Unternehmen müssen klare Regeln für Mobilgeräte setzen

IT-ManagementIT-ProjekteKarriereMobileSicherheitSicherheitsmanagement

»Bring your own device« (BYOD) ist der neue Trend: Viele Unternehmen erlauben ihren Mitarbeitern die Mitnahme und Nutzung mobiler Geräte. Andrew Jacques, Europachef von Good Technologies, weist auf die Tücken des Produktivitätsgewinns hin.

Smartphones haben unsere Art zu arbeiten entscheidend verändert – wir werden immer zeit- und ortsunabhängiger. Das Mobiltelefon stellt rund um die Uhr und überall E-Mail und Kalender, aber auch einen Zugang zum unternehmenseigenen Intranet, zu Applikationen und Kollaborations-Tools bereit. Die mobile Revolution – weiter befeuert durch die Verbreitung des Tablets – hat dabei auch die Produktivität dramatisch erhöht. Doch wo Licht ist, findet sich zumeist auch Schatten: Je mobiler die Belegschaft, desto schwieriger die Aufgabe der IT-Abteilung.

Mobiles Business braucht klare Regeln, wenn die Sicherheit nicht zu kurz kommen soll: Wer soll Zugang zum Intranet, zu webfähigen Anwendungen, zu sensiblen Dokumenten, Firmen-Messaging oder zu selbst entwickelten Applikationen erhalten? Wie steht es dabei um die Sicherheit von Daten und Informationen? Die IT-Abteilungen können sich über mangelnde Herausforderungen nicht beklagen: Sie müssen nicht nur Mittel und Wege für einen praktikablen allgemeinen Zugriff auf eine Unzahl von Applikationen finden, sondern auch die Vielzahl an unterschiedlichen Mobiltelefonen der Mitarbeiter in den Griff bekommen. iPhones, Android Phones, BlackBerrys, iPads sowie Android und Windows Tablets sind nur einige Beispiele für den »Geräte- und Systemdschungel«, in den die IT-Abteilung Licht im Sinne eines einheitlichen Sicherheits- und Verwaltungsmanagements bringen muss.

Tragbare Minicomputer haben zwei Gesichter

Smartphones haben sich inzwischen zu leistungsfähigen, multi-funktionalen Mini-Computern entwickelt – jedoch zu Computern mit zwei Gesichtern: Einerseits können Mitarbeiter alle wichtigen IT-Funktionen und -Tools nutzen, ohne physisch im Unternehmen anwesend zu sein. Andererseits werden Smartphones in der Regel auch privat eingesetzt und enthalten dementsprechend eine Fülle privater Daten und Accounts – selbst wenn sie vom Unternehmen gestellt werden. Die rapide Entwicklung in der Mobilfunktechnologie birgt gewaltige Chancen für das Geschäftsleben: Smarte Unternehmen können schneller und effizienter arbeiten, besser auf Kundenwünsche eingehen und damit die Ergebnisse sowohl Top-Line als auch Bottom-Line optimieren.

Wie aber können es die IT-Beauftragten schaffen, die unterschiedlichen Mobiltelefone zu unterstützen, ohne die verschiedenen »Personalisierungs« -Funktionen zu beschneiden, die sie für ihre Besitzer so wertvoll machen – und dabei dennoch die Sicherheit der Unternehmensdaten und die erforderliche Compliance gewährleisten?

Private Smartphone Nutzung birgt Gefahren für das Unternehmen

Bevor eine mögliche Strategie umrissen wird, muss darauf hingewiesen werden, dass Missachtungen der Sicherheitsvorschriften oft entweder simpler Unachtsamkeit oder aber dem Wunsch nach schnelleren Abläufen entspringen. Weniger gefährlich macht sie diese Tatsache allerdings nicht. Mitarbeiter empfangen, bearbeiten und versenden E-Mails auf ihren privaten Accounts und unterminieren damit die Unternehmens-Policy. Oder sie sorgen durch den Download von Kollaborations-Tools dafür, dass unternehmensinterne Dokumente im Internet abgelegt werden.

Und schließlich kann ein Smartphone auch einmal verloren gehen oder gestohlen werden. Es braucht keine bösen Absichten, um das Unternehmen einem erheblichen Risiko auszusetzen und maßgeblich gegen die Compliance zu verstoßen.

