Die Nutzung privater Smartphones und Tablets ist in vielen Unternehmen längst Alltag. Doch mit der Reichweite der mobilen Unternehmensnetze wächst auch ihre Bedrohung durch Sicherheitslücken.
von Uwe Küll, freier Journalist in München
Die Dynamik des Mobile Computing ist ungebrochen. Nach den Erwartungen des BITKOM wird der Markt für mobiles Internet bald das mobile Telefonieren als wichtigsten Umsatzbringer für deutsche Telekommunikationsanbieter ablösen. Das Geschäft mit mobilen Datendiensten legt seit 2009 zweistellig zu, in diesem Jahr voraussichtlich um zehn Prozent auf 9,4 Milliarden Euro, meldet der ITK-Branchenverband aufgrund von Berechnungen seines eigenen Marktforschungsinstituts European Information Technology Observatory (EITO).
Jens Schulte-Bockum vom BITKOM-Präsidium kommentierte im Umfeld des Mobile World Congress: "Deutschland wird zur digitalen Gesellschaft. Im Jahr 2013 stehen die mobilen Datendienste für rund 44 Prozent des deutschen Markts für Mobilfunkdienste. Der Wachstumstrend bei den mobilen Datendiensten wird sich in Zukunft noch weiter beschleunigen." Mit dieser Entwicklung geht die steigende Nachfrage nach Smartphones und Tablet-Computern einher. Der Smartphone-Umsatz legt der Prognose zufolge um ein Viertel auf 8,8 Milliarden Euro zu. Bei Tablets erwartet der BITKOM einen Umsatzanstieg um rund elf Prozent auf 2,3 Milliarden Euro.
Doch was die ITK-Anbieter freut, bereitet den Verantwortlichen in den Anwenderunternehmen Bauchschmerzen. Sie werden nach Ansicht von Experten wie Nicole Dufft, Senior Vice President bei Pierre Audoin Consultants (PAC), von der Entwicklung überrollt. Dabei sind die mobilgerätespezifischen Sicherheitsprobleme alles andere als neu, wie Dufft betont: "Der Hauptunterschied bleibt natürlich, dass die mobilen Geräte einfach verlegt oder gestohlen werden können, was mit einem Desktop-PC doch eher selten passiert."
Auf mobilen Geräten können Daten daher leichter verloren gehen, beschädigt, ausgespäht oder anderweitig missbraucht werden. Ein weiterer zusätzlicher Angriffspunkt in mobilen Netzen sind die drahtlosen Netzverbindungen, die prinzipiell einen leichteren Zugang für Hacker ermöglichen als ein Kabel, das für gewöhnlich physikalisch geschützt verläuft. Auch hier haben potenzielle Angreifer die Möglichkeit der missbräuchlichen Nutzung, Fälschung oder Löschung von Daten und darüber hinaus der Manipulation von Systemen. Dass diese Bedrohungen in vielen Firmen gerade jetzt ins Bewusstsein der Entscheider gelangen, hat nach Ansicht von PAC-Managerin Dufft vor allem mit der veränderten Nutzung des mobilen Internets zu tun: "Bis vor Kurzem war das mobile Internet im Unternehmen wenigen Führungskräften vorbehalten, die es in erster Linie zur Kommunikation per E-Mail nutzten. Jetzt sieht das Szenario plötzlich komplett anders aus. Mit den aktuellen Tablets und Mini-Tablets sind weit mehr Anwendungen möglich. Und die Nutzung dieser Geräte lässt sich nicht auf eine kleine Anwendergruppe begrenzen."
Viele Firmen sind noch nicht auf ByoD vorbereitet
Im Zweifel bringen die Mitarbeiter einfach ihre private Hardware mit und schaffen Fakten. Sie wollen produktiver arbeiten, was ja auch und gerade dem Unternehmen dient. "Das Problem an dieser Entwicklung ist nur, dass sie viele Unternehmen unvorbereitet trifft und die Entscheider erst jetzt erkennen, dass sie etwas tun müssen", so Dufft. Diese Situation, in der die Anwender die Entwicklung der Unternehmens-IT vorantreiben, ist für die handelnden Personen in den ITK-Abteilungen der Unternehmen, aber auch für deren externe Dienstleister neu. Das zeigte sich in den ersten Reaktionen: Die reichten vom Totalverbot privater Endgeräte im Unternehmen - was in der Regel nicht dauerhaft durchsetzbar ist - bis zum Bring-Your- Own-Device-Ansatz.
