BYOD: Cloud-Services und -Apps im Visier
Zwischen Freiheit und Reglementierung
Mit der Einbindung privater Geräte von Arbeitnehmern ("Bring Your Own Device" - BYOD) in die Unternehmensprozesse halten auch die gebräuchlichen und individuellen Vorlieben der jeweiligen Akteure ihren Einzug. Neben den jeweils bevorzugten Hardware- und Betriebssystemen sind dies vor allem Apps und Mehrwertdienste aus der Cloud. Die Praxis zeigt: Dies ist keine leichte Aufgabe für die Unternehmens-IT - aber lösbar.
Unternehmen haben in den letzten Jahren mit Nachhaltigkeit an der Herausforderung der Datensicherheit gearbeitet. Die Nutzung von Cloud-Diensten wie Dropbox, die Mitarbeiter zunehmend auch auf den mobilen Geräten verwenden, steht den Sicherheitsbestrebungen der Unternehmens-IT allerdings diametral entgegen – jedenfalls dann, wenn diese Endgeräte auch für geschäftliche Zwecke zum Einsatz kommen. Im Idealfall sollte es daher weder notwendig noch möglich sein, Unternehmensdaten auf mobilen Endgeräten abzuspeichern. Die perfekte Lösung dafür wäre ein Terminal-basierender Zugriff auf Unternehmensressourcen. Der technische Haken dabei ist jedoch, dass die Limitierung, immer „online“ sein zu müssen, gleichzeitig einen der größten Mehrwerte mobiler Geräte nimmt: das spontane und „unverbindliche“ Arbeiten etwa in der Bahn, im Flugzeug oder im Taxi. Um auch dort produktiv sein und auf Unternehmensdaten zugreifen zu können, wo Funkverbindungen nicht oder nur stark eingeschränkt verfügbar sind, ist es erforderlich, Daten offline vorzuhalten. In diesem Szenario stellt die Datentrennung eine der größten und wichtigsten Herausforderungen dar. Sie soll garantieren, dass auf dem Endgerät Privat- und Unternehmensdaten voneinander getrennt abgespeichert sind. Im Interesse der Datensicherheit ist es zudem wünschenswert, wenn Letztere in verschlüsselter Form und getrennt vom nativen Dateisystem des Mobilgeräts abgelegt sind. Die Umsetzung dieses Lösungsansatzes lässt sich bereits heute durch eine Container-basierende Architektur realisieren. Neben der verschlüsselten Ablage und einer Zusatzautorisierung unabhängig von der Lockscreen-Anmeldung des Mobilgeräts bietet dieser Ansatz noch weitere Vorteile. So sind die Daten auch offline verfügbar und lassen sich mobil und zugleich sicher nutzen. Zusätzlich bricht der Container Kontrolllimitierungen der Gerätebetriebssysteme auf. Da der Container in einer eigenen Laufzeitumgebung arbeitet, können Administratoren ihn nach Belieben mit Richtlinien versehen und sind nicht weiter von der API der jeweiligen Betriebssysteme abhängig – vorrangig Apple IOS, Google Android und Microsoft Windows Phone. In Bezug auf BYOD ist zudem eine der wichtigsten Anforderungen erfüllt: die eindeutige Zuordnung unternehmenseigener Daten. Somit sind Unternehmen nicht nur technisch, sondern auch unter rechtlichen Aspekten grundsätzlich in der Lage, Unternehmensdaten zu löschen oder das Nutzungsrecht daran zu entziehen.
Container versus native Systemerfahrung
Einer der am häufigsten angebrachten Kritikpunkte an einem Container-Ansatz lautet, dass die einfache Handhabung und die Benutzererfahrung des nativen Betriebssystems verloren gingen und das Iphone oder das Android-Gerät einen „Hauch von Blackberry“ erhielte. In der Tat ist es so, dass sich an der Bedienung etwas ändert: So ist der Preis der klaren Trennung von Berufs- und Privatwelt durch die Eingabe eines separaten Passworts zu zahlen. Es ist auch zutreffend, dass die Unternehmensdaten ausschließlich im Container liegen und sich nur dort verwenden lassen. Die Abgrenzung zur nativen Systemerfahrung beschränkt sich jedoch im Wesentlichen auf das Dateisystem, denn die restliche Welt des Containers lässt sich exakt nach dem gleichen Prinzip bedienen wie beim nativen Betriebssystem. Für den Benutzer bedeutet dies, dass er die empfangenen E-Mails und deren Anhänge nicht in den Standard-Apps oder -speicherpfaden ablegen kann, sondern auf den Container zurückgreifen muss. Dies sollte auch für den Anwendungsfall gelten, in dem der Benutzer seine empfangen Office-Dateien bearbeiten oder als PDFs ablegen will. Die im Container gesicherten Daten dabei zur weiteren Verwendung in das native Dateisystem zu transportieren, würde den erzielten Effekt, Unternehmensdaten sicher zu verwahren, wieder aufheben. Daher besteht beim Container-Ansatz zusätzlich die Möglichkeit, sowohl eigene Apps (Unternehmens-Apps) als auch Apps aus dem App-Store (kommerzielle Apps) an den Container anzubinden und so den Transfer zwischen dem gesicherten Container-Speicher und den Apps zu gewährleisten. Technisch funktioniert dies in einer Art Handshake-Verfahren: In diesem fordert die App den Zugriff auf den Container an, dieser wiederum prüft ob der Benutzer bereits am Container angemeldet ist und genehmigt danach die Anfrage. Die App lässt sich nun zur Verwendung der Daten nutzen und die aktualisierte Datei wieder in den Container zurückspeichern. Dieser Ansatz erfordert mit Sicherheit eine gewisse Akzeptanz der Nutzer. Er ist jedoch der derzeit zweckmäßigste Lösungsweg, um private und geschäftliche Welten auf einem Gerät miteinander zu vereinen, ohne dass die IT-Abteilungen die lieb gewonnen und vielseitigen Features der Betriebssysteme sperren müssen. Argumentieren gegenüber den Benutzern lässt sich für ein solches Konzept sehr gut mit einem Ansatz aus Sensibilisierung (Awareness) für Datensicherheit und dem Bonus, dass die eingesetzten Geräte nur gering in ihrer nativen Funktion eingeschränkt sind – anders, als es bei Mobile Device Management (MDM) der Fall wäre.
