Strategien gegen den mobilen Wildwuchs

31.05.2007
Von 
Nicole Dufft ist Independent Vice President – Digital Enterprise PAC
Was die IT tun kann, um die Kontrolle über Privatanwendungen und mobiles Devices nicht zu verlieren.
Nicht einmal jedes zweite Untenehmen verschlüsselt die Daten, die seine Mitarbeiter auf Laptops und PDS mit sich herumtragen. Daten auf USB-Sticks werden nur in einem von vier Betrieben verschlüsselt.
Nicht einmal jedes zweite Untenehmen verschlüsselt die Daten, die seine Mitarbeiter auf Laptops und PDS mit sich herumtragen. Daten auf USB-Sticks werden nur in einem von vier Betrieben verschlüsselt.

Skype, Instant Messenger, Social Networks, P2P-Anwendungen, Mobile E-Mail - die Liste ließe sich noch um einiges verlängern. Diese und ähnliche Anwendungen werden von Mitarbeitern in Unternehmen auch im Arbeitsalltag rege genutzt – meist ohne das Wissen oder den Segen der IT-Abteilung.

Hier lesen Sie

warum harmlos erscheinende Endgeräte aus Unternehmenssicht gefährlich sind,

weshalb die Mitarbeiter sie trotzdem auch für ihre berufliche Tätigkeit nutzen,

wie der IT-Verantwortliche auf den Wildwuchs von Skype & Co reagieren sollte,

welche Regelungen er mindestens durchsetzen muss, um die Sicherheit zu gewährleisten,

welche Hilfsmittel ihm hier zur Verfügung stehen.

Skype - unwiderstehlich und gefährlich

Die Internet-Telefonie-Software Skype hat sich in den vergangenen zwei Jahren rasant verbreitet. Die Skype-Gemeinde zählt inzwischen weltweit über 136 Millionen registrierte Nutzer, von denen im Durchschnitt ständig etwa sieben Millionen online sind. Gerade die mit neuen Technologien groß gewordene Generation der "Millenials" will auch am Arbeitsplatz nicht auf die Skype-Nutzung verzichten.

Kritisch ist daran vor allem, dass die Skype-Protokolle nicht offengelegt sind. So lassen sich Sicherheitskonzepte und deren Implementierung von der IT-Abteilung nicht überprüfen. Via Skype können sensible Firmendaten nach außen geschleust werden, ohne dass auch nur die Chance einer Kontrolle besteht. Zudem befürchten die CIOs, dass auf diesem Weg die Firewall getunnelt, also die IT-Infrastruktur verwundbar wird. Zum Thema "Skype im Unternehmenseinsatz - Chancen, Risiken und Policy-Empfehlungen" haben Berlecon Research und Fraunhofer ESK (Einrichtung für Systeme der Kommunikationstechnik) gemeinsam einen Report erstellt.

Kommentar

Verlust der totalen Kontrolle

Der Begriff "Wildwuchs" im Zusammenhang mit der IT weckt Assoziationen – zumindest bei denjenigen, die der Millenial-Generation bereits entwachsen sind. Ende der 80er Jahre kursierte er schon einmal unter den CIOs, die damals noch IT-Leiter hießen. Sie charkterisierten damit die "unkontrollierte" Ausbreitung der PCs auf den Schreibtischen der Mitarbeiter.

Viele IT-Chefs führten damals eine Kräfte zehrende, aber am Ende aussichtslose Schlacht für den Zentralrechner und gegen die Computer-Power am Desktop – um schließlich einzusehen, dass die "totale Kontrolle" für immer verloren gegangen war: Der Einzelrechner erschien den Anwendern viel zu attraktiv, als dass er aus den Unternehmen hätte verbannt werden können.

Dasselbe gilt für die mobilen Devices: Vom Topmanagement eingeschleppt, breitet sich der "Blackberry-Virus" rasend schnell in den Unternehmen aus. Kluge CIOs akzeptieren die "Krankheit" als Chance zur Innovation. Sie beschränken ihre "Gegenwehr" darauf, die Symptome einzudämmen, die den Kern der Unternehmens-IT beschädigen könnten. Wie die Berlecon-Geschäftsführerin Nicole Dufft schreibt: Ein paar klare Regeln reichen häufig aus ...

Die Folgen sind fatal: Die IT-Verantwortlichen sehen sich einem Wildwuchs unterschiedlicher Anwendungen und Endgeräte gegenüber, den sie nur schwer kontrollieren oder gar administrieren können. Damit einher gehen teilweise erhebliche Sicherheitsrisiken für die Informationstechnik.

71 Prozent der ITK-Verantwortlichen in deutschen Unternehmen sehen in der unkontrollierten Einführung von Consumer-Technologien durch einzelne Mitarbeiter ein hohes allgemeines Sicherheitsrisiko. Das ergab eine repräsentative Umfrage bei Unternehmen mit mehr als 500 Mitarbeitern, die Berlecon Research kürzlich im Auftrag von Damovo, Decru und Nortel vorgenommen hat. Jeder dritte Umfrageteilnehmer äußerte dabei die Furcht vor konkreten Risiken für das eigene Unternehmen.

Ein verbreitetes Beispiel für den sorglosen Umgang mit Consumer-IT-Produkten ist der Internet-Kommunikationsdienst Skype. In vielen Unternehmen nutzen ihn die Mitarbeiter, ohne dass sie das mit der IT-Abteilung abgestimmt hätten.

