Bereits im Jahr 2014 werden in etwa 90 Prozent aller Unternehmen Geschäftsanwendungen auf privaten Geräten laufen. Dies sagen die Marktforscher von Gartner voraus. Gemäß dem Citrix Security Index 2011 nutzen in deutschen Unternehmen heute schon 32 Prozent der Mitarbeiter ihr eigenes Notebook und 27 Prozent ihr Smartphone auch beruflich.
Der Grund für den Einsatz privater Geräte am Arbeitsplatz liegt vorwiegend bei den Mitarbeitern selbst. Sie möchten flexibel im Büro, unterwegs und im Home Office auf Unternehmensanwendungen zugreifen und weiterarbeiten. Dabei wollen sie das Gerät verwenden, dessen Bedienung und Oberfläche sie bereits aus dem Privatleben kennen. Zudem bieten die aktuellen Smartphones meist mehr und modernere Funktionen als die vom Unternehmen zur Verfügung gestellten Handys und PCs. Ein Beispiel dafür sind Apps, die bereits ein fester Bestandteil der privaten Nutzung sind, aber beruflich noch sehr selten eingesetzt werden.
Die Geschäftsleitung hat prinzipiell meist nichts gegen Bring your own Device (ByoD) einzuwenden. Schließlich entstehen dem Unternehmen dadurch auf den ersten Blick keine Kosten, die Mitarbeiter sind zufriedener und häufig auch effektiver. Zudem präsentiert sich das Unternehmen als offen und arbeitnehmerfreundlich.
Die IT-Abteilung jedoch sieht dies in der Regel anders. Denn die privaten Geräte öffnen grundsätzlich Einfallstore für Schadprogramme oder IT-Angriffe. Zudem sorgen sie für höheren Administrationsaufwand bei der Bereitstellung der Anwendungen, da sehr verschiedenartige Hardware darauf zugreift. Und nicht zuletzt werden zunehmend auch die Lizenzprobleme gesehen.
- BoyD - Darauf ist zu achten
Der Trend zu privaten Geräten am Arbeitsplatz ist kaum aufzuhalten. Aber nicht nur in Sachen Sicherheit, auch beim Lizenz-Management ist Vorsicht geboten. - Wenn die Mitarbeiter eigene Geräte nutzen sollen oder wollen, gilt es, die möglichen Gefahren zu analysieren und „Sicherheitsklassen" zu definieren.
- Maßnahmen wie Data-Loss- oder -Lea- kage-Prevention sowie automatische Verschlüsselung kritischer Dokumente schließen viele Sicherheitslücken.
- Mobile-Device-Management kontrolliert den Sicherheitsstatus der mobilen Geräte und blockiert bei Gefahr den Zugriff auf das Unternehmensnetz.
- Um der Unter- oder Überlizenzierung zu entgehen, muss das Unternehmen den Lizenzbedarf richtig einschätzen lernen.
- Zudem muss es einen Weg finden, die privaten von den beruflichen Applikationen zu trennen.
- Für privat beschaffte und im Dienst genutzte Software ist vom Nutzer eine gültige Lizenz vorzulegen.
- Der erste Schritt in die richtige Richtung besteht darin, dass IT und Einkaufs-/Lizenz-Manager miteinander reden.
- Auch das Gespräch mit den Softwareanbietern sollte gesucht werden; neue Lizenzmodelle kommen nicht von allein.
Gefährdete Sicherheit
Der ursprüngliche Sicherheitsansatz vieler Unternehmen, die Nutzung privater Geräte zu verbieten und firmeneigene Smartphones zur Verfügung zu stellen, lässt sich heute kaum noch durchhalten. Denn alle paar Monate kommen neue Modelle mit "coolen" Funktionen auf den Markt, und es gibt immer stärkere Gegnerschaften zwischen iPhone-, Samsung-, Android- oder Windows-Fans. Hier den Überblick zu behalten ist nahezu unmöglich. Deshalb müssen Unternehmen heute andere Ansätze verfolgen.
Sinnvolle Maßnahmen
Dazu gehört eine kontinuierliche Schulung der Mitarbeiter, denn Fehlverhalten aus Unwissen, Leichtsinn oder Absicht ist die häufigste Ursache für Datenverlust oder Sicherheitsgefahren. Zudem sollten Unternehmen ihre IT- und Gerätestrukturen analysieren: Wie gut sind Netzwerk, Server, Datenbanken oder Informationen geschützt? Auf welche Anwendungen greifen die Mitarbeiter mit welchen Geräten zu? Und was geschieht, wenn bestimmte Informationen in falsche Hände geraten? Diese Analyse führt zu einer Sicherheitsklassifizierung der verschiedenen Bereiche, die in einer umfassenden Architektur berücksicht werden muss.
Die Analyse ist nicht nur aufgrund von ByoD nötig, sondern auch wegen der sich immer schneller ändernden Nutzungsszenarien, unter anderem bei sozialen Netzen, Cloud-Angeboten oder Collaboration. Doch bei privaten Mobiltelefonen oder Tablets gibt es ein spezielles Problem: Sie entziehen sich häufig dem Zugriff der IT-Abteilung. Denn die meisten Mitarbeiter zögern, Updates oder Sicherheitsprogramme aufspielen zu lassen, die eventuell Apps oder private Dienste blockieren.
Folglich muss die IT-Abteilung im Netz oder auf Anwendungsseite Sicherheitsmaßnahmen einführen, zum Beispiel Data-Loss- oder -Leakage-Prevention. Damit verhindert sie zum Beispiel, dass bestimmte Informationen per Mail versendet werden. Einzelne Anwendungen lassen sich für bestimmte Gerätetypen blockieren oder einschränken, etwa die Bearbeitung von Mail-Anhängen. Außerdem kann die Nutzung je nach der Abteilung und deren Sicherheitsklassifizierung unterschiedlich begrenzt werden. Weitere Maßnahmen sind beispielsweise die automatische Verschlüsselung vertraulicher Dokumente sowie ein strenges Management des Netzzugangs und der Rechte zum Zugriff auf Informationen inklusive Authentifizierung und Identitätskontrolle.
Mit Hilfe dieser Sicherheitsmaßnahmen ist die Gefahr schon weitgehend gebannt. Doch die Verwaltung der Zugriffe bedeutet nach wie vor hohen Aufwand. Hier helfen Lösungen für das Mobile-Device-Management (MDM). Sie kontrollieren den Sicherheitsstatus der mobilen Geräte und blockieren bei Gefahr den Netzzugriff.
Werden unternehmenseigene Smartphones eingesetzt, lassen sich so auch Konfigurationen auf den Mobilgeräten aktualisieren und ändern. Zudem kann die IT-Abteilung Black- und Whitelists anlegen, um etwa bestimmte Apps zu erlauben oder zu verhindern.