Für Rainer Speer hat das Thema Mobile Computing eine ungeahnte Dynamik entfaltet. Am 30. Oktober 2009 kam ihm sein Notebook abhanden. Seinen Angaben zufolge wurde ihm der Laptop aus seinem Dienstwagen gestohlen. Das war in mehrfacher Hinsicht ärgerlich. Neben dem materiellen Verlust erlitt Speer nämlich noch einen anderen Nachteil - er verlor seinen Job.

Nicht irgendeinen. Speer war brandenburgischer Innenminister gewesen. Im September 2010 musste er zurücktreten, als Teile des Mail-Verkehrs zwischen ihm und einer Frau publik wurde. Diese befanden sich auf einer DVD, die der Potsdamer Staatsanwaltschaft und dem Landeskriminalamt Brandenburg anonym zugeschickt wurde. Die Mails auf der DVD sollen von Speers Laptop stammen. Die "Süddeutsche Zeitung" zitierte den Potsdamer Oberstaatsanwalt Helmut Lange seinerzeit mit den Worten: "Wir gehen derzeit von der Authentizität der Daten aus." Aus den Mails konnte man den Verdacht herleiten, dass die Landesbedienstete vom Staat Unterhalt bezog für ein Kind, dessen Vaterschaft der SPD-Politiker Speer offiziell zunächst nicht anerkannt hatte. Die digitale Briefschaft scheint zu belegen, dass der Minister sich seiner Vaterschaft durchaus bewusst war. Anders gesagt: Es entstand so der Verdacht, der hochrangige Politiker und seine ehemalige Geliebte hätten Sozialbetrug begangen. Speer weist Anschuldigungen, er habe Sozialbetrug begangen, umfassend zurück. Etwaige Anschuldigungen, sollten sie denn Substanz haben, wären mittlerweile allerdings verjährt.

Völlig unnötiges Risiko

So gut es ist, wenn solche Tatbestände ans Licht kommen, so deutlich macht der Fall auch, dass Kindsvater und -mutter nicht in die prekäre Lage geraten wären, hätten sie dem Thema Mobile Security etwas mehr Bedeutung beigemessen. Die beiden hatten Überlegungen zur Absicherung von mobilen Geräten offensichtlich zu locker gesehen. Auf die fatalen Folgen solcher Hemdsärmeligkeit weist Astrid Fey hin, wenn sie feststellt: "Es wäre interessant zu erfahren, ob der verantwortliche IT-Leiter seinen Posten noch innehat."

Das Risiko, dass Daten wie die privaten Mails des Politikers in falsche Hände geraten, sei "völlig unnötig" eingegangen worden, meint die Leiterin des IT-Referats des Bundesinstituts für Berufsbildung (BIBB). Für solche Anwendungsfälle gebe es sichere Lösungen. "Dort, wo es sie noch nicht gibt, sollte der Markt darauf drängen, dass sie eingeführt werden - Stichwort iPad."

Keine Sicherheitskonzepte

Fey spricht ein Problem an, dass den IT-Verantwortlichen landauf landab auf den Nägeln brennt: Wie können Unternehmen mit dem Wildwuchs mobiler Endgeräte und den damit verbundenen Sicherheitsrisiken umgehen? Wie drängend das Problem ist, beweist eine Studie, die Frost & Sullivan in seiner "Global Information Security Workforce Study" 2011 veröffentlichte. Die Unternehmensberatung hatte im Auftrag der Organisation zur Weiterbildung und Zertifizierung von Fachkräften für Informationssicherheit weltweit 10.413 IT-Sicherheitsexperten befragt.

Nicht mehr Viren-, Würmer- und Hackerangriffe bereiten CIOs demnach die größten Sorgen. Die meisten grauen Haare holen sich IT-Manager, wenn sie an Gefahren denken, die durch den Einsatz mobiler Endgeräte aufkommen könnten. Die Sicherheit mobiler Clients rangiert auf der Skala der Bedrohungen in Firmen an zweiter Stelle. Sorgen bereiten zudem die Themen Cloud Computing, soziale Netze und unsichere Softwareapplikationen, die eng mit der Nutzung mobiler Geräte verknüpft sind.

