Mobiler Datenabfluss in die Cloud: Eigene Geräte ja, eigene Cloud-Dienste nein BYOD und die Kontrolle der Cloud-Nutzung

Autor / Redakteur: Oliver Schonschek / Florian Karlstetter

Personal Clouds zählen zu den Top-Trends, so aktuelle Prognosen beispielsweise von Gartner Research. Es ist zu erwarten, dass auch betrieblich genutzte Privatgeräte verstärkt für persönliche Cloud-Dienste verwendet werden. Bei BYOD müssen persönliche Cloud-Dienste und betriebliche Daten getrennt werden. Dabei darf es aber nicht zur Überwachung der privaten Cloud-Nutzung kommen.

Firmen zum Thema

Heikles Thema: die Gewährleistung der betrieblichen Datensicherheit bei der Nutzung privater Endgeräte im Unternehmen.
Heikles Thema: die Gewährleistung der betrieblichen Datensicherheit bei der Nutzung privater Endgeräte im Unternehmen.
(Bild: Ben Chams - Fotolia.com)

Die betriebliche Datensicherheit muss gewährleisten, dass mögliche Firmendaten auf den privaten Geräten unter keinen Umständen in die Personal Clouds der Nutzer gelangen können. Dort könnte das jeweilige Unternehmen den Schutz seiner Daten nicht mehr sicherstellen. Zweifellos ist es keine Option, den Beschäftigten den Zugang zu Personal Clouds auf ihren eigenen Geräten zu verbieten.

Web-Filter und App-Kontrolle müssen Datenschutz genügen

Auf den ersten Blick liegt die Lösung auf der Hand: Das Unternehmen könnte die mobile Cloud-Nutzung auf den Privatgeräten überwachen und prüfen, ob unter den Daten, die in die Personal Cloud übertragen werden, Firmendaten zu finden sind. Dazu würden dann sämtliche Datenübertragungen in die persönlichen Cloud-Dienste der Nutzer kontrolliert. Technisch gesehen kann der Cloud-Zugang, wenn er über eine App erfolgt, mittels Mobile Device Management (MDM) und App-Kontrolle überwacht werden. Geschieht der Cloud-Zugang über den mobilen Browser, können inhaltsbasierte Web-Filter helfen.

Bildergalerie
Bildergalerie mit 5 Bildern

Aus Sicht des Datenschutzes jedoch besteht hier ein deutliches Problem: Die Überwachung des Privatgerätes muss nicht nur dem Nutzer bekannt und mit ihm vereinbart sein. Eine betriebliche Kontrolle darf sich zudem nur auf die betriebliche Nutzung und die Arbeitszeit beziehen. Andernfalls bestünde die Gefahr, dass der Arbeitgeber die private Cloud-Nutzung der Beschäftigten während ihrer Freizeit durchleuchten könnte.

Damit die Verwendung persönlicher Cloud-Dienste durch den Nutzer und die Umsetzung von BYOD durch das Unternehmen gemeinsam möglich werden, sollten deshalb andere Sicherheitsmaßnahmen ergriffen werden.

1. Gegen den Datenabfluss: Das geteilte Gerät

Eine Lösung wie die vom Fraunhofer SIT entwickelte Technologie BizzTrust macht aus dem einen privaten Android-Smartphone zwei virtuelle Geräte, ein virtuelles Smartphone für die betriebliche Nutzung, das entsprechend den Sicherheitsanforderungen des Unternehmens kontrolliert werden kann, und ein zweites, virtuelles Smartphone für die Privatnutzung, das nicht der Kontrolle unterliegt. Mit dem virtuellen, privaten Smartphone kann der Anwender seine persönlichen Cloud-Dienste nutzen, ohne die Daten in dem betrieblichen, virtuellen Smartphone zu gefährden. In dem betrieblichen, virtuellen Smartphone werden die privaten Cloud-Apps dagegen blockiert.

2. Gegen den Datenabfluss: Zugriffskontrolle auf Dateiebene

Die Firmendaten lassen sich bei BYOD auch über Lösungen im Bereich Digital Rights Management (DRM) wie den FileOpen Rights Manager vor unerlaubten Zugriffen schützen. Die Berechtigungen können zum Beispiel abhängig gemacht werden von Nutzer, Domain und Endgerät und über ein Verfallsdatum für die Dateien zeitlich beschränkt werden. Für den Dateizugriff muss sich der Nutzer bei dem Rights Manager anmelden und die definierte Richtlinie wird überprüft. Würde eine entsprechend geschützte Datei in eine persönliche Cloud übertragen, könnte der Nutzer sie dort nicht mehr öffnen.

Wenn der Zugriff auf die betrieblichen Dateien mit den mobilen Endgeräten nur über spezielle Apps möglich ist wie bei Good for Enterprise oder WatchDox, kann ebenfalls eine Übertragung von Dateien in persönliche Clouds blockiert werden, ohne die Cloud-Nutzung selbst zu verhindern. Ohne Berechtigung können die Firmendaten dann nicht in die persönliche Cloud übertragen werden, denn für die betrieblichen Daten stehen nur definierte Sharing-Funktionen bereit. Private Dateien könnten dagegen ohne weiteres in die Cloud geladen werden, denn hierfür könnten beliebige Sharing-Optionen zum Einsatz kommen.

3. Gegen den Datenabfluss: App-Blockade abhängig vom Dateiinhalt

Auch Lösungen im Bereich Mobile Content Management wie AirWatch Secure Content Locker erlauben die Kontrolle, welche Anwendungen die zu schützenden Dateien übertragen dürfen. Private Cloud-Apps werden immer dann blockiert, wenn betriebliche Daten betroffen sind.

Einen Schutz auf Dateiebene bieten auch Lösungen wie Globalscape Secure Mobile Access, Accellion Mobile File Sharing mit dem Accellion DLP Module (PDF) oder Good Share, die einen genau definierten, kontrollierbaren Zugriff auf betriebliche Daten erlauben. Die betrieblichen Daten werden zum Beispiel bei Good Share innerhalb eines Containers getrennt von den privaten Anwendungen des Nutzers gespeichert und bei Übertragung automatisch verschlüsselt. Private Cloud-Apps bekommen so keinen unverschlüsselten Zugriff.

Fazit: BYOD und Clouds erfordern andere Sicht auf Datensicherheit

Die Trennung von betrieblichen Daten und privaten Cloud-Diensten bei BYOD kann nicht über eine einfache Blockade entsprechender Cloud-Apps oder Cloud-Webadressen geschehen. Das würde entweder die privaten Möglichkeiten des Nutzers einschränken oder zu einer Überwachung der Privatnutzung führen. Werden stattdessen die zu schützenden Dateien selbst überwacht und dadurch vor einer unerlaubten Übertragung in eine persönliche Cloud geschützt, können persönliche Cloud-Dienste und BYOD gemeinsam erfolgreich genutzt werden.

Artikelfiles und Artikellinks

(ID:36838290)