Das IT-Sicherheitsgesetz 2.0 nimmt KRITIS-Betreiber noch stärker in die Pflicht – das betrifft natürlich auch die mobile Kommunikation der öffentlichen Hand. Wenn Angestellte von Stadtwerken, Verkehrsbetrieben oder Bauämtern fürs Arbeiten außerhalb der eigentlichen Dienststelle auf Smartphones oder Tablets zurückgreifen, steigen die Sicherheitsrisiken.
Virtual Solution erklärt, auf welche Risiken Behörden und kommunale Unternehmen unbedingt achten müssen.
- Keine Trennlinie zwischen dienstlich und privat
Immer öfter kommen in Behörden private Geräte zum Einsatz, die auch beruflich genutzt werden. Richtet dann ein Mitarbeiter auf seinem Smartphone ein Exchange-Konto ein, vermischen sich dienstliche mit privaten Daten und Kontakten. Richtig kritisch wird es, wenn sensible Dokumente in ausländischen Cloud-Diensten wie Dropbox abgelegt werden. Für Behörden wird es dann schwierig, die Richtlinien der DSGVO, Bestimmungen zum Urheberrecht oder Aufbewahrungspflichten einzuhalten. Das erforderliche Schutzniveau ist damit nicht mehr vorhanden.
- Die Neugierde vieler Apps
Mitarbeiter sind es gewohnt, immer wieder neue Apps auszuprobieren. Ob diese tatsächlich sicher vor Malware sind oder die Richtlinien der Datenschutzgrundverordnung einhalten, wird dabei selten hinterfragt. So verlieren die IT-Verantwortlichen die Kontrolle über behördliche Daten: Sie können nicht mehr dokumentieren, wo personenbezogene Informationen gespeichert werden, und diese nicht löschen. Sogar Apps aus dem iTunes Store oder Google Play Store sind nicht hundertprozentig sicher. Immer wieder gelingt es Kriminellen, infizierte oder „spionierende“ Anwendungen einzuschleusen.
- Ein einfaches Passwort als Einladung
Sofern kein sicherer Login auf dem Mobilgerät konfiguriert ist, können unbefugte Personen auf gespeicherte Daten und schlimmstenfalls auf das Behördennetz zugreifen. Dazu muss das Smartphone oder Tablet nicht einmal von Betrügern gestohlen werden – es reicht, wenn der Mitarbeiter das Gerät für kurze Zeit unbeaufsichtigt liegen lässt.
- Der „Feind“ in meinem Haus
Es sind aber nicht nur Fremde, die zu einer Sicherheitsgefahr für die mobile Kommunikation werden können. Gerade jetzt – da auch Mitarbeiter öffentlicher Einrichtungen verstärkt im Homeoffice arbeiten – müssen die Mobilgeräte vor weiteren Risikofaktoren geschützt werden. Die beste PIN und das sicherste Passwort helfen nicht weiter, wenn das eigene Kind mit dem entsperrten Smartphone spielt. Schnell sind versehentlich wichtige Daten gelöscht oder sensible Dokumente an irgendeinen Kontakt im Adressbuch verschickt.
- Keine Kontrolle für die IT
Überhastet eingeführte BYOD (Bring Your Own Device)-Modelle bringen die IT-Abteilung in Bedrängnis: Im Notfall, etwa nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes, können die Administratoren sensible Daten nicht aus der Ferne löschen. In der Folge verbleiben dienstliche Informationen unkontrollierbar auf den Geräten und können zu Datenabfluss führen. Auch der Datenschutz nach DSGVO ist nicht mehr gewährleistet. Schlimmstenfalls richten Mitarbeiter, die im Bösen ausscheiden, großen Schaden an.
„Behörden und kommunale Einrichtungen brauchen eine Lösung, die die privaten und dienstlichen Daten auf dem mobilen Gerät strikt voneinander abschottet. Realisieren lässt sich dieses Zwei-Systeme-Konzept mit einer verschlüsselten Container-Lösung. Sollte sich ein Fremder tatsächlich Zugang zum Smartphone oder Tablet verschafft haben, kommt er nicht an die dienstlichen Daten heran. Diese sind so sicher wie in einem Safe aufbewahrt“, erklärt Sascha Wellershoff, CEO bei Virtual Solution in München.