Der neue Begriff "Consumerization" wurde von Gartner geprägt und benennt den Trend zur Vermischung privater und beruflicher IT-Nutzung. Anwender sind heute technikversierter denn je und haben ihre persönlichen IT-Vorlieben. Deshalb wollen sie ihre Android-Geräte, iPhones, iPads oder andere Tablets auch für die beruflichen Aktivitäten nutzen.
Dieser Trend verändert die Arbeitsweise der Unternehmens-IT rasant und nachhaltig. In Sachen IT-Security bringt er eine neue Mischung aus strategischen und operationalen Herausforderungen mit sich. Der Grund: Es droht eine Anarchie, denn die neuen Endbenutzertechniken sind sehr heterogen und oft über das ganze Unternehmen verteilt im Einsatz.
Außerdem treiben die Anwender diese Innovationen auf eigene Faust, ohne dabei auf zentrale IT-Pläne oder vorhandene IT-Richtlinien zu achten. Sie beschaffen sich ihre eigenen Dienste, installieren ihre eigenen Anwendungen und finden zum Teil sehr kreative und auch entsprechend unsichere Wege, Verbindungen zum Unternehmensnetzwerk aufzubauen, um auf ihre E-Mail, Verzeichnisse und geschäftliche Daten zuzugreifen.
Sind nun die Arbeitgeber bereit, sich ins Unvermeidliche zu fügen und die geschäftliche Nutzung der vielfältigen privaten Ressourcen zu erlauben, so stehen CIOs und andere IT-Verantwortliche vor der schwer lösbaren Aufgabe, dem "kreativen Chaos" Einhalt zu gebieten und die Sicherheit der IT zu gewährleisten.
Sicherheit vs. Usability
Dabei haben sie prinzipiell vor allem zwei Herausforderungen zu bewältigen: Zum einen gilt es, das Management der privaten Endgeräte so aufzusetzen, dass eine komfortable und produktive Nutzung der Geräte gewährleistet ist, aber gleichzeitig auch die Sicherheitsrisiken, denen die mobilen Devices ausgesetzt sind, minimiert werden.
Die zweite Aufgabe besteht darin, geschäftskritische Unternehmensdaten zu schützen. Eine der größten Gefahren stellt der Verlust von Laptops und Mobiltelefonen dar, auf denen wichtige Daten lagern, die damit in die falschen Hände geraten können. Des Weiteren können Geschäftsdaten über privat genutzte Anwendungen nach draußen gelangen, etwa wenn ein User sie via Web-Mail, Instant Messaging oder andere Kanäle versendet, die nicht zur Unternehmens-IT gehören.
Eine weitere Gefahr droht, wenn Schadsoftware oder infizierte Daten über solch "gemischt genutztes" Gerät ins Unternehmensnetzwerk eingeschleust wird, etwa wenn der Anwender in einer ungesicherten Umgebung surft. Schließlich kann auch ein privat genutzter Dienst aus der Cloud zur Bedrohung werden.
"Um alle Aspekte dieser vielfältigen Gefahren in den Griff zu bekommen, ohne den Anwendern das Arbeiten unmöglich zu machen, bedarf es eines strategischen Ansatzes", erklärt Udo Schneider, Solutions Architect bei Trend Micro. Dafür sollten Manager und Fachabteilungen bei der Ausarbeitung eines unternehmensweiten Plans und entsprechender Richtlinien zusammenwirken. Nur so ließen sich alle Aspekte beim Einsetzen und Verwalten privater Endgeräte im Arbeitsalltag einbeziehen. Der Experte rät zu einem schrittweisen Vorgehen, wobei die konkrete Auswahl der technischen Lösungen erst ganz am Ende steht.
