ByoD und Sicherheit im Mobile Enterprise

Die Dynamik des Mobile Computing ist ungebrochen. Nach den Erwartungen des ITK-Branchenverbands Bitkom wird der Markt für mobiles Internet bald das mobile Telefonieren als wichtigsten Umsatzbringer für deutsche Telekommunikationsanbieter ablösen. Das Geschäft mit mobilen Datendiensten legt seit 2009 zweistellig zu, in diesem Jahr voraussichtlich um zehn Prozent auf 9,4 Milliarden Euro, meldet der Bitkom aufgrund von Berechnungen seines eigenen Marktforschungsinstituts European Information Technology Observatory (EITO).

Jens Schulte-Bockum vom Bitkom-Präsidium kommentierte im Umfeld des Mobile World Congress: "Deutschland wird zur digitalen Gesellschaft. Im Jahr 2013 stehen die mobilen Datendienste für rund 44 Prozent des deutschen Markts für Mobilfunkdienste. Der Wachstumstrend bei den mobilen Datendiensten wird sich in Zukunft noch weiter beschleunigen". Mit dieser Entwicklung geht die steigende Nachfrage nach Smartphones und Tablet-Computern einher. Der Smartphone-Umsatz legt der Prognose zufolge um ein Viertel auf 8,8 Milliarden Euro zu. Bei Tablet-Computern erwartet der Bitkom einen Umsatzanstieg um rund elf Prozent auf 2,3 Milliarden Euro.

Doch was die ITK-Anbieter freut, bereitet den Verantwortlichen in den Anwenderunternehmen Bauchschmerzen. Sie werden nach Ansicht von Experten wie Nicole Dufft, Senior Vice President bei Pierre Audoin Consultants (PAC), von der Entwicklung überrollt. Dabei sind die Mobilgeräte-spezifischen Sicherheitsprobleme an sich alles andere als neu, wie Dufft betont: "Der Hauptunterschied bleibt natürlich, dass die mobilen Geräte einfach verlegt oder gestohlen werden können, was mit einem Desktop-PC doch eher selten passiert." Auf mobilen Geräten können Daten daher leichter verloren gehen, beschädigt, ausgespäht oder anderweitig missbraucht werden.

Wie sich die IT unverzichtbar macht
Wegen der Selbstbedienungsmöglichkeiten in der Cloud sind Anwender in vielen Dingen nicht mehr auf die IT angewiesen - der IT-Leiter muss sich neue Aufgaben suchen.

Bestandsaufnahme und nichts überstürzen
Experten glauben, dass zum aktuellen Zeitpunkt erst 30 bis 40 Prozent der IT-Abteilungen bereit für die Wandlung zum Service-Dienstleister sind. Wer seine Infrastruktur, die Server und Business-Applikationen nicht im Griff hat, ist noch nicht so weit. Die entscheidende Wandlung zum Service-Dienstleister findet dann statt, wenn der IT-Leiter nicht mehr mit der Umsetzung von beschlossenen Projekten beauftragt wird, sondern einen maßgeblichen Anteil an der Entstehung dieser Projekte hat.

Die Infrastruktur automatisieren
Wenn man nicht gerade in einer Ein-Personen-IT-Abteilung arbeitet, sollte man es nicht als seine wichtigste Aufgabe ansehen, Server zu warten und E-Mail-Postfächer von Spam zu befreien. Diese Aufgaben sollten bestimmte Mitarbeiter - intern oder extern - übernehmen, damit der IT-Leiter sie nicht mehr auf seiner Agenda hat. Anstatt viele Dienste auf einmal in die Cloud zu verlegen, sollte man sich über kleine Themen an eine automatisierte Infrastruktur herantasten und zum Beispiel automatisierte Upgrades von Applikationen einführen.

