MDM Essen­ti­als — Mobi­le Device Manage­ment und Daten­schutz: Wor­auf muss man ach­ten?

Mobi­le Device Manage­ment unter­liegt stär­ker als vie­le ande­re Soft­ware­lö­sun­gen dem Daten­schutz, denn nahe­zu alle Daten, die von einem MDM-Sys­tem ver­ar­bei­tet wer­den, sind per­so­nen­be­zo­ge­ne Daten. Inso­fern ist jeder Anwen­der eines MDM-Sys­tems ver­pflich­tet, dem Aspekt Daten­schutz bei der Aus­wahl des MDM-Sys­tems erhöh­te Bedeu­tung bei­zu­mes­sen, da die Ein­hal­tung der ein­schlä­gi­gen Daten­schutz­vor­schrif­ten und -geset­ze nicht in das Ermes­sen des Anwen­ders gelegt, son­dern eine gesetz­li­che Vor­ga­be ist. Hier­bei muss man zwi­schen gehos­te­ten und in der eige­nen Infra­struk­tur betrie­be­nen MDM-Lösun­gen unter­schei­den.

Gehos­te­te Lösun­gen soll­ten grund­sätz­lich auf Ser­vern in deut­schen Rechen­zen­tren betrie­ben wer­den, die von deut­schen Anbie­tern ange­bo­ten wer­den. In die­sem Fall bestehen die Vor­aus­set­zun­gen, dass die deut­schen Daten­schutz­vor­schrif­ten ein­ge­hal­ten wer­den (kön­nen). Dies ist bei der (häu­fi­gen) Nut­zung von Cloud-Lösun­gen fast immer nicht der Fall, da über 90% der welt­wei­ten Cloud-Infra­struk­tur auf Ser­vern betrie­ben wer­den, die ame­ri­ka­ni­schen Unter­neh­men gehö­ren bzw. sich in deren direk­tem Zugriff befin­den. Mehr zu die­sem The­ma kön­nen Sie beim Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein nach­le­sen.

Aber auch gehos­te­te Lösun­gen von Anbie­tern aus den USA bzw. mit Sitz in den USA auf kon­ven­tio­nel­len Ser­vern — selbst wenn die­se in Deutsch­land betrie­ben wer­den — ent­spre­chen regel­mä­ßig nicht deut­schen Daten­schutz­vor­schrif­ten, da die­se Unter­neh­men welt­weit ame­ri­ka­ni­schem Recht unter­lie­gen, dass kei­nen Daten­schutz in unse­rem Sin­ne kennt. Im Zuge der unter dem Begriff ‘Patri­ot Act’ in den letz­ten Jah­ren in den USA erfolg­ten Gesetz­ge­bung wur­de der Daten­schutz mitt­ler­wei­le so total aus­ge­höhlt, dass ein Unter­neh­men aus den USA bzw. mit Sitz in den USA Daten­schutz nach deut­schen Vor­schrif­ten regel­mä­ßig nicht lie­fern kann. Auch dies kön­nen Sie sich ggf. beim Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein oder beim Daten­schutz­be­auf­trag­ten Ihres Bun­des­lan­des bestä­ti­gen las­sen.

Etwas anders sieht die Lage bei Instal­la­tio­nen von MDM-Sys­te­men in der eige­nen Infra­struk­tur aus. Hier muss man wis­sen, dass es zwei­er­lei MDM-Sys­te­me gibt. Zum einen Sys­te­me, die die Daten des MDM-Sys­tems über Netz­werk­struk­tu­ren in den USA (soge­nann­te NOCs) zur Ver­ar­bei­tung lei­ten, zum ande­ren Sys­te­me, die dies nicht tun. Sys­te­me, die die Daten über Netz­werk­in­fra­struk­tu­ren in den USA oder unter der Kon­trol­le ame­ri­ka­ni­scher Anbie­ter lei­ten, ent­spre­chen grund­sätz­lich nicht deut­schen Daten­schutz­vor­schrif­ten. Dies gilt allein schon des­halb, weil in den USA kei­ne deut­schen Daten­schutz-Stan­dards ent­spre­chen­den Geset­ze und Vor­schrif­ten in Kraft sind.

