"Private Geräte ins Firmennetzwerk lassen?!" Der Aufschrei der IT-Verantwortlichen in den Unternehmen war laut. Schließlich besitzt die firmeneigene IT keinerlei Kontrolle über diese Devices, wodurch die potentiellen Risiken für die Sicherheit von Firmendaten in unkalkulierbare Höhen steigen. VieleCIOs betrachten die Umsetzung einer BYOD-Strategie in ihrem Unternehmen daher als kritisch. Sie befürchten die Vermischung geschäftlicher und privater Daten, während traditionelle IT-Risiken wie Viren, Spyware und Identitätsdiebstahl nicht nur bestehen bleiben, sondern sogar schwerer zu kontrollieren sind.
Dies muss nicht unbedingt sein: Die mit BYOD verbundenen Sicherheitsfragen und -risiken lassen sich auflösen, wenn man die Punkte des nachfolgend vorgestellten Sicherheitsmodells beachtet und in seine BYOD-Strategie integriert.
Zwei Säulen für mehr Sicherheit
Das Konzept basiert auf zwei Säulen, die einerseits die Sicherheit unternehmenskritischer Daten auf dem Endgerät und andererseits bei der Übertragung berücksichtigen. Umgesetzt wird das Konzept mittels einer geeigneten technischen Infrastruktur, einer Mobile Security Policy, einem Awareness-Programm für Mitarbeiter und einer Liste qualifizierter Geräte.
Wer im BYOD-Kontext genutzte mobile Geräte absichern will, muss umdenken. Schließlich können Unternehmen die privat angeschafften Smartphones oder Tablets nicht oder nur eingeschränkt verwalten und kontrollieren. Sie müssen auf die privaten Daten und Anwendungen der Mitarbeiter achten, kontrollieren nicht mehr alle Konfigurationsparameter der Geräte und dürfen die Funktionen der privaten Geräte nicht beliebig aktivieren oder deaktivieren.
Erste Säule: Das 7-Schichten-Modell
Foto: Detecon
Ein umfassendes Datensicherheitsmodell ermöglicht es dennoch, private mobile Geräte ins Unternehmen zu integrieren und gleichzeitig die Daten abzusichern. Es basiert auf einem Sieben-Schichten-Modell, das alle Sicherheitsaspekte im Endgerät abdeckt (siehe Abbildung). Im Mittelpunkt stehen dabei die zu beschützenden Daten - fällt eine einzelne Schicht aus, etwa aufgrund eines Angriffs, ist noch nicht gleich die Gesamtsicherheit gefährdet. Die darunter liegenden Schichten behalten ihre Schutzfunktion weiterhin bei.
1. Verschlüsselung
Grundsätzlich bestimmt das Unternehmen, ob und mit welcher Verschlüsselung Unternehmensdaten gespeichert werden dürfen - bei einem privaten Gerät sollte dies generell der Fall sein. Kommt das Device nämlich abhanden, lässt sich auf diese Weise verhindern, dass durch einen Eingriff in die Hardware, zum Beispiel das Entfernen der SD-Karte, die Daten mit einem anderen Gerät gelesen werden können.
Unterstützt wird die Absicherung durch die Tatsache, dass mittlerweile praktisch alle aktuellen mobilen Endgeräte Datenverschlüsselung unterstützen. Um das Bedienerlebnis nicht zu verschlechtern, sollte die Verschlüsselung aber transparent für den Benutzer in die Arbeitsabläufe integriert werden.
Sollte keine Datenverschlüsselung auf dem Speichermedium gewünscht sein, besteht noch die Möglichkeit, Daten über ein Webinterface zumindest lesbar zu machen. Der Vorteil dabei: Bei Verlust des Geräts gehen keine Firmendaten verloren, da diese nicht auf dem Gerät selbst gespeichert sind. Ein Nachteil dieser Lösung ist jedoch, dass die Arbeitsmöglichkeiten eingeschränkt werden. So lassen sich etwa keine Daten bearbeiten, wenn das Gerät offline ist. Der potentielle Produktivitätsgewinn der BYOD-Strategie wird dadurch eingeschränkt.
Als Zwischenlösung kann man außerdem einen gesonderten Speicherbereich im Gerät für die verschlüsselte Speicherung von Firmendaten verwenden. Dieser "Encryption Vault" wird mit der Unterstützung spezieller Software vom Unternehmen verwaltet. Firmendaten lassen sich dabei unabhängig von privaten Daten löschen oder unlesbar machen.
