MDM Essen­ti­als — Mobi­le Device Manage­ment und Daten­schutz: Wor­auf muss man ach­ten?

Mobi­le Device Manage­ment unter­liegt stär­ker als vie­le ande­re Soft­ware­lö­sun­gen dem Daten­schutz, denn nahe­zu alle Daten, die von einem MDM-Sys­tem ver­ar­bei­tet wer­den, sind per­so­nen­be­zo­ge­ne Daten. Inso­fern ist jeder Anwen­der eines MDM-Sys­tems ver­pflich­tet, dem Aspekt Daten­schutz bei der Aus­wahl des MDM-Sys­tems erhöh­te Bedeu­tung bei­zu­mes­sen, da die Ein­hal­tung der ein­schlä­gi­gen Daten­schutz­vor­schrif­ten und -geset­ze nicht in das Ermes­sen des Anwen­ders gelegt, son­dern eine gesetz­li­che Vor­ga­be ist. Hier­bei muss man zwi­schen gehos­te­ten und in der eige­nen Infra­struk­tur betrie­be­nen MDM-Lösun­gen unter­schei­den.

Gehos­te­te Lösun­gen soll­ten grund­sätz­lich auf Ser­vern in deut­schen Rechen­zen­tren betrie­ben wer­den, die von deut­schen Anbie­tern ange­bo­ten wer­den. In die­sem Fall bestehen die Vor­aus­set­zun­gen, dass die deut­schen Daten­schutz­vor­schrif­ten ein­ge­hal­ten wer­den (kön­nen). Dies ist bei der (häu­fi­gen) Nut­zung von Cloud-Lösun­gen fast immer nicht der Fall, da über 90% der welt­wei­ten Cloud-Infra­struk­tur auf Ser­vern betrie­ben wer­den, die ame­ri­ka­ni­schen Unter­neh­men gehö­ren bzw. sich in deren direk­tem Zugriff befin­den. Mehr zu die­sem The­ma kön­nen Sie beim Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein nach­le­sen.

Aber auch gehos­te­te Lösun­gen von Anbie­tern aus den USA bzw. mit Sitz in den USA auf kon­ven­tio­nel­len Ser­vern — selbst wenn die­se in Deutsch­land betrie­ben wer­den — ent­spre­chen regel­mä­ßig nicht deut­schen Daten­schutz­vor­schrif­ten, da die­se Unter­neh­men welt­weit ame­ri­ka­ni­schem Recht unter­lie­gen, dass kei­nen Daten­schutz in unse­rem Sin­ne kennt. Im Zuge der unter dem Begriff ‘Patri­ot Act’ in den letz­ten Jah­ren in den USA erfolg­ten Gesetz­ge­bung wur­de der Daten­schutz mitt­ler­wei­le so total aus­ge­höhlt, dass ein Unter­neh­men aus den USA bzw. mit Sitz in den USA Daten­schutz nach deut­schen Vor­schrif­ten regel­mä­ßig nicht lie­fern kann. Auch dies kön­nen Sie sich ggf. beim Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein oder beim Daten­schutz­be­auf­trag­ten Ihres Bun­des­lan­des bestä­ti­gen las­sen.

Etwas anders sieht die Lage bei Instal­la­tio­nen von MDM-Sys­te­men in der eige­nen Infra­struk­tur aus. Hier muss man wis­sen, dass es zwei­er­lei MDM-Sys­te­me gibt. Zum einen Sys­te­me, die die Daten des MDM-Sys­tems über Netz­werk­struk­tu­ren in den USA (soge­nann­te NOCs) zur Ver­ar­bei­tung lei­ten, zum ande­ren Sys­te­me, die dies nicht tun. Sys­te­me, die die Daten über Netz­werk­in­fra­struk­tu­ren in den USA oder unter der Kon­trol­le ame­ri­ka­ni­scher Anbie­ter lei­ten, ent­spre­chen grund­sätz­lich nicht deut­schen Daten­schutz­vor­schrif­ten. Dies gilt allein schon des­halb, weil in den USA kei­ne deut­schen Daten­schutz-Stan­dards ent­spre­chen­den Geset­ze und Vor­schrif­ten in Kraft sind.

Erschwe­rend kommt hin­zu, dass — resul­tie­rend aus den Vor­schrif­ten der Patri­ot-Act-Gesetz­ge­bung — jeder ame­ri­ka­ni­sche Her­stel­ler von Soft­ware, die mit Ver­schlüs­se­lun­gen stär­ker als 56 Bit arbei­tet (und das ist jedes MDM-Sys­tem!), beim Export ver­pflich­tet ist, dem ame­ri­ka­ni­schen Han­dels­mi­nis­te­ri­um (und dadurch indi­rekt der NSA, dem ame­ri­ka­ni­schen Geheim­dienst) sei­ne Ver­schlüs­se­lung offen­zu­le­gen. Wenn man jetzt noch berück­sich­tigt, dass wesent­li­che Tei­le der deut­schen Mobil­kom­mu­ni­ka­ti­on (legal!) von den Ame­ri­ka­nern aus Gries­heim bei Frank­furt mit­ge­schnit­ten wer­den dür­fen, wird auch dem Lai­en das Sicher­heits­ni­veau ame­ri­ka­ni­scher MDM-Lösun­gen schnell klar.

Auf den Punkt gebracht: Der Ein­satz ame­ri­ka­ni­scher Lösun­gen in Deutsch­land ist nicht nur in vie­len Fäl­len schlicht ille­gal, er ist zudem auch noch höchst unsi­cher! Es ist lächer­lich, wenn die Ver­käu­fer und Anbie­ter ame­ri­ka­ni­scher Lösun­gen von Daten­schutz und Sicher­heit im Ver­kaufs­ge­spräch spre­chen, hier wird oft aktiv gelo­gen.