Erschwe­rend kommt hin­zu, dass — resul­tie­rend aus den Vor­schrif­ten der Patri­ot-Act-Gesetz­ge­bung — jeder ame­ri­ka­ni­sche Her­stel­ler von Soft­ware, die mit Ver­schlüs­se­lun­gen stär­ker als 56 Bit arbei­tet (und das ist jedes MDM-Sys­tem!), beim Export ver­pflich­tet ist, dem ame­ri­ka­ni­schen Han­dels­mi­nis­te­ri­um (und dadurch indi­rekt der NSA, dem ame­ri­ka­ni­schen Geheim­dienst) sei­ne Ver­schlüs­se­lung offen­zu­le­gen. Wenn man jetzt noch berück­sich­tigt, dass wesent­li­che Tei­le der deut­schen Mobil­kom­mu­ni­ka­ti­on (legal!) von den Ame­ri­ka­nern aus Gries­heim bei Frank­furt mit­ge­schnit­ten wer­den dür­fen, wird auch dem Lai­en das Sicher­heits­ni­veau ame­ri­ka­ni­scher MDM-Lösun­gen schnell klar.

Auf den Punkt gebracht: Der Ein­satz ame­ri­ka­ni­scher Lösun­gen in Deutsch­land ist nicht nur in vie­len Fäl­len schlicht ille­gal, er ist zudem auch noch höchst unsi­cher! Es ist lächer­lich, wenn die Ver­käu­fer und Anbie­ter ame­ri­ka­ni­scher Lösun­gen von Daten­schutz und Sicher­heit im Ver­kaufs­ge­spräch spre­chen, hier wird oft aktiv gelo­gen.

Aber auch die Lösung selbst soll­te vor der Beschaf­fung inten­siv unter­sucht wer­den, denn in kei­nem ande­ren IT-Markt wird mehr falsch infor­miert und gelo­gen als im MDM-Markt. Des­halb tes­ten Sie das MDM-Sys­tem Ihrer Wahl, das nach den obi­gen Aus­füh­run­gen natür­lich aus Euro­pa kom­men soll­te, gezielt auf fol­gen­de Sicher­heits­as­pek­te:

  • Sämt­li­che Kom­mu­nikti­on (nicht nur die zu den mobi­len End­ge­rä­ten) erfolgt min­des­tens über SSL.
  • Gehos­te­te Lösun­gen wer­den über VPN lücken­los in das Anwen­der-Netz­werk ein­ge­bun­den.
  • Die Kom­mu­ni­ka­ti­on auf dem SSL- oder VPN-Kanal wird zusätz­lich kom­plett ver­schlüs­selt (AES oder 3DES ab 256 Bit).
  • Sämt­li­che Pro­duk­tiv­da­ten auf dem MDM-Ser­ver wer­den ver­schlüs­selt abge­legt (AES oder 3DES ab 256 Bit).
  • Admi­nis­tra­to­ren und Bedie­ner des MDM-Sys­te­mes kön­nen nicht Ein­blick in die Daten der Benut­zer neh­men.

Prü­fen Sie die Ein­hal­tung der oben ange­führ­ten Schutz­mass­nah­men selbst bzw. las­sen Sie sich vom Her­stel­ler auf dem Ser­ver die Orte zei­gen, wo die ent­spre­chen­den Daten lie­gen. Ein Beteu­ern des Ver­käu­fers, dass all dies selbst­ver­ständ­lich sei, ist kom­plett wert­los, denn er weiß es meis­tens wirk­lich nicht bes­ser. Holen Sie sich ggf. auch exter­nen Sach­ver­stand zu die­sem The­ma, denn die Über­prü­fung der Ein­hal­tung des Daten­schut­zes durch MDM-Sys­te­me ist nicht tri­vi­al.

