Zwei der größten Herausforderungen für die IT sind heute die sogenannte Consumerization und Bring Your Own Device (BYOD). Beides sind heiße Themen, die durch die Beliebtheit von Consumer-Computing-Plattformen noch weiter vorangetrieben werden, allerdings handelt es sich um zwei unterschiedliche Sachverhalte. Der Begriff “Consumerization” beschreibt die Auswirkungen der Tatsache, dass die Vorlieben der Mitarbeiter bei der Auswahl der Technologie mit ins Spiel kommen, nämlich mit den jeweiligen persönlichen Affinitäten in Bezug auf Funktionalität und Benutzerfreundlichkeit von Smartphones, Laptop-Betriebssystem oder Tablets. BYOD geht noch einen Schritt weiter: hier erwerben die Mitarbeiter ihre eigenen Geräte und nutzen diese am Arbeitsplatz – mit oder ohne Unterstützung der IT.

Consumerization spielte sich jahrelang in der Tasche ab. Kleine Gruppen von Benutzern drückten so ihre persönlichen Ansichten zur Auswahl von Applikationen und Plattformen aus. Mit der Verfügbarkeit von mobilen Endgeräten für die breite Masse wurde daraus jedoch ein Mainstream-Thema, mit dem sich auch Unternehmen auseinandersetzen müssen. In der Studie “Global State of Information Security” von PriceWaterhouseCoopers aus dem Jahr 2012 gaben 43 Prozent der Befragten an, eine Strategie für die Benutzung persönlicher Geräte durch die Mitarbeiter zu haben.

Achim Kraus, der Autor dieses Expertenbeitrags für ITespresso, ist Senior Consultant Strategic Accounts bei Palo Alto Networks.

Es ist jedoch eine unausgesprochene Tatsache, das es trotz vorhandener Strategie und Richtlinien äußerst frustrierend sein kann, diese Regeln auf unterschiedlichen Technologien durchgängig umzusetzen. Die Auswirkungen der Consumerization auf die Geräte ist ein Thema mit wachsender Bedeutung, das sich auf eine Vielzahl verschiedener Kontrollpunkte auswirkt und zu großen administrativen Schwierigkeiten führen kann.

BYOD geht noch einen Schritt weiter als die Consumerization – hier zeigen sich die Auswirkungen dann, wenn Mitarbeiter ihre Geräte richtlinienwidrig einsetzen. Jede Lücke zwischen gewünschter Richtlinie und umsetzungsfähiger Richtlinie birgt nicht quantifizierbare Risiken – genau das fürchten die Security-Teams.

Viele Unternehmen leben in der Annahme, Consumerization sei ein gerätebezogenes Thema und die Kontrolle müsse auf Geräteebene stattfinden. Betrachtet man das Spektrum an Geräten, die unter den Begriff Consumerization fallen, so scheint es, als sei die Zahl der Tools ebenso groß wie die Zahl der Geräte. Da gibt es ein Tool für gemanagte Laptops, eins für Mobilgeräte, und obendrein noch verschiedene Tools für nicht gemanagte Laptops und Mobilgeräte. So verfügt zum Beispiel der Vice President über einen von der IT gestellten Laptop mit Mac OS X, ein persönliches Smartphone, das den Firmenrichtlinien unterliegt, und ein persönliches iPad, das diesen Richtlinien nicht unterliegt. Logisch wäre es, ein Management-Tool pro User einzusetzen, in diesem Beispiel jedoch gibt es drei verschiedene Tools.

Laptop-Management

Firmenlaptops unterliegen den Gesetzen der Desktop-Management-Tools. Diese Systeme können den Endpunkt erkennen, dem Nutzer Zugang zum Netzwerk ermöglichen sowie Packages und Patches auf das Gerät pushen. Für Geräte, die vom Unternehmen gesteuert werden, funktionieren diese System auch gut. Es gibt jedoch unzählige Betriebssysteme, die nicht so einfach unterstützt werden. Mit der Consumerization kommt auch Mac OS X in Spiel. Bemerkenswert ist jedoch, dass es in Unternehmen auch zahlreiche Windows-7-Desktops gibt, die noch auf Windows XP standardisiert sind.

Das ist aber noch nicht alles: Es gibt zudem Linux-Laptops und Chrome-OS-Netbooks, und aktuell steht Windows 8 auf ARM-Prozessoren vor der Tür. Fragt man eine beliebige IT-Abteilung, bekommt man zu hören, dass sich das Desktop-Management bereits mit standardisierter Hardware und Corporate Image schwierig gestaltet. Nun kommen noch die Consumerization und andere Sachen hinzu, die noch viel schwieriger zu betrieben und abzusichern sind, insbesondere Plattformen, die nicht zu den ursprünglichen Anforderungen des Desktop-Management-Tools gehören.

