Apps: freundliche Helfer, gefährliche Helfer
Die zahllosen kleinen Helferlein in Form mobiler Apps sind gefragt, untrennbar mit Mobile Computing und dem geschäftlichen und privaten Alltag verbunden. Dienste und Informationen für jeden erdenklichen Bereich existieren. Angefangen bei Reiseinformationen und der Standortsuche über Kalenderfunktionen und Online-Banking bis zu Börsen-, Koch- und Strickkursen finden Apps ihre Daseinsberechtigung.
In Zahlen: Mehr als 770.000 verfügbare Applikationen standen zu Jahresbeginn in Apples App-Store bereit. Die Zahl der heruntergeladenen Apps belief sich zum Zeitpunkt Januar 2013 auf rund 40.000.000.000. Nicht mitgerechnet die diversen konkurrierenden App-Plattformen von Google und Blackberry bis Windows. Was viele beim Siegeszug des Mobile Computing vergessen, sind die Gefahren hinter der schönen neuen Medienwelt. Die Kehrseite von mehr Leistung, mehr Anwendungen, mehr Design ist in vielen Fällen weniger Sicherheit. Im Klartext: Technik, Optik und Bedienbarkeit sind Top, Sicherheitsvorkehrungen in vielen Fällen Flop.
Stiftung Warentest bezeichnete manche Apps als „gefährliche Spione“. Und das Bundesamt für Sicherheit in der Informationstechnologie sieht mobile Endgeräte vielen Bedrohungen ausgesetzt. Beginnend bei Datendiebstählen über den leichtsinnigen Umgang mit Mobilgeräten und Applikationen bis hin zum Hacking reicht die Spannbreite möglicher Risiken.
Die Gefahr für Unternehmen: „Im Smartphone eines Mitarbeiters steckt heute schon mehr als in seiner Aktentasche“, so das „ZDF heute journal“ in einem Bericht zu „Smartphoneapps: Gefährliche Helfer“ vom Oktober 2012. Attestiert wurde die Gefährlichkeit des Ganzen auch von höchster Stelle, dem Deutschen Bundestag. Titel der Presseverlautbarung vom Dezember 2012: „Apps sind Sicherheitsrisiko für Smartphones“.
Der Informatikprofessor Norbert Pohlmann nannte einen Grund für die Schwachstellen bei Smartphones in der Wochenzeitung „Die Zeit“. „Weil die Geräte zuallererst für private Konsumenten entwickelt werden.“ Hinzu komme nach seiner Ansicht, dass alles zunächst auf reibungsloses Funktionieren eingerichtet sei. Mehr Sicherheit heißt im Umkehrschluss: Standardeinstellungen ändern, was nach Expertenmeinung zu wenig geschieht. Reinhard Vesper, Experte für Wirtschaftsspionage beim Verfassungsschutz Nordrhein-Westfalen, spricht davon, dass teilweise 60 bis 100 Prozent des existenziellen Firmen-Know-hows auf mobilen Datenträgern gespeichert seien. Im Grunde trägt jeder mit den modernen Kommunikationsgeräten seinen Arbeitsplatz und sensibles Firmenwissen in Form eines Smartphones oder Tablets in der Tasche spazieren. Und an dieser Stelle wird der moderne „Taschendiebstahl 3.0“ interessant. Die Datendiebe sind professionelle Banden sowie konkurrierende Firmen und Staaten. Mit beträchtlichen Schäden für Organisationen jeder Größe, in allen Branchen.
Prozesse, Mitarbeiter, Risikomanagement
Für Dr. Roland Erben, Vorstandsvorsitzender der unabhängigen Risk Management Association e. V. (RMA), sind Risiken im Umgang mit Mobile Computing nicht komplett zu verhindern. Erben: „Vielmehr geht es darum, bestehende Gefahren mithilfe organisatorischer sowie technischer Vorkehrungen zu verringern sowie Chancen zu erkennen.“ Wichtig hierzu sind Standards und eine klare Strategie bei den internen Prozessen und der Wahl der richtigen Methoden der Risikoüberwachung und -bewertung. Expertenverbände, wie die RMA, setzen beim Risikomanagement auf einen hohen Reifegrad der Prozesse. Aus diesem Grund sind Programme zur Verbesserung der Prozessqualität der richtige Weg – quer durch alle Hierarchiestufen und Unternehmensbereiche.
