Die folgende Ausarbeitung erläutert den Entwurf eines IT-Sicherheitskonzeptes für mobile Apps im betrieblichen Einsatz. Ziel dabei ist es, die Auswirkungen des Einsatzes mobiler Apps auf die IT-Sicherheit aufzuzeigen und dabei die Aspekte mobiler Geschäftsprozesse zu beachten. Zusätzlich wird ein Handlungsrahmen für den möglichen Einsatz von Business- Apps erstellt, der neben sicherheitstechnischen Aspekten auch die Effizienz des jeweiligen Geschäftsprozesses berücksichtigt.
Mobile Apps wurden bisher vorrangig privat genutzt, allerdings wächst auch das Interesse von Unternehmen sie zur Unterstützung von Geschäftsprozessen einzusetzen. Häufig werden mobile Apps ohne Legitimation durch die IT-Abteilung von den Mitarbeitern verwendet. Allerdings entstehen durch den Einsatz von Business-Apps neue Sicherheitsrisiken, wobei auch bisherige Risiken von stationären Systemen übernommen werden. Um mobile Geschäftsprozesse möglichst optimal abzusichern, müssen verschiedenste sicherheitsrelevante Aspekte beachtet werden.
Zunächst werden deshalb in Kapitel eins die Grundlagen der IT-Sicherheit vermittelt. Dabei werden deren drei Hauptziele: Vertraulichkeit, Integrität und Verfügbarkeit aufgezeigt, an denen sich mobile Sicherheitskonzept orientiert und die Auswirkung des mobilen Charakters auf die Ziele. Um anschließend die Besonderheiten mobiler Geschäftsprozesse darzustellen, werden in Kapitel zwei Eigenschaften mobiler Prozesse charakterisiert. Nötige Grundlagen mobiler Geschäftsprozesse und dazugehörige technische Komponenten, die einen möglichen Einfluss auf die Sicherheit mobiler Apps haben, werden in Kapitel drei dargelegt und ihre Auswirkungen auf die Sicherheit mobiler Geschäftsprozesse untersucht. Folgend werden in Kapitel vier geeignete Einsatzszenarien für Business-Apps dargestellt und anhand eines Beispielprozesses die Auswirkungen des Einsatzes von Apps auf die Struktur des Geschäftsprozesses aufgezeigt. Darauf aufbauend wird innerhalb der Sicherheitsanalyse in Kapitel fünf der Schutzbedarf des neu konstruierten mobilen Geschäftsprozesses ermittelt, wodurch das weitere Vorgehen bestimmt wird. In Kapitel sechs werden die verschiedenen Arten möglicher Sicherheitsmaßnahmen erläutert und entsprechend der Schwachstellen und des Schutzbedarfs des mobilen Geschäftsprozesses konkrete Maßnahmen vorgestellt.
Zuletzt wird die Notwendigkeit eines kontinuierlichen Sicherheitsprozesses und einer entsprechenden Lösung aufgezeigt.