Tenor der Studie von Frost & Sullivan: IT-Verantwortliche können bei der Entwicklung von Sicherheitsstandards nicht mehr mit der Entwicklung neuer Technologien Schritt halten. Die Befragten gaben an, nur über uneinheitliche Richtlinien und mangelnde Sicherheitskonzepte zu verfügen. Fast 30 Prozent räumten ein, ihr Unternehmen habe keine Sicherheitsrichtlinien.

Mobile Geräte und soziale Netze

Wie sehr die hippen Tragbaren verknüpft sind mit Web 2.0 und sozialen Netzen, zeigt indirekt eine Untersuchung des Industrieverbands Bitkom. Diesem zufolge verdoppelte sich die Zahl derer, die per Handy im Internet surfen, innerhalb eines Jahres. 18 Prozent der Internet-Nutzer in Deutschland surfen mittlerweile via Mobiltelefon. Im Jahr zuvor waren es erst zehn Prozent gewesen. In absoluten Zahlen sind es jetzt neun Millionen. Damit sind die Risiken enorm gestiegen.

René Schuster, Mitglied des Bitkom-Präsidiums, geht davon aus, dass "die Zahl der Handy-Surfer weiter stark zunehmen wird". Wesentliche Gründe für diesen Trend: Verstärkt würden Smartphones mit größeren und hochwertigen Displays angeboten und gekauft. Zudem stehe der Ausbau schneller Breitbandnetze auf LTE-Basis vor der Tür. LTE beschleunigt die mobile Übertragung von Daten erheblich. Die Mobilfunktechnik der vierten Generation dürfte Geschwindigkeiten von bis zu 100 Megabit/s ermöglichen. Experten bezweifeln allerdings, ob in diesem Szenario Smartphones und Netbooks mit ihren langsameren Bussystemen in der Lage sein werden, die via LTE einprasselnden Daten schnell genug zu verarbeiten.

Safety first und ...

Dem Gefährdungspotenzial, das sich durch die Einbindung von mobilen IT-Geräten für die Unternehmens-IT ergibt, begegnet BIBB-IT-Chefin Fey mit der schlichten Devise: "Safety first". Übersetzt bedeutet das: Die Daten auf jedem mobilen BIBB-Gerät sind verschlüsselt. Zudem verfügen alle Systeme über einen speziellen Boot-Schutz. Als weitere Form der Diebstahlsprävention seien alle neueren Laptops auf dem Deckel mit einer Lasergravur des BIBB-Logos versehen. Das sehe sehr schick aus, diene der Corporate Identity - und verschrecke potenzielle Diebe, sagt Fey.

... sicher geht vor stylish

Eine Online-Verbindung zum Hausnetz besitzen mobile Geräte beim BIBB ausschließlich über eine BSI-zertifizierte VPN-Anbindung. Diese Vorgabe sorgt allerdings manchmal für Ärger, wie Fey schildert: "Bei Smartphones schränkt das die Produktauswahl erheblich ein, es können nur Systeme mit Windows Mobile eingesetzt werden." Deshalb würden einzelne Anwender von Zeit zu Zeit durchaus auch "toben". Denn "Android-Devices, iPads etc. sind wirklich verlockend". Aber die Institutsleitung trage den rigiden Sicherheitskurs mit. Es gelte: Sicher geht vor stylish. "Die Datenschutzbeauftragte und der IT-Sicherheitsbeauftragte sind sehr dankbar für diese Strategieentscheidung", sagt Fey.