Auch mobile Endgeräte sowie Mobile-Mail- oder Synchronisationslösungen finden häufig über die Mitarbeiter den Weg in die Unternehmen. Die Folge ist ein regelrechter Endgeräte-Dschungel, den die Informationstechnik kaum noch im Griff hat. Unter diesen Vorzeichen erscheint das Bemühen, eine zentrale Sicherheits-Policy durchzusetzen, müßig.

Diese Risiken werden durch die Ergebnisse besagter Marktumfrage nur bestätigt: Mehr als 40 Prozent der ITK-Verantwortlichen beurteilen demnach die Nutzung mobiler Endgeräte durch ihre Mitarbeiter als ein konkretes Sicherheitsrisiko für ihr Unternehmen.

Das gilt umso mehr, als Daten, die auf Laptops, Smartphones oder Pocket-PCs durch die Welt getragen werden, leicht in fremde Hände geraten können, wenn das Gerät verloren geht oder gestohlen wird. Nicht einmal jedes zweite Untenehmen verschlüsselt die Daten auf mobilen Endgeräten, auf externen Speichermedien wie USB-Sticks oder Flash-Memory-Cards werden sie nur in jedem vierten codiert.

Strategien und Regeln

Die Konsequenz daraus wäre eigentlich, den Einsatz von mobilen Geräten nur noch zu erlauben, wenn sie vom Unternehmen zentral angeschafft wurden. Damit wäre die unautorisierte Nutzung von Skype & Co im Unternehmenszusammenhang generell verboten. Aber die IT-Fachleute sollten den Wildwuchs keineswegs mit der Axt entfernen. Sie dürfen ihn allerdings auch nicht tolerieren. Konkret heißt das: Sie sollten übergreifende Strategien und Regeln für den Umgang mit Mobility- und Consumer-Lösungen entwickeln.

Ein paar klare Regeln reichen häufig schon aus, um ein ausreichendes Maß an Sicherheit herzustellen. Wie eine geeignete Strategie aussehen könnte, lässt sich am Beispiel Skype demonstrieren: Dazu zählt beispielsweise, dass nur mit bekannten Partnern kommuniziert werden darf und keine Verbindungen automatisch angenommen werden. Selbstverständlich muss der IT-Verantwortliche von dem jeweiligen Mitarbeiter über die Nutzung von Skype informiert werden. Das gibt im die Möglichkeit, die Voraussetzungen für eine Anwendung zu prüfen und gegebenenfalls eine Nutzung in sicherheitskritischen Bereichen zu verhindern.

Hinweis auf Versorgungslücken

Aber die wild wuchernde Einführung von Consumer-Lösungen lässt sich auch durch Präventivmaßnahmen verhindern. Die IT kann ihr vorbeugen, indem sie versucht, die Bedürfnisse ihrer Mitarbeiter kennenzulernen und sensibler darauf zu reagieren.

Mit der eigenständigen Einführung von Anwendungen und Geräten signalisieren die Mitarbeiter ja auch Versorgungslücken hinsichtlich der Informations- und Kommunikationstechnik. Und es ist die Aufgabe des ITK-Managements, diese Lücken zu schließen. Es sollte unternehmensübergreifend Lösungen und Endgeräte zur Verfügung zu stellen, die den Bedürfnissen der Mitarbeiter gerecht werden. Gleichzeitig hat er berechtigte Anforderungen bezüglich Performance sowie Daten- und Investitionssicherheit zu erfüllen. Der Erfolg lohnt die Mühe: Beispielsweise kann die unternehmensweite Einführung einer Mobile-Mail-Plattform und geeigneter Endgeräte dafür sorgen, dass die Mitarbeiter nicht auf eigene Lösungen zurückgreifen müssen, wenn sie unterwegs auf ihre E-Mails zugreifen wollen.

Device-Management ist hilfreich

Auch von der technischen Seite lässt sich die Vielzahl unterschiedlicher Endgeräte in den Griff bekommen: Mit der Hilfe von Device-Management-Systemen können unterschiedliche Endgerätepattformen sicher und produktiv in die Unternehmens-IT integriert werden. Derartige Systeme unterstützen die IT dabei, die genutzten Geräte zu inventarisieren, sie remote zu konfigurieren, neue Software und Patches zu verteilen, vor allem aber die unternehmenseignen Sicherheits-Policies zentral durchzusetzen.

Das alles ist aber nur sinnvoll, wenn die Unternehmen ihre Mitarbeiter mit an Bord nehmen. Die Kollegen sollten einander über die Probleme und Sicherheitsrisiken informieren, die aus der unkontrollierten Einführung mobiler Geräte entstehen, und sich gegenseitig für einen verantwortlichen Umgang mit unternehmenskritischen Daten sensibilisieren. Nur wenn die Mitarbeiter die Risiken kennen, können sie sie verringern oder vermeiden. Sie dürfen sich durch zentrale Regelungen nicht gegängelt fühlen, sondern müssen deren Bedeutung verstehen, um sie auch tatsächlich einzuhalten und nicht zu umgehen.

IT-Sicherheit entsteht nur zum Teil durch technische Schutzmaßnahmen. Ein mindestens ebenso wichtiger Faktor ist ein gesundes Maß an Misstrauen und Wachsamkeit der gesamten Belegschaft. Letztlich sind verantwortungsbewusste Mitarbeiter die beste Firewall eines Unternehmens. (qua)