Kommentar: BYOD
Kann man den vom Nutzer mitgebrachten Geräten trauen?
An der Integration von mobilen Kommunikationsgeräten in die Unternehmensstrukturen führt kein Weg vorbei. Die Beschaffung eines Mobile-Device-Managements stellt nur einen Baustein auf dem langen Weg zur Lösung dar. In erster Linie geht es darum die Daten sinnvoll zu verwalten und somit ein hohes Maß an Sicherheit für das Unternehmen zu gewährleisten.
Kaum ein Unternehmen und keine IT-Abteilung war auf den aus den USA kommenden „Bring-Your-Own-Device- (BYOD-)Trend“ vorbereitet, und es wurden in der Not einfache und schnelle Lösungsansätze entworfen, die den Druck der Anwender abfedern sollten. Wie jetzt aus einer von Information Week veröffentlichten Studie ("2012 Mobile Security Survey") hervorgeht, ist auch in den USA nicht alles Gold was glänzt. Über das Thema „Sicherheit“ ist im Bereich BYOD noch recht wenig bekannt und wird darüber hinaus von den meisten IT-Spezialisten unterschätzt. Besonders auffällig tritt dieses Missverhältnis zu Tage, wenn man die verfügbaren (oder als besonders wichtig erachteten) Mobile-Device-Management-Funktionen und den vom Nutzer geforderten beziehungsweise ihm zugestandenen Funktionen vergleicht.
Um zu veranschaulichen, wie problematisch eine falsche BYOD-Politik sein kann, nehmen wir folgendes hypothetische Szenario an: Ein Mitarbeiter eines Unternehmens beschließt für sich einen I-Pad zu kaufen. Diese Person möchte auf seinem Tablet-Rechner die Kamerafunktion nutzen und seine persönlichen Bilder und Videos ablegen. Auf dem Rechner werden beispielsweise die ersten Schritte seines Babys oder der Klavierabend seiner Tochter abgelegt. Auch werden auf dem Gerät Hunderte von Bildern der vergangenen Familienurlaube abgespeichert.
Als guter und zuverlässiger Mitarbeiter bringt dieser sein I-Pad natürlich mit in die Arbeit. Das Gerät wird für Präsentationen und für die Eingabe von Texten genutzt. Da unser Mitarbeiter alles richtig machen will, erkundigt er sich bei seiner IT-Organisation nach den gültigen Regeln für den Einsatz von BYOD-Geräten. Es gilt: Um jegliche Unternehmensdaten (auch solche die ungeschützt über das Web zur Verfügung gestellt werden) auf einem BYOD-Gerät ablegen zu können, muss eine entsprechende Software beziehungsweise App installiert werden. Diese App sorgt dafür, dass die notwendigen Passworte für den Datenzugriff auf die Unternehmensdaten abgefragt werden. Darüber hinaus sorgt die App für ein Remote-Locking, das Löschen der Daten auf dem Gerät, einen Malware-Schutz und die notwendigen Sicherheits-Updates.
Die App erfordert alle paar Wochen/Monate die notwendigen Passwortänderungen und setzt die Mindeststandards für die Nutzung von BYOD-Geräten im Unternehmen durch. Darüber hinaus wird das Gerät automatisch gesperrt, wenn zu viele fehlgeschlagener Anmeldeversuche vorgenommen wurden und die Daten werden nach auftreten eines solchen Events automatisch gelöscht.
Angenommen die kleinen Kinder des Mitarbeiters spielen am Wochenende mit dem I-Pad und versuchen aus Zufall eine Firmenanwendung zu starten, dann fragt das Gerät natürlich nach dem zugehörigen Passwort. Die Kinder geben einfach zufällige Buchstabenkombinationen ein und es kommt, was kommen muss: Die Anzahl der fehlgeschlagenen Passworteingaben übersteigen das festgelegte Limit. In der Folge wird das Gerät gesperrt und die darauf befindlichen Daten automatisch gelöscht. Die erste Schritte des Babys, der Klavierabend der Tochter und die Urlaubsbilder gehen ins Nirwana über.
- Kann man den vom Nutzer mitgebrachten Geräten trauen?
- Sicherheitsrichtlinien kennen keine Trennung zwischen Privat und Unternehmen
- Fazit: BYOD
Lesen Sie mehr zum Thema