Doch BYOD birgt Risiken, wie Michael Mohrbacher, Senior Consultant bei Bridging IT, betont. Er warnt: "Die organisatorischen Aufwände des Projekts sind bei Bring Your Own Device in der Regel höher als die technologisch bedingten. Es gibt wenig Rechtssicherheit aufgrund fehlender Rechtsprechung und Referenzen zu diesem jungen Themenkomplex." Das Information Security Forum (ISF) bezeichnet die Consumerization der IT in seinem Security Threat Horizon 2015 gar als eine der gefährlichsten Bedrohungen für die IT-Sicherheit in Unternehmen. Die Gefahr durch Trends wie Bring Your Own Cloud (BYOC) und BYOD besteht einerseits darin, dass Technologien eingesetzt werden, ohne vorher ausreichend getestet worden zu sein. Andererseits werden Informationen häufiger dupliziert, an immer mehr Stellen abgelegt oder sind über immer mehr Devices zugänglich. Unternehmen verlieren dadurch leicht den Überblick und bieten Angreifern mehr Angriffsmöglichkeiten.
Mobile-Device-Management allein greift zu kurz
"Wenn Firmen langfristig sicher und erfolgreich als Mobile Enterprise agieren wollen, müssen sie zunächst erkennen, dass es nicht nur um Device-Management geht", sagt Mobile-Communications-Expertin Dufft. Es geht auch um Apps und um den Zugriff auf BackOffice-Anwendungen - im eigenen Rechenzentrum oder in der Cloud. Und es geht um Content in unterschiedlichster Form, der nicht nur den eigenen Mitarbeitern, sondern auch Kunden und Geschäftspartnern zur Verfügung gestellt wird. Dufft rät: "Im Vordergrund der Entwicklung einer Mobile-Strategie sollte daher die Frage stehen, wer welche Daten und Anwendungen wann, wo, wie und wofür verwendet."
Dazu müssen sich die Verantwortlichen die Frage stellen: Welche Prozesse werden wir künftig mobilisieren? Und welche Unterstützung benötigen wir dafür? Die PAC-Analystin ist überzeugt: "Die Mitarbeiter werden künftig über noch viel mehr Zugangspunkte ins Internet gehen." Autos als Hotspots, Fernseher als interaktives Multimedia-Endgerät im Hotelzimmer, interaktive Whiteboards in Meeting-Räumen und Telepresence in öffentlichen Web-Konferenzräumen mit Anbindung von Webconferencing inklusive Application Sharing - all diese Entwicklungen sind zumindest als Prototypen verfügbar, und viele weitere werden folgen. Im Bereich der Machine-to-Machine-Kommunikation (M-to-M) etwa steht die Entwicklung erst ganz am Anfang.
Foto: Cortado AG
Vor diesem Hintergrund antwortet Carsten Mickeleit, CEO des MDM-Anbieters Cortado AG, auf die Frage nach der größten Herausforderung für Unternehmen auf dem Weg zum Mobile Enterprise: "In jeder Hinsicht die Balance zu finden zwischen privater und geschäftlicher Nutzung, Sicherheit und Produktivität." Dabei können Tools wie Mobile-Device-Management helfen, doch Mickeleit macht klar: "Durch die reine Verwaltung von neuen Geräten wird kein Unternehmen zum Mobile Enterprise, schon gar nicht, wenn Restriktionen und das Sperren von Diensten im Vordergrund stehen. Deshalb muss ein MDM-System heute auch eine klare Vision zur Integration in die Unternehmens-IT haben und neue produktive Prozesse ermöglichen."
Um auf künftige Entwicklungen vorbereitet zu sein, rät Mickeleit: "Unternehmen sollten darauf achten, dass die gewählte Lösung keine Insel innerhalb ihrer Systemlandschaft und Rechtestruktur darstellt. Ein Unternehmen, das im Systemmanagement auf Microsoft setzt, sollte sicherstellen, dass auch das Management von mobilen Geräten Windows-basiert erfolgt, sich direkt in das Active Directory integriert und per Powershell steuern lässt." Das Thema Sicherheit steht nach Mickeleits Erfahrung für viele Anwender mobiler Endgeräte im Vordergrund: "Deshalb geben auch viele Unternehmen unserem vollständigen On-Premise-Ansatz den Vorzug. Doch sollten bei der gesamten Sicherheitsdiskussion nicht die Chancen übersehen werden, die Mobile Computing mit sich bringt. Und oft wäre es wünschenswert, wenn der gleiche Sicherheitsmaßstab, der für Smartphones gefordert wird, für Laptops bereits umgesetzt wäre."
Jochen Jaser, Vorstandsvorsitzender von Matrix 42, sieht den Weg zum Mobile Enterprise vor allem als organisatorische Herausforderung für Anwenderunternehmen: "Das IT-Management hat in den meisten Unternehmen eine Silo-Struktur, sodass derzeit die Verantwortung für die verschiedenen Bereiche des MDM bei unterschiedlichen Stellen liegt. Es braucht aber jemanden, der sich zentral um MDM kümmert."
Geschäftliche und private Daten: saubere Trennung nötig
Wichtig ist zudem, dass man die "Consumerization der IT" in den Griff bekommt. Dazu sei eine saubere Trennung zwischen geschäftlichen und privaten Daten auf den Geräten unerlässlich. Ein gutes Gerätemanagement kann laut Jaser durch PIN-Codes und Gerätezertifikate schon einige Sicherheitsrisiken ausschließen. "Ebenso verhält es sich mit dem Applikationsmanagement: Festzulegen, welche Applikationen wann und wie genutzt werden dürfen, ist unerlässlich. Schließlich ermöglicht eine gute MDM-Lösung, die Verfügbarkeit der Unternehmensdaten auf den unterschiedlichen Geräten genau zu definieren."