Der Reiz von Dropbox und Co.
Die „Cloud“ hat sich zum Synonym für Dienste entwickelt, die als Service im Internet verfügbar sind. Alles scheint damit realisierbar zu sein, und noch wichtiger für den Endanwender ist es, dass die Handhabung solcher Dienste einfach ist. Das wohl populärste Beispiel stellt der Dateisynchronisationsdienst Dropbox dar: Nahezu jede App verfügt mittlerweile über eine eingebettete Funktion, um Daten direkt in diesem Online-Speicher abzulegen. Doch auch Facebook stellt heute einen Cloud-Dienst dar, der sich mit weit mehr als nur sozialen Netzen beschäftigt: Auch dort kann der Benutzer Dokumente anlegen, Applikationen ausführen sowie Dateien hochladen und verteilen. Innerhalb des Unternehmens und den dort installierten Systemen lassen sich derartige Dienste mithilfe moderner Applikations-Firewalls und Proxys durchaus reglementieren oder komplett sperren. Dies gilt aber lediglich für diejenigen Systeme, die unmittelbar mit dem Unternehmensnetzwerk verbunden sind, nicht jedoch für das typische Smartphone oder den Tablet-PC. Diese Endgeräte bieten keine oder nur sehr eingeschränkte Regulatoren, mit denen die IT-Abteilung Restriktionen vornehmen könnte. Die Herausforderung der Cloud kommt damit automatisch durch die Mitarbeiter ins Unternehmen, denn diese nutzen entsprechende Dienste zum Großteil regelmäßig auf ihren Mobilgeräten und fänden es bestimmt hilfreich, wenn sie künftig neben ihren Privatfotos auch das Arbeitsverzeichnis ihrer Geschäftsdokumente synchron halten könnten. Zudem bieten zahlreiche Applikationen ihre Dienste zur weiteren Bearbeitung der Dokumente in der Cloud an. Ein Beispiel stellt „Cloudon“ dar. Mithilfe dieser Applikation lassen sich unter anderem in der Dropbox gespeicherte Daten von unterwegs bearbeiten und abspeichern. Der Benutzer zahlt dafür nicht einmal Geld – die App und der Dienst sind kostenfrei. Das Konstrukt erinnert stark an die ebenfalls sehr interessant anmutende Lösung aus dem Haus Microsoft. Dort bietet „Skydrive“ neben einem Online-Speicher auch die Möglichkeit Web-basierende Office-Applikationen zu nutzen und Dokumente zu bearbeiten – dies alles unentgeltlich. Die Entwicklung in der Cloud schreitet aber nicht nur in den Bereichen „Storage as a Service“ und „Software as a Service“ voran. Mittlerweile lassen sich Remote-Verbindungen und Desktop-Fernsteuerungen von nahezu jedem Gerät initiieren oder ausführen. Neben der klassischen Fernsteuerung beinhalten die Dienste auch sehr häufig die Funktion eines Filesharings. Dabei lassen sich Dateien von den beteiligten Systemen gemeinsam nutzen, aber auch das „Teilen“ in einer „Collaboration Group“ und damit die Zusammenarbeit innerhalb einer Arbeitsgruppe sind möglich. Aus Benutzersicht macht dies solche Lösungen natürlich sehr attraktiv.
Reglementierungen auf Dateiebene
In Hinblick auf Unternehmensdaten folgt daraus allerdings, dass eigentlich eine Nutzungsbeschränkung für Dateien erforderlich und zu implementieren ist. Eine Trennung von Unternehmens- und Privatdaten auf dem Endgerät bildet bereits eine wichtige Basis zur grundsätzlichen Klassifizierung (geschäftlich/privat). Auch lassen sich grundlegende Regeln zum Versand, zur Bearbeitung und Nutzung der Inhalte in einem Container und damit auf dem Mobilgerät selbst abbilden. Eine generelle Lösung zur Festlegung auf allen Unternehmenssystemen, ob eine Datei kopiert werden darf, ob sie versend- oder editierbar ist, stellt diese Maßnahme jedoch nicht dar. Mit einem digitalen Rechte-Management (DRM) lässt sich auch dieses Thema in den Griff bekommen. DRM kommt häufig im Zusammenhang mit „Data Leakage Prevention“ (DLP) zur Sprache – ein Themenfeld, das in der IT-Sicherheit schon länger bekannt ist und zunehmend an Bedeutung gewinnt. Dies zeigt, dass die Herausforderungen der mobilen Geräte an die IT nicht gänzlich neu sind. Diese drängen sich jedoch immer stärker in den Vordergrund und verlangen teilweise nach Antworten, die mehr oder weniger bereits aus dem klassischen Desktop-Bereich bekannt sind.
Lesen Sie mehr zum Thema
