Eine moderne Arbeitswelt ohne mobile Endgeräte wie Smartphones, Tablets und Laptops ist für die meisten Arbeitnehmer unvorstellbar: Spätestens seit der Coronapandemie hat sich Home-Office als fester Bestandteil des Arbeitsalltags etabliert und auch die Möglichkeit der Fernarbeit ist heute für viele Unternehmen nicht mehr wegzudenken. Die Nutzung mobiler Geräte trägt hierzu einen unverzichtbaren Teil bei. Aus diesem Grund stellen Arbeitgeber ihren Mitarbeitern vermehrt unternehmenseigene Endgeräte zur Verfügung. Die effektive Nutzung eines Unternehmensgeräts setzt jedoch die Zugriffsmöglichkeit auf wichtige und vertrauliche Unternehmensdaten voraus, was wiederum ein Sicherheitsrisiko darstellt, wenn Geräte gehackt oder gestohlen werden bzw. verloren gehen. Mobile Device Management (MDM) gewährt eine zentrale Lösung, um diese Risiken zu minimieren und gleichzeitig die IT-Infrastruktur eines Unternehmens zu sichern. Aber was genau verbirgt sich hinter diesem Begriff, wie funktioniert MDM und welche Vorteile bietet der Einsatz?
Was ist MDM?
Mobile Device Management bezeichnet die zentralisierte Verwaltung und Sicherung von mobilen Endgeräten, die auf Unternehmensdaten zugreifen. Es erlaubt Unternehmen, mobile Geräte zentral zu verwalten, zu konfigurieren und zu schützen – unabhängig davon, ob es sich um Firmengeräte oder private Endgeräte der Mitarbeiter (sog. BYOD – Bring Your Own Device – detaillierte Ausführungen dieses Models im Beitrag vom 06. April 2021) handelt. Mittels MDM können gewünschte Sicherheitseinstellungen, Datenschutzrichtlinien oder Einschränkungen zur Installation von Apps zentral vorgenommen werden.
Wie funktioniert MDM?
MDM umfasst in der Regel zwei zentrale Komponenten: Den MDM-Server und den MDM-Client. Der Server verteilt Konfigurationskommandos, Updates und Sicherheitsrichtlinien an die mobilen Geräte, während der Client – eine spezielle Applikation oder eine Betriebssystem-Schnittstelle – die Anweisungen auf den Geräten umsetzt. Administrationskomponenten, etwa Webbrowser oder spezielle Software, ermöglichen es der IT-Abteilung, den MDM-Server zu konfigurieren und zu verwalten.
Beispielhafte Anwendungsbereiche von MDM
MDM ermöglicht eine effiziente und sichere Verwaltung der mobilen Geräte eines Unternehmens. Im Folgenden werden einige Standardanwendungen beispielhaft dargestellt, die potenzielle Anwendungsbreite geht jedoch darüber hinaus.
- Gerätekonfiguration und Bereitstellung: MDM ermöglicht eine automatische Konfiguration nach den Bedürfnissen des Unternehmens über den MDM-Server. Die benötigten Apps, E-Mail-Konten etc. werden direkt an das Gerät übertragen, sodass es sofort einsatzbereit ist.
- Mobile Application Management: Unternehmen können festlegen, welche Anwendungen zwingend auf den Mobilgeräten installiert sein müssen, welche Apps installiert werden dürfen (Whitelist) oder untersagt sind (Blacklist) und in welchem Maße veraltete Apps automatisch aktualisiert oder vom Gerät entfernt werden sollen.
- Zentrale Verwaltung und Updates: Der MDM-Server ermöglicht es, die Funktionsfähigkeit der Geräte aus der Ferne zu überwachen und Updates zu installieren.
- Sicherheitsmanagement und Fernsteuerung: Sollte ein Gerät verloren gehen oder gestohlen werden, kann es aus der Ferne gesperrt und die darauf gespeicherten Unternehmensdaten gelöscht werden (sog. „Remote Wipe“). Auch Sicherheitsvorgaben wie die verpflichtende Nutzung starker Passwörter, Verschlüsselung oder Zugriffsrechte können zentral festgelegt und überprüft werden.
Vorteile der Einführung eines MDM
- Schutz sensibler Unternehmensdaten: Ein potenzieller Datenverlust kann für Unternehmen schwerwiegende Folgen haben. Neben massiven finanziellen Schäden kann dies vor allem zu einem erheblichen Vertrauensverlust bei Kunden und Geschäftspartnern führen. Die dargestellten Anwendungsbeispiele wie die verpflichtende Nutzung starker Passwörter, Verschlüsselung oder Zugriffsrechte, tragen maßgeblich zu diesem Schutz bei.
- Einhaltung von Datenschutzvorschriften: Unternehmen, die mit personenbezogenen Daten arbeiten, müssen sicherstellen, dass sie den Anforderungen der Datenschutz-Grundverordnung (DSGVO) Danach müssen Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten zu schützen. Kommt es nämlich zu einem Verlust oder Missbrauch von Daten, können sich Haftungsansprüche ergeben, wenn dieser auf unzureichende Sicherheitsvorkehrungen oder mangelhafte interne Prozesse zurückzuführen ist. Hieraus ergibt sich die Pflicht, im Kontext von BYOD unternehmensbezogene Daten in einem gesonderten Bereich (Container) zu speichern. Im Fall einer Speicherung personenbezogener Daten außerhalb des Containers wird i. d. R. auch gegen die Verpflichtungen aus Art. 32 DSGVO verstoßen. Danach muss der Auftragsverarbeiter basierend auf dem aktuellen Stand der Technik geeignete technische und organisatorische Maßnahmen ergreifen, um ein Schutzniveau zu gewährleisten, das dem Risiko für die Rechte der betroffenen Personen entspricht. Dabei sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugtem Zugang zu personenbezogenen Daten. Ein Endgerät ohne ein MDM-Tool dürfte regelmäßig nicht entsprechend den Vorgaben aus Art. 32 DSGVO gesichert sein.
- Compliance: MDM-Systeme helfen dabei, Compliance zu gewährleisten, indem sie Sicherheitsmaßnahmen wie die Verschlüsselung von Daten und den sicheren Zugang zu Unternehmenssystemen auf allen Geräten durchsetzen.
Fazit
MDM ist nicht nur eine technische Lösung, sondern ein strategischer Bestandteil der IT-Sicherheit eines Unternehmens. Es schützt nicht nur die Daten und die Infrastruktur, sondern hilft auch dabei, Compliance-Vorgaben zu erfüllen und die Effizienz der IT-Abteilung zu steigern.
Bei der Einführung eines MDM-Systems sind einige rechtliche Fragestellungen zu berücksichtigen. Die Einführung eines MDM-Konzepts kann je nach Ausgestaltung die vorherige Beteiligung des Betriebsrats voraussetzen (§ 87 Abs. 1 Nr. 6 BetrVG). Darüber hinaus ergeben sich weitere datenschutzrechtliche und arbeitsrechtliche Herausforderungen, die nicht nur technisches Know-How, sondern auch rechtliche Expertise erfordern.