IT-Abteilungen, aber auch Compliance-Fachleute und Chief Security Officers von Unternehmen müssen sich in immer stärkerem Maße damit auseinandersetzen, wie sich Smartphones, Tablets und Ultrabooks in Geschäftsabläufe integrieren lassen. Und dies, ohne dass Sicherheitsprobleme entstehen oder Geschäftsdaten in falsche Hände geraten. Laut einer Studie von IDC Deutschland zum Thema "Enterprise Mobility" vom Juli 2013 arbeiten 57 Prozent der Beschäftigten in Deutschland zumindest teilweise mit Mobilgeräten. Mehr als die Hälfte der befragten Unternehmen (54 Prozent) hat daher bereits eine Mobility-Strategie implementiert. Weitere 25 Prozent wollen das innerhalb der nächsten zwei Jahre zu tun.
Foto: Citrix
Zu denken gibt, dass 16 Prozent der befragten IT- und Fachbereichsleiter einräumten, dass ihnen in den vergangenen Jahren mindestens einmal ein Mobilgerät mit Firmendaten an Bord abhanden kam. Um die Risiken durch gestohlene oder unzureichend abgesicherte Mobilsysteme zu minimieren, sehen 52 Prozent der Entscheider ein Mobile Device Management (MDM) und eine Mobile-Security-Strategie als unverzichtbar an.
Fehlerhafte Mobile-Security-Strategien
In der Praxis werden bei der Umsetzung einer Mobile-Security-Strategie laut einer Untersuchung der Beratungsgesellschaft Deloitte allerdings häufig Fehler gemacht. Folgende Vorgehensweisen seitens der IT-Abteilung seien besonders oft zu beobachten:
Die Nein-Sager
Die IT-Verantwortlichen sagen schlichtweg "Nein": Der Einsatz von Smartphones, Notebooks und Tablet-Rechnern wird weitgehend unterbunden. Dies gilt insbesondere für private Geräte, die Beschäftige im Unternehmen einsetzen wollen. Als Gründe führen IT-Fachleute Sicherheitsrisiken und mögliche Verstöße gegen Compliance-Regeln an. Es liegt auf der Hand, dass eine solche rigide Haltung kaum durchzuhalten ist. Zum einen deshalb, weil dadurch die Produktivität der Mitarbeiter leidet, zum anderen weil moderne Geschäftsprozesse kürzere Reaktionszeiten erfordern.
Diese können nur dann erreicht werden, wenn Mitarbeiter auch auf einer Dienstreise oder vom Home-Office aus ihre Aufgabe erledigen können. Hinzu kommt, dass die IT-Abteilung spätestens dann klein beigeben muss, wenn Führungskräfte darauf bestehen, dass sie selbst und ihre Abteilungen mit Mobilsystemen ausgestattet werden.
Einfach mal ein MDM-System kaufen
Die IT-Abteilung beschafft das erstbeste Mobile-Device-Management-System (MDM) und glaubt sich damit auf der sicheren Seite: Dies ist alleine deshalb fahrlässig, weil es derzeit etwa über 100 unterschiedliche MDM-Lösungen auf dem Markt gibt. Sie unterscheiden sich erheblich in Bezug auf den Funktionsumfang, die Bereitstellungsmodelle (Cloud, Installation im Firmenrechenzentrum) und die Einbindung in die vorhandene IT-Management-Landschaft. IT-Fachleute sollten daher zunächst prüfen, welche mobilen Endgeräte im Unternehmen verwendet werden, welche Sicherheitsforderungen im Bereich "Mobility" bestehen und welche Anforderungen die Anwender an Mobilsysteme und darauf abgestimmte Arbeitsabläufe haben, bevor sie ein MDM-System anschaffen.
- Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management? - Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden. - ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung. - Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle. - Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich. - Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen. - Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen. - User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.
Alle dicht
Die IT-Abteilung macht "die Schotten" dicht: Dies bedeutet, dass alle potenziell gefährlichen Funktionen des Mobilsystems deaktiviert werden. Dies kann beispielsweise die Installation oder Nutzung bestimmter Anwendungen betreffen, etwa WhatsApp, Facebook et cetera, aber auch den Zugriff auf bestimmte Web-Services wie Musikdienste. Die Folge: Anwender suchen nach Wegen, solche Restriktionen zu unterlaufen. Sie greifen beispielsweise verbotener Weise zu nicht "kastrierten" privaten Systemen oder sie weigern sich, an einem "Bring-Your-Own-Device"-Programm des Unternehmens teilzunehmen. Ein weiteres Problemfeld: Cloud-basierte Storage- und File-Sharing-Dienste werden ohne Wissen der IT-Abteilung verwendet, wenn diese keine Alternativen bereitstellt.
