"Private Geräte ins Firmennetzwerk lassen?!" Der Aufschrei der IT-Verantwortlichen in den Unternehmen war laut. Schließlich besitzt die firmeneigene IT keinerlei Kontrolle über diese Devices, wodurch die potentiellen Risiken für die Sicherheit von Firmendaten in unkalkulierbare Höhen steigen. VieleCIOs betrachten die Umsetzung einer BYOD-Strategie in ihrem Unternehmen daher als kritisch. Sie befürchten die Vermischung geschäftlicher und privater Daten, während traditionelle IT-Risiken wie Viren, Spyware und Identitätsdiebstahl nicht nur bestehen bleiben, sondern sogar schwerer zu kontrollieren sind.
Dies muss nicht unbedingt sein: Die mit BYOD verbundenen Sicherheitsfragen und -risiken lassen sich auflösen, wenn man die Punkte des nachfolgend vorgestellten Sicherheitsmodells beachtet und in seine BYOD-Strategie integriert.
Zwei Säulen für mehr Sicherheit
Das Konzept basiert auf zwei Säulen, die einerseits die Sicherheit unternehmenskritischer Daten auf dem Endgerät und andererseits bei der Übertragung berücksichtigen. Umgesetzt wird das Konzept mittels einer geeigneten technischen Infrastruktur, einer Mobile Security Policy, einem Awareness-Programm für Mitarbeiter und einer Liste qualifizierter Geräte.
Wer im BYOD-Kontext genutzte mobile Geräte absichern will, muss umdenken. Schließlich können Unternehmen die privat angeschafften Smartphones oder Tablets nicht oder nur eingeschränkt verwalten und kontrollieren. Sie müssen auf die privaten Daten und Anwendungen der Mitarbeiter achten, kontrollieren nicht mehr alle Konfigurationsparameter der Geräte und dürfen die Funktionen der privaten Geräte nicht beliebig aktivieren oder deaktivieren.
Erste Säule: Das 7-Schichten-Modell
Ein umfassendes Datensicherheitsmodell ermöglicht es dennoch, private mobile Geräte ins Unternehmen zu integrieren und gleichzeitig die Daten abzusichern. Es basiert auf einem Sieben-Schichten-Modell, das alle Sicherheitsaspekte im Endgerät abdeckt (siehe Abbildung). Im Mittelpunkt stehen dabei die zu beschützenden Daten - fällt eine einzelne Schicht aus, etwa aufgrund eines Angriffs, ist noch nicht gleich die Gesamtsicherheit gefährdet. Die darunter liegenden Schichten behalten ihre Schutzfunktion weiterhin bei.
1. Verschlüsselung
Grundsätzlich bestimmt das Unternehmen, ob und mit welcher Verschlüsselung Unternehmensdaten gespeichert werden dürfen - bei einem privaten Gerät sollte dies generell der Fall sein. Kommt das Device nämlich abhanden, lässt sich auf diese Weise verhindern, dass durch einen Eingriff in die Hardware, zum Beispiel das Entfernen der SD-Karte, die Daten mit einem anderen Gerät gelesen werden können.
Unterstützt wird die Absicherung durch die Tatsache, dass mittlerweile praktisch alle aktuellen mobilen Endgeräte Datenverschlüsselung unterstützen. Um das Bedienerlebnis nicht zu verschlechtern, sollte die Verschlüsselung aber transparent für den Benutzer in die Arbeitsabläufe integriert werden.
Sollte keine Datenverschlüsselung auf dem Speichermedium gewünscht sein, besteht noch die Möglichkeit, Daten über ein Webinterface zumindest lesbar zu machen. Der Vorteil dabei: Bei Verlust des Geräts gehen keine Firmendaten verloren, da diese nicht auf dem Gerät selbst gespeichert sind. Ein Nachteil dieser Lösung ist jedoch, dass die Arbeitsmöglichkeiten eingeschränkt werden. So lassen sich etwa keine Daten bearbeiten, wenn das Gerät offline ist. Der potentielle Produktivitätsgewinn der BYOD-Strategie wird dadurch eingeschränkt.
Als Zwischenlösung kann man außerdem einen gesonderten Speicherbereich im Gerät für die verschlüsselte Speicherung von Firmendaten verwenden. Dieser "Encryption Vault" wird mit der Unterstützung spezieller Software vom Unternehmen verwaltet. Firmendaten lassen sich dabei unabhängig von privaten Daten löschen oder unlesbar machen.
2. Anwendungssoftware
Grundsätzlich sollte jedes mobile Gerät eine aktuelle Antivirus-Software (sofern vorhanden) verwenden, da täglich neue Schädlinge erscheinen. Der Sicherheitssoftwarehersteller McAfee schätzt, dass täglich bis zu 60.000 neue Schadprogramme (Malware) detektiert werden. Die Mitarbeiter müssen mithilfe der BYOD Mobile Security Policy dazu verpflichtet werden, eine vom Unternehmen ausgewählte Sicherheitssoftware auf dem privaten Gerät zu verwenden.