Inhaltsverzeichnis
1 Einleitung
2 IT-Sicherheit
2.1 Vertraulichkeit
2.2 Integrität
2.3 Verfügbarkeit
3 Mobile Geschäftsprozesse
3.1 Eigenschaften mobiler Geschäftsprozesse
3.2 Technische Grundlagen mobiler Geschäftsprozesse
3.2.1 Mobile Endgeräte
3.2.2 Mobile Betriebssysteme
3.2.3 Mobile Apps
3.2.4 Datennetze für mobile Endgeräte
3.3 Organisationskonzepte für die Verwaltung mobiler Endgeräte
3.3.1 BYOD
3.3.2 CYOD
3.3.3 COPE
3.3.4 Gegenüberstellung der Verwaltungskonzepte
4 Einsatzkontext von Business-Apps
4.1 Anwendungsbereich mobiler Business-Apps
4.1.1 Mobile SCM
4.1.2 Mobile Workforce Management
4.1.3 Mobile CRM
4.2 Entwicklung eines Prozess-Szenarios
4.2.1 Ist-Zustand des Vertriebsprozesses
4.2.2 Potentialanalyse für den Einsatz von Business-Apps
4.2.3 Modellierung des neuen Vertriebsprozesses
5 Sicherheitsanalyse des restrukturierten Geschäftsprozesses
5.1 Schutzbedarfsermittlung der Business-App
5.1.1 Schadensmodell
5.1.2 Schutzbedarf
5.2 Bedrohungsanalyse
5.2.1 Bedrohungen
5.2.2 Schwachstellen
5.3 Risikoanalyse
6 Auswahl der Sicherheitsmaßnahmen
6.1 Technische Maßnahmen
6.1.1 Mobile Device Management Software
6.1.2 VPN-Verbindung
6.2 Organisatorische Maßnahmen
6.3 Personelle Maßnahmen
7 Einführung und Betrieb des IT-Sicherheitskonzepts
8 Management Summary
Zielsetzung & Themen
Die vorliegende Arbeit befasst sich mit der Konzeption eines IT-Sicherheitskonzepts für mobile Applikationen im geschäftlichen Einsatz. Ziel ist es, die sicherheitsrelevanten Auswirkungen bei der Einbindung mobiler Apps in Geschäftsprozesse zu analysieren und einen strukturierten Handlungsrahmen zu erstellen, der neben technischer Sicherheit auch die Prozess-Effizienz berücksichtigt.
- Grundlagen der IT-Sicherheit in mobilen Umgebungen
- Charakterisierung und technische Architektur mobiler Geschäftsprozesse
- Verwaltungskonzepte für mobile Endgeräte (BYOD, CYOD, COPE)
- Methodik zur Sicherheits- und Risikoanalyse (Schutzbedarfsermittlung)
- Kategorisierung von Sicherheitsmaßnahmen (technisch, organisatorisch, personell)
Auszug aus dem Buch
3.1 Eigenschaften mobiler Geschäftsprozesse
Ein Geschäftsprozess benötigt mindestens einen mobilen Teilprozess, um als mobiler Geschäftsprozess bezeichnet zu werden. Entsprechend Köhler und Gruhn liegt ein mobiler Geschäftsprozess vor, wenn
„für mindestens einen Teilprozess des Geschäftsprozesses
a) eine ,Unsicherheit des Ortes‘ vorliegt,
b) die ,Unsicherheit der Ortes‘ extern determiniert ist und
c) am Ort der Ausführung des Teilprozesses eine Kooperation mit aus Prozess sicht externen Ressourcen notwendig ist.“ (Köhler et al. 2004a, 244f.).
Gemäß Annahme a) ist der Ort, an dem der Teilprozess durchgeführt wird, nicht fest terminiert. Der Teilprozess kann an unterschiedlichen Orten durchgeführt werden und auch während der Durchführung ist ein Wechsel des Standorts möglich.
Annahme b) basiert auf der Idee, dass die jeweiligen Aufgabenträger des einzelnen Teilprozesses den Ausführungsort nicht eigenständig festlegen können. Der Ausführungsort wird durch externe Faktoren bestimmt.
Entsprechend Annahme c) muss die Person, die den Teilprozess ausführt, mit externen Ressourcen kooperieren. Dies umfasst einen Koordinations- oder Kommunikationsbedarf mit anderen Personen, einen Informationsaustausch oder eine Interaktion mit anderen Objekten (Köhler et al. 2004a, 244f.).
Zusammenfassung der Kapitel
1 Einleitung: Die Einleitung beleuchtet die zunehmende Verbreitung mobiler Endgeräte und Apps in Unternehmen und definiert die Zielsetzung der Arbeit, ein IT-Sicherheitskonzept für diesen Kontext zu entwickeln.
2 IT-Sicherheit: In diesem Kapitel werden die grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit als Fundament für das zu erstellende Sicherheitskonzept erläutert.
3 Mobile Geschäftsprozesse: Hier werden die Definitionen und spezifischen Eigenschaften mobiler Geschäftsprozesse sowie die technischen Grundlagen wie Endgeräte, Betriebssysteme und App-Typen analysiert.
