Consumerisierung der IT: Risiko und Chance
Mobile Computing verändert die Geschäftswelt – aber Smartphones und Tablet-PCs breiten sich unkontrolliert in Unternehmen aus, ohne dass IT-Abteilungen regulierend eingreifen können. Das Marktforschungsunternehmen IDC sagt voraus, dass dieses Jahr die Hersteller 120 Millionen mehr Smartphones und Tablet-PCs als PCs ausliefern werden, wobei sich das immense Wachstum der letzten Jahre in diesem Marktsegment nun wahrscheinlich konsolidieren wird. Viele dieser Geräte halten klammheimlich Einzug in die Büros, technische versierte Mitarbeiter nutzen sie, um ihr Privatleben besser zu organisieren, und später auch das Berufsleben. Diese Geräte werden in die Firmennetzwerke eingeklinkt, ob mit oder ohne Erlaubnis des Unternehmens.
Chaostheorie
Laut einem Whitepaper von Vodafone Global Enterprise wirft diese schleichende Unterwanderung der Firmen-IT Fragen auf bezüglich der Verantwortung für Sicherheit und Kosten. Es ist ganz logisch, dass die Einführung dieser mobilen Endgeräte in den Betriebsalltag strukturiert und nach einem durch das Unternehmen vorgegebenen Plan verlaufen sollte. Es wäre das reinste Chaos, wenn Hunderte oder Tausende von Mitarbeitern unterschiedliche Geräte und Apps verwenden würden, wenn sie diese mit Cloud-basierten Diensten von Drittanbietern abgleichen würden und dabei die Gefahr bestehen könnte, dass geheime Firmendaten preisgegeben werden.
Andererseits kann es auf Mitarbeiter durchaus motivierend wirken, wenn man ihnen die Freiheit lässt, ein Gerät ihrer Wahl zu nutzen, das ihrem Charakter oder ihren Vorlieben entspricht. Und wenn das Unternehmen nur für die geschäftliche Nutzung verantwortlich ist, kann dies den Investitionsaufwand wesentlich verringern – ein beliebtes Argument in Zeiten wirtschaftlicher Knappheit.
Es gibt dabei jedoch ein Problem. Firmendaten, die auf einem Privatgerät verarbeitet werden, unterliegen dabei immer noch den gesetzlichen Regeln und Vorschriften; da diese Geräte außerhalb der Firewall betrieben werden, können sie ein mögliches Einfallstor für Hacker darstellen.
Laut Vodafones Whitepaper hat die Durchdringung des Bereiches Mobile Computing am Arbeitsplatz mit privaten Mobilgeräten bereits stattgefunden – ob dies dem EDV-Leiter nun bewusst ist oder nicht.
Sollte es sich wirklich um ein so weit verbreitetes Phänomen handeln, wie behauptet wird, dann müssen Großunternehmen wirksam kontrollieren, wie diese Geräte auf Firmendaten zugreifen, sie abspeichern und verarbeiten. Will man Schlagzeilen machen, ist der Verlust oder der Diebstahl von persönlichen oder vertraulichen Daten von Kunden heutzutage der schnellste Weg.
Anlässlich der Vorstellung des Whitepapers erklärte Nicholas McQuire, EMEA-Chef für Enterprise Mobility und M2M beim Marktforschungsinstitut IDC, dass neue Gadgets für gute Laune sorgen würden; außerdem erhöhe es die Sicherheit, wenn Mitarbeiter mit solchen Geräten ausgestattet würden.
«Tatsache ist – in mancher Hinsicht kann dies durchaus ein effektiver Anreiz für Mitarbeiter sein, den Themen Informationssicherheit und -richtlinien etwas mehr Beachtung zu schenken«, sagte er.
Perfekte Vorbereitung…
Er empfahl IT-Leitern, das Unternehmen in Bereiche zu untergliedern und festzustellen, wer Zugang zu Daten benötige, um was für Daten es sich dabei handele und wann der Zugriff nötig sei. Dadurch könne ein gewisses Maß an Vertrauen in das verantwortliche Handeln der Mitarbeiter hergestellt werden.