Business-Probleme lösen, ohne ein Held sein zu wollen
Wer die IT in einen Service-Dienstleister verwandeln möchte, sollte nicht mehr primär an mehr Effizienz und Kostensenkung denken, sondern an das, wonach das Business sucht. Das wären vor allem Innovation und Agilität, zitiert Tynan den Infrastruktur-Experten Simon Johnson. Man müsse sich mit dem Business zusammensetzen und verstehen, mit welchen Problemen die Fachbereiche kämpfen. Doch der Wandel erfordert, dass man nicht mehr als schneller Problemlöser und Brandlöscher zur Stelle ist. Denn damit bringe man das Unternehmen nicht voran. Der Wandel von einer reaktiven zu einer proaktiven IT ist der Schlüssel für die zukünftige Entwicklung.

Einen Service-Katalog entwickeln und dabei nicht die Menschen vergessen
Wer beispielsweise eine Private Cloud im Unternehmen einführt, darf nicht ignorieren, welche Prozesse sich dadurch verändern. Erarbeitet man einen Service-Katalog mit Dienstleistungen, muss man diesen Katalog unbedingt so gestalten, dass alle Mitarbeiter etwas damit anfangen können. Auch die Kosten, Zeiträume und Ansprechpartner für die einzelnen Dienste sollten klar benannt werden. Einmal im Jahr sollte man den Katalog durchgehen und anhand von Metriken prüfen, welche Dienste in Anspruch genommen werden und welche nicht. Bei den Ladenhütern muss dann entschieden werden, ob es lohnt, sie weiterhin anzubieten.

Zum Datenspezialisten werden
Experten gehen davon aus, dass es zukünftig keine große Nachfrage nach IT-Experten geben wird, die sich nur mit IT auskennen. Der ITler der Zukunft ist das Bindeglied zwischen Technologie und Business. Nützliche Informationen für das Unternehmen leiten ITler dann beispielsweise aus vorliegenden Daten ab. Wer sich für eine Karriere in der IT entscheidet, wählt ein Arbeitsumfeld, das sich ständig weiterentwickelt.

Umstrukturieren, aber keine Verwandlung über Nacht erwarten
Man kann eine IT-Abteilung nicht bis zu einem Wochenende wie üblich führen und erwarten, dass sie sich durch eine Umstellung zum Wochenanfang von einem Moment auf den nächsten zum Dienstleister wandelt. Wer seine IT zum Service-Dienstleister machen möchte, muss auch an die Mitarbeiter denken. Während von einigen vor der Umstellung tiefes Wissen einer bestimmten Technologie verlangt war, müssen sie nun über mehrere Technologien so gut Bescheid wissen, dass sie die richtigen Lösungen für die Fachabteilungen auswählen. Auch die Erfolgsmessung der IT-Abteilung sollte sich durch die Umstellung ändern: Boni könnte man dann zum Beispiel davon abhängig machen, wie erfolgreich die Dienstleistungen für das Business waren. Der Erfolg der IT wird auf diesem Weg auch am Unternehmenserfolg gemessen. Das Ziel der Service-Dienstleister-IT sollte es sein, Wünsche aus dem Fachbereich nicht abzublocken sondern eine Umsetzung zu finden.

Ein weiterer zusätzlicher Angriffspunkt in mobilen Netzen sind die drahtlosen Netzverbindungen, die prinzipiell einen leichteren Zugang für Hacker ermöglichen als ein Kabel, das gewöhnlich physikalisch geschützt verläuft. Auch hier haben potenzielle Angreifer die Möglichkeit der missbräuchlichen Nutzung, Fälschung oder Löschung von Daten und darüber hinaus der Manipulation von Systemen.

Dass diese Bedrohungen in vielen Firmen gerade jetzt ins Bewusstsein der Entscheider gelangen, hat nach Ansicht von PAC-Managerin Dufft vor allem mit der veränderten Nutzung des mobilen Internets zu tun: "Bis vor kurzem war das mobile Internet im Unternehmen wenigen Führungskräften vorbehalten, die es in erster Linie zur Kommunikation per E-Mail nutzten. Jetzt sieht das Szenario plötzlich komplett anders aus. Mit den aktuellen Tablets und Mini-Tablets sind weit mehr Anwendungen möglich. Und die Nutzung dieser Geräte lässt sich nicht auf eine kleine Anwendergruppe begrenzen".

