Es geht nicht ohne Sicherheitskonzept

BYOD ist nicht mehr aufzuhalten: Immer mehr Mitarbeiter verwenden ihre privaten mobilen Geräte, die sie gewohnt sind, auch beruflich. Mittlerweile haben Unternehmen erkannt, dass dieser Trend eine Menge Probleme mit sich bringt. Vor allem hinsichtlich der Sicherheit ihrer Daten und Anwendungen müssen sie daher Vorsorge treffen. Es gibt heute tragfähige technische Lösungen, aber die wesentlichen Herausforderungen liegen woanders. Von Marcus Reuber, Sales Engineer for Dell Data Protection and Encryption bei Dell in Frankfurt.

  • Thursday, 29th August 2013 Posted 11 years ago in by Phil Alsop

BYOD – Bring your Own Device – bewegt die IT-Welt nun schon einige Zeit. Und obwohl von Unternehmen gern versichert wird, dieser Trend beträfe sie eigentlich nicht oder wenn überhaupt, dann nur ganz am Rande, so sieht es nicht danach aus, als würde sich das Thema in nächster Zeit von selbst erledigen. Im Gegenteil, Mitarbeiter bringen eigene Systeme ins Unternehmen und benutzen sie am Arbeitsplatz; nicht immer, aber immer öfter.

 

Begonnen hatte es ganz unspektakulär, als vor einigen Jahren eine neue Generation sehr leistungsfähiger, gut aussehender und komfortabel zu bedienender Smartphones, Tablets und Notebooks auf den Markt kam und sich gezielt an eine neue, Netz-affine Generation von Usern richtete. Diese waren es gewöhnt, „always on“ zu sein, und sie betrachteten Computer und Computer-ähnliche Systeme weniger als Arbeitsmittel denn als Teil ihres persönlichen „Lifestyles“. Auch wenn die neuen mobilen Gadgets alles andere als billig waren, für das jeweils neueste Modell gaben die Nutzer das Geld gerne aus. So wurden diese mobilen Systeme oft zu einem Statussymbol, das in gewissen Peergroups selbst das Auto ablöste – vereinzelt sogar im Autoland Deutschland.

 

Neben diesen emotional aufgeladenen Lifestyle-Produkten konnten die herkömmlichen, stationären Computersysteme, die in den Unternehmen zu Hause waren, nur noch alt und grau aussehen.
Da die Unternehmen zunächst keinen Anlass sahen, entsprechende Geräte ohne unmittelbaren Business-Nutzen anzuschaffen, konnte es nicht ausbleiben, dass die Generation-iPhone dazu überging, die geliebten eigenen Smartphones, Tablets und Notebooks an den Arbeitsplatz mitzubringen – man hatte die Geräte ja ohnehin immer dabei. Dort wurden sie auch beruflich genutzt, samt der vielen praktischen Apps, an die man sich ebenfalls gewöhnt hatte.

 

Die Unternehmen sahen dieses Treiben zunächst nicht ohne Wohlwollen. Management und Controlling fanden die Idee, dass die Mitarbeiter ihre Arbeitsmittel selbst beschafften – und das auch noch gerne –, prinzipiell sehr gut. Immerhin waren sie damit der Notwendigkeit enthoben, selbst in solche Systeme zu investieren. Nicht selten gehörten Geschäftsleitung und Management wenn nicht zu den Early Adopters, so doch zu den Soon Adopters. Und mit so einem Rückenwind ist ein Trend kaum mehr aufzuhalten.

 

Doch spätestens, als man überall anfing, mit den neuen Geräten auf die Business-Anwendungen zuzugreifen, als Unternehmensdaten wie E-Mails, Präsentationen oder Kalkulationen zu den mobilen Systemen wanderten, standen dem dritten Beteiligten die Haare zu Berge: Die IT sah die Sicherheit und Integrität ihrer Landschaften gefährdet und ihre Bemühungen um Standardisierung konterkariert. Immerhin drang mit den mobilen Geräten und dem dazugehörigen Eco-System eine Technologie in die Unternehmen ein, die eigentlich ganz für Consumer konzipiert war, also nicht den Anforderungen der Unternehmen hinsichtlich Sicherheit, Verfügbarkeit und Zuverlässigkeit entsprach. Viele Unternehmen gingen daher dazu über, die betriebliche Nutzung der privaten Smartphones und Tablets zu untersagen – zumeist allerdings ohne Erfolg, denn die Mitarbeiter hatten sich so an ihre Systeme gewöhnt, dass sie nicht mehr davon lassen wollten. Im Zweifelsfall erfolgte die Benutzung dann an den Richtlinien der IT vorbei. Spätestens als dann auch die eigene Geschäftsleitung in dieser Grauzone anzutreffen war, musste die Politik des Aussperrens als gescheitert gelten.

