Mobile-Menu

Cloud oder Container? Glaubenskrieg um das Mitarbeiterhandy

Autor / Redakteur: Dr. Dietmar Müller / Florian Karlstetter

Die Consumerization scheint nicht mehr aufzuhalten zu sein. Furutan Celebi, Research Manager beim Marktforscher IDC in Frankfurt, geht beispielsweise davon aus, dass im laufenden Jahr rund 15 Prozent aller Berufstätigen mit ihren persönlichen Geräten wie etwa Smartphones und Tablet PCs arbeiten.

Firmen zum Thema

Es könnte so einfach sein, ist es aber nicht: Bring Your Own Device bereitet so manchen Unternehmensverantwortlichen noch immer Kopfzerbrechen.
Es könnte so einfach sein, ist es aber nicht: Bring Your Own Device bereitet so manchen Unternehmensverantwortlichen noch immer Kopfzerbrechen.
( © Scanrail - Fotolia.com)

Noch sperren sich viele auch namhafte CIOs gegen die Einbindung von Mitarbeiter-Smartphones, aber damit lässt sich der "Krieg um Talente" gegen die Wettbewerber nicht gewinnen. Oder die Mitarbeiter basteln sich dann eben selbst eine Lösung – die sogenannte Schatten-IT treibt schnell und gerne wilde Blüten! Besser also, wenn der CIO sich der Sache selber annimmt. Aber gibt es überhaupt funktionierende Lösungen?

Ein Standardgerät statt vieler Smartphones?

Das Beste wäre es, wenn der CIO den "Spieß umdrehen" würde, meint Roman Jochim, Informationssicherheitsbeauftragter der BCM Gesellschaft für Kontoservice, ein Tochterunternehmen der Sparkasse Köln-Bonn. Die Mitarbeiter bekommen "Standardgeräte" ausgehändigt, die Sie auch privat nutzen dürfen. In der Regel werde dies als Belohnung beziehungsweise Statussymbol angesehen. Ja, so Jochim, man könnte auf diese Weise sogar andere Prämien einsparen! Und die Konzentration auf nur einen Gerätetyp mache die sichere Einbindung in die Firma deutlich einfacher als ein Multi-Device-Ansatz.

Allerdings ist die Frage, ob ein solcher Ansatz tatsächlich im Sinne der Mitarbeiter ist. Diese wollen in der Regel "ihr" Gerät für den Firmeneinsatz nutzen, ganz nach dem "Bring your own (!) Device" (ByoD)-Prinzip. Alles können, alles erlauben – so sieht die Wunschvorstellung der meisten Angestellten in dieser Beziehung aus. Einschränkungen sollte es nach Möglichkeit keine geben.

Klar definierte Richtlinien

Aber geht das überhaupt? Unabhängig ob viele oder nur ein Gerätetyp eingebunden werden sollen – den Mitarbeitern sollte kein Kopieren/Speichern von Daten auf dem Gerät möglich sein, so Natanael Mignon, System Architect bei der Michael Wessel Informationstechnologie GmbH mit Sitz in Hannover. Sie dürften nach seinen Vorstellungen ausschließlich auf abgesicherte Bereiche wie z.B. Citrix XenApp/XenDesktop zugreifen. Wenn Daten auf das Gerät gelangen, etwa per Active Sync, müssten unbedingt entsprechende Richtlinien hinterlegt sein. Setze das Gerät diese nicht um, dürfe es auch keinen Zugriff bekommen. Hier wäre zunächst an eine Verschlüsselung und/oder ein starkes Passwort zu denken, so Mignon.

Lösungsansätze für Mobile Device Management

Es gibt dafür verschiedene Lösungen, beispielsweise von ISEC7 und auch von RIM angeboten, für das sich damit endlich der Aufkauf von Ubitexx rentiert hat, die dieses leisten. Good Technology wird in Anwenderforen ebenfalls gerne weiterempfohlen, allerdings sind die Server zum Synchronisieren der Handys öffentlich und eben nicht im hauseigenen Rechenzentrum lokalisiert. Damit weiß Good theoretisch immer, wo sich ein Smartphone gerade befindet. Das ist nach Meinung von Maximilian Ehrlich, IT-Security-Spezialist bei der Telcat MULTICOM GmbH, in Deutschland schwer mit dem Gesetz in Einklang zu bringen. Er hat nach eigenen Angaben gute Erfahrungen mit DME von Excitor gemacht, eine Sandbox-Lösung, die strikt zwischen Privat und Geschäft trennt. Auch Kaspersky biete gerade im Bezug auf Wiping und Antivirus tolle Ansätze.

