CYOD statt BYOD: Choose-Your-Own-Device verspricht mehr Sicherheit

MobileSicherheitSicherheitsmanagement

Bring-your-own-device bedeutet, dass sich die verschiedensten Geräte im Netzwerk tummeln. Eric Doyle ist der Auffassung, dass es auch sicherer geht.

Der Mobile World Congress (MWC) öffnete seine Pforten und läutet eine Ära leistungsstärkerer, multifunktionaler Smartphones und Tablets ein. Dank Quad-Core-Handys und der Verbesserungen bei der Technik können Nutzer nun mehr als je zuvor anfallende Arbeiten mit ihren mobilen Endgeräten erledigen.

Mit großer Macht geht auch große Verantwortung einher. Die zusätzlichen Handy-PS werden ebenfalls die Leistung von Trojanern, Botnetzen und damit zusammenhängender Schadsoftware erhöhen. Zweifellos werden die Unternehmen aus der IT-Sicherheitsbranche in Barcelona große Beachtung finden.

Gespaltene Zukunft

Das große Gesprächsthema bei der MWC wird BYOD sein, Bring-Your-Own-Device. In den meisten vor der Veranstaltung durchgeführten Umfragen stand als Ergebnis fest, dass die Befragten BYOD als zwangsläufige Veränderung betrachteten bei der Anschaffung und Nutzung von Betriebs- und Geschäftsausstattung. Gleichzeitig prophezeiten mehrere Analysten, dass es in den IT-Abteilungen angesichts der auf sie hereinbrechenden Herausforderungen zu viel Wehklagen und Haareraufen kommen wird.

Bei Symantec war man besonders besorgt bezüglich der Haftungsproblematik – wer ist verantwortlich, wenn die Hardware den digitalen Geist aufgibt?

Greg Day, EMEA Security CTO und Director of Security Strategy bei Symantec, teilte mir mit, dass BYOD-Initiativen zusätzlich zu den Sicherheitsproblemen noch regulatorische Probleme aufwerfen würden.

„Wenn Mitarbeiter ihre eigenen Handys nutzen, besonders in Europa, wirft dies Probleme bei der Verantwortlichkeit auf“, sagte er. „Wenn Angry Birds nicht mit einer Unternehmens-App kompatibel ist, wer ist dafür verantwortlich? Der Nutzer oder die IT-Abteilung? Außerdem besteht darüber hinaus das Problem, dass IT-Mitarbeiter in manchen Ländern nicht auf die persönlichen Daten auf dem Handy zugreifen dürfen beim Versuch, das Problem zu beheben.”

Die  ungeregelten Zuständigkeiten werden sich erst in den nächsten Jahren zum Problem auswachsen. Obwohl diese Strategie auf „your own device“, also das im Privatbesitz befindliche Gerät bezogen ist – wer kommt für Reparaturkosten oder ein neues Gerät auf, wenn das Privatgerät im Rahmen der geschäftlichen Nutzung beschädigt wird? Halten sich geschäftliche und private Nutzung die Waage, wenn es um die Zahlung der Telefonrechnung geht? Wenn der Nutzer eine App herunterlädt, die mit Viren verseucht ist, wer muss dann für den etwaigen Schaden geradestehen?

BYOD ist nicht nur ein Alptraum für die IT-Abteilung, sondern bereitet auch den Erbsenzählern in der Buchhaltung Kopfschmerzen.

Handy-Pools

Vielleicht setzt sich ja stattdessen CYOD durch, Choose Your Own Device. Bei diesem Konzept legen die IT-Verantwortlichen fest, welche Handys unterstützt werden, sie können streng reglementieren, welche Apps für die Verwendung freigegeben sind – und jedwede Software, die gegen die Regeln verstößt, löschen. Darüber hinaus schafft das Unternehmen das Handy oder Tablet für den geschäftlichen Gebrauch an, erlaubt dem Nutzer jedoch, Daten darauf abzuspeichern, wobei definiert wird, was zu den persönlichen Daten zählt und was nicht.

Legt man die derzeit gültigen Regelungen zugrunde, können E-Mails, Sofortnachrichten und SMS herangezogen werden, wenn es einen Rechtsstreit oder einen Verstoß gegen die Informationsfreiheit gibt bei einem Unternehmen oder einer Behörde. Dadurch ergibt sich ein ernsthaftes Problem: welche Daten dürfen überprüft werden und welche nicht? Die Trennung der beiden Bereiche muss durch die IT-Abteilung organisiert werden – ein weiterer Grund, weshalb CYOD vorzuziehen ist.

