Strategien gegen den Wildwuchs von Skype und Co.

Nicole Dufft ist Independent Vice President – Digital Enterprise PAC
Was die IT tun kann, um die Kontrolle über Privatanwendungen und mobiles Devices nicht zu verlieren.

Instant Messenger, Skype, Social Networks, P2P-Anwendungen, Mobile E-Mail - die Liste ließe sich noch um einiges verlängern. Diese und ähnliche Anwendungen werden von Mitarbeitern in Unternehmen auch im Arbeitsalltag rege genutzt – meist ohne das Wissen oder den Segen der IT-Abteilung. Gerade die IT-affinen Mitarbeiter verzichten zunehmend darauf, sich alle Applikationen und Endgeräte, die sie während der Arbeitszeit nutzen wollen, von der IT-Abteilung genehmigen und einrichten zu lassen; sie helfen sich selbst.

Hier lesen Sie ...

  • warum harmlos erscheinende Endgeräte aus Unternehmenssicht gefährlich sind,

  • weshalb die Mitarbeiter sie trotzdem auch für ihre berufliche Tätigkeit nutzen,

  • wie der IT-Verantwortliche auf den Wildwuchs von Skype & Co reagieren sollte,

  • welche Regelungen er mindestens durchsetzen muss, um die Sicherheit zu gewährleisten,

  • welche Hilfsmittel ihm hier zur Verfügung stehen.

Die Folgen sind fatal: Die IT-Verantwortlichen sehen sich einem Wildwuchs unterschiedlicher Anwendungen und Endgeräte gegenüber, den sie nur schwer kontrollieren oder gar administrieren können. Damit einher gehen teilweise erhebliche Sicherheitsrisiken für die Informationstechnik im Unternehmen.

Risiko Nummer 1: Consumerization

71 Prozent der ITK-Verantwortlichen in deutschen Unternehmen sehen in der unkontrollierten Einführung von Consumer-Technologien durch einzelne Mitarbeiter ein hohes allgemeines Sicherheitsrisiko. Das ergab eine repräsentative Umfrage bei Unternehmen mit mehr als 500 Mitarbeitern, die Berlecon Research kürzlich im Auftrag von Damovo, Decru und Nortel vorgenommen hat. Jeder dritte Umfrageteilnehmer äußerte dabei die Furcht vor konkreten Risiken für das eigene Unternehmen.

Ein verbreitetes Beispiel für den sorglosen Umgang mit Consumer-IT-Produkten ist der Internet-Kommunikationsdienst Skype. In vielen Unternehmen nutzen ihn die Mitarbeiter, ohne dass sie das mit der IT-Abteilung abgestimmt hätten. Unter Sicherheitsaspekten ist das bedenklich, denn im Gegensatz zu vielen anderen Anwendungsprogrammen sind für die Installation von Skype keinerlei Administrationsrechte notwendig.

Risiko Nummer 2: Mobility-Lösungen

Aber es sind nicht nur die Consumer-Produkte, die den IT-Chefs Bauchschmerzen verursachen. Auch mobile Endgeräte sowie Mobile-Mail- oder Synchronisationslösungen finden häufig über die Mitarbeiter den Weg in die Unternehmen, ohne dass die IT-Abteilung davon wüsste. Die Folge ist ein regelrechter Endgeräte-Dschungel, den die Informationstechnik kaum noch im Griff hat. Unter diesen Vorzeichen erscheint das Bemühen, eine zentrale Sicherheits-Policy durchsetzen, beinahe zwangsläufig zum Scheitern verurteilt (mehr über Internet-Telefonie und Sicherheit unter: "Voice over IP – aber sicher").

Diese Risiken werden durch die Ergebnisse besagter Marktumfrage nur bestätigt: Mehr als 40 Prozent der ITK-Verantwortlichen beurteilen demnach die Nutzung mobiler Endgeräte durch ihre Mitarbeiter als ein konkretes Sicherheitsrisiko für ihr Unternehmen.

Skype - unwiderstehlich und gefährlich

Die Internet-Telefonie-Software Skype hat sich in den vergangenen zwei Jahren rasant verbreitet. Die Skype-Gemeinde zählt inzwischen weltweit über 136 Millionen registrierte Nutzer, von denen im Durchschnitt ständig etwa sieben Millionen online sind. Gerade die mit neuen Technologien groß gewordene Generation der "Millenials" will auch am Arbeitsplatz nicht auf die Skype-Nutzung verzichten.

Kritisch ist daran vor allem, dass die Skype-Protokolle nicht offengelegt sind. So lassen sich Sicherheitskonzepte und deren Implementierung von der IT-Abteilung nicht überprüfen. Via Skype können sensible Firmendaten nach außen geschleust werden, ohne dass auch nur die Chance einer Kontrolle besteht. Zudem befürchten die CIOs, dass auf diesem Weg die Firewall getunnelt, also die IT-Infrastruktur verwundbar wird. Zum Thema "Skype im Unternehmenseinsatz - Chancen, Risiken und Policy-Empfehlungen" haben Berlecon Research und Fraunhofer ESK (Einrichtung für Systeme der Kommunikationstechnik) gemeinsam einen Report erstellt. (Details zur aktuellen Skype-Version finden Sie hier.)