 

Kein Thema für Schubladen

Die meisten Unternehmen sind sich heute darüber im Klaren, dass BYOD ein komplexes Thema ist, das man nicht mit einem simplen „gut“ oder „schlecht“ abhandeln kann. Die angesprochenen Vorteile haben sich durch eine differenzierte Betrachtung der Risiken und der Kosten natürlich nicht erledigt: Leistungsfähigkeit, ständige Verfügbarkeit, überzeugende Bedienkonzepte und der nach wie vor hohe Image- und Lifestyle- Faktor. Neu ist auf der Seite der Vorteile vielleicht noch der Aspekt, dass die meisten Nutzer auch dann nicht auf ihre eigenen Geräte verzichten wollen, wenn ihnen das Unternehmen eines für berufliche Zwecke zur Verfügung stellt. Zum einen will man nicht zwei Geräte mit sich herumtragen, zum anderen legt man heute schon Wert darauf, sein Gerät zu verwenden, weil es eben an die persönlichen Gewohnheiten angepasst ist.

 

Mittlerweile hat sich herumgesprochen, dass die Kostenfrage nicht einfach damit erledigt ist, dass die Nutzer die Geräte selbst kaufen. Es geht nicht nur um Kosten für Wartung-, Reparatur oder Ersatzbeschaffung, sondern auch um Folgekosten des normalen Betriebs, etwa bei Deployment von Applikationen, die aufgrund der hohen Komplexität und Heterogenität der Geräte die anfänglichen Investitionsvorteile übertreffen können.

 

Auch organisatorische und arbeitsrechtliche Fragen sind zu klären. Soll sich das Unternehmen an den Kosten der privaten Geräte beteiligen? Steht dem Mitarbeiter ein Kostenersatz analog zum Kilometergeld bei der Nutzung des privaten PKWs zu? Müssen private oder Unternehmens-Lizenzen verwendet werden? Oder etwa beide? Wer kommt dann dafür auf? Wer übernimmt die Kosten, wenn das Tablet des Mitarbeiters beim Kundenbesuch beschädigt wird? Was ist mit Mitarbeitern, die in ihrem Lebensstil andere Prioritäten setzen? Kann ein Unternehmen erwarten, dass jeder Mitarbeiter ein privates Tablet oder Smartphone mitbringt? Fragt man etwa gleich im Einstellungsgespräch danach, welche Geräte der künftige Mitarbeiter mitzubringen gedenkt? Sollte sich ein Unternehmen so abhängig von den Lifestyle-Ambitionen seiner Mitarbeiter machen? Haftet der Mitarbeiter für Unternehmensdaten auf seinem privaten Gerät? Muss man eine Betriebsvereinbarung schließen? Muss die Regelung der Nutzung der Geräte in die Arbeitsverträge aufgenommen werden? Und muss bei allem nicht auch der Betriebsrat eingeschaltet werden?

 

Herausforderung Sicherheit

Zentraler Punkt beim Thema BYOD bleibt aber die Sicherheit – und hier hat die IT nicht zu unrecht auch ihre größten Bedenken gegenüber BYOD. Immerhin greifen die mobilen Geräte auf Unternehmensdaten und -anwendungen zu und speichern diese teilweise auch lokal. Schon unternehmenseigene mobile Systeme stellen ein erhöhtes Risiko dar, weil sie in unkontrollierten Umgebungen betrieben werden: Sie können beispielsweise verloren oder entwendet werden, und das Unternehmen muss sicherstellen, dass keine Unbefugten auf diese Weise an wichtige Daten kommen. BYOD legt noch ein paar Risiko-Faktoren oben drauf: Die unkontrollierte Umgebung ist hier der Normalfall. Dazu kommen eventuell unkontrollierte Nutzer, beispielsweise Angehörige; die Geräte enthalten aber auch Anwendungen oder sie greifen auf Webseiten zu, die die IT nicht kontrollieren kann und die sie womöglich nicht einmal kennt.

 

Es gibt heute zahlreiche technische Hilfen, diese Risiken wirksam einzugrenzen. So können Administratoren mit der Dell Data Protection Mobile Edition Richtlinien auf Benutzerebene und Befehle auf Geräteebene remote durchsetzen. Befehle zur Geräteverwaltung werden beispielsweise über den Apple Push Notification Service (APNS) an ein verwaltetes iPhone oder iPad gesendet. Android Geräten lassen sich per EAS-Proto-koll (Microsoft Exchange ActiveSync) entsprechend verwalten. Damit kann die Administration beispielsweise Befehle zum Zulassen, Blockieren und zur Remote-Löschung werden per Funk durchführen, so dass bei einem Verlust des Geräts zumindest keine Daten abgegriffen werden können.

 

Diese Funktionen lassen sich etwa mit Dell System Track dahingehend ausbauen, dass abhandengekommene Geräte durch Geotagging und die Überwachung des Verbindungsstatus lokalisiert werden können. Die Anti-Theft-Technologie von Intel kann anhand übermäßig vieler Login-Ver-suche erkennen, ob ein Notebook verloren gegangen oder gestohlen worden ist, und das Notebook dann automatisch sperren, um einen Zugriff auf die Daten zu verhindern.

