Mobile Device Management für die ISO 27001 Compliance
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
- Mobile Device Management (MDM) ist ein entscheidendes Werkzeug, um mobile Endgeräte in Unternehmen zu verwalten, zu sichern und ISO 27001-konforme Sicherheitsrichtlinien durchzusetzen
- MDM bietet zentrale Funktionen wie Gerätemonitoring, Richtliniendurchsetzung, Softwareverteilung und Verschlüsselung, um sensible Geschäftsdaten zu schützen und Sicherheitslücken zu schließen
- ISO 27001 fordert Maßnahmen wie Richtlinien zur Informationssicherheit, Zugangskontrollen und kryptografische Schutzmechanismen, die durch MDM effektiv implementiert werden können
- Deeploi.io ergänzt die ISO 27001-Software von Kertos mit umfassenden MDM-Funktionen, um Verschlüsselung, Zugriffsrechte und Sicherheitsrichtlinien auf mobilen Geräten einfach und standardkonform zu verwalten
Mobiles Arbeiten: Wie Unternehmen Chancen nutzen und Risiken mit Mobile Device Management minimieren
In den letzten Jahren haben mobile Endgeräte eine unübersehbare Präsenz in der Geschäftswelt gefunden. Der weit verbreitete Einsatz mobiler Geräte in Unternehmen wurde durch den von COVID ausgelösten Trend zur Fernarbeit noch verstärkt. Die Umstellung der Mitarbeiter auf mobile Technologien hat die Arbeitsweise von Unternehmen verändert und zu einer Verbesserung von Arbeitsabläufen, Kommunikation, Flexibilität, Mobilität und Effizienz geführt.
Der Echtzeit-Datenzugriff und die Zusammenarbeit, die durch mobile Endgeräte ermöglicht werden, haben die Teamarbeit beschleunigt. Da Smartphones, Tablets, Laptops und sogar Wearables zu einem festen Bestandteil der meisten Unternehmen geworden sind, ist es wichtig, die Risiken abzuwägen, die damit verbunden sind. Da mobile Endgeräte in Unternehmen auf sensible Geschäftsdaten zugreifen, können sie die Sicherheit gefährden, wenn sie verloren gehen, gehackt oder gestohlen werden.
Diese Endgeräte können als Einstiegspunkte für Black Hat- Angreifer dienen und möglicherweise die gesamte IT-Infrastruktur gefährden, wenn keine angemessenen Sicherheitsmaßnahmen getroffen werden. Wenn sensible Geschäftsdaten gefährdet sind, riskieren Unternehmen auch eine Überprüfung der Datenschutzbestimmungen, die strenge Protokolle zum Schutz persönlicher Daten vorschreiben.
An dieser Stelle kommt das Mobile Device Management (MDM) als entscheidender Retter der Unternehmensdaten ins Spiel. Da sich die Umgebung der Sicherheitsbedrohungen und der Durchsetzung von Vorschriften weiterentwickelt hat, sind IT- und Sicherheitsverantwortliche nun mit der Bereitstellung, Verwaltung und Sicherung von Mobilgeräten in ihren Unternehmensumgebungen betraut. MDM steuert und sichert eine Vielzahl von mobilen Endgeräten, die am Arbeitsplatz eingesetzt werden.
Mobile-Device-Management für ISO 27001 leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Was ist Mobile Device Management (MDM)?
Die Verwaltung mobiler Endgeräte besteht aus einer Reihe von Softwarelösungen und Strategien, einschließlich der Anwendungen und Konfigurationen auf den Endgeräten, der Unternehmensrichtlinien und der Backend-Infrastruktur. Es ermöglicht der IT-Abteilung die Automatisierung, Sicherung und Durchsetzung von Richtlinien für mobile Geräte, die mit dem Netzwerk eines Unternehmens verbunden sind, und vereinfacht so die IT-Verwaltung von Endbenutzergeräten.
Die Wurzeln von MDM reichen bis in die frühen 2000er Jahre zurück, als die erste Welle mobiler Endgeräte, insbesondere die Einführung des ersten iPhones von Apple im Jahr 2007, den Unternehmensbereich erreichte. Der jüngste BYOD-Trend (Bring Your Own Device), der Unternehmen für Probleme mit Shadow IT anfällig gemacht hat, hat die Bedeutung des Mobile Device Management noch weiter erhöht.