Das gilt umso mehr, als Daten, die auf Laptops, Smartphones oder Pocket-PCs durch die Welt getragen werden, leicht in fremde Hände geraten können, wenn das Gerät verloren geht oder gestohlen wird. Nicht einmal jedes zweites Untenehmen hat es sich zur Gewohnheit gemacht, die Daten auf den mobilen Endgeräten zu verschlüsseln. Auf externen Speichermedien wie USB-Sticks oder Flash Memory Cards werden sie sogar nur in jedem vierten Unternehmen verschlüsselt.

Nicht einmal jedes zweite Untenehmen verschlüsselt die Daten, die seine Mitarbeiter auf Laptops und PDS mit sich herumtragen. Daten auf USB-Sticks werden nur in einem von vier Betrieben verschlüsselt.
Nicht einmal jedes zweite Untenehmen verschlüsselt die Daten, die seine Mitarbeiter auf Laptops und PDS mit sich herumtragen. Daten auf USB-Sticks werden nur in einem von vier Betrieben verschlüsselt.
Foto: Berlecon Research

Die Konsequenz daraus wäre eigentlich, den Einsatz von mobilen Geräten nur noch zu erlauben, wenn sie vom Unternehmen zentral angeschafft wurden. Damit wäre die unautorisierte Nutzung von Skype & Co im Unternehmenszusammenhang generell verboten. Aber die IT-Fachleute sollten den Wildwuchs keineswegs mit der Axt entfernen. Sie dürfen ihn allerdings auch nicht tolerieren. Konkret heißt das: Sie sollten übergreifende Strategien und Regeln für den Umgang mit Mobility- und Consumer-Lösungen entwickeln.

Regeln für den Umgang mit Skype & Co

Ein paar klare Regeln reichen häufig schon aus, um ein ausreichendes Maß an Sicherheit herzustellen. Wie eine geeignete Strategie aussehen könnte, lässt sich am Beispiel Skype demonstrieren: Dazu zählt beispielsweise, dass nur mit bekannten Partnern kommuniziert werden darf und keine Verbindungen automatisch angenommen werden.

Selbstverständlich muss der IT-Verantwortliche von dem jeweiligen Mitarbeiter über die Nutzung von Skype informiert werden. Das gibt im die Möglichkeit, die Voraussetzungen für eine Anwendung zu prüfen und gegebenenfalls eine Nutzung in sicherheitskritischen Bereichen zu verhindern.

Hinweis auf Versorgungslücken

Aber die wild wuchernde Einführung von Consumer-Lösungen lässt sich auch durch Präventivmaßnahmen verhindern. Die IT kann ihr vorbeugen, indem sie versucht, die Bedürfnisse ihrer Mitarbeiter kennenzulernen und sensibler darauf zu reagieren.

Mit der eigenständigen Einführung von Anwendungen und Geräten signalisieren die Mitarbeiter ja auch Versorgungslücken hinsichtlich der Informations- und Kommunikationstechnik. Und es ist die Aufgabe des ITK-Managements, diese Lücken zu schließen. Es sollte unternehmensübergreifend Lösungen und Endgeräte zur Verfügung zu stellen, die den Bedürfnissen der Mitarbeiter gerecht werden. Gleichzeitig hat er berechtigte Anforderungen bezüglich Performance sowie Daten- und Investitionssicherheit zu erfüllen.

Der Erfolg lohnt die Mühe: Beispielsweise kann die unternehmensweite Einführung einer Mobile-Mail-Plattform und geeigneter Endgeräte dafür sorgen, dass die Mitarbeiter nicht auf eigene Lösungen zurückgreifen müssen, wenn sie unterwegs auf ihre E-Mails zugreifen wollen.

Device-Management ist hilfreich

Auch von der technischen Seite lässt sich die Vielzahl unterschiedlicher Endgeräte in den Griff bekommen: Mit der Hilfe von Device-Management-Systemen können unterschiedliche Endgerätepattformen sicher und produktiv in die Unternehmens-IT integriert werden. Derartige Systeme unterstützen die IT dabei, die genutzten Geräte zu inventarisieren, sie remote zu konfigurieren, neue Software und Patches zu verteilen, vor allem aber die unternehmenseignen Sicherheits-Policies zentral durchzusetzen.

Die beste Firewall für das Unternehmen

Das alles ist aber nur sinnvoll, wenn die Unternehmen ihre Mitarbeiter mit an Bord nehmen. Die Kollegen sollten einander über die Probleme und Sicherheitsrisiken informieren, die aus der unkontrollierten Einführung mobiler Geräte entstehen, und sich gegenseitig für einen verantwortlichen Umgang mit unternehmenskritischen Daten sensibilisieren. Nur wenn die Mitarbeiter die Risiken kennen, können sie sie verringern oder vermeiden. Sie dürfen sich durch zentrale Regelungen nicht gegängelt fühlen, sondern müssen deren Bedeutung verstehen, um sie auch tatsächlich einzuhalten und nicht zu umgehen.

IT-Sicherheit entsteht nur zum Teil durch technische Schutzmaßnahmen. Ein mindestens ebenso wichtiger Faktor ist ein gesundes Maß an Misstrauen und Wachsamkeit der gesamten Belegschaft. Letztlich sind verantwortungsbewusste Mitarbeiter die beste Firewall eines Unternehmens. (qua)

Diskutieren Sie mit

Wie gehen Sie mit den "eingeschleppten" Consumer-Anwendungen um? Sie können sich an der Diskussion beteiligen, indem Sie unseren "NotizBlog" nutzen.