Im Umkehrschluss heißt das: Organisationen müssen sich im Rahmen ihres Risikomanagements aktiv um wirkungsvolle Abwehrmechanismen bemühen. Hierzu gehört, Sicherheitsstrukturen und Compliance-Richtlinien regelmäßig zu hinterfragen und gegebenenfalls neu zu justieren.
In diesem Kontext sollte ein besonderes Augenmerk auf den einzelnen Mitarbeiter gelegt werden – als Teil der Unternehmenskultur. Den Wert der Belegschaft als wichtige Stütze der Organisation müssen Vorgesetzte ihren Mitarbeitern vermitteln.
Wichtig sind bei sämtlichen Überlegungen Programme für eine bessere Prozessqualität in der Gesamtorganisation, um alle Mitarbeiter früh in den Findungs- und Etablierungsweg einzubinden. Und das heißt beispielsweise Interne Aufklärung in puncto stärkerer Awareness im Hinblick auf potenzielle Gefahren durch Mobilgeräte und Apps im Arbeitsumfeld.
Ein Weg: Das Mobile-Device-Management, um ein einheitliches Sicherheitskonzept im Mobile-Bereich zu etablieren. Die Lösungen versprechen Datensicherung, das Fernlöschen oder -sperren der Geräte, Software-Updates bis hin zu personalisierten Rechtevergaben. Als Ultima Ratio bleibt ein generelles Verbot privater Mobilgeräte im unternehmensweiten Arbeitsumfeld, vor allem in sensiblen Arbeitsbereichen.
Wo geht’s zum Gesamtkonzept?
Wenn Unternehmen ihre Mobile-Device-Strategien auf ein starkes Fundament stellen wollen, müssen Standards, Prozesse und Methoden eng mit einem durchgängigen Risikomanagement verzahnt sein. Dies heißt, dass Risiken und deren Bewertungen in die Unternehmensplanung und das Controlling integriert werden müssen. Damit lassen sich Insellösungen vermeiden und ein Gesamtkonzept zur Risikosteuerung aufbauen. Diese Vorgehensweise erscheint im Bereich Mobile Computing umso wichtiger, als die technologischen Herausforderungen mit vernetzten Strukturen und neuen Risikofaktoren gleichfalls neue Wege im Organisationsdenken erfordern. Ein wichtiger Punkt, weil sich aufgrund der mobilen Technologien das Arbeitsumfeld fundamental ändert und neue Formen der Zusammenarbeit entstehen.
Roland Erben resümiert: „Im Kern muss ein professionelles Risikomanagement zentraler Bestandteil eines fundierten Unternehmenssteuerungskonzepts sein und stärker in bestehende Managementsysteme integriert werden. Dementsprechend sollten Unternehmen eine zukunftsorientierte Risikobewertung vorantreiben und auf interne Kontrollsysteme achten, um im Kampf gegen die mobilen Gefahren und den Taschendiebstahl 3.0 zu bestehen.“
Steckbrief zur RMA
Die Risk Management Association e. V. (RMA) ist die unabhängige Interessenvertretung für das Thema Risikomanagement im deutschsprachigen Raum. Als Kompetenzpartner und Impulsgeber ist die RMA erster Ansprechpartner für Informationen, den unternehmensübergreifenden Dialog sowie die Weiterentwicklung des Risikomanagements. Zu den Mitgliedern der RMA zählen internationale Konzerne, mittelständische Unternehmen sowie Privatpersonen aus Wirtschaft, Wissenschaft und dem öffentlichen Sektor.
Weitere Informationen unter: www.rma-ev.org