Schritt 1: Bestandsaufnahme der Geräte und des Bedarfs
Am Anfang sollte eine Bestandsaufnahme der im Unternehmen genutzten mobilen Geräte und der darauf laufenden Anwendungen (Mail, Präsentationssoftware, Kontakte etc.) stehen. Dazu gehören auch die involvierten Firmendaten. Zudem empfiehlt es sich, die innovativen User über ihre nützlichsten Anwendungen und Geräte zu befragen, um bei Bedarf auf diese Erfahrungen zurückgreifen zu können.
Nicht alle Anwender haben den gleichen Bedarf an Mobilität, Information oder Kommunikation. Daher kann es hilfreich sein, Nutzerprofile zu erstellen und die Anwender in entsprechende Gruppen zusammenzufassen, empfiehlt Schneider. Für diese gelten dann bestimmte Richtlinien, die etwa den Zugriff auf Unternehmensanwendungen, Messaging oder Kalender regeln. Auch müssen ihre Geräte bestimmten Sicherheitsanforderungen genügen.
In dieser Phase gilt es auch festzulegen, welche Geräte und Technologien unterstützt und welche nur geduldet oder untersagt werden. Hat sich ein Unternehmen für den Weg der Anwenderorientierung der IT entschieden, so sollte es auch alle mobilen Geräte unterstützen. Die Nutzer werden es nur schwerlich akzeptieren, wenn ihr persönliches Gerät aus welchen Gründen auch immer nicht unterstützt wird, so der Security-Fachmann.
Schritt 2: Aufsetzen von Richtlinien
Die Entscheidungen innerhalb der ausgearbeiteten Sicherheitsstrategie sollten im nächsten Schritt in Form von Unternehmensrichtlinien festgehalten werden: Diese beziehen sich auf die Art der Nutzung privater Geräte und die Bereitstellung entsprechender Anwendungen. Weitere wichtige Aspekte sind die Trennung von privaten und geschäftlichen Daten auf den Geräten, das Festlegen der erlaubten Netzwerke, Rechte und Pflichten der Anwender (etwa verpflichtende Installation von Updates), Level der Verwaltung und Kontrolle dieser Devices und die Haftung im Falle des Verlusts.
Eines der zu lösenden Grundprobleme bei der Nutzung eines Geräts sowohl für private als auch geschäftliche Zwecke stellt die notwendige Trennung der privaten von den Unternehmensdaten dar, warnt Schneider. Dies ist sowohl rechtlich als auch sicherheitstechnisch von Bedeutung. Es stellt sich unter anderem die Frage, inwieweit ein Unternehmen auf dem Arbeitnehmer-eigenen Gerät sicherheitstechnische Maßnahmen durchsetzen darf.
Geht ein Gerät verloren, so können die Daten mit einem so genannten "Remote Wipe" unter Umständen gelöscht werden - leider meist einschließlich der privaten. Das wiederum wäre ein Eingriff in die Privatsphäre des Besitzers. Die Lösung des Problems kann aber auch nicht immer in einem Verbot der Speicherung von Geschäftsdaten auf dem mobilen Gerät liegen, denn dann wäre es auch nicht möglich, offline zu arbeiten.
Der Business App-Store
Es gibt unterschiedliche Konzepte, um den Nutzern für den geschäftlichen Betrieb die benötigten Anwendungen zur Verfügung zu stellen und somit die Trennung von privaten und beruflichen Daten zu bewerkstelligen. Eine Lösung sind so genannte Business App Stores, die nach der gleichen Methode funktionieren wie die öffentlichen App Stores, die Inhalte, Anwendungen und Dienste zur Verfügung stellen. Über die Business App Stores können Unternehmen den Nutzern Firmenanwendungen auf den mobilen Geräten zur Verfügung stellen. Auf diese Weise ließen sich private von geschäftlichen Daten trennen. Die Kehrseite der Medaille ist die Vielfalt der mobilen Geräte, für die dieser Softwareverteilungskanal vorhanden sein müsste.