Viele Firmen sind noch nicht auf ByoD vorbereitet

Im Zweifel bringen die Mitarbeiter einfach ihre private Hardware mit und schaffen Fakten. Sie wollen produktiver arbeiten, was ja auch und gerade dem Unternehmen dient. "Das Problem an dieser Entwicklung ist nur, dass sie viele Unternehmen unvorbereitet trifft und viele Entscheider erst jetzt erkennen, dass sie etwas tun müssen", so Dufft. Diese Situation, in der die Anwender die Entwicklung der Unternehmens-IT vorantreiben, ist für die handelnden Personen in den ITK-Abteilungen der Unternehmen, aber auch für deren externe Dienstleister neu. Das zeigte sich in den ersten Reaktionen: Die reichten vom Totalverbot privater Endgeräte im Unternehmen - was in der Regel nicht dauerhaft durchsetzbar ist - bis zum Bring-your- own-Device-Ansatz (ByoD).

Doch ByoD birgt Risiken, wie Michael Mohrbacher, Senior Consultant bei Bridging IT, betont. Er warnt: "Die organisatorischen Aufwände des Projekts sind bei Bring your own Device in der Regel höher als die technologisch bedingten. Es gibt wenig Rechtssicherheit aufgrund fehlender Rechtsprechung und Referenzen zu diesem jungen Themenkomplex." Das Information Security Forum (ISF) bezeichnet die Consumerization der IT in seinem Security Threat Horizon 2015 gar als eine der gefährlichsten Bedrohungen für die IT-Sicherheit in Unternehmen. Die Gefahr durch Trends wie Bring your own Cloud (ByoC) und ByoD besteht einerseits darin, dass Technologien eingesetzt werden, ohne vorher ausreichend getestet worden zu sein. Andererseits werden Informationen häufiger dupliziert, an immer mehr Stellen abgelegt oder sind über immer mehr Devices zugänglich. Unternehmen verlieren dadurch leicht den Überblick und bieten Angreifern mehr Angriffsmöglichkeiten.

Risikomanagement als Unternehmenssteuerungskonzept aufbaue

Verbot privater Mobilgeräte im Arbeitsumfeld durchsetzen (Ultima Ratio)

Sicherungssysteme permanent prüfen

Standardisierte Mobillösungen einführen

Klare Gesamtprozesse und Risikofaktoren aufzeigen

Process/Risk Owner benennen

Interdisziplinäre Arbeitsweise etablieren

Mobile-Device-Management allein greift zu kurz

"Wenn Firmen langfristig sicher und erfolgreich als Mobile Enterprise agieren wollen, müssen sie zunächst erkennen, dass es nicht nur um Device-Management geht", sagt Mobile-Communications-Expertin Dufft. Es geht auch um Apps und um den Zugriff auf BackOffice-Anwendungen - im eigenen Rechenzentrum oder in der Cloud. Und es geht um Content in unterschiedlichster Form, der nicht nur den eigenen Mitarbeitern, sondern auch Kunden und Geschäftspartnern zur Verfügung gestellt wird. Dufft rät: "Im Vordergrund der Entwicklung einer Mobile-Strategie sollte daher die Frage stehen, wer welche Daten und Anwendungen wann, wo, wie und wofür verwendet."

Dazu müssen die Verantwortlichen sich die Frage stellen: Welche Prozesse werden wir zukünftig mobilisieren? Und welche Unterstützung benötigen wir dafür? Die PAC-Analystin ist überzeugt: "Die Mitarbeiter werden künftig über noch viel mehr Zugangspunkte ins Internet gehen" Autos als Hotspots, Fernseher als interaktives Multimedia-Endgerät im Hotelzimmer, interaktive Whiteboards in Meeting-Räumen und Telepresence in öffentlichen Web-Konferenzräumen mit Anbindung von Webconferencing inklusive Application Sharing - all diese Entwicklungen sind zumindest als Prototypen verfügbar, und viele weitere werden folgen. Im Bereich der Machine-to-Machine-Kommunikation (M2M) etwa steht die Entwicklung erst ganz am Anfang.