Durch die Koexistenz von privaten und Firmenapplikationen auf demselben Gerät entsteht eine zusätzliche Herausforderung: Die Aktivitäten privater Anwendungen unterliegen nicht immer der Kontrolle des Benutzers. Viele Apps etwa übertragen statistische Daten an unbekannte Server. Deswegen muss eine klare Trennung zwischen Firmen- und privaten Anwendungen auf dem Gerät stattfinden. Dafür existieren verschiedene Lösungen auf dem Markt.
Der aus Applikations-Sicht für die IT-Abteilung eines Unternehmens einfachste Fall ist ein privates Gerät, auf dem keine Firmenanwendungen installiert sind und alle Zugriffe auf Unternehmensdaten über den Browser, ein Webinterface oder Web-Applets vorgenommen werden. Dabei muss ebenfalls sichergestellt werden, dass der Mitarbeiter nur über eine aktuelle Version des Web-Browsers auf die Infrastruktur des Unternehmens zugreift.
Einen anderen Schutzansatz bietet das "Sandboxing"-Prinzip, bei dem Firmenanwendungen in einem reservierten und geschützten Speicherplatz ausgeführt werden. Sandboxing erweitert das Konzept der Encryption Vault von Daten auf Anwendungen. Bei diesem Ansatz erfolgt keine Interaktion mit Daten oder Anwendungen, die außerhalb dieses speziellen Speicherplatzes liegen.
In einer Sandbox-Umgebung können auch ein aus Sicht des Unternehmens sicheres Betriebssystem nebst Firmenanwendungen von einem privaten Betriebssystem, Anwendungen und Daten getrennt werden. Hier spricht man von Virtualisierung, die in der nächsten Modellebene detaillierter erläutert wird.
3. Betriebssystem
Das Unternehmen muss sicherstellen, dass alle Geräte innerhalb des Firmennetzes mit einem sicheren Betriebssystem arbeiten. Dieses unterliegt bei einem privaten Gerät üblicherweise der Kontrolle des Benutzers und wird nur mit Einschränkungen vom Unternehmen verwaltet. Hier unterstützt ein User-Awareness-Programm bei der Sensibilisierung der Mitarbeiter für das regelmäßige Einspielen von Sicherheits-Patches.
Um diese Anforderungen durchzusetzen, kann zum Beispiel die Version des Betriebssystems bei einer Verbindung mit einem Firmenserver überprüft und der Zugriff nur für Nutzer gewährt werden, welche die minimalen Sicherheitsanforderungen erfüllen. Ein abgelehnter Nutzer darf sich erst nach der Aktualisierung seines Betriebssystems wieder am Unternehmensnetz anmelden.
Eine Alternative zu der vorhergehenden Lösung stellt die Virtualisierung dar: In diesem Fall kontrolliert das Unternehmen das virtuelle Betriebssystem in einer abgesicherten Umgebung und kann automatisch Aktualisierungen steuern, da die gesamte Sandbox-Umgebung von der Unternehmens-IT kontrolliert wird. Aus diesem Grund ist die Virtualisierung im BYOD-Kontext vorteilhaft, allerdings wird leistungsstarke Hardware benötigt, da das parallele Ausführen von zwei Betriebssystemen - das originale und das virtuelle Betriebssystem - hohe Ansprüche an die Hardware-Ressourcen stellt.
Spezielle Anforderungen, zum Beispiel das Verbot von "Jailbreaking" auf iOS-Geräten oder das "Rooten" von Android-Geräten, muss die Mobile Security Policy des Unternehmens sicherstellen, oder mit technischen Maßnahmen abdecken.
4. Hardware
Die IT-Abteilung muss festlegen, auf welche Hardware das Betriebssystem zugreifen soll, um die Sicherheit des Gerätes zu gewährleisten. Je nach Sicherheitsanforderungen werden biometrische Sensoren wie der Fingerabdruck und eine hardwarebasierte Verschlüsselung zwingend vorausgesetzt. Bei der Umsetzung muss man jedoch auf das Bedienerlebnis zu achten: Wird die Usability durch technische Maßnahmen zu sehr verschlechtert, etwa weil der Fingerabdrucksensor den Benutzer nicht zuverlässig erkennt, verwendet dieser die Geräte vielleicht nicht mehr weiter. Das Potential der BYOD-Strategie wird dann "verschenkt".
5. Physische Sicherheit
Zu den Sicherheitsmechanismen, die bei einem physischen Zugriff auf das System relevant sind, gehört unter anderem die Verwendung eines Passworts beim Systemstart oder das Verbot, Unternehmensdaten auf einem externen Speicher wie einer SD-Karte zu speichern. Im traditionellen Kontext der firmenkontrollierten Geräte wäre es möglich, die entsprechenden Schnittstellen zu sperren. Nicht so im BYOD-Kontext: Da das Gerät dem Benutzer gehört, muss das Unternehmen auf die BYOD Mobile Security Policy, die Security-Awareness-Maßnahmen oder eine MDM-Lösung zurückgreifen, um diese Richtlinien durchzusetzen.
