Bring Your Own Device: Geht das auch sicher?

MobileNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Dass Mitarbeiter ihre privaten Geräte auch am Arbeitsplatz nutzen liegt im Trend und hat sowohl für Mitarbeiter als auch Unternehmen Vorteile. Dennoch ergeben sich dadurch vor allem hinsichtlich der Sicherheit einige neue Herausforderungen, wie Prof. Dr. Sachar Paulus erklärt.

Aktuelle Trends, ein paar Statistiken

»Consumerization der IT« – ein Begriff, unter dem man sich kaum etwas vorstellen kann. Auf Deutsch würde man – wortwörtlich übersetzt – in etwa »Verbraucher-ifizierung der Informationstechnologie« verwenden müssen. Doch auch die deutsche Version dieses Wortungetüms macht es nicht anschaulicher.

Gemeint ist damit, dass die Informationstechnologie, die bis dato im Wesentlichen getrennt war in Unternehmenslösungen und Informationstechnologie für den Privatgebrauch, nun im Wesentlichen zusammenwächst, bzw. etwas spezifischer, die IT für den Privatgebrauch nun die Unternehmenslösungen erobert. In der Vergangenheit gab es zwei getrennte Märkte, und entsprechend waren die Produkte und Lösungen nicht gleich. Wenn auch gleichartige Komponenten in professionellen Laptops und High-End-Privat-PCs zum Einsatz kommen, so sind diese unterschiedlich designt und unterschiedlich vertrieben worden.

Aus Sicht der Unternehmens-IT war das rückblickend betrachtet eine sehr komfortable Position, denn durch die getrennten Geräte und zum Teil auch inkompatiblen Lösungen bestand gar nicht die Gefahr, dass ein Mitarbeiter ein privates Gerät für die Arbeit verwenden könnte. Im Gegenteil, viele Menschen brüsteten sich mit dem Statussymbol, das ihnen vom Arbeitgeber überlassen wurde, welches sie sich niemals privat kaufen würden, etwa einen Blackberry von RIM oder ein IBM Thinkpad.

Genau dies hat sich geändert: zum einen getrieben durch immer hübschere Endgeräte – dort hat sicherlich Apple einen wesentlichen Anteil, z.B. mit MacBook Pro Unibody oder iPhone und iPad – und zum anderen ermöglicht durch die inzwischen fast vollständige Kompatibilität der Lösungen, wollen immer mehr Mitarbeiter auch ihre privaten Endgeräte im Umfeld der Arbeit nutzen. Hinzu kommt, dass die Integration von Berufsleben und Privatleben immer mehr zunimmt, und dass viele nicht mehr nur für einen einzigen Arbeitgeber tätig sind, gleichwohl aber nicht für jedes Umfeld ein unterschiedliches Gerät verwenden wollen – vor ca. 2 Jahren sah ich einen Reisenden, der 4 Telefone dabei hatte – und auch tatsächlich alle 4 benutzte. Der Anspruch heute ist, dass dies alles auch in einem Gerät möglich sein soll.

»Bring Your Own Device« ist das Schlagwort für die Problematik des Einsatzes von privaten Endgeräten im Unternehmensumfeld. Wie viele Trends kommt auch dieser aus den USA. Statt Mitarbeitern einen PC, ein Telefon zur Verfügung zu stellen, bekommt der Mitarbeiter eine gewisse Geldsumme (zusätzlich), dafür ist er für die Entscheidung, den Kauf und den Support des Endgeräts selbst verantwortlich. Ob er dann einen PC oder einen Mac kauft, ist ihm überlassen. Dies stellt die »Endstufe« dar, natürlich sind eine Vielzahl von Varianten denkbar, auch die Einbindung von eigenen Smartphones zur Bearbeitung im Unternehmenskontext wird schon als BYOD bezeichnet.

Vorteile von BYOD

Auf den ersten Blick hat BYOD nur Vorteile: für den Mitarbeiter ergibt sich eine höhere Synergie zwischen Beruf und Privatleben, mehr Flexibilität und mehr Individualität führen zu einer deutlich höheren Mitarbeiterzufriedenheit. Der Arbeitgeber ist modern, und unterstützt, idealerweise mit einer großzügigen Präsenzregelung und flexiblen Arbeitszeiten, innovative Arbeitsmodelle, die auch z.B. für Alleinerziehende eine interessante Konstellation bieten können.