Vor diesem Hintergrund antwortet Carsten Mickeleit, CEO des MDM-Anbieters Cortado AG, auf die Frage nach der größten Herausforderung für Unternehmen auf dem Weg zum Mobile Enterprise: "In jeder Hinsicht die Balance zu finden zwischen privater und geschäftlicher Nutzung, Sicherheit und Produktivität." Dabei können Tools wie Mobile-Device-Management helfen, doch Mickeleit macht klar: "Durch die reine Verwaltung von neuen Geräten wird kein Unternehmen zum Mobile Enterprise, schon gar nicht, wenn Restriktionen und das Sperren von Diensten im Vordergrund stehen. Deshalb muss ein MDM-System heute auch eine klare Vision zur Integration in die Unternehmens-IT haben und neue produktive Prozesse ermöglichen."

Um auf zukünftige Entwicklungen vorbereitet zu sein, rät Mickeleit: "Unternehmen sollten darauf achten, dass die gewählte Lösung keine Insel innerhalb ihrer Systemlandschaft und Rechtestruktur darstellt. Ein Unternehmen, das im System-Management auf Microsoft setzt, sollte sicherstellen, dass auch das Management von mobilen Geräten Windows-basiert erfolgt, sich direkt in das Active Directory integriert und per Powershell steuern lässt." Das Thema Sicherheit steht nach Mickeleits Erfahrung für viele Anwender mobiler Endgeräte im Vordergrund: "Deshalb geben auch viele Unternehmen unserem vollständigen On-Premise-Ansatz den Vorzug. Doch sollten bei der gesamten Sicherheitsdiskussion nicht die Chancen übersehen werden, die Mobile Computing mit sich bringt. Und oft wäre es wünschenswert, wenn der gleiche Sicherheitsmaßstab, der für Smartphones gefordert wird, für Laptops bereits umgesetzt wäre."

Jochen Jaser, Vorstandsvorsitzender von Matrix 42, sieht den Weg zum Mobile Enterprise vor allem als organisatorische Herausforderung für Anwenderunternehmen. Er sagt: "Das IT-Management hat in den meisten Unternehmen eine Silo-Struktur, so dass derzeit die Verantwortung für die verschiedenen Bereiche des MDM bei unterschiedlichen Stellen liegt. Es braucht aber jemanden, der sich zentral um MDM kümmert."

Geschäftliche und private Daten: Saubere Trennung nötig

Wichtig ist zudem, dass man die "Consumerization der IT" in den Griff bekommt. Dazu sei eine saubere Trennung zwischen geschäftlichen und privaten Daten auf den Geräten unerlässlich. Ein gutes Geräte-Management kann laut Jaser durch PIN-Codes und Gerätezertifikate schon einige Sicherheitsrisiken ausschließen. "Ebenso verhält es sich mit dem Applikations-Management: Festzulegen, welche Applikationen wann und wie genutzt werden dürfen, ist unerlässlich. Schließlich ermöglicht eine gute MDM-Lösung, die Verfügbarkeit der Unternehmensdaten auf den unterschiedlichen Geräten genau zu definieren."

Die künftigen Herausforderungen für die sichere Nutzung des mobilen Internets sieht Jaser vor allem darin, den automatisierten Informationsaustausch zwischen den Endgeräten im Griff zu behalten. "Machine-to-Machine-Kommunikation ist wichtig, aber diese Prozesse dürfen sich keinesfalls verselbständigen. Eine weitere Herausforderung wird das Thema Near Field Communication sein."

Künftige Herausforderungen liegen in der Cloud

Christof Baumgärtner, Director und Country Manager DACH von MobileIron, sieht die künftigen Herausforderungen der mobilen Sicherheit vor allem in der Cloud: "Mobiles Internet und die mobile Nutzung von Cloud-basierenden Diensten sind eng miteinander verknüpft. Daher wird es zunehmend wichtiger, sicherzustellen, dass wertvolle Daten nicht unkontrolliert in die Cloud wandern, nur weil es für den Benutzer einfach ist. Gegen eine kontrollierte Nutzung von Cloud-Diensten spricht selbstverständlich nichts."