»Es geht nicht um das Endgerät; es geht um die Information«, sagte McQuire. »Ihre Daten- und Sicherheitsrichtlinien müssen dies widerspiegeln, aber genauso wichtig sind die richtigen Management-Tools, damit Sie wissen, welche Geräte sich im Netzwerk tummeln und Ihnen grundlegende Verwaltungsfunktionen bezüglich dieser Geräte zur Verfügung stehen.«
»Aber dadurch haben Sie auch die Möglichkeit, Richtlinien und Rahmenbedingungen wirksamer zu gestalten hinsichtlich der IT-Governance für Ihre Software. Das ist wahrscheinlich der wichtigste Punkt – stellen Sie sicher, dass Sie die richtige Infrastruktur, die richtigen Sicherheitsvorkehrungen und die richtigen Verwaltungstools haben, damit Sie im Sinne der IT-Governance den entsprechenden Rahmen setzen können.«
Bryan Littlefair, Chef der Abteilung für Informationssicherheit bei Vodafone, stimmte dieser Aussage zu, wies jedoch darauf hin, dass ein gesundes Mittelmaß gefunden werden müsse zwischen wirksamen Sicherheitsmaßnahmen und der Beeinträchtigung des Nutzererlebnisses.
»Die Herausforderung besteht darin, die unstrukturierten Daten zu verstehen und Sicherheitsvorkehrungen so unauffällig wie möglich zu gestalten, damit die IT-Sicherheit nicht wie die Betriebspolizei daherkommt, sondern eher als Helfer wahrgenommen wird«, erklärte Littlefair. »Wenn Anwender alle 30 Sekunden ein Passwort eingeben müssen, werden sie versuchen, darum herumzukommen.«
Nicht die einzige Möglichkeit
Es besteht immer noch die Möglichkeit, die Endgeräte von Anwendern in das Framework des Unternehmens einzubinden, aber ein zergliedertes Netzwerk aus privaten Endgeräten stellt eine Herausforderung dar für die Support-Abteilungen, ebenso wie die Tatsache, dass die Sicherheitssoftware stets auf dem neuesten Stand gehalten werden muss.
Für Unternehmen einer gewissen Größe stellt dies kein echtes Problem dar, aber unternehmensweite Investitionen bringen Skaleneffekte bezüglich der Geräte und Gebühren, allerdings entfällt auch der Verwaltungsaufwand, Mitarbeitern die Kosten der Nutzung von Privatgeräten für berufliche Zwecke zu vergüten. Berufliche und private Telefonate oder Internetnutzung auseinanderzuhalten ist oft schwierig, deshalb muss selbst bei klaren Richtlinien und -vorschriften bezüglich der Nutzerverantwortung die Richtigkeit der Abrechnungsdaten sichergestellt werden. In der Regel ist ein persönlicher Freibetrag, immer vorausgesetzt, das Budget lässt dies zu, bei weitem die praxisnähere Lösung.
Egal, für welche Lösung ein Unternehmen sich entscheidet – es ist offensichtlich, dass die meisten Firmen hier strategisch vorgehen müssen. Wenn man diese Probleme ignoriert und den Kopf in den Sand steckt, riskiert man geringere Sicherheit und frustrierte Mitarbeiter, die neidisch auf die angesagten Geräte schielen. Diejenigen Unternehmen, die wirklich innovativ sind in diesem Bereich, können diese Gelegenheit nutzen, um eigene Apps für Geräte zu entwickeln, um so Mitarbeiter zu unterstützen und die Produktivität zu steigern.
»Starten Sie nicht mit einem Paukenschlag, es ist sehr wichtig, hier behutsam vorzugehen«, rät Nicholas McQuire von IDC.
»Sicher gibt es manche Aufgabenbereiche innerhalb des Unternehmens oder manche Apps, die keine Kernfunktionen haben und sich daher gut für einen ersten Versuch eignen.«