Hauptmerkmale und -komponenten des Mobile Device Management
- Überwachung der Endgeräte: In einem MDM-Programm werden jedem Mitarbeiter dedizierte Arbeitsgeräte zugewiesen. Auf diesen Geräten ist ein MDM-Agent installiert, der sie direkt mit dem MDM-Server verbindet. Der MDM-Server sammelt eine Vielzahl von Daten über die Geräte, einschließlich Echtzeit-GPS-Standort, Nutzungsstatistiken, Malware-Erkennung und Einhaltung der Unternehmens- und Branchenrichtlinien.
Jedes Mal, wenn ein unbefugter Zugriff versucht wird, nicht genehmigte Anwendungen installiert werden oder gegen Richtlinien verstoßen wird, löst der MDM-Agent einen Alarm aus, um die IT-Administratoren zu informieren. Die Geräteüberwachung wird auch in Notfällen nützlich, wenn ein Mitarbeiter ein Gerät verliert und Hilfe bei der Wiederbeschaffung benötigt.
- Durchsetzung von Richtlinien: Eine effektive MDM-Lösung ermöglicht es den Administratoren, Regeln festzulegen, die mit den Unternehmenszielen übereinstimmen. Diese Regeln stellen als Teil der Richtliniendurchsetzung sicher, dass mobile Endgeräte, die Teil des Unternehmensvermögens sind oder Zugriff auf sensible Daten haben, die Unternehmensrichtlinien einhalten.
Zu diesen Richtlinien gehören die Verwaltung von Anwendungen, Netzwerken und Inhalten, die Implementierung von Sicherheitsmaßnahmen wie Kennwortrichtlinien, Remote-Löschungen und Sperrfunktionen, die Bereitstellung von Zugriffskontrollen entsprechend den Rollen und Zuständigkeiten sowie die Überwachung und Berichterstattung über die Einhaltung der Richtlinien.
- Software-Verteilung: Die MDM-Funktion zur Softwareverteilung ermöglicht es Administratoren, Anwendungen auf mobilen Endgeräten aus der Ferne bereitzustellen, zu aktualisieren und zu verwalten. Mobile Device Management ermöglicht die Integration mit App-Stores wie dem Apple App Store und dem Google Play Store sowie mit App-Stores von Unternehmen für eine nahtlose Verteilung und Aktualisierung von Anwendungen.Je nach Richtlinie können Administratoren die Installation von Anwendungen auf verwalteten Endgeräten aus der Ferne vorantreiben, entweder mit Zustimmung des Benutzers oder ohne dessen Zutun. Auf diese Weise wird sichergestellt, dass alle Anwendungen auf den verwalteten Endgeräten mit den aktuellen Versionen der Anwendungen arbeiten und bei Bedarf auf die vorherige Version zurückgesetzt werden können.
Grundlagen der ISO 27001
In diesem digitalen Zeitalter, in dem Daten die neue Währung sind, haben der Datenschutz und die Sicherheit der Daten für Organisationen weltweit höchste Priorität. Wenn das ISMS eines Unternehmens beeinträchtigt wird, besteht die Gefahr, dass wertvolle Daten verloren gehen, was zu Rufschädigung und finanziellem Schaden führen kann.
Die international anerkannte Norm ISO 27001 bietet einen soliden Rahmen für das Risikomanagement im Bereich der Informationssicherheit, um Unternehmen zu unterstützen. Er hilft Unternehmen dabei, Sicherheitslücken zu minimieren, die zu unbefugtem Zugriff, Offenlegung, Änderung oder Zerstörung sensibler Informationen führen könnten.
ISO 27001 ist ein internationaler Standard für das Informationssicherheitsmanagement, der von der ISO in Zusammenarbeit mit der IEC, einer führenden internationalen Organisation zur Entwicklung internationaler Standards, veröffentlicht wurde. Sie bietet einen Rahmen für die Anforderungen an die Definition, die Implementierung, den Betrieb und die Verbesserung des Informationssicherheitsmanagementsystems (ISMS) einer Organisation.