Aber auch die Lösung selbst soll­te vor der Beschaf­fung inten­siv unter­sucht wer­den, denn in kei­nem ande­ren IT-Markt wird mehr falsch infor­miert und gelo­gen als im MDM-Markt. Des­halb tes­ten Sie das MDM-Sys­tem Ihrer Wahl, das nach den obi­gen Aus­füh­run­gen natür­lich aus Euro­pa kom­men soll­te, gezielt auf fol­gen­de Sicher­heits­as­pek­te:

  • Sämt­li­che Kom­mu­nikti­on (nicht nur die zu den mobi­len End­ge­rä­ten) erfolgt min­des­tens über SSL.
  • Gehos­te­te Lösun­gen wer­den über VPN lücken­los in das Anwen­der-Netz­werk ein­ge­bun­den.
  • Die Kom­mu­ni­ka­ti­on auf dem SSL- oder VPN-Kanal wird zusätz­lich kom­plett ver­schlüs­selt (AES oder 3DES ab 256 Bit).
  • Sämt­li­che Pro­duk­tiv­da­ten auf dem MDM-Ser­ver wer­den ver­schlüs­selt abge­legt (AES oder 3DES ab 256 Bit).
  • Admi­nis­tra­to­ren und Bedie­ner des MDM-Sys­te­mes kön­nen nicht Ein­blick in die Daten der Benut­zer neh­men.

Prü­fen Sie die Ein­hal­tung der oben ange­führ­ten Schutz­mass­nah­men selbst bzw. las­sen Sie sich vom Her­stel­ler auf dem Ser­ver die Orte zei­gen, wo die ent­spre­chen­den Daten lie­gen. Ein Beteu­ern des Ver­käu­fers, dass all dies selbst­ver­ständ­lich sei, ist kom­plett wert­los, denn er weiß es meis­tens wirk­lich nicht bes­ser. Holen Sie sich ggf. auch exter­nen Sach­ver­stand zu die­sem The­ma, denn die Über­prü­fung der Ein­hal­tung des Daten­schut­zes durch MDM-Sys­te­me ist nicht tri­vi­al.

Wenn Sie ande­re Fra­gen zur Ein­hal­tung des Daten­schut­zes in der Mobi­li­ty haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Las­sen Sie auch Ihre Freun­de und Bekann­ten an Ihrem Wis­sen teil­ha­ben und emp­feh­len die­sen Bei­trag doch auf Twit­ter, Goog­le oder Face­book wei­ter. Und zuletzt: Beant­wor­ten Sie bit­te unse­re 3 Fra­gen am Ende des Arti­kels. Vie­len Dank!


Ande­re inter­es­san­te Bei­trä­ge:
Bring Your Own Device (BYOD) — Was Men­schen und Mit­ar­bei­ter dar­über wirk­lich den­ken
Wer die­sen Blog regel­mä­ßig liest — und das wer­den erfreu­li­cher­wei­se immer mehr Leser, im August über 20 % mehr als im Juli, kon­kret 625 wie­der­keh­ren­de Besu­cher — weiss, dass ich seit vie­len Mona­ten gegen den unse­li­gen BYOD-Hype anschrei­be. Im Juni habe ich des­halb begon­nen in dem für mich erreich­bar…
Ist Good for Enter­pri­se wirk­lich „good for enter­pri­se”?
Vor zwei Tagen habe ich mich schon ein­mal hier im Blog mit Con­tai­ner-Kon­zep­ten beschäf­tigt und mei­nen Test von Touch­down von Nitro­desk im Bei­trag App­Test — Con­tainer­lö­sung Touch­down von Nitro­desk auf iPho­ne und iPad beschrie­ben. In der kur­zen Zeit seit­dem erreich­ten mich drei Leser­zu­schrif­ten,…
Podi­ums­dis­kus­si­on zu Bring Your Own Device (BYOD) – Fluch oder Segen für die Unter­neh­mens IT?
Auf der CeBIT 2013 wur­den zwei Podi­ums­dis­kus­sio­nen zum The­ma Bring Your Own Device (BYOD) auf dem Mobi­le Busi­ness Solu­ti­ons Forum durch­ge­führt, heu­te zei­gen wir Ihnen die ers­te vom 05. März 2013. Unter der sou­ve­rä­nen Lei­tung von Franz Hasl­beck von der m-Aca­de­my dis­ku­tier­te ich mit Patrick Blit…
datomo MDM Update 3.18.3 — Gerä­te-und Benut­zer­ver­wal­tung jetzt auch auf neu­er GUI
Bevor wir das Major Release 3.19 ver­öf­fent­li­chen stel­len wir Ihnen hier das neue Update zur Ver­si­on 3.18.3 vor, das sich im Wesent­li­chen auf Ver­bes­se­run­gen und Erwei­te­run­gen der Funk­tio­nen auf der neu­en GUI, die dem datomo MDM vor­ge­schal­tet ist, bezieht. In die­sem Update haben wir Anpas­sun­gen an de…
Web­sei­te datomo Mobi­le Device Manage­ment im neu­en Design
Die Web­sei­te von datomo MDM wur­de über­ar­bei­tet und kürz­lich im neu­en Design ver­öf­fent­licht. Sur­fen Sie ein­fach mal auf datomo​.de und schau­en Sie sich unse­re Lösung und den neu­en Web­auf­tritt im Detail an. Inno­va­ti­ves Design, über­sicht­lich struk­tu­riert und klar geglie­dert — Sie fin­den schnell wonac…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.