Welche Daten dürfen auf das Handy?

Damit sind aber nur einige Anbieter genannt – wer in die Suchmaschine "ByoD" eingibt wird mit einer Flut an Lösungsversprechen belohnt. Keiner der Anbieter hält sich in Sachen Werbeaussagen zurück, Fujitsu jedoch gibt damit an, beim Thema Mobile Device Management (MDM) einen noch umfassenderen Serviceansatz als der Wettbewerb zu bieten. "Managed Mobile" ist ein Cloud-Service, dessen Dienstleistungen direkt an den Service-Desk anflanschen und somit die Administration, die Lizenzierung und den Betriebs einer eigenen Infrastruktur maximal einfach mache. Das oder ähnliches behaupten allerdings und selbstverständlich auch Mitwerber wie IBM, Unisys, HP oder CA.

Die Fujitsu-Lösung soll jedoch exemplarisch dargestellt werden: Sie bindet neue Smartphones von Mitarbeitern "vollautomatisch ein - Antiviren-Client, Zertifikate, Firmen-WLAN und E-Mail-Konten werden verschlüsselt auf das Gerät gespielt. Sobald der Mitarbeiter es jedoch "rooten" möchte, also die Administrationsrechte für sich beansprucht, dann schlägt eine Policy Alarm und unterbindet die weitere Zustellung von Firmen-Mails auf das Gerät. Kritiker merken an, dass auf diese Weise die Firmendaten zweimal aus der Hand gegeben werden: Einmal hinein in eine wie-auch-immer-geartete Cloud, zum anderen in die Eingeweide eines Mitarbeiter-Smartphones.

Grundsätzlich ist eine Lösung aber auch schon mit Active Sync-Policies von MS Exchange möglich: Nur Geräte, die die erforderlichen Funktionen umsetzen, werden zugelassen und bekommen mindestens Verschlüsselung und starkes Passwort mit Idle-Timeout verordnet. Hier müssen IT-Abteilungen aber noch Basisarbeit leisten, bequem ist anders.

Virtualisierung als Lösung für eine erfolgreiche BYOD-Umsetzung

Ähnlich wie für Mignon stellt für Christoph Gruber, Geschäftsführer der ISMC - Information Security Management Consulting, der Weg der Virtualisierung dennoch den einzig geeigneten zur Umsetzung einer ByoD-Lösung dar. Nur so verblieben die Daten zuverlässig dort, wo sie hingehören: In der Firma. Beim Zulassen einer Kopie müssen die IT-Abteilungen dann sicherstellen, dass das zugreifende Device den Richtlinien des Unternehmens genügt. Insofern ist dann eine Liste mit zugelassenen Geräten Voraussetzung.

Vorteil des Verfahrens: Auf dem Mitarbeiter-Smartphone befinden sich zu keiner Zeit Daten des Unternehmens. Damit ist auch die Gefahr der Wirtschaftsspionage weitgehend gebannt – zumindest was das einzelne Gerät betrifft. Gruber berichtet aus seiner Praxis von Fällen, bei denen die Laptops und Smartphones von Vorständen am Flughafen "untersucht" wurden. Nur mittels Virtualisierung könnten die Geräte informationsfrei und damit für Späher unbrauchbar gemacht werden. Hinweise auf eine Verschlüsselung der Daten auf den Geräten - bei Android-Devices kann man sogar die eingesteckten Speicherkarten codieren - sporne die (vermeintlichen) Datenspione eher noch an, so Gruber: "Erst wenn auf dem Gerät keinerlei Daten drauf sind, können sie niemanden kompromittieren."