Carl Leonard, leitender Angestellter im Bereich Sicherheitsforschung bei Websense Security Labs, teilte der Redaktion mit: “Wenn man Mitarbeitern eine Auswahl bei den Geräten bietet, müssen im Unternehmen entsprechende technische Maßnahmen im Bereich Sicherheit getroffen werden, die sämtliche Hersteller und Modelle der Geräte im Unternehmen abdecken, egal ob es sich dabei um ein Tablet oder Smartphone handelt. Cloud-basierte Überwachung auf Bedrohungen und das Durchsetzen der Unternehmensrichtlinien ist ein Muss.“

„BYOD kann für viele Unternehmen Kosten verursachen, aber mit der Zeit muss dieser Preis bezahlt werden, damit die Geräte der Mitarbeiter immer wieder auf den neuesten Stand gebracht werden können“, fügte er hinzu.

Das unbekannte Land

Viele der Probleme liegen noch im Dunkeln. Wir stehen in Sachen Bedrohungen erst am Anfang – viele der Übeltäter testen die IT-Systeme aus, um herauszufinden, wo sich die wertvollsten Exploits verstecken. Für manche Hacker mag es ja ein netter Zeitvertreib sein, Trojaner zu programmieren, aber es gibt nur begrenzte Möglichkeiten, diese Schadsoftware einer nennenswerten Anzahl an Nutzern unterzuschieben – daher ist dies wenig profitabel. Eines Tages wird jemand es schaffen, einen wurmähnlichen Virus zu schreiben, der sich in Unternehmensnetzwerken oder über die Luft verbreiten kann. Die steigende Anzahl von Handys mit WLAN-Funktionen verheißt so manche interessante Möglichkeiten.

Es wurde bereits viel darüber gesagt, wie wichtig es ist, Apps zu überprüfen, bevor sie in einem App Store zum Download angeboten werden. Die relativ offene und breitgefächerte Verbreitung von App Stores bei Android wird von vielen als Schwäche betrachtet, die zum Einschleusen von Schadsoftware genutzt werden kann, aber um zu einem Verkaufsschlager zu werden, muss eine App sich hoher Beliebtheit erfreuen.

Als die wahrscheinlichste Angriffsmethode von Hackern zählt das gezielte Versenden von E-Mails, auch genannt Spear Fishing (Speerfischen). Diese Methode ist in allen IT-Umgebungen gleich effektiv, da es den Nutzer dazu bringt, Informationen über die Sicherheitssysteme preiszugeben. Es hängt von der Leichtgläubigkeit des Nutzers ab und nicht davon, ob es sich um ein Gerät mit Android-Betriebssystem oder um ein Betriebssystem wie Apple iOS, BlackBerry von RIM, Microsoft Windows Phone oder um irgendein anderes Betriebssystem handelt.

Leonard erklärt: „Viele Menschen besitzen heutzutage Smartphones (die sie privat gekauft haben). Oft sind diese Handys wesentlich moderner und aktueller als die Firmen-Handys, die ihnen von der Firma zur Verfügung gestellt werden, und manche Mitarbeiter nutzen lieber ihr eigenes, moderneres Gerät, um sich in das Unternehmensnetzwerk einzuklinken.“
Das bedeutet, dass bei BYOD ständig neue Geräte im Netzwerk auftauchen. Sicherheitstechnisch gesehen sind diese Geräte weder geprüft noch getestet. Manche Mitarbeiter haben ihr Gerät vielleicht bei einem billigen Internetladen gekauft, dessen Vertrauenswürdigkeit unbekannt ist. Wahrscheinlich werden demnächst Geräte mit manipulierter Hardware angeboten, die Schadsoftware fest eingebaut haben. Die Geräte werden zu günstigen Preisen erhältlich sein, da sie mit Verlust verkauft werden. Dahinter steckt natürlich das Kalkül, dass der Verkäufer die Verluste später leicht wettmachen kann, indem er oder sie Kunden abzockt.

Neue Geräte machen IT zu einem Fachgebiet, in dem stets die allerneueste Technik zum Einsatz kommt. In der Vergangenheit gab es einige Unternehmen, für die das in Ordnung ging, aber es gab nicht allzu viele davon. Es sieht so aus, als ob die Mehrzahl der Unternehmen nun in eine unbequeme, unsichere Zukunft katapultiert wird.