Sichere Nutzung privater Endgeräte
Neue Herausforderung für Unternehmen
Mobile Endgeräte wie Netbooks, Smartphones, und Tablet-PCs revolutionieren nicht nur den menschlichen Alltag. Zunehmend vermischt sich auch für viele Mitarbeiter in Unternehmen die private und berufliche Nutzung dieser mobilen Wegbegleiter. Dabei stellt vor allem die Nutzung privater Endgeräte im Unternehmenskontext eine neue, zusätzliche Herausforderung für die IT dar.
Die mobile Nutzung von Internet und vernetzten Anwendungen ist im Privat- und Berufsleben inzwischen alltäglich. Schnelle, kostengünstige mobile Datennetze und immer leistungsfähigere mobile Endgeräte haben dazu geführt, dass Internet-Kommunikation heute mithilfe verschiedenster Gerätetypen realisierbar ist. Neben klassischen Notebooks steht mit Netbooks, Tablet-PCs bis hin zu Smartphones eine bislang unerreichte Vielfalt an Geräten zur Verfügung. Welches Gerät oder welche Gerätekombination für den persönlichen Alltag eine gute Lösung darstellt, ist einerseits eine Frage der zu bewältigenden Aufgaben, häufig jedoch eine der persönlichen Vorlieben. So stehen viele Unternehmen vor der Situation, dass Mitarbeiter – häufig auch das Top-Management – neue mobile Geräte aus ihrem privaten Alltag bevorzugen und eine Integration in ihre Arbeitsumgebung wünschen. Aber auch für das Unternehmen selbst kann die Integration von modernen Touchscreen-Geräten vorteilhaft sein. Gehören Telefon und die Verfügbarkeit von Kalender und E-Mails schon heute zum Alltag auf Smartphones, so erlauben spezialisierte Anwendungen für die aktuellen Geräteklassen die Integration in verschiedenste Systeme des Unternehmens und ermöglichen dabei kleinere und günstigere Lösungen als beispielsweise eine Ausstattung mit Notebook und UMTS-Stick. So lassen sich umfangreiche Informationsquellen wie CRM-Systeme abrufen und bedienen sowie ganze Geschäftsprozesse mobil bearbeiten. In Logistikprozessen oder bei der mobilen Bereitstellung von Arbeits- oder Bauplänen eröffnen zudem die Lokalisierungs- und Multimediafunktionen innovative Anwendungsszenarien.
Zwei denkbare Lösungsansätze
Für die Bereitstellung der Geräte sind aktuell zwei Lösungsansätze in der Diskussion: zum einen die Bereitstellung verschiedener Geräteklassen als Teil der Unternehmens-IT und zum anderen eine Bring-Your-Own-Device- (BYOD-) Strategie. Unter BYOD versteht man eine geregelte Nutzung privater Geräte im Unternehmenskontext. Die Bereitstellung der mobilen Geräte im ersten Fall ist aus Unternehmenssicht häufig mit hohem Aufwand und entsprechenden Kosten verbunden. So muss die Unternehmens-IT neben der Pflege der Vertragsbeziehungen zu eventuell verschiedenen Zulieferern das Geräte-Management, die Einbindung in die Infrastruktur und den Support der Anwender stemmen. BYOD hingegen bietet den Mitarbeitern eine hohe Wahlfreiheit bei der Auswahl der Geräte – verbunden allerdings mit Einschränkungen bei gerätespezifischen Support-Leistungen durch das Unternehmen. Die Aufgabe der Bereitstellung und Pflege einer Infrastruktur zur Anbindung der Geräte bleibt auch in diesem Fall und wird durch die geforderte Flexibilität tendenziell umfangreicher. Teilweise unterstützen Unternehmen ihre Mitarbeiter daher bei der Anschaffung der Geräte durch gezielte Zulagen. Zu den positiven Nebeneffekten, die sich Unternehmen von einer BYOD-Strategie erhoffen, zählen eine höhere Mitarbeitermotivation und ein sorgfältigerer Umgang mit den persönlichen Geräten.
