Kommentar: BYOD
Kann man den vom Nutzer mitgebrachten Geräten trauen?
Fortsetzung des Artikels von Teil 1
Sicherheitsrichtlinien kennen keine Trennung zwischen Privat und Unternehmen
Natürlich hatte der Besitzer des I-Pads die Absicht über einen I-Cloud-Backup seine Daten zu sichern. Aber wie immer im Leben, erkennt man die wichtigen Dinge erst, wenn es zu spät ist. Die IT-Abteilung könnte in der Folge den Nutzer auf die veröffentlichten IT-Richtlinien des Unternehmens hinweisen oder sich einfach für das Leeren der Daten auf dem I-Pad entschuldigen, der Schaden ist jedoch nicht mehr zu reparieren.
Natürlich besteht die Aufgabe der IT-Abteilung darin, dass Unternehmen vor Missbrauch zu schützen und die Sicherheit muss umso mehr gewährleistet werden, wenn die Nutzer ihre eigenen Gerät mit in die Arbeit bringen und diese im Firmennetz nutzen. In der Praxis sichern sich die meisten IT-Abteilungen jedoch mit einer wahnsinnigen Menge an Regeln gegen alle Eventualitäten ab. Hinterfragt man diese Regeln, dann kommt es einem vor, dass diese meist ohne ersichtlichen Grund („Es war immer schon so!“) aufgestellt wurden. Man hätte dem Mitarbeiter seine Präsentation (die wahrscheinlich unverschlüsselt und mit keinem Passwort versehen ist) auch einfach über seinen Gmail-Account zukommen lassen können. Eine andere Variante wäre gewesen die Präsentation über Dropbox (mit entsprechender Passwortabfrage) bereitstellen können. Auf jeden Fall hätte der Nutzer die benötigten Daten, ohne eine Beteiligung der IT-Abteilung, genutzt und seine persönlichen Daten wären erhalten geblieben.
Unserer Fall zeigt eindeutig auf, dass in der Praxis die für ein Unternehmen aufgestellten Sicherheitsregeln wenig die Interessen des einzelnen Nutzers berücksichtigen. Oftmals sind diese Sicherheitspolitiken einfach unpraktisch und zwingen die Nutzer dazu, Wege zu finden, um diese umgehen zu können. Unterscheidet eine App/Software nicht zwischen den privaten und den Firmendaten, dann hat diese auch auf einem BYOD-Gerät eines Mitarbeiters nichts zu suchen. Darüber hinaus erhöht das Management der mobilen Geräte nicht die Sicherheit. Dies ist eine grundlegend falsch verstandene Strategie. Natürlich müssen die Daten verwaltet werden. Zu den Daten gehören alle Ressourcen, die dem Unternehmen gehören. Nicht mehr und nicht weniger. Dies setzt jedoch voraus, dass die IT-Abteilung seine Aufgaben versteht und neben dem reinen Datenmanagement auch die Schulung der Nutzer, die Datenklassifizierung berücksichtigt und notwendigen Sicherheitstricks beherrscht. Da viele IT-Abteilungen bisher immer nur diktatorische Datenverwaltungskonzepte durchgesetzt haben, werden sie bei der Integration von BYOD-Komponenten im Unternehmensnetz scheitern.
Es gibt jedoch Licht am Ende des Tunnels: Die oben erwähnte Umfrage besagt, dass bisher nur 32 Prozent der befragten Unternehmen eine Sicherheitsstrategie für BYOD erarbeitet und umgesetzt hatten. In naher Zukunft wollen jedoch weitere 25 Prozent sich mit diesem Aspekt intensiv auseinander setzen und innerhalb der kommenden 12 Monate eine Lösung präsentieren.
- Kann man den vom Nutzer mitgebrachten Geräten trauen?
- Sicherheitsrichtlinien kennen keine Trennung zwischen Privat und Unternehmen
- Fazit: BYOD
Lesen Sie mehr zum Thema