Diese Haltung ist konsequent insofern, als sie Sicherheitsaspekte in den Vordergrund rückt, ohne mobile Geräte zu verteufeln. Viele deutsche CIOs suchen derzeit Antworten auf die Probleme, die sich aus Mobile Computing und Consumerization ergeben. Das zeigte sich etwa auf der Veranstaltung "CIO Beyond", die von der Computerwoche-Schwesterzeitschrift "CIO" initiiert wurde. Audis CIO Klaus Straub gab die Meinung vieler wieder, als er sagte, die Consumer-IT sei "Impulsgeber für die Business-IT". Ähnlich drückte es Thomas Henkel, CIO von Amer Sports, aus: "Wir müssen die positiven Aspekte der Consumer-IT für das Unternehmen nutzen."

Aufzuhalten ist der Trend zu iPhones, iPads und dergleichen mobilen Endgeräten in Unternehmen ohnehin nicht mehr. Das sieht man auch in einer übernationalen Behörde so: Das Europaparlament will alle seine Abgeordneten mit iPads ausstatten.

Any time, any place, any device

Jürgen Renfer, Abteilungsleiter Informationstechnologie im Bayerischen Gemeindeunfallversicherungsverband/ Bayerische Landesunfallkasse (GUVV/LUK), ist überzeugt, dass mobile Geräte zum Alltag der Unternehmens-IT gehören werden. Seine Erklärung: "Netbooks, Tablets, Smartphones & Co. erlauben die Fortsetzung und vielleicht sogar die Vollendung der alten Vision der Informationskommunikationsbranche: Any time, any place, any device." Den Erfolg der Geräte dieses Typs erklärt Renfer damit, dass sie mehr oder minder standardisierte Techniken über Geräte- beziehungsweise Herstellergrenzen hinweg erlauben. Außerdem: "Laufzeiten, Leistungsfähigkeit, Gewicht sowie Beschaffungskosten haben anwenderfreundliche Formen angenommen."

IT-Verantwortliche könnten deshalb beginnen, "zügig Mobile Devices zu ordern, um damit innovative ICT-Konzepte anzubieten - eingebettet in die Architektur der Unternehmen". Allerdings schränkt Renfer ein: "Prinzipiell besteht der Zielkonflikt zwischen Flexibilität beziehungsweise Mobilität einerseits und Datensicherheit respektive Datenschutz andererseits weiter."

Niels Diekmann, IT-Leitung und Head of IT der Bartscher GmbH, nimmt schon mal das Wort von der "Endgerätediktatur" in den Mund. Sein Unternehmen hat daraus Konsequenzen gezogen: Um der "stark wachsenden Mobilität und den gesellschaftlichen Veränderungen und der daraus erwachsenden Konsumerisierung von IT" Rechnung zu tragen, "nehmen wir immer mehr Abstand von der restriktiven Endgeräteabsicherung. Im Gegenzug müssen die Nutzer aber die Kröte schlucken, dass dies ein ‚Always-on-Szenario‘ voraussetzt." Mit dem würden sie sich die hohe Mobilität und Flexibilität erkaufen. Allerdings soll hierbei die Sicherheit der Unternehmensdaten nicht gefährdet werden.

Diekmanns IT-Abteilung setzt auf ein sicheres Design der gesamten IT-Infrastruktur. Die Idee ist, dass die Zentralisierung von Anwendungen und Daten im Rechenzentrum für umfassende Sicherheit sorgt, da auf den mobilen Endgeräten keine Unternehmensdaten vorgehalten werden müssen, "sondern lediglich Bildschirminhalte, Mausbewegungen und Tastatureingaben über das Netz verschlüsselt übertragen werden".

Applikationen als Service

Das Konzept, Applikationen als Service bereitzustellen, bedeutet die Verlagerung der Anwendungen ins Rechenzentrum. Dort werden sie zentral verwaltet und den Benutzern in allen Unternehmensstandorten nach Bedarf zur Verfügung gestellt. Diekmann: "Dabei findet die Online-Nutzung von unterschiedlichen Endgeräten und Betriebssystemen auf hochleistungsfähigen Servern im Rechenzentrum statt."