Herausforderungen meistern
Für die Unternehmens-IT stellt der Wunsch nach einer Integration verschiedenster mobiler Endgeräte häufig eine große Herausforderung dar. Denn außer in Bedienung und Formfaktor unterscheiden sich die neuen Geräte durch ihre System- und Sicherheitsarchitektur, was neue Lösungen bei der Integration in die bestehende IT-Infrastruktur erfordert. Wünschenswert ist ein weitestgehend geräteunabhängiges Device-Management, das die Bestückung der Systeme mit Software und die Durchsetzung von Sicherheitsrichtlinien unabhängig vom Gerätetyp erlaubt. Dies erfordert jedoch eine entsprechende Eignung der Endgeräte. Im Bereich der Smartphones und Tablets haben in den letzten drei Jahren die Betriebssysteme IOS und Android gegenüber der etablierten Blackberry-Plattform erheblich an Bedeutung gewonnen. Sie wurden schrittweise um die notwendige Funktionalität für Unternehmen ergänzt, nachdem sie in der Einführungsphase zunächst auf die private Nutzung zugeschnitten waren. Diese auch als „Consumerized IT“ bezeichnete Entwicklung stellt gerade mit Blick auf die IT- und Informationssicherheit noch immer ein hohes Risiko dar. Die Geräte weisen zwar die für den Betrieb in einem Unternehmen notwendigen Schnittstellen auf, sind aber zugleich hochgradig vernetzt in hauptsächlich für den privaten Nutzer bereitgestellten Diensten wie soziale Netzwerke, App Stores oder Cloud-Dienste für Backup und Synchronisierung. Die Umsetzung einer Konfiguration zur Vermeidung der Vermischung von beruflichen und privaten Daten ist daher dringend notwendig. Anbieter im Bereich des Mobile-Device-Managements (MDM) bieten im Wesentlichen zwei Lösungswege: einerseits Systeme zur Konfiguration und Verwaltung von Geräterichtlinien sowie andererseits Anwendungen, die ein Sandbox-Prinzip verfolgen. Bei der Konfiguration über ein Mobile-Device-Management werden Profile angelegt und per Funkschnittstelle auf die Geräte übertragen. Die Profile enthalten zum Beispiel Anmeldeinformationen für Dienste, Zertifikate für die Authentifizierung im Netzwerk, mobile Anwendungen oder Richtlinien für Passwörter, die das Endgerät durchsetzen soll. Das Profil konfiguriert somit elementare Einstellungen der mobilen Systeme und erlaubt ebenso eine automatisierte Rücknahme der Einstellungen und Anwendungen. Durch zusätzliche Software auf dem Gerät lassen sich zudem in eingeschränktem Maß Versuche von Benutzermanipulation am Gerät erkennen – zum Beispiel die Installation eines so genannten „Jailbreaks“. Der Sandbox-Ansatz hingegen verzichtet auf einen Eingriff in die Konfiguration des Betriebssystems und installiert stattdessen eine Anwendung, deren Sicherheit weitestgehend unabhängig von anderen Anwendungen oder der Gerätekonfiguration ist. Die Lösung schützt sich selbst, indem sie ein eigenes Passwort vom Benutzer abfragt und Informationen nur verschlüsselt auf dem Gerät hinterlegt. Durch die Verwaltung aus einem zentralen Management-System lässt auch sie sich automatisiert konfigurieren oder vom Gerät entfernen. Der Nachteil dieses Ansatzes ist allerdings, dass die Anwendung selbst den vollen Funktionsumfang inklusive der Bedienoberflächen erbringen muss. Das typische „Look and Feel“ der geräteeigenen Anwendungen etwa für E-Mail und Kalender geht somit verloren. Beim Vergleich beider Ansätze im Hinblick auf die Einführung einer BYOD-Strategie bietet der Sandbox-Ansatz den Vorteil, dass der Eingriff in das Gerät wesentlich geringer ausfällt als bei profilbasierendem Management. Dies geht allerdings zu Lasten des Bedienungskomforts und der Integration der Daten aus dem Unternehmenskontext, erlaubt dem Benutzer aber größere Freiheiten bei der privaten Konfiguration des Mobilgeräts.
Abwägungen
Für beide Varianten gilt, dass das Unternehmen vor seiner Entscheidung auf der Basis von Kosten, Nutzungsaspekten und Wartungsfähigkeit auch eine umfassende Risikobetrachtung vornehmen sollte. Auch wenn sich die Sicherheit der mobilen Geräteplattformen positiv entwickelt hat, nimmt mit deren zunehmender Verbreitung auch ihre Attraktivität als Angriffsziel zu. Es ist davon auszugehen, dass sich auch künftig immer wieder Schwachstellen in der Sicherheit mobiler Betriebssysteme finden lassen und entsprechend ausgenutzt werden. Diese könnten dann auch Schutzmaßnahmen von Sandbox-Anwendungen oder Management-Profilen kompromittieren. Unternehmen müssen daher immer individuell prüfen, welche Daten auf einem mobilen Gerät zur Verarbeitung kommen und ob der von der jeweiligen Lösung gebotene Schutz den Anforderungen genügt. Auch organisatorische und rechtliche Fragestellungen sollten die Verantwortlichen umfassend betrachten. So ist beispielsweise für die Nutzung mobiler Endgeräte eine Richtlinie zu definieren, die den Umgang mit den Geräten und die mobile Verarbeitung von Unternehmensdaten regelt. Besonders wenn Mitarbeiter im Rahmen von BYOD ihre eigenen Geräte verwenden, müssen Verantwortlichkeiten in Bezug auf Schäden oder Störungen am Gerät oder in der Infrastruktur definiert sein. Gleichzeitig ist zu gewährleisten, dass beim Einsatz eines Mobile-Device-Managements nur im Rahmen einer Vereinbarung auf die private Nutzung eines vom Mitarbeiter bereitgestellten Gerätes Einfluss genommen wird.
Fazit
Die Leistungsfähigkeit und Verbreitung mobiler Endgeräte wird weiter zunehmen. Eine BYOD-Strategie eröffnet dabei die Möglichkeit, individuelle Mitarbeiterwünsche zu erfüllen. Ob sich damit auch die Erwartung in eine Kosteneinsparung erfüllen lässt, hängt vom notwendigen Aufwand zur Integration der Geräte und der Umsetzung einer adäquaten Sicherheitsstrategie ab.
Lesen Sie mehr zum Thema
