Sicherheit am Digital Workplace

Kapitulation vor BYOD

Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.

1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.

Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.

Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".

Seit 2014 betreibt er die Informationsplattform www.wohinmitmutter.de.

Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
BYOD-Risiken sind heute technisch nicht mehr in den Griff zu kriegen, sagt Gartner. Einzig mögliche Lösung sei, den Mitarbeitern mehr zu vertrauen.
Viele Menschen benutzen privat und beruflich mittlerweile fast so viele unterschiedliche Geräte wie die Mitarbeiter bei Google.
Viele Menschen benutzen privat und beruflich mittlerweile fast so viele unterschiedliche Geräte wie die Mitarbeiter bei Google.
Foto: Google

"Vertrauen ist gut, Kontrolle ist besser", sagte Lenin einst, und der Genosse wusste, wovon er sprach. Unter Revolutionären ist eine gewisse Paranoia sicher nützlich. Unternehmen sollten dagegen einen gänzlich anderen Weg gehen, jedenfalls sagt das Gartner. Die IT-Analysten fordern in ihren "Top Security Trends", mehr als bisher darauf zu vertrauen, dass Mitarbeiter "sich im Umgang mit Unternehmensdaten schon richtig verhalten werden."

Was auf den ersten Blick wie ein vernünftiger, sozialer Ansatz wirkt, ist in Wahrheit eine Kapitulation. Vor den vielen Geräten und den noch mehr Anwendungen, die Angestellte jeden Tag mit ins Büro bringen und sie dort wie selbstverständlich auch benutzen wollen. Und Gartner macht aus dieser Kapitulation auch gar kein Hehl. "Die Einrichtung von vollständig digitalisierten Arbeitsplätzen sorgt immer mehr dafür, dass die IT-Abteilungen die Kontrolle über Endgeräte, Anwendungen, Server und das gesamte Netzwerk verlieren", so Tom Scholtz, Gartner Fellow und Vice President. Und: "Durch die schiere Menge an Endgeräten und Zugriffspunkten, die der Digital Workplace mit sich bringt, sowie die immer intelligenteren Cyber-Attacken, werden die klassischen vorbeugenden und kontrollierenden Methoden der IT-Security zunehmend ineffektiv."

In kontextbasierte Sicherheitswerkzeuge investieren

Scholtz´ Analyse der Sicherheitslage dürfte vielen Verantwortlichen den Angstschweiß auf die Stirn treiben. Aber weil er für Gartner arbeitet, liefert er die Lösung des Problems natürlich gleich mit: "An einem Arbeitsplatz, der von Consumer-Hardware bestimmt wird, müssen sich Security und ihre Kontrolle auf die Informationsschicht, also auf die Inhalte, konzentrieren."

Klingt ebenso einfach wie einleuchtend. Die Botschaft: Das Gerät ist egal, Hauptsache, der Mitarbeiter stellt mit den Daten darauf keinen Unsinn an. In der Praxis müssten die Unternehmen mehr als bisher in kontextbasierte Sicherheitswerkzeuge investieren, die dann nicht nur für die interne IT zum Einsatz kommen, sondern auch dort, wo es Türen nach außen gibt.

BYOD soll auch die zeitweise Arbeit daheim erleichtern - was mal besser und mal schlechter klappt...
BYOD soll auch die zeitweise Arbeit daheim erleichtern - was mal besser und mal schlechter klappt...
Foto: Iurii Sokolov - Fotolia.com

Also quasi überall, vor allem an den virtuellen Schnittstellen zwischen Privat- und Arbeitsleben. Gartner schreibt dazu: "Der Ansatz des Digital Workplace beinhaltet, dass User mehr als bisher selbst entscheiden können, wie sie Technologien und Informationen nutzen wollen. Und das bedeutet, dass Arbeitgeber mehr darauf vertrauen müssen, dass ihre Angestellten vernünftig und angemessen mit Unternehmensdaten umgehen werden. Gartner glaubt, dass der Erfolg des Konzepts ‚Digital Workplace‘ entscheidend davon abhängt, dass wir dem User stärker vertrauen."

Kontrolle 3.0 - People-centric Security

Allerdings, und an dieser Stelle ist Gartner doch nicht so sehr weit entfernt vom Genossen Lenin, dürfen die Verantwortlichen ihr Vertrauen ruhig mit ein wenig Kontrolle unterfüttern. Und zwar, um im Bild zu bleiben, mit einer Art "Kontrolle 3.0". Gartner-Analyst Tom Scholtz: "Zusätzlich zu systematischen Schulungen, die nachprüfbare Verhaltensregeln vermitteln, sollten Security-Verantwortliche ihre Fähigkeit ausbauen, mit unterschiedlichen Abteilungen zusammenzuarbeiten. Ziel ist dabei, Arbeitsplatzbeschreibungen und Belohnungssysteme so zu modifizieren, dass sie die angestrebten Security-Ziele unterstützen."

Den Ansatz nennt Gartner PCS - People-centric Security. Bei ihm beziehen sich Regeln nicht auf Geräte oder Applikationen, sondern auf das generelle Sicherheitsverhalten des einzelnen Mitarbeiters, völlig unabhängig davon, welche Technik er nutzt.

Mobility Management? Nach Ansicht vier Experten ist diese Aufgabe allein technisch nicht mehr lösbar.
Mobility Management? Nach Ansicht vier Experten ist diese Aufgabe allein technisch nicht mehr lösbar.
Foto: Sergey Nivens, Fotolia.com

Soll sich die Rechtsabteilung doch kümmern

Unternehmen, die Gartners Ansatz folgen, verlagern die Sicherheitsthematik teilweise von der IT- in die Rechtsabteilung. Schließlich bedeutet People-centric Security, trotz großer Betonung großen Vertrauens, nichts anderes, als den Verstoß gegen Regeln mit Sanktionen zu bedrohen.

Was arbeitsrechtlich zu Problemen führen kann, und zwar nicht nur in Deutschland, sondern auch in den nicht eben für rabiaten Angestelltenschutz berühmten USA. Heather Egan Sussmann, Arbeitsrechtlerin in der internationalen Kanzlei McDermott Will & Emery mit Hauptsitz in Chicago, kennt mehrere Fälle, in denen Unternehmen bei der Definition von Verhaltensregeln zu weit gegangen sind. Bisher bezogen sich diese zwar vor allem auf den Umgang mit Sozialen Medien, aber solche Konflikte könnten ebenso gut BYOD-Regeln betreffen, so die Anwältin.

Inhalt dieses Artikels