Richtiges Verhalten bei gefährlichen Apps
Wenn Mitarbeiter eine App trotz Sicherheitslücken nutzen, sind meist vertrauliche Daten in Gefahr. Wie aber verhindern Sie die Nutzung einer gefährlichen App? Hier ist ein Mehrstufen-Plan erforderlich.
Mobile Sicherheitslücken: Die Regel, nicht die Ausnahme
Laut einer aktuellen Gartner-Studie sollen 2015 bis zu 75 Prozent der mobilen Apps Sicherheitsmängel aufweisen. Es ist also mehr als wahrscheinlich, dass die Nutzer mobiler Endgeräte in Ihrem Unternehmen Apps verwenden, die zur Gefahr für personenbezogene Daten werden können. Auch jetzt schon erscheinen fast täglich Warnmeldungen, dass weithin genutzte Apps Sicherheitslücken haben. So wurde im September 2014 zum Beispiel vor Sicherheitsrisiken bei der Android-Browser-App gewarnt.
Weit verbreitete Apps mit hohen Risiken
Wenn eine App wie der Android-Browser Sicherheitsmängel hat, ist dies mehr als riskant. Auch mobile Browser werden häufig für die Anmeldung bei Online-Diensten genutzt, beispielsweise beim Online-Banking oder Online-Shopping, sofern diese Dienste dafür keine eigene App anbieten. Durch eine Schwachstelle bei der betroffenen App war es Angreifern möglich, die Zugangsdaten auszulesen und zu stehlen. Keine Frage, bei solch einem hohen Risiko besteht Handlungsbedarf für die mobile Datensicherheit.
Nutzer müssen richtig informiert werden
In Ihrer Datenschutzunterweisung sollten Sie solche Warnhinweise aufgreifen und ein generelles Verhalten im Ernstfall vorschlagen. Es bringt leider nichts, wenn zum Beispiel nur eine Rund-Mail verschickt wird, dass diese und jene App Sicherheitslücken aufweist und nicht genutzt werden soll oder darf. Gerade bei einer App wie einem mobilen Browser kann solch ein Hinweis nicht nur in Vergessenheit geraten, sondern schlicht nicht beachtet werden. Zudem kann auch die Technik ein Schnippchen schlagen: Ist in einer PDF-Datei ein Link und wird dieser (nach Link-Prüfung) genutzt, öffnet sich womöglich der eigentlich verbotene, mobile Browser.
Abhängig von der IT-Sicherheitsinfrastruktur Ihres Unternehmens sollten Sie einen Plan vorschlagen, wie sich die (ungewollte) Nutzung einer riskanten App vermeiden lässt. Sofern ein professionelles Mobile Device Management (MDM) im Einsatz ist, kann es zentrale Regeln vorgeben, Apps zentral blockieren und alternative, sichere Apps verteilen. Gibt es aber kein MDM-System, sollte die mobile Datensicherheit auf andere Weise optimiert werden.
Wichtige Schritte für ein richtiges Verhalten bei gefährlichen Apps sind insbesondere
- das Wissen der Nutzer um die Art und Version des mobilen Betriebssystems,
- die Kenntnis über die installierten und die freigegebenen Apps,
- die Verfügbarkeit möglicher App-Alternativen,
- die Berücksichtigung auch privater Endgeräte bei betrieblicher Nutzung (BYOD),
- die Definition eines internen Ansprechpartners bei App-Problemen,
- eine Unterweisung, wie sich Apps deaktivieren, deinstallieren und (über eine mobile Firewall) sperren lassen, und wie sich Apps automatisch aktualisieren lassen.
Vergessen Sie nicht, temporär verbotene Apps eines Tages auch wieder offiziell freizugeben, wenn die Sicherheitslücke behoben ist. Andernfalls vermuten die Nutzer einfach, dass das Verbot beendet ist und starten den erneuten Einsatz zu früh. Oder sie warten zu lange, fühlen sich durch das Verbot unnötig behindert und akzeptieren das nächste temporäre Verbot nicht mehr.