Gerald Scheurmann-Kettner, CIO der Event Holding GmbH & Co KG. in Köln, sieht sich wie alle seine Kollegen mit der Herausforderung konfrontiert, dass die Anforderungen der Mitarbeiter an mobile Kommunikation sich "nahezu täglich und mit jedem neu auf den Markt kommenden Gerät ändern. Damit wächst die Begehrlichkeit der Mitarbeiter, diese Geräte auch geschäftlich zu nutzen." Für die IT ergebe sich daraus der Zwang, all diese Geräte auf Herz und Nieren zu prüfen und zu eruieren, "ob es überhaupt Sinn gibt, sie im operativen Geschäft einzusetzen".

Bei der Event Holding entschied man sich bereits vor Jahren, "auf stabile und funktionsfähige Systeme zu wechseln, die auch Push-Dienste unterstützen". Im Ergebnis setzt das Unternehmen Blackberry-Server ein. Scheurmann-Kettner: "Diese Plattform wurde im Lauf der Jahre weiter ausgebaut, so dass es derzeit keinen wirtschaftlichen Sinn hat, hier parallel Plattformen für iPhone und Co. in Betrieb zu nehmen."

Gut schlafen mit VPN

Trotzdem wünschen sich immer mehr Mitarbeiter, etwa Tablet-PCs wie das iPad oder Samsungs Galaxy Tab auch beruflich zu verwenden, sagt der CIO. Für die IT gelte es erst einmal, "das firmeneigene Netzwerk zu schützen". Dabei setzt die Event Holding auf ein Konzept, das viele IT-Chefs bemühen: Verbindungen zum Firmennetz ausschließlich über sichere VPN-Verbindungen. So gehen Unternehmensdaten verschlüsselt und quasi durch einen Tunnel im Internet sicher auf die Reise.

Ausschließlich via VPN-Verbindung ans Firmennetz anzudocken ist die Strategie, die auch Markus Grimm, Direktor IT-Management bei der DKV Euro Service GmbH & Co. KG, gewählt hat. Ähnlich halten es weitere Befragte, darunter Thomas Fischer, IT-Leiter beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV), Frank Mauderer, der beim Autoveredler Mercedes-AMG GmbH die IT-Sicherheit verantwortet, und Matthias Mehrtens, Leiter Informationsmanagement der Stadtwerke Düsseldorf AG. Allerdings lösen sie damit noch nicht das Problem, das dem ehemaligen Innenminister von Brandenburg zum Verhängnis wurde.

Firmendaten nie lokal speichern

Bei der Event Holding laufen laut Scheurmann-Kettner alle Arbeiten "ausschließlich über Citrix-Desktops, so dass - auch bei Verlust egal welchen Geräts - die Firmendaten niemals lokal gespeichert werden".

Markus Grimm vom DKV Euro Service nennt weitere Sicherheitsmaßnahmen, die in der unternehmensinternen Security-Policy festgeschrieben sind. Hierzu gehöre etwa, dass für die Blackberry-Smartphones der Web-Zugang nur über interne Firewalls statthaft sei. Insbesondere bei Notebooks gilt als grundsätzliche Voraussetzung eine Festplattenverschlüsselung mit benutzerbezogenem Kennwort. Auch Grimm setzt auf den Zugang zum Firmennetz über VPN mit entsprechenden Kennwörtern. Zudem darf nur über das Firmennetz im Internet gesurft werden.

Rigide ist auch der Kurs in Sachen Schnittstellen: Auf den Windows-7-Rechnern der DKV werden die USB-Ports für Datenträger jeglicher Art gesperrt. Ausnahmen gibt es nur für "von der Firma freigegebene USB-Geräte. Die Daten müssen zudem stark verschlüsselt sein", erläutert Grimm.

Im Moment liefen, so der IT-Verantwortliche des DKV Euro Service, noch Tests bezüglich des Einsatzes von iPads und iPhones. Hier verwendet das Unternehmen etwa für die E-Mail-Kommunikation die Software "Good for Enterprise". Sie verschlüsselt die E-Mail-Daten und "hält alle Firmendaten in einer App, die per benutzerbezogenes Kennwort geschützt ist", sagt Grimm.