Die künftigen Herausforderungen für die sichere Nutzung des mobilen Internets sieht Jaser vor allem darin, den automatisierten Informationsaustausch zwischen den Endgeräten im Griff zu behalten. "Machine-to-Machine-Kommunikation ist wichtig, aber diese Prozesse dürfen sich keinesfalls verselbstständigen. Eine weitere Herausforderung wird das Thema Near Field Communication sein."
Künftige Herausforderungen liegen in der Cloud
Christof Baumgärtner, Director und Country Manager DACH von Mobile-Iron, sieht die künftigen Herausforderungen der mobilen Sicherheit vor allem in der Cloud: "Mobiles Internet und die mobile Nutzung von Cloud-basierten Diensten sind eng miteinander verknüpft. Daher wird es zunehmend wichtiger, sicherzustellen, dass wertvolle Daten nicht unkontrolliert in die Cloud wandern, nur weil es für den Benutzer einfach ist. Gegen eine kontrollierte Nutzung von Cloud-Diensten spricht selbstverständlich nichts."
Baumgärtner rät: "Wer seine mobile Strategie nur auf die Anforderungen von heute abstellt, wird in kurzer Zeit vermutlich seine Plattformauswahl revidieren müssen. Wir sehen, dass oft die mobile Nutzung von E-Mail in den Vordergrund gestellt wird, ohne zu bedenken, dass künftig Inhouse Apps grundlegende Geschäftsprozesse mobilisieren werden oder zunehmend Inhalte außerhalb von E-Mail mobilisiert werden müssen. Typischerweise benötigen Unternehmen mittlerweile nicht nur ein sicheres Management von mobilen Endgeräten, sondern, viel wichtiger, von Dokumenten, Apps und deren Inhalten." (rw)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.
Tipps für die sichere Einbindung von BYOD
1. Die Anwendungsfälle für den Einsatz von Privatgeräten sowie die Integration mit Lieferanten- und Partnerprozessen auf Sicherheitsanforderungen bewerten: lokale Datenspeicherung, Verschlüsselung, Weitergaberichtlinien etc.
2. Grundsätzlich ist die Einführung von BYOD für Mitarbeiter ein Thema der Mitbestimmung, in das der Betriebsrat oder die Mitarbeitervertretung einzubinden ist. Klare Anforderungen sind ein wesentlicher Erfolgsfaktor.
3. Im nächsten Schritt muss die passende Lösung im wachsenden Markt der Anbieter identifiziert werden. Cloud-basierte Ansätze, beginnend bei SaaS bis hin zur kompletten Integration von Support, Administration und Betrieb, sind möglich.
4. Bei der Entscheidung für eine Lösung ist zu prüfen, ob und wie sie mit Plattformkonzepten zur Trennung von Arbeits- und Privatwelt (Samsung Knox oder BlackBerry Balance) zusammenarbeitet. Es ist meist sinnvoll, die für BYOD freigegebenen Geräteklassen (iOS, Android ab Version X etc.) zu beschränken.
5. Einige Unternehmensprozesse erfordern weitergehende Security-Compliance (etwa FIPS-140). In diesem Fall kann es notwendig sein, den Partnern und Lieferanten bestimmte Geräte vorzuschreiben. Die BYOD-Lösung muss dies als Richtlinie durchsetzen.
6. Aus rechtlichen und logistischen Gründen können Fremdgeräte nicht direkt (MDM) administriert werden. Lösungen, die einen sicheren Container bereitstellen, ermöglichen durch Mobile-Application-Management (MAM) die nötige Isolation der Geschäftsdaten. Diese Technik hat sich bisher für Desktop-Szenarien (BeraterLaptop) noch nicht durchgesetzt, obwohl sich klare Einsparpotenziale (zum Beispiel bei den Lizenzen) auftun würden.
7. Klärung der rechtlichen Aspekte:
• Nutzungserlaubnis: Die verbindliche Regelung zwischen Arbeitgeber und Mitarbeiter über die Nutzung privater Endgeräte innerhalb und außerhalb des Unternehmens.
• Achtung der Privatsphäre: Das Unternehmen darf keinen Zugriff auf private Daten haben und diese ohne fallbezogene Einwilligung nicht erheben, ändern oder löschen. Das schließt die Fernlöschung eines mobilen Endgeräts bei Verlust aus.
• Steuerliche Behandlung der Nutzung vom Unternehmen überlassener Software auf privaten Geräten und der Bezuschussung von Geräten.
• Urheberrecht: Verbindliche Nutzungsvorgaben und Kontrolle für den Umgang mit privat erworbener Software.
Michael Mohrbacher, Senior Consultant bei Bridging IT