4 Einsatzkontext von Business-Apps: Das Kapitel betrachtet Anwendungsszenarien in verschiedenen Branchen und erläutert anhand eines Versicherungs-Beispielprozesses die Potentialanalyse und Modellierung neuer, mobiler Abläufe.
5 Sicherheitsanalyse des restrukturierten Geschäftsprozesses: Es wird eine methodische Sicherheitsanalyse durchgeführt, die den Schutzbedarf ermittelt, Bedrohungen identifiziert und eine Risikoanalyse vornimmt.
6 Auswahl der Sicherheitsmaßnahmen: Basierend auf der Sicherheitsanalyse werden technische, organisatorische und personelle Maßnahmen vorgestellt, um die identifizierten Risiken zu mindern.
7 Einführung und Betrieb des IT-Sicherheitskonzepts: Dieses Kapitel thematisiert die Notwendigkeit stetiger Kontrollprozesse zur Überwachung des Sicherheitsstatus nach der Einführung des Konzepts.
8 Management Summary: Den Abschluss bildet eine prägnante Zusammenfassung der zentralen Erkenntnisse und der strategischen Bedeutung eines mobilen IT-Sicherheitsmanagements.
Schlüsselwörter
Mobile Geschäftsprozesse, IT-Sicherheit, Business-Apps, Schutzbedarfsermittlung, Risikoanalyse, Mobile Device Management, BYOD, CYOD, COPE, Vertraulichkeit, Integrität, Verfügbarkeit, Bedrohungsanalyse, Datensicherheit, Mobile Application Management.
Häufig gestellte Fragen
Worum geht es in dieser Masterarbeit?
Die Arbeit untersucht, wie Unternehmen den Einsatz mobiler Apps für Geschäftsprozesse sicher gestalten können, ohne die Effizienz zu beeinträchtigen.
Welche zentralen Themenfelder werden abgedeckt?
Die Schwerpunkte liegen auf der Sicherheitsanalyse mobiler Prozesse, der Verwaltung mobiler Endgeräte und der Auswahl passender technischer sowie organisatorischer Schutzmaßnahmen.
Was ist das primäre Ziel der Untersuchung?
Das Ziel ist die Konzeption eines umfassenden IT-Sicherheitskonzepts, das auf spezifische mobile Geschäftsprozesse zugeschnitten ist.
Welche wissenschaftliche Methode wird zur Analyse verwendet?
Die Arbeit nutzt den Sicherheitsprozess des BSI-Grundschutzkatalogs, erweitert diesen jedoch um eine prozessorientierte Sichtweise, die über die reine Systembetrachtung hinausgeht.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil werden neben den technischen Grundlagen (Endgeräte, Betriebssysteme) insbesondere die Konzepte für die Verwaltung (BYOD, CYOD, COPE) und die konkrete Sicherheits- sowie Risikoanalyse detailliert erörtert.
Welche Begriffe charakterisieren die Arbeit am besten?
Kernbegriffe sind mobiles Geschäftsprozessmanagement, Schutzbedarfsanalyse, IT-Sicherheitskonzept und mobile Anwendungsinfrastruktur.
Warum spielt das "BYOD"-Konzept eine so wichtige Rolle in der Diskussion?
BYOD (Bring Your Own Device) hat die Art und Weise verändert, wie private Geräte in Unternehmensabläufe integriert werden, und stellt aufgrund der heterogenen Systemlandschaft besondere Anforderungen an die IT-Sicherheit.
Wie unterscheidet sich die Sicherheitsstrategie von Apple (iOS) zu Google (Android)?
Apple verfolgt einen geschlossenen, stark kontrollierten Ansatz durch zentrale Prüfung, während Google bei Android ein offeneres System anbietet, das dem Nutzer mehr Entscheidungsfreiheit, aber auch mehr Eigenverantwortung bezüglich der Sicherheit abverlangt.
- Arbeit zitieren
- Stephan Herget (Autor:in), 2014, Mobiles Geschäftsprozessmanagement. Konzeption eines IT-Sicherheitskonzepts für Business-Apps, München, GRIN Verlag, https://www.grin.com/document/518377