Wenn Sie ande­re Fra­gen zur Ein­hal­tung des Daten­schut­zes in der Mobi­li­ty haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Las­sen Sie auch Ihre Freun­de und Bekann­ten an Ihrem Wis­sen teil­ha­ben und emp­feh­len die­sen Bei­trag doch auf Twit­ter, Goog­le oder Face­book wei­ter. Und zuletzt: Beant­wor­ten Sie bit­te unse­re 3 Fra­gen am Ende des Arti­kels. Vie­len Dank!


Ande­re inter­es­san­te Bei­trä­ge:
Bring Your Own Device (BYOD) — Wie­vie­le Gerä­te­ty­pen kom­men denn da auf mich zu?
Ich mag kei­ne abs­trak­ten Dis­kus­sio­nen. Vor­ges­tern sprach ich mit einem abso­lu­ten BYOD-Befür­wor­ter. Der Mensch, sehr nett, ist Con­sul­ter bei einer der gro­ßen IT-Con­sul­ting-Fir­men und nicht direkt für Mobi­li­ty zustän­dig, als Con­sul­ter bei einer Fir­ma die­ser Liga hat er natür­lich ein Quer­schnitts­wis­sen…
MDM Essen­ti­als — Wie funk­tio­niert PUOCE (Pri­va­te Use of Com­pa­ny Equip­ment) mit iPho­ne und iPad
Seit ich hier im Blog im Bei­trag MDM-Essen­ti­als – Pri­va­te Use Of Com­pa­ny Equip­ment (PUOCE): Was ist das und wie geht das? das PUO­CE-Kon­zept vor­ge­stellt habe, rei­ßen die Nach­fra­gen nicht ab. Ich ent­schul­di­ge mich bei all denen, denen ich gesagt habe, in den nächs­ten Tagen schrei­be ich wei­ter zu PUOCE…
MDM Essen­ti­als — Kann man bei Mobi­le Device Manage­ment zwi­schen Hos­ting und Inhouse-Nut­zung wech­seln?
Die­se Fra­ge wird mir in den letz­ten Wochen teil­wei­se mehr­fach pro Woche gestellt, so auch hier in den USA, wo ich mich gera­de auf­hal­te. Dies ist eine typi­sche ‘Radio-Eri­wan-Fra­ge’. Denn die Ant­wort lau­tet: Im Prin­zip Ja. Nur kön­nen es die meis­ten Lösun­gen und Anbie­ter nicht. Denn die Auf­ga­be eines …
Pre­tio­so auf der CeBIT 2013 — 16 Gele­gen­hei­ten unse­re Tipps zu Mobi­li­ty Stra­te­gi­en, Mobi­le Device Manage­ment (MDM) und Bring Your Own Device…
Wir stel­len seit vie­len Jah­ren auf der CeBIT aus. Aber noch nie waren wir so prä­sent wie in die­sem Jahr. Der heu­ti­ge Stand ist, dass wir 14 Vor­trä­ge zu den The­men Mobi­li­ty Stra­te­gie, Mobi­le Device Manage­ment (MDM) und Bring Your Own Device (BYOD) hal­ten und an zwei Podi­ums­dis­kus­sio­nen zum The­ma Brin…
MDM-Essen­ti­als — Wenn schon Bring Your Own Device – wel­che Anfor­de­run­gen stellt BYOD an ein leis­tungs­fä­hi­ges MDM-Sys­tem?
Wer den Pre­tio­so-Blog ver­folgt wird wis­sen, dass wir auf­grund gra­vie­ren­der sicher­heits­tech­ni­scher und recht­li­cher Beden­ken von einer BYOD Stra­te­gie im Unter­neh­men abra­ten und hier­zu auch Alter­na­ti­ven ent­wi­ckelt haben (Pri­va­te Use of Com­pa­ny Equip­ment — PUOCE). Dies ist detail­liert nach­zu­le­sen in dem…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.