Die Einhaltung von ISO 27001 zeigt das Engagement der Unternehmen für die Informationssicherheit. Die Zertifizierung nach ISO 27001 erleichtert Unternehmen die Einhaltung von Datenschutzvorschriften wie der DSGVO, verschafft ihnen einen Wettbewerbsvorteil auf dem internationalen Markt und schafft Vertrauen bei Kunden und Interessengruppen.
Hauptbestandteile und Strukturen der Norm
Als Mitglied der ISO 27000-Reihe ist die ISO 27001 die am häufigsten zertifizierte Norm. Ihre Popularität und Effektivität haben dazu geführt, dass viele Unternehmen sie für ihre IT-Governance-, Risikomanagement- und Compliance-Programme übernommen haben. Die Einhaltung von ISO 27001 und damit die Aufrechterhaltung eines starken ISMS erfordert einen strukturierten Ansatz. Ein solcher Ansatz ist der PDCA-Zyklus (Plan-Do-Check-Act).
- Plan: Den Grundstein legen
Die Planungsphase beginnt mit der Festlegung klarer Ziele für das ISMS, die auf die strategischen Ziele des Unternehmens abgestimmt sein sollten. Die Ziele von Unternehmen können unterschiedlich sein, je nachdem, ob es um die Einhaltung gesetzlicher Vorschriften, den Schutz sensibler Daten oder die Verbesserung der allgemeinen Cybersicherheit geht.
Dieser Schritt beinhaltet die Durchführung einer umfassenden Risikobewertung des ISMS. Sie hilft Unternehmen, Bedrohungen und Schwachstellen zu identifizieren, die für sie in Bezug auf Systemmerkmale, Management, Komplexität, Mitarbeiter, eingesetzte Technologie usw. einzigartig sind. Damit wird die Grundlage für die Auswahl und Umsetzung geeigneter Sicherheitskontrollen geschaffen, wie sie im Rahmen von ISO 27001 vorgesehen sind.
- Do: Pläne in die Tat umsetzen
Die Umsetzungsphase umfasst die Entwicklung und Durchsetzung von ISMS-Richtlinien, den Einsatz von Sicherheitssoftware und die Schulung der Mitarbeiter. Sie erfordert, dass die Unternehmen Risikobewertungen durchführen und die Gründe für die einzelnen Strukturen bewerten. Diese Phase umfasst die Ausarbeitung von Verfahren zur Bewältigung ermittelter Risiken und die Einführung geeigneter Sicherheitskontrollen.
- Check: Kontinuierliche Überwachung und Überprüfung
Die Aufrechterhaltung einer optimalen Leistung ist ein Muss, um sicherzustellen, dass die Ergebnisse der Prozesse innerhalb des erwarteten Bereichs liegen. Diese Phase umfasst die Überwachung, Messung, Analyse und Bewertung der implementierten Kontrollen im Vergleich zu den festgelegten Richtlinien und Zielen. Die kontinuierliche Überwachung der wichtigsten Leistungsindikatoren (Key Performance Indicators, KPIs) liefert wertvolle Einblicke in den Zustand des ISMS und hilft bei der Ermittlung, Behandlung, Beseitigung oder Verbesserung der festgestellten Probleme.
- Act: Aktualisierungen und Verbesserungen des ISMS
In der letzten Phase des PDCA-Zyklus, der Act-Phase, geht es darum, auf der Grundlage der Erkenntnisse aus der Check-Phase Korrekturmaßnahmen zu ergreifen, um eine kontinuierliche Verbesserung des ISMS zu erreichen. Die aus der Check-Phase gewonnenen Erkenntnisse können dazu führen, dass Unternehmen einige Arbeitsstunden aufwenden oder sogar das bestehende System neu gestalten müssen (in den schlimmsten Fällen). Auf der Grundlage der Risikobewertung können Unternehmen Prioritäten setzen, welche Lücken sofort angegangen werden müssen und welche für später aufbewahrt werden können. Der PDCA-Zyklus ist ein geschlossener Kreislauf, der im Laufe der Zeit dynamische Verbesserungen erfordert.