Baumgärtner rät: "Wer seine mobile Strategie nur auf Anforderungen von heute abstellt, wird in kürzerer Zeit vermutlich seine Plattformauswahl revidieren müssen. Wir sehen, dass oft die mobile Nutzung von E-Mail in den Vordergrund gestellt wird, ohne zu bedenken, dass zukünftig Inhouse Apps grundlegende Geschäftsprozesse mobilisieren werden oder zunehmend Inhalte außerhalb von E-Mail mobilisiert werden müssen. Typischerweise benötigen Unternehmen mittlerweile nicht nur ein sicheres Management von mobilen Endgeräten, sondern, viel wichtiger, von Dokumenten, Apps und deren Inhalten."

Tipps für den sicheren Umgang mit ByoD

Michael Mohrbacher, Senior Consultant bei Bridging IT, hat die wichtigsten Schritte bei der Einführung einer ByoD-Strategie im Unternehmen zusammengestellt:

1. Die Anwendungsfälle für den Einsatz von Privatgeräten sowie die Integration mit Lieferanten- und Partnerprozessen auf Sicherheitsanforderungen bewerten: lokale Datenspeicherung, Verschlüsselung, Weitergaberichtlinien etc..

2. Grundsätzlich ist die Einführung von ByoD für Mitarbeiter ein Thema der Mitbestimmung, in das der Betriebsrat oder die Mitarbeitervertretung einzubinden ist. Klare Anforderungen sind ein wesentlicher Erfolgsfaktor.

3. Im nächsten Schritt muss die passende Lösung im wachsenden Markt der Anbieter identifiziert werden. Cloud-basierte Ansätze, beginnend bei SaaS bis hin zur kompletten Integration von Support, Administration und Betrieb, sind möglich.

4. Bei der Entscheidung für eine Lösung ist zu prüfen, ob und wie sie mit Plattformkonzepten zur Trennung von Arbeits- und Privatwelt (Samsung Knox oder Blackberry Balance) zusammenarbeitet. Es ist meist sinnvoll, die für ByoD freigegebenen Geräteklassen (iOS, Android ab Version X etc.) zu beschränken.

5. Einige Unternehmensprozesse erfordern weitergehende Security-Compliance (etwa FIPS-140). In diesem Fall kann es notwendig sein, den Partnern und Lieferanten bestimmte Geräte vorzuschreiben. Die ByoD-Lösung muss dies als Richtlinie durchsetzen.

6. Aus rechtlichen und logistischen Gründen können Fremdgeräte nicht direkt (MDM) administriert werden. Lösungen, die einen sicheren Container bereitstellen, ermöglichen durch Mobile-Application-Management (MAM) die nötige Isolation der Geschäftsdaten. Diese Technik hat sich bisher für Desktop-Szenarien (BeraterLaptop) noch nicht durchgesetzt, obwohl sich klare Einsparpotenziale (zum Beispiel bei den Lizenzen) auftun würden.

7. Klärung der rechtlichen Aspekte:

• • Nutzungserlaubnis: Die verbindliche Regelung zwischen Arbeitgeber und Mitarbeiter über die Nutzung privater Endgeräte innerhalb und außerhalb des Unternehmens.

• • Achtung der Privatsphäre: Das Unternehmen darf keinen Zugriff auf private Daten haben und diese nicht erheben, ändern oder löschen ohne fallbezogene Einwilligung. Das schließt die Fernlöschung eines mobilen Endgeräts bei Verlust aus.

• • Steuerliche Behandlung der Nutzung vom Unternehmen überlassener Software auf privaten Geräten und der Bezuschussung von Geräten.

• • Urheberrecht: Verbindliche Nutzungsvorgaben und Kontrolle für den Umgang mit privat erworbener Software.

(mb)