Für Dominik Spannheimer, Leiter Organisation und Datenverarbeitung der Tyczka Totalgaz GmbH, waren mobile Endgeräte bis Dezember 2010 eher ein No-Go: "Im Jahr 2010 hatten wir uns noch der Öffnung für verschiedene Mobile-Funktionen verschlossen." Besonders iPhone-Lösungen seien aus verschiedensten Gründen nicht zugelassen gewesen. Spannheimer sagt: "Hauptsächliche Kritikpunkte waren und sind Themen wie das Herunterladen von Apps - hier ist von Apple nur eine Whitelist vorgesehen." Eine Blacklist zur Kontrolle der Apps sei im Business-Bereich aber unverzichtbar. Weiteres Kopfzerbrechen bereitete ihm der immer mögliche Verlust von Daten, wenn ein Gerät gestohlen wird oder sonst abhanden kommt. "Ein gestohlenes Endgerät kann doch sehr schnell mit entsprechenden Tools geknackt werden." Passwörter sowie wichtige geheime Unternehmensdaten seien dann nicht mehr sicher.

Allerdings sah sich der Energieversorger Tyczka Totalgaz seitens seiner Kunden und auch der eigenen Mitarbeiter immer häufiger mit Anfragen nach mobilen Lösungen konfrontiert. Man habe sich deshalb im Dezember 2010 entschieden, ein Software-Tool zu verwenden, "das es uns erlaubt, die Mobile Security entsprechend unseren Firmen-Policies umzusetzen". Mit dem Werkzeug "Ubitexx" könne man "alle mobilen Endgeräte unabhängig vom Betriebssystems steuern". Das ist insofern wichtig, als Tyczka Totalgaz zurzeit insbesondere Windows Mobile 7.0 einsetzt, "aber auch mobile Betriebssysteme wie Apples iOS4 und zukünftig Android 3.0 Honeycomb", so Spannheimer. "Mit der Lösung können wir Endgeräte remote aktivieren, deaktivieren und den entsprechenden Support erledigen."

Sperrung via Fernwartung

Politiker Speer hätte sich sicher gewünscht, alle Daten auf seinem gestohlenen Notebook aus der Ferne sperren oder lieber noch ganz löschen zu können. Auch Thomas Fischer vom Gesamtverband der Deutschen Versicherungswirtschaft sieht in dieser Option eine grundsätzliche Voraussetzung für den Einsatz mobiler Endgeräte. Die sinnvolle Nutzung von Smartphones sei, so Fischer, ohnehin nicht mehr wegzudiskutieren. Blackberrys zu benutzen sei insofern einfach "und besser, weil diese Geräte auch remote gemanagt werden können. Selbst die Sperrung ist möglich." Das ginge mittlerweilen zwar auch bei iPhones. Allerdings setze Apple für diese Funktion einen persönlichen "MobileMe"-Account voraus: "Daher nutzen wir diese Möglichkeit noch nicht."

Fischer moniert beim Blick auf die bisher angebotene Sicherheitssoftware für Smartphones, es gebe gegenüber dem Desktop- oder Notebook-Markt noch einen deutlichen Optimierungsbedarf: "Hier muss etwas passieren", so der IT-Verantwortliche, "auch wenn die Angriffe heute noch überschaubar sind."

Zum Glück gezwungen

Frank Mauderer von Mercedes-AMG verriegelt die Firmen-Clients "innerhalb des Corporate Networks bei AMG über die bekannten Schutzmechanismen AV, Firewall, Proxy mit Content Protection, Port-Security etc." Nach außen sichert sich die AMG-IT über VPN-Clients ab, die bei Verbindungen mit "jeglichen Netzwerken versuchen, ihren Heimathafen, hier das Corporate LAN, über eine gesicherte VPN-Verbindung zu erreichen". Mauderer ist sich bewusst, dass dieser Ansatz den Anwendern nicht viel Spielraum lässt: "Ein Ausbruch aus dieser Verbindung ist nicht möglich, der User wird zu seinem sicheren ‚Glück‘ gezwungen."