Der erste Schritt hin zu mehr Datensicherheit im Rahmen eines Bring-your-own-device (BYOD)-Umfeldes ist die Erkenntnis, dass es in den einzelnen Unternehmen bereits jetzt dutzende, hunderte oder gar tausende von Mitarbeitern geben kann, die auf BYOD-Basis arbeiten. Ganz besonders trifft das auf Unternehmen mit einem webbasierten Zugang zur firmeneigenen E-Mail zu, zum Beispiel mit Outlook Web Access oder Lotus iNotes. Gleiches gilt für Unternehmen, die eine Installation von herunterladbaren Applikationen auf Laptops oder Desktops zulassen. Der inzwischen allgegenwärtige mobile Browser ermöglicht einen Zugang von privaten Geräten zur Unternehmens-E-Mail oder anderen vergleichbaren Anwendungen. Dasselbe trifft auf herunterladbare Produktivitäts-Apps wie Dropbox zu, mit denen die Nutzer Dokumente von ihrem Desktop- oder Laptop zu Cloud-basierten Repository, und von dort mit ihren mobilen Geräten synchronisieren könnten.

Ohne Vorgaben setzen die User die Regeln fest

Der zweite Schritt ist die Beantwortung der Frage, ob es klare Bestimmungen und Policies zu BYOD-relevanten Bereichen gibt oder diese zumindest in Vorbereitung sind. Wenn nicht, ist genau hier der dringendste Ansatzpunkt. Denn eines ist sicher: Wenn der IT-Verantwortliche keine BYOD-Regeln aufstellt und Prozesse definiert, werden es die Nutzer tun. Leider steht die Sicherheit der Unternehmensdaten dann nicht unbedingt im Vordergrund.Ist aber die Definition von allgemeingültigen BYOD-Regeln erfolgt, sollte in der unmittelbaren Folge über geeignete Tools für das Mobile Security Management nachgedacht werden. Wie immer das Ergebnis solcher Überlegungen aussieht – folgende Kriterien sollte es in jedem Fall erfüllen:

  • Schutz der Datenintegrität ohne Einschränkung der Privatsphäre des Mitarbeiters oder seiner Produktivität. Aktuelle Smartphones sind hochgradig personalisiert – vor allem, wenn es sich um die privaten Geräte der Mitarbeiter handelt. Selbst bei unternehmenseigenen Smartphones ist kaum damit zu rechnen, dass etwa eine Führungsperson auf Safari, den App Store oder auf einen generellen Zugriff auf private Apps und Daten verzichten wird. Hier die Balance zu finden ist nicht einfach – deshalb muss eine geeignete Lösung in der Lage sein, Unternehmensdaten separat zu behandeln. Die privaten Daten bleiben dabei unberührt, während der Umgang mit Unternehmensinformationen die klare Ausrichtung an den geltenden Policies erfordert.
  • Gewährleistung einer konsistenten und zentralisierten Kontrolle. Das Ausmaß, in dem Unternehmen und private Nutzer Daten generieren und konsumieren, steigt beständig. Damit steigt auch der Schwierigkeitsgrad bei der Etablierung einer zentralen Kontrolle der Informationen. Das Durchsetzen einer konsistenten Sicherheitsrichtlinie über das gesamte Unternehmen hinweg – in einer Umgebung, die von Geräte- und Betriebssystem-Vielfalt sowie von verschiedenen Sicherheits-Ansätzen geprägt ist – wird gerade in einem BYOD-Umfeld immer schwieriger. Heute braucht jedes Unternehmen eine zentrale Management-Plattform, die den Administratoren die Kontrolle des Datenzugangs und der Verlustprävention ermöglicht – sowohl auf Anwendungs- wie auch auf Gerätelevel.
  • Umfassende Kontrolle zur Verhinderung von Netzwerkzutritten für Unbefugte. Die Bandbreite und Anzahl mobiler Endgeräte in Unternehmen ermöglicht Unbefugten mittels Replikation durch Malware und  »getarnte« Endgeräte Zugang zum Unternehmens-Netzwerk zu erlangen. Solche Smartphones oder Tablets sind nicht autorisiert, demzufolge unterliegen sie auch nicht den entsprechenden Richtlinien. Es ist also entscheidend, dass der IT-Administrator einen kompletten Überblick über jedes einzelne Gerät im Netzwerk hat.

Die Herausforderungen sind enorm – in nahezu allen Branchen, insbesondere bei Finanzdienstleistungen, Regierungen, im Gesundheitssektor, im Einzelhandel, in der Produktion und allen vergleichbaren Bereichen. Wer diese Herausforderungen meistert, profitiert jedoch in vielfacher Hinsicht: Ein bedarfsgerechtes Management privater Smartphones im Unternehmen kann die Produktivität der Mitarbeiter deutlich erhöhen, einen schnelleren und besseren Kundendialog unterstützen und sogar die Kosten senken.

Unternehmen, die eine leistungsfähige Management- und Sicherheitsplattform für mobile Endgeräte implementiert haben, sind die Gewinner des BYOD-Zeitalters, weil sie alle Chancen nutzen, dabei aber gleichzeitig die Risiken ausschließen.