Praxis 11.05.2015, 09:00 Uhr

Mobile Lösungen sicher nutzen

Sowohl in öffentlichen Verwaltungen als auch in der Privatwirtschaft gibt es viele Berufsgattungen wie Polizeibeamte, Kontrolleure oder Aussendienstmitarbeitende, die mittels mobiler Endgeräte den ortsunabhängigen Zugriff auf auftragsbezogene Daten wünschen. Es sind hauptsächlich Sicherheitsfragen, die das Mobile Computing zur Herausforderung machen.
Mobile Computing ist den Kinderschuhen entwachsen. Nach dem beispiellosen Siegeszug im privaten Umfeld wächst auch das Interesse an mobilen Lösungen für professionelle Anwendungen. Arbeitsprozesse, die grösstenteils ausserhalb der Büroräumlichkeiten einer Organisation ablaufen, lassen sich so effizienter gestalten. Mitarbeitende können mobile Technologien nutzen, um Daten zu erfassen, Berichte vorzubereiten und Informationen abzurufen. Sie können dadurch ihre Arbeitszeit besser nutzen und die Nachbearbeitungszeiten im Büro stark verkürzen. Auch die Gefahr von Übertragungsfehlern wird eliminiert. Doch der Einsatz mobiler Lösungen verändert die Anforderungen an die IT-Organisation. Mobile Endgeräte sind letztlich nichts anderes als kleine Computer. Das Management dieser Geräte und die Pflege der darauf laufenden Applikationen muss also genauso seriös betrieben werden wie bei herkömmlichen Clients und Fachapplikationen. Verschiedene mobile-spezifische Themen,  beispielsweise die Datensicherheit, spielen dabei eine zentrale Rolle. Nicht jeder Prozess ist mobile-tauglich Bevor jedoch die Fragen rund um die Sicherheit beantwortet werden können, ist es notwendig, (Teil-)Prozesse zu identifizieren, welche sich durch mobile Lösungen sinnvoll optimieren lassen. Denn auch wenn mobile Endgeräte die gleichen Anforderungen an das Management stellen, so sind es doch keine Desktop-PC. Die Stärken und Schwächen von Tablets, Smartphones und Laptops sind zu berücksichtigen. Mobile Applikationen dürfen kein 1:1-Abbild herkömmlicher Fachapplikationen sein. Anhand des Beispiels von mobilen Geräten im Polizeieinsatz hat die Abraxas Informatik AG zwei Themenbereiche eingegrenzt, denen sich die Prozesse mit dem grössten Potential für mobile Technologien zuordnen lassen: 1.  Erfassen und Abfragen von Daten: Fallvorbereitung vor Ort zur Weiterverarbeitung im Büro, Zugriff auf Fachanwendungen zwecks Fahrzeug- und Personenidentifikation sowie Abfrage von fallspezifischen Informationen. 2.  Führungsbezogene Prozesse: Zugriff auf Einsatzunterlagen, Einsatzpläne, E-Mail, Adressbuch und Kalender. Am sinn­vollsten ist es, die Anwendungsfälle aus organisatorischer Perspektive abzuleiten und in eine Mobile-Strategie zu überführen. Dies ist wichtig für die Wahl der richtigen Endgeräte. Dabei stellen sich verschiedene Fragen: Wählt man günstige Consumer-Geräte oder speziell für den Ausseneinsatz konzipierte, robuste, aber teurere Geräte? Hinzu kommt die Zieldivergenz zwischen Anwenderfreundlichkeit und Sicherheit – zwei Ziele, die sich unmöglich vereinbaren lassen und daher eine Güterabwägung erfordern. Lesen Sie auf der nächsten Seite: Kein Mobile Computing ohne Enterprise Mobility Management Kein Mobile Computing ohne Enterprise Mobility Management Am Anfang aller Mobile-Computing-Ambitionen stehen deshalb das Enterprise Mobility Management (EMM). Auf den Punkt gebracht, geht es dabei um die Frage, wer, wann, von wo, mit welchem Gerät auf welche Daten zugreifen kann und wo diese Daten gespeichert werden. «EMM» umfasst die Inventarisierung der Hardware, die Software- und Datenverteilung sowie den Schutz der Daten auf den mobilen Endgeräten. 1. Mobile Device Management (MDM):  «MDM» umfasst die Inventarisierung und Überwachung der Hardware sowie den Schutz der Daten auf den mobilen Endgeräten, beispielsweise bei einem Geräteverlust beziehungsweise Diebstahl. Wie stark das Gerät in die IT-Infrastruktur einer Organisation eingebunden werden soll (beispielsweise Active Directory), ist ebenfalls mittels «MDM» kontrollierbar. 2. Mobile Application Management (MAM): Im Gegensatz zu «MDM» stehen beim Mobile Application Management die einzelnen mobilen Applikationen und deren Lebenszyklus im Vordergrund. Damit werden Applikationen zentral und regelkonform verteilt, der Zugriff der Anwender auf Firmendaten reglementiert und Privat- von Geschäftsdaten strikt getrennt. Es wird sichergestellt, dass Geschäftsdaten nicht in privaten oder öffentlichen Backup­systemen gespeichert werden. Die Zusammenarbeit und Interaktion zwischen Apps wird mittels Mobile Application Management festgelegt. 3. Mobile Information Management (MIM): Diese «EMM»-Dimension ermöglicht eine rollenbasierte und verschlüsselte Distribution von Dokumenten. Damit wird sichergestellt, dass der Austausch und die Nutzung unstrukturierter Geschäftsdaten sicher und regelkonform erfolgt. 4. Identity und Access Management (IAM): «IAM» wiederum garantiert den compliance-gerechten Zugriff der Mitarbeiterinnen und Mitarbeiter auf diejenigen Daten, die sie zur Erfüllung ihrer Aufgaben benötigen. Insbesondere im «BYOD»-Modell ist es wichtig, den mobilen Benutzer mittels eines Authentifizierungs-Mechanismus eindeutig zu identifizieren, um ihm den Zugang auf sensible Daten gewähren zu können. Die organisationsgerechte Umsetzung von «EMM»-Lösungen bedingt eine ausführliche Risikoanalyse. Szenarien wie der Verlust von Endgeräten, Angriffe auf die Datenverbindung, die Risiken lokaler Datenhaltung oder Datendiebstahl durch Mitarbeitende gilt es zu berücksichtigen. Entsprechend ihrer Kategorisierung nach Wahrscheinlichkeit und Gefahrenstufe wird das Management ausgerichtet. Erst danach stellt sich die Frage nach der Integrationstiefe der mobilen Lösungen in die bestehende Infrastruktur. Allen Massnahmen zum Trotz ist und bleibt der Mensch das grösste Sicherheitsrisiko. Entsprechend muss die Organisation für den Einsatz mobiler Geräte befähigt werden. Dazu gehört die Ausarbeitung und Durchsetzung verbindlicher Policies wie auch die Schulung und das Training der Anwenderinnen und Anwender. ! KASTEN ! Firmenfachbeitrag als PDF dowloaden