Niemand geht freiwillig ins Gefängnis. Wer privat mit seinem iPhone, seinem Blackberry oder einem der Android-Handys unterwegs ist, der möchte auch im Unternehmen nicht überall Verbotstafeln sehen, sondern die freie Fahrt genießen. Unternehmen und Organisationen, die an motivierten Mitarbeiterinnen und Mitarbeitern interessiert sind, tun deshalb gut daran, diese auch im Büro in ihrem gewohnten Endgeräte-Ambiente zu belassen.
Mittlerweile hat sich dafür das Schlagwort „Bring your own device“ (BYOD) verbreitet. Die IT-Analystin Monica Basso vom Marktforschungsunternehmen Gartner sagt denn auch voraus, dass im Jahr 2014 schon 90 Prozent aller Unternehmen die mobilen Winzlinge als Zugangsgeräte für Unternehmensanwendungen in ihre IT-Infrastruktur integrieren werden.
Wenn die Prognose von Gartner stimmt, dann kommen auf die IT-Abteilungen einmal mehr erhebliche Herausforderungen zu. Stefan Strobel, Geschäftsführer des IT-Security-Beratungsunternehmens Cirosec bringt die schwierige Gemengelage auf den Punkt: „Die Frage nach der Absicherung der Endgeräte bei BYOD-Strategien führt oft zu schwierigen Diskussionen, da ein Aufbringen von zusätzlichen Sicherheitsprodukten und eine damit verbundene Einschränkung des Anwenders in der Regel im Konflikt mit der privaten Natur der Geräte steht.“
Das Konfliktpotenzial von BYOD ist also unübersehbar. Nicht ohne Grund wird das Akronym BYOD von Pessimisten denn auch oft mit „Bring your own Desaster“ dechiffriert. Neben IT-Sicherheitsproblemen und schwierigen Fallunterscheidungen im Bereich IT-Management sind es nicht zuletzt komplizierte rechtliche Fragen, die sich auftun. Wer haftet zum Beispiel für Rechtsverletzungen, die sich aus der Nutzung eines mobilen Geräts ergeben, das explizit für gemischten Einsatz, also privat und geschäftlich, ausgelegt ist? Ist die Haftungssituation an bestimmte Applikationen gebunden oder an bestimmte Uhrzeiten, die beispielsweise durch übliche Bürozeiten definiert sind? Aber was sind in Zeiten des ubiquitären Computings eigentlich „übliche Bürozeiten?“
Nutzerzufriedenheit ist der Schlüssel
Man darf trotz dieser delikaten Haftungsfragen mit Gartner-Analystin Basso einig sein, dass BYOD in einigen Jahren für die IT-Infrastruktur systemrelevant sein wird – ganz gleich unter welcher Bezeichnung uns dann diese „Privatisierung der Unternehmens-IT“ präsentiert werden wird. Das eigentliche Innovationspotenzial in der IT liegt derzeit nun einmal bei den Consumer-Geräten. Der Einfluss dieser IT-Pop-Kultur auf die Unternehmens-IT wird unaufhaltsam sein und nicht nur die Unternehmens-IT, sondern die Unternehmen selbst verändern.
Der alleinige Maßstab dieser Entwicklung wird dabei der Nutzerkomfort, die Nutzerzufriedenheit und nicht zuletzt die Nutzerkompetenz sein. Im Idealfall setzen diese drei Faktoren ein erhebliches Produktivitätspotenzial frei, welches das oben erwähnte Konfliktpotenzial deutlich übersteigen dürfte. Das Produktivitätspotenzial liegt beispielsweise in geringerem Schulungsaufwand und in weniger Helpdesk-Kosten, weil die Nutzer ihre privaten Endgeräte in und auswendig kennen und aufgrund der Nutzerzufriedenheit sich oft selbst mit der Fehlersuche beschäftigen.
Dieser Idealfall ist aber natürlich nicht zwangsläufig der Realfall. Um dem Idealfall möglichst nahe zu kommen, sollte deshalb jede „BYOD-Initiative die Nutzerzufriedenheit in den Mittelpunkt der Unternehmens-IT stellen, ansonsten wird sie scheitern“, sagt Christof Baumgärtner, Country Manager für die DACH-Region des Mobile-Device-Management-Spezialisten Mobile Iron. Baumgärtner weiß darüber hinaus auch, dass die technischen und organisatorischen Anforderungen für erfolgreiches BYOD erheblich sind: „BYOD erfordert eine flexible, hoch skalierbare Management-Plattform für unterschiedliche Gerätetypen sowie Echtzeitinformationen und Kontrolle über Inhalte, Aktivitäten und Apps, die auf Smartphones und Tablets laufen.“
Geben und Nehmen
Die organisatorischen Anforderungen, die ein BYOD-Konzept in den Unternehmen erzeugt, wurden schon bei der Haftungsproblematik angedeutet. Hier sind viele Fragen juristisch noch nicht abgeklärt. Baumgärtner sagt deshalb, dass erfolgreiches BYOD klare Absprachen zwischen Unternehmensführung, IT-Verantwortlichen und Mitarbeitern erforderlich macht. „Eine möglichst eindeutige Regelung der wechselseitigen Ansprüche und Verpflichtungen ist unabdingbar. Die Mitarbeiter fordern mit Recht den Schutz ihrer privaten Daten und wollen möglichst wenig administrative Fremdsteuerung ihrer mobilen Endgeräte.