6. Prozesse und Sicherheitsbewusstsein
Als weiteres wichtiges Element muss die IT außerdem die sicherheitsrelevanten Prozesse definieren und Maßnahmen zur Bildung des Sicherheitsbewusstseins der Mitarbeiter ergreifen. Die Sicherheitsprozesse bilden dabei den Gerätelebenszyklus nach und beinhalten etwa:
-
Datensicherungsmechanismen
-
Datenfernlöschung im Fall von Verlust oder Diebstahl des Geräts
-
Anmeldung und Abmeldung eines Geräts im BYOD-Umfeld
-
Benutzerverhalten im Fall von Reparatur oder Tausch des privaten Geräts
Auch interne Prozesse wie die Einführung einer neuen Firmenanwendung auf die Geräte werden hier beschrieben. Da der gesamte Prozessbereich sehr weitläufig ist, können spezielle Anwendungsfälle dabei helfen, alle Prozesse zu inventarisieren. Man kann jedoch einen Feedback-Kanal schaffen, um die Umsetzung der BYOD-Strategie mit den Rückmeldungen der Benutzer zu unterstützen.
Das Sicherheitsbewusstsein der Benutzer muss durch geeignete Maßnahmen wie Schulungen verstärkt werden. Die Schulungen sollten auch die Vorteile des sicheren Umgangs mit den Geräten für die privaten Daten betonen, um Mitarbeiter entsprechend einzubinden.
7. Verantwortungsbereiche, Organisationen und Policies
Last, but not least müssen auch auf der organisatorischen Ebene Vorkehrungen getroffen werden. Sie definiert die Verantwortlichkeiten für die Bereiche und Organisationen, die für die Sicherheit, die Ausführung der Prozesse und die Definition und Einhaltung der BYOD-Unternehmensrichtlinien zuständig sind.
Zweite Säule: Sicherheit der Daten bei der Übertragung
Die wachsende Anzahl drahtloser Kommunikationsschnittstellen mobiler Geräte stellt auch im BYOD-Kontext eine Herausforderung dar. Daten werden in den meisten Fällen via GSM, UMTS, Bluetooth, WiFi oder (seltener) Infrarot übertragen, obwohl nicht alle dieser Schnittstellen dieselben Sicherheitsstandards gegen "Lausch"-Angriffe unterstützen. Speziell Bluetooth steht aufgrund seines schwachen Identifizierungsmechanismus stark in der Kritik. UMTS-Verbindungen gelten hingegen nach wie vor als sicher, da die Identifizierung des Geräts mittels SIM-Karte vom Netzwerkoperator erfolgt und die Daten mit einem robusten Verschlüsselungsalgorithmus übertragen werden. Aus diesem Grund sollten Unternehmen lediglich GSM-/UMTS- und WLAN-Verbindungen im Firmenumfeld erlauben.
Die BYOD Mobile Security Policy muss daher bestimmen, welche Kommunikationsprotokolle im Firmenkontext erlaubt sind. Die Einschränkung auf GSM-/UMTS-Verbindungen hätte allerdings einen starken finanziellen Einfluss auf den BYOD Business Case. Die Verbindungskosten müssten in diesem Fall zu einem großen Teil vom Unternehmen getragen werden.
Eine zusätzliche Sicherheitsmöglichkeit bietet die Verschlüsselung des Netzwerkzugriffs. VPN-Verbindungen haben sich in den letzten Jahren als Standardlösung für den Netzwerkzugriff auf Unternehmensnetzwerke von außerhalb etabliert. Eine VPN-Verbindung stellt eine verschlüsselte Punkt-zu-Punkt-Datenübertragung sicher. Eine VPN-Verbindung alleine reicht jedoch nicht aus, um Sicherheit im Gesamtkontext zu erreichen. Ein "verseuchtes" Gerät kann Schädlinge durch den VPN-Tunnel übertragen. Diese erreichen den Empfänger dann über eine scheinbar sichere Übertragung.
Aus diesem Grund müssen Geräte auf beiden Seiten des VPN-Tunnels mittels der oben dargestellten Maßnahmen abgesichert werden. Hier bietet sich eine Virtualisierung an. Wenn der Tunnel aus dem sicheren virtuellen Betriebssystem gestartet wird, ist er für mögliche Schädlinge im privaten Teil des Gerätes unerreichbar.
BYOD-Strategie für alle
Auch wenn es an einigen Stellen sehr aufwendig und komplex erscheint, ist es für jedes Unternehmen möglich, eine BYOD-Strategie zu realisieren. Die Sicherheitsfragen und -risiken können aufgelöst werden, wenn alle Punkte des vorgestellten Sicherheitsmodells beachtet und in die Implementierung der Strategie aufgenommen werden. Bei konsequenter Implementierung wirkt sich eine BYOD-Strategie als "Win-Win" sowohl für Mitarbeiter als auch für Unternehmen aus. (mb)