Verbindung zwischen MDM und ISO 27001
Da die Bedrohungen immer raffinierter werden, hat ISO/IEC im Jahr 2022 eine neue Version von ISO 27001 herausgegeben, die die Notwendigkeit widerspiegelt, mobile Endgeräte zu sichern und Richtlinien für ihre Nutzung zu entwickeln.
Bewährte Praktiken für das Mobile Device Management (MDM) berücksichtigen die folgenden Kontrollen, die in Anhang A der ISO 27001:2022 beschrieben sind.
Richtlinien zur Informationssicherheit (Klausel 5.2)
Klausel 5.2 der ISO 27001 verlangt von der obersten Leitung eines Unternehmens, eine Informationssicherheitspolitik zu erstellen.
Sie ist eines der ersten Dokumente, die ein Unternehmen beim Aufbau seines ISMS erstellen muss. Mit dieser Politik werden allen Mitarbeitern die Ziele und Auswirkungen der Informationssicherheit vermittelt. Wenn die Richtlinie formell kommuniziert wird, gibt sie eine klare Vision und Richtung vor und hilft jedem, die Ziele und den strategischen Ansatz des Unternehmens für die Informationssicherheit zu verstehen.
MDM-Lösungen ermöglichen es Unternehmen, sicherheitsrelevante Richtlinien zu erstellen, z. B. obligatorische Verschlüsselung, Passwortrichtlinien, Zugangskontrollen usw. Diese Richtlinien werden auf alle mobilen Endgeräte angewandt, um sicherzustellen, dass sie den Sicherheitsstandards des Unternehmens entsprechen. Mobile Device Management bietet einen zentralen Überblick über die Leistung aller Geräte und überwacht die Einhaltung der Unternehmensrichtlinien.
Es ermöglicht Unternehmen, die Sicherheitseinstellungen für alle mobilen Endgeräte von einer einzigen Plattform aus zu verwalten und sichere Konfigurationen auf problematischen Geräten durchzusetzen. Push-Benachrichtigungsfunktionen auf MDM-Plattformen ermöglichen es Unternehmen, Software-Updates auf Benutzergeräten direkt zu verwalten und alle Informationen als Benachrichtigung zu übermitteln, die für die Einhaltung der Best Practices durch die Benutzer wichtig sein könnten.
Zugangskontrollen (Klausel 9)
Die Einhaltung der ISO 27001-Norm erfordert die Einhaltung von 14 Zugangskontrollen, die in der Kontrollkategorie A.9 aufgeführt sind. Das mag entmutigend klingen, aber dank der Verwaltung mobiler Geräte lassen sich die Anforderungen ziemlich gut erfüllen.
Anhang 9 konzentriert sich auf vier Schlüsselbereiche und die Art und Weise, wie MDM diese Bereiche abdeckt:
- Richtlinien: Anhang A.9.1 verlangt die Erstellung von Richtlinien für die Zugriffskontrolle, die Dokumentation dieser Richtlinien, die Definition von Rollen und Verantwortlichkeiten für Zugriffsrechte und eine detaillierte Beschreibung, wie die Organisation diese verwaltet. MDM-Lösungen ermöglichen es Unternehmen, Richtlinien für die Verwaltung von Anwendungen, die Kontrolle von Inhalten und die Verwaltung von Zugriffsrechten zu formulieren und zu aktivieren und so die Anforderungen der Richtlinien effektiv zu erfüllen.
- Zugriff: Anhang A.9.2 fordert die Verwaltung und Überprüfung von Zugriffsrechten, einschließlich der Bereitstellung, Autorisierung und Einschränkung von Benutzern. Durch die Implementierung robuster Authentifizierungsprotokolle und Zugriffskontrollen stellen MDM-Lösungen sicher, dass nur die richtigen Personen mit entsprechender Berechtigung auf die auf mobilen Endgeräten gespeicherten sensiblen Informationen zugreifen können.
- Verantwortlichkeiten der Benutzer: Gemäß Anhang A.9.3 muss sichergestellt werden, dass die Benutzer die Sicherheitsanforderungen des Unternehmens verstehen und gute Zugriffskontrollpraktiken anwenden. MDM-Plattformen schulen die Benutzer über Sicherheitsanforderungen und -richtlinien, fördern die Verantwortung der Benutzer und das Bewusstsein für die Zugriffsrechte.