2. Anwendungssoftware
Grundsätzlich sollte jedes mobile Gerät eine aktuelle Antivirus-Software (sofern vorhanden) verwenden, da täglich neue Schädlinge erscheinen. Der Sicherheitssoftwarehersteller McAfee schätzt, dass täglich bis zu 60.000 neue Schadprogramme (Malware) detektiert werden. Die Mitarbeiter müssen mithilfe der BYOD Mobile Security Policy dazu verpflichtet werden, eine vom Unternehmen ausgewählte Sicherheitssoftware auf dem privaten Gerät zu verwenden.
Durch die Koexistenz von privaten und Firmenapplikationen auf demselben Gerät entsteht eine zusätzliche Herausforderung: Die Aktivitäten privater Anwendungen unterliegen nicht immer der Kontrolle des Benutzers. Viele Apps etwa übertragen statistische Daten an unbekannte Server. Deswegen muss eine klare Trennung zwischen Firmen- und privaten Anwendungen auf dem Gerät stattfinden. Dafür existieren verschiedene Lösungen auf dem Markt.
Der aus Applikations-Sicht für die IT-Abteilung eines Unternehmens einfachste Fall ist ein privates Gerät, auf dem keine Firmenanwendungen installiert sind und alle Zugriffe auf Unternehmensdaten über den Browser, ein Webinterface oder Web-Applets vorgenommen werden. Dabei muss ebenfalls sichergestellt werden, dass der Mitarbeiter nur über eine aktuelle Version des Web-Browsers auf die Infrastruktur des Unternehmens zugreift.
Einen anderen Schutzansatz bietet das "Sandboxing"-Prinzip, bei dem Firmenanwendungen in einem reservierten und geschützten Speicherplatz ausgeführt werden. Sandboxing erweitert das Konzept der Encryption Vault von Daten auf Anwendungen. Bei diesem Ansatz erfolgt keine Interaktion mit Daten oder Anwendungen, die außerhalb dieses speziellen Speicherplatzes liegen.
In einer Sandbox-Umgebung können auch ein aus Sicht des Unternehmens sicheres Betriebssystem nebst Firmenanwendungen von einem privaten Betriebssystem, Anwendungen und Daten getrennt werden. Hier spricht man von Virtualisierung, die in der nächsten Modellebene detaillierter erläutert wird.
3. Betriebssystem
Das Unternehmen muss sicherstellen, dass alle Geräte innerhalb des Firmennetzes mit einem sicheren Betriebssystem arbeiten. Dieses unterliegt bei einem privaten Gerät üblicherweise der Kontrolle des Benutzers und wird nur mit Einschränkungen vom Unternehmen verwaltet. Hier unterstützt ein User-Awareness-Programm bei der Sensibilisierung der Mitarbeiter für das regelmäßige Einspielen von Sicherheits-Patches.
Um diese Anforderungen durchzusetzen, kann zum Beispiel die Version des Betriebssystems bei einer Verbindung mit einem Firmenserver überprüft und der Zugriff nur für Nutzer gewährt werden, welche die minimalen Sicherheitsanforderungen erfüllen. Ein abgelehnter Nutzer darf sich erst nach der Aktualisierung seines Betriebssystems wieder am Unternehmensnetz anmelden.
Eine Alternative zu der vorhergehenden Lösung stellt die Virtualisierung dar: In diesem Fall kontrolliert das Unternehmen das virtuelle Betriebssystem in einer abgesicherten Umgebung und kann automatisch Aktualisierungen steuern, da die gesamte Sandbox-Umgebung von der Unternehmens-IT kontrolliert wird. Aus diesem Grund ist die Virtualisierung im BYOD-Kontext vorteilhaft, allerdings wird leistungsstarke Hardware benötigt, da das parallele Ausführen von zwei Betriebssystemen - das originale und das virtuelle Betriebssystem - hohe Ansprüche an die Hardware-Ressourcen stellt.
Spezielle Anforderungen, zum Beispiel das Verbot von "Jailbreaking" auf iOS-Geräten oder das "Rooten" von Android-Geräten, muss die Mobile Security Policy des Unternehmens sicherstellen, oder mit technischen Maßnahmen abdecken.