Auch für die Unternehmens-IT gibt es durchaus Vorteile: es ist nicht mehr notwendig, eine komplette Abteilung damit zu beschäftigen, Standard-PCs nach Firmenvorgaben zu entwickeln, zu beschaffen und zu warten. Diese Mitarbeiter werden frei für innovativere Aufgaben. Der Zwang zum möglichen Einsatz von mehreren Komponenten führt auch dazu, dass die Anwendungen maximal standardisiert werden müssen, und dass proprietäre Lösungen kaum noch Einsatz finden können. E-Mail oder Kalender-Synchronisation ist problemlos über IMAP und CalDav mit offenen, standardisierten Protokollen möglich, dafür sind keine eigenen Client-Anwendungen mehr erforderlich. Insgesamt zwingt BYOD die IT-Abteilung dazu, sich auf nachhaltige und flexible Architekturen zu konzentrieren (in Verbindung mit Cloud Computing eröffnet das ganz neue Möglichkeiten).

Nachteile und Risiken von BYOD

Es gibt aber natürlich auch Nachteile. Der größte (empfundene) Nachteil ist der des Kontrollverlusts. Dies bedeutet, dass Unternehmen sich zunehmend auf ihre Mitarbeiter verlassen müssen, statt über die Kontrolle der Endgeräte die Sicherheit herstellen können. Aber auch ohne den Mitarbeitern bösartige Absichten zu unterstellen, bedeutet das Verwenden von BYOD ein Sicherheitsrisiko für Unternehmen.

Denn auch wenn der Mitarbeiter mit den aus Unternehmenssicht besten Absichten handelt, so kann es dennoch – etwa durch Schwachstellen im Betriebssystem, oder installierte Trojaner, die in der Firmen-IT erkannt worden wären (wenngleich man anmerken muss, dass die Erkennungsrate aufgrund immer schlauerer Malware stetig zurückgeht) – zu Spionageangriffen oder Informationsabflüssen kommen.

Ansätze für den sicheren Umgang mit Firmendaten bei BYOD

Entsprechend wichtig ist es, dass die Art und Weise, wie private Geräte in die Unternehmens-IT eingebunden werden, gut überlegt ist. Auf jeden Fall sollten die Möglichkeiten, die standardisierte Protokolle an Sicherheitsaspekten mitbringen, verwendet werden, also etwa IMAP oder CalDav per SSL/TLS, damit nicht schon bei der Übertragung der Feind mithören kann.

Auch ist es unter Umständen sinnvoll, als Unternehmensalternative zu Dropbox und anderen öffentlichen Datenablage-Formaten eine eigene Ablage anzubieten, idealer Weise via WebDav über SSL.

Der Zugriff auf Unternehmensanwendungen ist relativ leicht realisierbar, indem dafür Virtual Desktop Technologie verwendet wird. welche auf dem privaten Gerät (ob nun iPad oder privater PC/Laptop) eine standardisierte PC-Umgebung dargestellt wird, mit der sicher auf ERP-Systeme oder kritische interne Webanwendungen zugegriffen werden kann. Dies hat den leichten Nachteil, dass die Dokumente nicht mit den lokalen Programmen bearbeitet werden können, und z.B. die lokale Adressdatenbank nicht zur Verfügung steht.

Entsprechend ist die optimale Lösung für das Unternehmen – wenn dies denn durch das Unternehmen realisiert werden kann und es dafür einen Business Case gibt – eine eigene App zu bauen bzw. bauen zu lassen, in der die vertraulichen Unternehmensinformationen gekapselt werden und in die erforderlichen Prozesse, z.B. via Web Services, eingebunden werden. So kann sowohl der Sicherheit als auch der Kontrolle bei der Verwendung von privaten Endgeräten entsprochen werden.

Empfehlungen

Was sollten Sie nun tun? Auf jeden Fall sollten Sie den Trend des »Bring Your Own Device« nicht ignorieren, sondern stattdessen überlegen, welche Schritte Ihnen mehr Mitarbeiterzufriedenheit (und damit eine deutlich höhere Produktivität) und gleichzeitig angemessene Sicherheit ermöglichen. Eine Richtschnur dabei kann die Grenze zwischen Ihrer Kernkompetenz und notwendigen unterstützenden Dienstleistungen sein, E-Mail ist für die wenigsten Firmen wirklich kriegsentscheidend – auch wenn das viele so genannte Sicherheitsexperten nicht wahrhaben mögen. Das ERP-System mit den anstehenden Quartalszahlen hingegen schon…

 
Prof. Dr. Sachar Paulus ist Senior Analyst bei Kuppinger Cole, einer Analystengruppe, die sich auf Themen rund um digitales Identity Management, GRC (Governance, Risk und Compliance) sowie Cloud Computing spezialisiert hat.