- Verhinderung von unberechtigtem Zugriff: Anhang A.9.5 fordert die Sicherung des Zugangs zu Systemen und Anwendungen, um zu verhindern, dass Unbefugte Zugang zu sensiblen Informationen erhalten. Mechanismen wie Informationszugangsbeschränkungen, sichere Anmeldung, Passwortverwaltung und Quellcode-Zugang, die in Anhang A.9.4 behandelt werden, werden auch von MDM-Plattformen implementiert und erfüllen die Anforderungen von ISO 27001.
Kryptographie (Klausel 10)
Anhang A.10.1 befasst sich mit kryptographischen Kontrollen. Ziel ist es, wirksame kryptographische und Verschlüsselungskontrollen einzurichten, um die Vertraulichkeit, Authentizität und Integrität von Geschäftsinformationen zu gewährleisten. Die Erstellung von Richtlinien für die Verwendung von Verschlüsselung hilft bei der Identifizierung von Geschäftsanforderungen, bei denen die Implementierung von Verschlüsselung unerlässlich sein kann.
Es ist wichtig, die richtigen Verschlüsselungstechnologien und -techniken auszuwählen; andernfalls kann eine schlechte Auswahl und Verwaltung von kryptografischem Material (z. B. Schlüssel und Zertifikate) selbst zu Schwachstellen im System führen. Oft ist die Verwaltung des Schlüsselmaterials (Anhang A.10.2) die schwächste Stelle, so dass robuste und sichere Prozesse rund um das Schlüsselmaterial, von der Erstellung, Verteilung, Änderung, Sicherung und Speicherung bis hin zur Vernichtung, für die Aufrechterhaltung der Sicherheit des Systems entscheidend sind.
Mobile Device Management (MDM) ermöglicht es Unternehmen, die Verschlüsselung von mobilen Endgeräten zu erzwingen. Dazu gehören die obligatorische Verschlüsselung von Daten im Ruhezustand und bei der Übertragung sowie die Konfiguration von Geräten mit vom Unternehmen genehmigten kryptografischen Standards. Eine gute MDM-Lösung bietet Konfigurationsoptionen für FileVault, das den gesamten Inhalt der Festplatte eines Macs mit Verschlüsselungsmethoden wie XTS-AES-128 verschlüsselt.
Die sichere Verwaltung von kryptografischen Schlüsseln gewährleistet eine kontrollierte Erstellung, Verteilung und Speicherung.
Mit der Escrowing-Key-Funktion ist es selbst bei Verlust oder Vergessen des Primärschlüssels möglich, Daten mit dem verfügbaren Wiederherstellungsschlüssel zu entschlüsseln.
Deeploi.io als MDM-Integration für ISO 27001
Wir von Kertos helfen Unternehmen, Datenschutz in tatsächliche Compliance zu verwandeln. Unabhängig von der Menge der Daten oder der Komplexität der Datenschutzprozesse eines Unternehmens, Kertos.io leistet immer. Unsere ISO 27001-Software umfasst verschiedene Tools und Mechanismen, die die Verwaltung und Verbesserung Ihres ISMS kinderleicht machen.
Um dein Unternehmen ISO 27001-konform zu machen, sind wir mit den besten Tools in unserem Arsenal ausgestattet. Nur die bisher fehlende MDM-Integration haben wir durch unsere Partnerschaft mit Deeploi.io erreicht, die unsere ISO 27001-Zertifizierungsfähigkeiten verstärkt.
Die umfassenden MDM-Funktionen von Deeploi ermöglichen es Unternehmen, Sicherheitsrichtlinien im Einklang mit den ISO 27001-Anforderungen auf allen mobilen Endgeräten durchzusetzen. Mit den besten Verschlüsselungstechniken wird sichergestellt, dass deine sensiblen Daten gemäß den ISO 27001-Standards geschützt sind, ob im Ruhezustand oder bei der Übertragung. Wenn du mehr darüber erfahren möchtest, wie wir dich bei der MDM-Integration zur Einhaltung der ISO 27001 unterstützen können, kontaktiere uns noch heute.