 

Aufgrund der Fortschritte in der Prozessortechnologie ist es heute auch möglich, mobile Daten durch eine umfassende Verschlüsselung zu schützen. Eine solche gerätebasierte Verschlüsselung ist sehr rechenintensiv und beeinträchtigt daher die Performance; mobile Geräte mit Multi-Core und Multi-Thread-Chips können die Verschlüsselung jedoch nahezu komplett im Hintergrund durchführen, ohne dass der Nutzer davon etwas merkt. Hierdurch ist diese grundlegende Sicherheitsmaßnahme um ein Vielfaches praktikabler geworden.

 

Da Unternehmen für ihre Daten verantwortlich sind, zumal wenn diese Informationen über Dritte wie beispielsweise Kunden enthalten, sind derartige Sicherheitsmaßnahmen nicht optional. Unternehmen müssen Daten schützen, auch und gerade wenn sie auf den privaten Geräten von Mitarbeitern gespeichert sind oder damit zugänglich gemacht werden können. In der BYOD-Praxis stellt sich aber immer wieder heraus, dass die Herausforderung nicht in der Technik besteht. Sicherheits-Tools sind für alle Aufgaben verfügbar. Sie lassen sich mit entsprechendem Know-how überall installieren und funktionieren auch zuverlässig. Die Frage ist aber nicht, ob zum Beispiel Daten auf einem Gerät eines Mitarbeiters remote gelöscht werden können, sondern ob ein Unternehmen einen derartigen fundamentalen Eingriff in ein System, das ihm gar nicht gehört, überhaupt vornehmen darf; und wenn ja, unter welchen Bedingungen. Die Hauptaufgabe bei BYOD ist daher die Einbettung der technischen Maßnahmen in ein organisatorisches Gesamtkonzept.

 

BYOD-Strategie ist unverzichtbar

Eine umfassende BYOD-Strategie ist für Unternehmen unverzichtbar. Grundlage einer solchen Strategie muss die Erkenntnis sein, dass es um mehr geht als die Technologie, dass BYOD also ein überaus komplexes Konglomerat technischer, juristischer, organisatorischer und betriebswirtschaftlicher Fragestellungen ist. Unternehmen müssen sich zunächst in einem User Assessment darüber Klarheit verschaffen, was die Nutzer in welchen Funktionen überhaupt wollen und brauchen, also nicht nur welche Geräte, sondern auch welche Applikationen und welche Daten. Sie müssen dabei ermitteln, was die Mitarbeiter bereits nutzen, ob sie tatsächlich auf Unternehmen-An-wen-dungen und -Daten zugreifen können, und wie das zu steuern und zu kontrollieren ist. Man muss wissen, welche Software auf welchen Geräten eingesetzt wird, welche Lizenzen dabei zu beachten sind und wie in einem Garantie- oder Schadensfall zu verfahren ist.

 

Vor allem aber muss eine Lösung für das Mobile Device Management implementiert werden, die unabhängig von Hardware und Betriebssystemen hilft, die neuen Devices- und ihre diversen Apps-Zoos zu steuern. Nur so lassen sich Sicherheit und Compliance-Regeln auch in der BYOD-Welt zuverlässig verankern, und so können Unternehmen und Mitarbeiter die Vorteile dieses Konzepts nutzen, ohne unvertretbare Risiken einzugehen.

 

 

BYOD – mit den privaten Tablet auf Geschäftsreise. Für den Verlustfall sollten Unternehmen und Mitarbeiter rechtzeitig Vereinbarungen treffen

 

 

Leistungsstark, mobil und gutaussehend – viele Mitarbeiter verwenden heute ihre eigenen Geräte auch beruflich. Unternehmen können diesen Trend meist nicht verhindern, aber sie sollten ihn steuern

 

 

Möglichkeiten der Remote-Steuerung von Smartphones

 

  • Toleranzperiode vor Gerätesperrung
  • Zurücksetzen von Kennwörtern
  • Remote-Sperrung
  • Zulassen eines Kennworts zur Entfernung
  • Entfernen von Konfigurationsprofilen durch Benutzer
  • Zulassen von YouTube
  • Zulassen von iTunes
  • Zulassen der Installation von Apps
  • Zulassen von jugendgefährdenden Inhalten
  • Zulassen von Bildschirmaufzeichnung
  • Zulassen von Assistenten wie Siri
  • Durchsetzen von iTunes-Kennwörtern
  • Zulassen von nicht vertrauenswürdigen HTTPS-Zertifikaten
  • Zulassen der iCloud-Sicherung
  • Zulassen der iCloud-Dokumentsynchronisierung
  • Zulassen der iCloud-Synchronisierung von Schlüsselwerten
  • Zulassen des iCloud-Fotostreams