Private Endgeräte
Der Einsatz privater Endgeräte wird unzureichend geregelt: Umgekehrt sind manche Unternehmen allzu liberal, wenn es um BYOD geht. Wenn überhaupt, werden nur wenige Grundregeln eingeführt, etwa dass Systeme mit einem bestimmten Betriebssystem nicht verwendet werden dürfen, weil dieses überholt ist. Das kann dazu führen, dass im Unternehmen viele unterschiedliche Systemplattformen unterstützt werden müssen. Dies wiederum erhöht den Support-Aufwand und führt zu Sicherheitsrisiken.
Problemfall IT-Abteilung
Die IT-Abteilung ist paralysiert: Angesichts der Komplexität, die mit dem Management und der Absicherung mobiler Geräte verbunden ist, sind laut Deloitte manche IT-Abteilungen überfordert. Sie wissen nicht, welche Maßnahmen sie treffen sollen und "ducken" sich gewissermaßen weg. Diese Strategie ist naturgemäß mit hohen Risiken verbunden und in hohem Maße kontraproduktiv.
- Was Unternehmen erwarten
Einer Studie von IDC Deutschland zufolge erwarten sich deutsche Unternehmen vom Einsatz von Mobilsystemen handfeste wirtschaftliche Vorteile. Eine höhere Zufriedenheit von Mitarbeitern spielt eine untergeordnete Rolle. - Hürden in Sachen Mobility
Einer Umfrage von Citrix unter IT-Fachleuten zufolge sind potenzielle Sicherheitsrisiken ein Grund dafür, dass Mobility-Strategien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden. - Apple vor Android
Apples iOS knapp vor Android: In Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz waren nach einer Untersuchung der Beratungsfirma Pierre Audoin Consultants (PAC) im vergangenen Jahr im Schnitt 2,4 Mobilbetriebssysteme im Einsatz. Auch Blackberry hielt sich trotz der wirtschaftlichen Probleme des Herstellers RIM beachtlich. - Länderverteilung
Nach Angaben des Marktforschungsinstituts PAC setzen deutsche Firmen vor allem auf Mobilgeräte mit Apples Betriebs iOS und Android-Systeme. Immer noch stark vertreten ist RIM mit Blackberry. - Strikte Regeln
PAC zufolge bestehen vor allem deutsche Unternehmen auf strikten Regeln bei der Nutzung mobiler Geräte und dem Umfang mit entsprechenden Daten. - App-Regeln
Viele Firmen verzichten darauf, Regeln für die Nutzung von Apps auf Mobilgeräten zu definieren. Im Gegensatz dazu existieren in den meisten Organisationen Vorgaben, welche Mobilsysteme verwendet werden dürfen. - Private Apps
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen. - Der Citrix-Ansatz
Mit MDX von Citrix kann ein User von seinem Mobilgerät aus über ein Virtual Private Networks auf Daten und Anwendungen im Firmenrechenzentrum zugreifen. Die Apps und lokalen Daten auf dem Mobilsystem werden mithilfe von Wrapping und Containern geschützt. - Schutzwirkung
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend. - Zugriffs-Policies
Eine Beispiel für abgestufte Zugriffsregelungen für Nutzer von Mobilgeräten: Nutzer von Android-Geräten mit dem Original-Betriebssystem und MDM können auf weniger IT-Ressourcen zugreifen als User von Android-Systemen, deren Betriebssystem-Kernel für ein umfassendes Remote-Management modifiziert wurde. - Pro und Contra
Vor- und Nachteile unterschiedlicher Mobile-Security-Verfahren aus Sicht des amerikanischen Mobility-Spezialisten Mobile Spaces - Die Techniken
Unterschiedliche Ansätze: Um mobile Applikationen und Daten auf sichere Weise bereitzustellen, haben IT-Abteilungen die Wahl zwischen einer Vielzahl von Verfahren. Etliche, etwa das Wrapping von Anwendungen, erfordern teilweise den Einsatz von Software Development Kits (SDKs) und Eingriffe in den Programmcode von Applikationen. - Urteil des Fachmanns
Rüdiger Trost, Sicherheitsfachmann von F-Secure: "Zu einer Mobile-Security-Strategie gehören nicht nur Container für Apps und Daten, sondern auch die Absicherung der Verbindungen zwischen Mobilgerät und Firmennetz sowie speziell abgesicherte Online-Plattformen für den Datenaustausch zwischen Mitarbeitern."