Die Unternehmen wiederum haben Anspruch darauf, dass Unternehmensdaten nicht für private Zwecke missbraucht werden.“
Ein wechselseitiges Geben und Nehmen ist also unerlässlich. Die Endgeräte-Besitzer werden gewisse Einschränkungen hinnehmen müssen, die Unternehmen andererseits werden ihren Mitarbeitern ein erhebliches Maß an Grundvertrauen entgegenbringen müssen. Bestimmte administrative Steuerungsmaßnahmen auf dem privaten Endgerät sind notwendig und werden wohl eher akzeptiert, wenn ihnen Gegenleistungen der Firma folgen. So können die Endgeräte-Besitzer beispielsweise von Fehlerbehebungsmaßnahmen der Unternehmens-Administratoren auch privat profitieren.
Virtualisierung als Ausweg
Nicht nur organisatorisch, sondern auch technisch ist die Realisierung von BYOD ein Kraftakt. Mit Recht sagt Cirosec-Geschäftsführer Stefan Strobel: „Aus Sicht der Informationssicherheit sollte man gut überlegen, ob man das Risiko von schlecht oder gar nicht administrierten und möglicherweise verseuchten privaten Endgeräten im Unternehmensnetz tatsächlich tragen kann. Oft wären dafür umfangreiche zusätzliche Sicherheitsmaßnahmen nötig.“
Zu diesen Sicherheitsmaßnahmen gehört beispielsweise das Design von Apps und die Datenhaltung auf den Endgeräten. Je nach Berechtigungsniveau des Endgeräts beziehungsweise nach der Rolle seines Eigners dürfen dann bestimmte Daten auf dem Endgerät gespeichert werden oder nicht.
Es ist leicht einsehbar, dass hier schwierige Entscheidungen zu treffen sind und dass das Konfliktpotenzial unter Umständen schnell das Produktivitätspotenzial übersteigen kann. Strobel meint denn auch, dass für BYOD ganz spezielle Sicherheitskonzepte notwendig sind. Er plädiert für „Sicherheitssysteme, die explizit dafür gedacht sind, eine vertrauenswürdige Web-Session mit einem möglicherweise verseuchten Endgerät herzustellen. Dabei wird dem Anwender vom Server aus ein speziell gehärteter Browser für die Dauer der Sitzung zur Verfügung gestellt.“
Eine weitere Option sind für Strobel „Ansätze, bei denen die Endgeräte mit Hilfe von Virtualisierungstechnik in ein virtuelles privates und in ein virtuelles geschäftliches Terminal aufgeteilt werden.“ Eine Ansatz für Android-Telefone dafür hat das Fraunhofer Institut für Sichere Infiormationstechnologie kürzlich mit BizzTrust for Android vorgestellt. BizzTrust-Smartphones bieten zwei Schutzbereiche für Daten und Apps. Sie erkennen, ob die Inhalte zu einer privaten oder geschäftlichen Anwendung gehören, speichern diese getrennt im jeweiligen Segment ab und kontrollieren während des Betriebs den Zugriff auf diese Daten. Nutzer sehen an einer Farbcodierung, in welchem Bereich sie sich befinden.
Derzeit sucht das Institut Partner für die Vermarktung. Eine erste Kooperation wurde bereits mit der Sirrix AG geschlossen. Das Saarbrücker Unternehmen will die Smartphone-Lösung mit ihren VPN-Angeboten kombinieren und hofft, Anfang nächsten Jahres mit dem Vertrieb beginnen zu können.
Fazit
All diese Überlegungen zeigen, dass BYOD nicht zum sicherheitstechnischen Nulltarif zu haben ist. Letztlich wird wohl ein tragfähiges IT-Security-Konzept darauf hinauslaufen, die privaten Apps auf dem Endgerät unternehmensseitig möglichst nicht anzurühren und in erster Linie die Verbindung zu den Unternehmens-Applikationen rigoros zu kontrollieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…