Für den Fall, dass das Corporate LAN nicht erreicht werden kann, "befindet sich der Client entweder in einem Netzwerk ohne Internet-Zugang und ist somit relativ sicher, oder er hat kein Netz und ist damit noch viel sicherer", erklärt Mauderer lächelnd.

Das ist nicht alles, was Mercedes-AMG unternimmt, um die Sicherheit beim Einsatz mobiler Endgeräte zu wahren. Robert Münch, der beim Autohersteller für die Netzwerke verantwortlich ist, führt dazu aus: "Firmenfremde mobile Geräte werden nur nach Inspektion der sicherheitsrelevanten Merkmale im Netz erlaubt. Nach der Nutzung werden sie wieder aus dem Netz ausgesperrt - Stichwort: Fremdhardware-Prozess und MAC-Schleuse." So sei jederzeit gewährleistet, dass ein vorgegebener Sicherheitslevel im Unternehmensnetz eingehalten wird.

Itil als Basis

Matthias Mehrtens von den Stadtwerken Düsseldorf konstatiert, dass Mobility zunehmend an Bedeutung gewinnen werde, an diesem Thema kämen auch die Stadtwerke nicht vorbei. Der Honorarprofessor und Lehrbeauftragte für Wirtschaftsinformatik an der Hochschule Niederrhein sagt, der Ruf nach komfortablen, intuitiv zu bedienenden Geräten wie dem iPad sowie nach nicht ortsgebundener Verfügbarkeit von Informationen über Mobile VPN werde lauter. Die Implementierung von mobilen Services erfolge bei den Stadtwerken Düsseldorf dabei grundsätzlich in Anlehnung an das Itil-Lifecycle-Modell. "Disziplinen wie Demand-Management, Service- Portfolio-Management und Sicherheits-Management bilden hier den Rahmen für eine intelligente Vernetzung von Kundenanforderungen und IT-Sicherheit."

Gefährdungen und Bedrohungspotenzialen für mobil einsetzbare Hardware, Betriebssysteme, Anwendungen und Kommunikationswege beuge man mit Schutzmaßnahmen vor. Dazu zählten beispielsweise die Ende-zu-Ende-Verschlüsselung, eine starke Authentifizierung, Patch-Management und ein verlässlicher Virenschutz.

Services würden im eigenen Testcenter zertifiziert. Dabei gilt, was auch andere Unternehmen als Vorgabe gesetzt hätten: "Geräte und Anwendungen, die nicht den Vorgaben der Security-Policy entsprechen, werden ausschließlich außerhalb des Bürokommunikationsnetzwerks eingesetzt."

Attraktivität des Unternehmens

Für Klaus Straub von der Audi AG steht außer Zweifel, dass "mobile, leicht bedienbare und zum großen Teil aus dem privaten Umfeld bekannte Endgeräte, so weit sinnvoll, im Unternehmen integriert werden sollten". Wie der von Computerwoche und "CIO" ernannte CIO des Jahres 2006 weiter ausführt, genießen solche Geräte nicht nur eine hohe Akzeptanz bei den Anwendern, sie erschließen auch ganz neue Möglichkeiten im Business-Einsatz. Außerdem, so ist sich Straub sicher, "erhöhen sie nicht zuletzt die Attraktivität des Unternehmens".

Herausfordernd seien allerdings die unterschiedlichen Plattformen und die "schnellen Innovationszyklen der Consumer Products". Straub umreißt, wie bei Audi das Thema Mobile Security behandelt wird: "Komplexitätsreduzierung im angebotenen und unterstützten Lösungs- und Gerätespektrum, plattformunabhängige Lösungen für die Entwicklung und Bereitstellung von Anwendungen, Verschlüsselung von Übertragungswegen, Dokumenten und Daten sowie die Kapselung der eingesetzten Applikationen."