte der Virtual Solution tragen das Vertrauenszeichen "IT-Security made in Germany" des TeleTrust-IT-Bundesverbandes IT-Sicherheit e.V.