Suchen

WhatsApp, Schatten-IT, DSGVO Ein Verbot bringt so gut wie gar nichts

| Autor: Susanne Ehneß

Wie können Behörden ihre mobile Kommunikation absichern? Sascha Wellershoff, Vorstand der Virtual Solution AG, spricht sich im Interview für die Container-Technologie aus.

Firmen zum Thema

Behörden müssen ihre mobile Kommunikation absichern
Behörden müssen ihre mobile Kommunikation absichern
(© Prostock-studio - stock.adobe.com)

Wie können Behörden sicher verschlüsselt telefonieren?

Wellershoff: Der klassische Ansatz, eine isolierte Infrastruktur mit Hardware-seitig abgesicherten Handys, ist aufwendig, teuer und kompliziert. Zudem ist die Sprachqualität nicht besonders hoch. Handelsübliche Smartphones, die natürlich auch in Behörden verbreitet sind, lassen sich nicht einbinden. Damit müssen Mitarbeiter oft zwei Geräte benutzen: Eines für die sichere Geschäftskommunikation und eines für die private Kommunikation.

Diese Zeiten sind passé: Mit fortschrittlicher Container-Technologie ist es heute möglich, sichere und verschlüsselte Gespräche von einem beliebigen Smartphone aus zu führen – und zwar parallel zu unverschlüsselten Telefonaten. Die Notwendigkeit, zwei Geräte mit sich herumzuschleppen, entfällt.

Haben die Diensttelefone ausgedient?

Wellershoff: Nein, das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat etwa der ­Lösung SecurePIM von Virtual ­Solution, die sichere Telefonie beinhaltet, eine Freigabeempfehlung bis zum Geheimhaltungsgrad VS-NfD (Verschlusssache – nur für den Dienstgebrauch) für den Einsatz in Behörden erteilt. Strengere Geheimhaltungsstufen sind VS-VERTRAULICH, GEHEIM und STRENG GEHEIM – hier werden die klassisch abgesicherten Diensttelefone und die zugrundeliegende spezielle Infrastruktur nach wie vor benötigt.

Wie sieht es mit Messengern aus: Wie schätzen Sie die Nutzung von WhatsApp durch Mitarbeiter ein?

Wellershoff: Aus rechtlicher Sicht ist WhatsApp äußerst problematisch: Die App liest die Adress­bücher der Mitarbeiter inklusive eMail-Kontakten und Telefonnummern von Kollegen, Kunden und Partnern aus und gibt die Daten an die Konzernmutter Facebook weiter. Darüber hinaus erfasst WhatsApp auch Metadaten, etwa GPS-Daten, Absturzberichte und Nutzerverhalten.

WhatsApp ist aber so weit verbreitet und so bequem in der Bedienung, dass die App auch für interne und externe Kommunikation genutzt wird. Insbesondere auch in Behörden und großen Unternehmen.

Wie hoch ist in diesem Zusammenhang die Gefahr durch Schatten-IT?

Wellershoff: Mit WhatsApp, aber auch anderen Apps wie Evernote oder Dropbox, die entweder auf privatem oder Firmengerät genutzt werden, ist fast überall eine Schatten-IT entstanden. Weil sie dagegen wenig machen können, haben viele Unternehmen und Behörden bereits resigniert und dulden die Anwendung solcher Apps. Und damit auch die Nutzung privater Geräte für die Geschäftskommunikation – trotz aller Verbote und Vorschriften.

Solche unkontrollierten Systeme stellen Behörden und Unternehmen vor rechtliche Herausforderungen, denn die Einhaltung von Bestimmungen zum Datenschutz, zum Urheberrechtsschutz oder zu Aufbewahrungspflichten ist in keiner Weise sichergestellt. Darüber hinaus stellen sie eine ständige Gefahr für die IT-Sicherheit dar, weil Angreifer über unzureichend gesicherte mobile Anwendungen und private Geräte viel leichter in die internen Netzwerke eindringen können.

Wie weit sind die deutschen Behörden, was Mobile Device Management oder Container-Lösungen angeht?

Wellershoff: Container-Lösungen sind in Bundesbehörden bisher noch nicht sehr weit verbreitet. Wir erkennen aber gerade bei Kommunen, Ländern und öffentlichen Unternehmen einen positiven Trend zur Container-Technologie. Die Einhaltung der DSGVO wird sehr ernst genommen, und Bring-Your-Own-Device wird für die Mitarbeiter-Motivation immer wichtiger. Der Sicherheitsaspekt, die schnelle und einfache Implementierung sowie die hohe Nutzerakzeptanz sind wichtige Argumente für die Container-Technologie. Außerdem sprechen uns immer öfter Behörden an, die mit ihrer MDM-Lösung unzufrieden sind und Alternativen testen wollen.

Sascha Wellershoff
Sascha Wellershoff
(© Virtual Solution)

Welches – erschwingliche – Sicherheitskonzept würden Sie einer kommunalen Behörde empfehlen?

Wellershoff: Wir plädieren auf jeden Fall für eine Container-Lösung, weil sie zahlreiche Vorteile bietet. Erstens ermöglicht sie die Nutzung sicherer Apps wie eMail, Kontakte und Kalender, sie kann aber auch einen sicheren Messenger und sichere Telefonie enthalten. Die Container-Lösung erlaubt die Nutzung auf einem beliebigen, auch privaten Smartphone. Private und Geschäftsdaten sind so vollständig und DSGVO-konform voneinander getrennt. Mitarbeiter können also Apps nach Lust und Laune ­herunterladen und benutzen – auch WhatsApp. Die Integrität und die Sicherheit der Geschäftsdaten sind jederzeit gewährleistet.

Die Implementierung einer Container-Lösung ist reibungslos, MDM-Systeme sind dafür nicht notwendig. Für eine effiziente Administration sollte allerdings eine Management-Software enthalten sein: Damit werden zum Beispiel Benutzer angelegt, Sicherheits­regeln definiert, und Daten können sogar remote gelöscht werden.

(ID:46607382)