Der Container ist das Eine ...

Überhaupt raten Experten immer wieder zum Einsatz von solchen sogenannten Containerlösungen, so auch die Sicherheitsberaterin Jasmin Schütze von Safe and Secure IT. Solche sind ihrer Erfahrung nach bereits von vielen Unternehmen zur Zufriedenheit aller Beteiligten umgesetzt worden. Wichtig sei aber nicht nur die technische Lösung – auch die rechtliche Konstellation müsse stets im Auge behalten werden. Ist BYOD erlaubt oder sogar gewünscht, müssen klare Regelungen geschaffen werden, die Haftung bei Verlust und Beschädigung klären, so Schütze, oder wie mit Daten umgegangen wird, wenn das Gerät verloren geht. Zunächst gelte es also, die rechtlichen Rahmenbedingungen zu klären und daran die technischen Sicherheitstechnologien auszurichten.

... klare Richtlinien das Andere

Dabei müssen u.a. folgende Fragen geklärt werden: Welche Pflichten sind zu erfüllen, wenn man die private Internet-, E-Mail- oder Telefonnutzung gestattet oder duldet? Welche Kontrollrechte verliert der Arbeitgeber bei Gestattung? Wie soll im Verlustfall gehandelt werden? Schnell ist die Grenze zur Strafbarkeit überschritten, wenn beispielsweise etwaige private Daten auf dem betrieblichen Smartphone durch ein "remote erase" ohne Wissen des Mitarbeiters gelöscht wurden.

Doch schon alleine Apps, die Adressbücher kopieren und an zentrale Server senden – und zwar legal in die Funktionalität eingebunden, etwa bei Path oder iMessage fürs iPhone - verstoßen gegen den Datenschutz, sollten dort Firmen oder Kundenkontakte hinterlegt sein, gibt Robert Reitze, Senior Consultant bei Insiderknowledge zu bedenken.

Eine gute MDM-Lösung ist damit das Eine – die Abstimmung derselben auf die Unternehmensstrategie das Andere. Die Bedürfnisse und Probleme des Unternehmens eingehend analysiert und die Lösung darauf abgestimmt werden, so Thomas Mikl, Service Manager der ACP IT Solutions GmbH mit Sitz in Graz. Mit der Empfehlung eines einzigen "Standardproduktes" für ByoD täten Berater Anwendern keinen Gefallen.

Schnelle Hilfe im Notfall

Abschließend sei aber noch auf eine Lösung hingewiesen für den Fall, dass das Kind einmal in den Brunnen gefallen bzw. ein Gerät gestohlen oder verloren wurde, auf dem sich sensible Daten befinden (könnten): Mittlerweile ist der "remote wipe", also die Fernzugriffslöschung von Daten möglich, etwa von Absolute Software, Bak2U und IT Agents. Mit ihnen können abhandengekommene Geräte etwa mittels GPS lokalisiert werden, um dann ein Fernlöschen durchzuführen. Die Angebote von F-Secure, Kaspersky, McAfee, Symantec und anderen bekannten IT-Sicherheitsfirmen bieten zudem noch in der Regel Virenschutz und Firewall und sind oft Teil einer größeren Suite.

Aber mal ganz ehrlich? Was tut der Handy-Dieb nach der Tat sofort? Die SIM-Karte entfernen, ist klar. Aber selbst dann ist nicht aller Tage Abend: So kann man z.B. in den Settings von Smartphones einstellen, dass ein Gerät automatisch alle Daten löscht, sobald es sich für eine gewisse Zeit nicht mehr ins Firmennetz eingewählt hat. Für Sicherheitsfanatiker ist das aber keine gangbare Lösung. Die müssen ByoD bereits im Vorfeld unterbinden – und damit Gefahr laufen, den "Krieg um Talente" zu verlieren.

Wir haben Frage nach der richtigen Consumerization-Strategie im Xing-Forum " IT Security - Mit Sicherheit zum Erfolg" gestellt und annähernd 100 Antworten von Sicherheitsexperten geerntet. Der Beitrag fasst die wichtigsten Diskussionsbeiträge zusammen.

(ID:34862550)