Betrachtet man privat genutzte Computer, so sind Laptops von externen Partnern des beste Beispiel dafür, wie die IT mit nicht-standardmäßigen Corporate Images in ihrem Netzwerk klarkommen muss. Die Externen sitzen direkt neben den internen Mitarbeitern, sind mit dem gleichen Subnetz verbunden und greifen auf dieselben Applikationen und Ressourcen zu. Trotzdem ist der externe Laptop nicht Bestandteil des Corporate Image und wird nicht von der IT gesteuert – und somit ist fraglich, ob das Gerät die Sicherheitsregeln erfüllt, die für interne Mitarbeiter gelten.

IT-Abteilungen von Unternehmen sind oftmals über die Risiken besorgt, die von diesen Endpunkten ausgehen. Dies gilt insbesondere dann, wenn es doch einmal ein infiziertes System ins Netzwerk schafft. Weil die Mitarbeiter aufgrund der Consumerization zusätzlich private Laptops mitbringen, wird es zunehmend schwieriger, zuverlässigen Schutz vor Malware zu bieten und das Patch Management zu meistern.

Management für Smartphones und Tablets

Die Gerätesteuerung für Smartphones und Tablets erfordert vollständig andere Rahmenbedingungen, die unter dem Begriff Mobile Device Management (MDM) zusammengefasst werden. Die meisten Firmen verfügen bereits über eine produktive Gerätemanagement-Plattform: den altehrwürdigen BlackBerry Enterprise Server. Um die Consumerization sowie die Einführung weiterer Geräte zu unterstützen, von denen auch einige Eigentum der Mitarbeiter sein können, fügen Unternehmen derzeit ein zweites MDM hinzu, um den BlackBerry Enterprise Server zu ersetzen oder zu ergänzen. Mobile Device Management Tools bieten Richtliniensteuerung für Smartphones und Tablets und haben den Vorteil, per Drahtlosnetzwerk auch Änderungen an Geräten vornehmen zu können, die sich nicht im Firmengebäude befinden.

Mit einem MDM lassen sich Richtlinien auf gemanagten Unternehmens- oder Privat-Smartphones oder Tablets durchführen, allerdings ist damit keine Verwaltung oder Steuerung von nicht gemanagten Geräten im Netzwerk anhand von Unternehmensrichtlinien durchführbar. Wie oben schon erwähnt, lassen sich mit einem MDM auch nicht alle Arten von Laptops steuern. Aus Sicht der Privatgeräte muss der Mitarbeiter entweder eine Richtlinie oder eine Applikation installieren, die von der IT-Abteilung gesteuert wird und die durchaus zu Reibungsverlusten führen kann.

So kann eine MDM-Richtlinie beispielsweise dazu führen, dass der User bestimmte Einstellungen auf seinem Privatgerät nicht mehr ändern kann. Es gibt auch Szenarien, bei denen die IT sowohl Firmendaten als auch private Daten löschen muss. Um diese Problematik zu umgehen, suchen Unternehmen nach Zusatzmaßnahmen zur Datenpartitionierung, zum Beispiel den Einsatz sogenannter “Wrapper”, um Firmenanwendungen auf dem Mobilgerät herum, um die Firmendaten vom Rest des Speichers zu isolieren.

Umgang mit nicht gemanagten Privatgeräten

Das Privat-Tablet, das der Vice President in der Arbeit verwendet, unterliegt weder den Gesetzen des Desktop-Management noch des Mobilgeräte-Managements. Anstatt jedoch das Gerät selbst steuern zu können, bevorzugen einige Anbieter Lösungen, die auf einer Zugangssperre zum Netzwerk basieren. Zu diesen Methoden gehört auch Network Access Control (NAC). Dabei werden zulässige Geräte identifiziert und anderen Geräten der Zugang zum Netzwerk verwehrt.

Im Prinzip ist es eine kluge Idee, mit NAC zulässige Geräte zu profilieren und zu identifizieren, jedoch machen einige Herausforderungen die Implementierung in der Praxis kompliziert. Die Schwierigkeit besteht darin, dass es eine Vielzahl an Geräten gibt, die unter BYOD zulässig sind – genau herauszufiltern, wer ins Netzwerk darf und wer nicht, kann dabei knifflig werden. So kann zum Beispiel ein Gerät für bestimmte Anwendungen zulässig sein, für andere wiederum nicht. Die korrekte Nutzung abzubilden, ist daher nicht trivial.

Zum Beispiel könnten Tablets von einem ordnungsgemäß konfigurierten Unternehmensendpunkt aus problemlos auf das Intranet zugreifen, jedoch für das CRM gesperrt sein. Das Erstellen einer Liste von Ausnahmen für alle möglichen Geräte, deren Gebrauch richtlinienkonform ist, kann eine undankbare Aufgabe sein, insbesondere angesichts der Geschwindigkeit, mit der Mitarbeiter ins Unternehmen ein- und austreten, und der Anzahl an Geräten, die jeder der Mitarbeiter besitzt. Dies ist gerade für die Netzwerkspezialisten eine Herausforderung, die normalerweise nicht mit einem so hohen Volumen an Changetickets arbeiten; Grund für dieses hohe Volumen ist die explosionsartige Zunahme an Mobilgeräten.