Virtualisierung stellt ebenfalls eine gute Möglichkeit dar, Anwendungen auf den mobilen Geräten genauso wie auf dem Desktop zugänglich zu machen. VMware beispielsweise stellt für Android-Plattformen einen Hypervisor zur Verfügung, sodass auf einem Gerät zwei Android-Instanzen - eine private und eine geschäftliche - laufen. Bei Verlust des Geräts lässt sich die Android-Umgebung auf einer Instanz löschen, während die andere davon unberührt bleibt.
Virtualisierte Desktops sollten als weitere Alternative in Betracht gezogen werden. Auch hier stellt sich sicherheitstechnisch die Frage, ob der Endbenutzer lediglich einen VDI-Client auf seinem Gerät erhält, ohne Daten lokal speichern zu können, oder ob er auch offline arbeiten darf, also Daten abspeichern muss.
Der Zugriff auf Web-Anwendungen wie E-Mail oder Dienste aus der Cloud wie Salesforce.com, Dropbox oder Google Office sollte in einer Sicherheitsstrategie ebenfalls geregelt sein, beispielsweise über Black- und Whitelists. Sollen auf den mobilen Geräten keine lokalen Daten gespeichert werden, so besteht noch die Möglichkeit, Firmenanwendungen mit einem Web-Interface zu versehen. Aber Vorsicht: Dies will sorgfältig entwickelt und abgesichert sein, denn die nach außen gerichtete Schnittstelle ist Bedrohungen wie SQL Injection ausgeliefert.
Schritt 3: Auswahl der Security-Technik
Erst wenn alle Sicherheitsanforderungen definiert und in einer Reihe von Policies festgeschrieben sind, sollten die Verantwortlichen an die Auswahl der konkreten Sicherheitslösungen sowohl für den Schutz der mobilen Geräte als auch für die unternehmensweite Infrastruktur gehen. Zu den benötigten Lösungen gehört in erster Linie ein Mobile Device Management (MDM).
Hier empfiehlt es sich, eines zu wählen, das nicht nur reine Managementfunktionen bietet wie etwa Inventory Tracking mit zentraler Registrierung, Bereitstellung und Sperre des Zugriffs auf Netzwerke und Anwendungen sowie eine transparente Kontrolle der Geräte und ihres Zustands. Wichtig sind darüber hinaus auch die nötigen Sicherheitsfunktionen. Diese bauen alle auf einem Inventory- beziehungsweise Asset-Management auf.
Das MDM sollte möglichst alle gängigen mobilen Plattformen absichern können. Zudem ist es von Vorteil, wenn die Lösung in der Lage ist, die Richtlinien für die Mobilgeräte durchzusetzen: Dazu gehören beispielsweise das Herunterladen von Anwendungen auf der Basis von White- und Blacklists, das Bereitstellen und Entziehen von Zugriffsrechten für Netzwerke und Anwendungen oder das Sperren von Funktionen wie Kamera, Bluetooth und SD-Kartenleser. Zu bedenken ist zudem die Tatsache, dass zur Gerätesicherheit auch der Schutz vor Malware gehört.
Mobile Security kann nicht losgelöst von der Unternehmens-Security betrachtet werden: Mobile Geräte sind lediglich weitere Endpunkte, argumentiert Experte Schneider. Das Backend muss ebenfalls mit Firewalls, IDS und Malware-Schutz ausgerüstet sein. Wählt ein Unternehmen eine Virtualisierungsvariante für die mobilen Geräte, so empfiehlt sich für das Backend der Einsatz einer ressourcenschonenden VDI-Sicherheitslösung, die möglichst viele Aufgaben (Aufbringen von Updates, Patches etc.) automatisiert erledigt. Schließlich gilt es noch, den Zugriff auf die Cloud und die benötigten Daten abzusichern, sollen die Benutzer Dienste aus der IT-Wolke in Anspruch nehmen.
Fazit
Die diversen Security-Produkte der Hersteller können ein sicheres Einbinden mobiler Geräte in die Unternehmens-IT nicht garantieren. Entscheidend sind die Planung im Vorfeld und das Aufsetzen von granularen, durchsetzbaren Richtlinien. (wh)