BYOD (Bring Your Own Device) ist ein aller Munde. Und wie bei jedem Hype-Thema versuchen unzählige Anbieter, sich als diejenigen zu positionieren, die alle Probleme lösen. In der Realität geht es aber darum, die IT-Infrastruktur insgesamt fit für die Herausforderungen der Zukunft zu machen. Dabei spielt das IAM (Identity- und Access-Management) eine wichtige Rolle.Wenn von BYOD die Rede ist, denken viele zunächst an das Management mobiler Endgeräte. Dies ist zwar die aktuelle Herausforderung, aber bei mobilen Endgeräten geht es keineswegs immer um das private Device des Anwenders, sondern oft um ein Firmengerät, auch als COD (Corporate Owned Device) oder COPE (Corporate Owned, Personally Enabled) bezeichnet. Tatsächlich ist das Thema aber noch deutlich größer. Denn neben den mobilen Geräten ist der Zugriff mit „eigene Devices“, die nicht in die Kategorie mobiler Endgeräte im Sinne von Smartphones und Tablets fallen, in vielen Unternehmen schon längst Realität. Mitarbeiter, die mit eigenen Notebooks oder PCs im Home Office arbeiten, der Abruf von E-Mails von einem Rechner im Hotel-Foyer oder im Internet-Café, die Einbindung von Notebooks von externen Mitarbeitern oder Wirtschaftsprüfern in das unternehmensinterne Netzwerk: Dies alles sind Beispiele für BYOD.
Von Bedeutung ist es daher, das Thema BYOD nicht auf das Management mobiler Endgeräte einzuschränken. Dies führt nur zu isolierten Punktlösungen, die aber viele der Herausforderungen von Unternehmen gar nicht adressieren.
 
Cloud, Mobile, Social Computing
Die Herausforderung für Unternehmen ist eben nicht nur, Mitarbeitern die Nutzung eigener Smartphones und Tablets zu erlauben. Es geht darum, dass unterschiedlichste Gruppen von Benutzern auf Systeme und Informationen des Unternehmens zugreifen wollen und es gilt, die damit verbundenen Risiken zu beherrschen. Dazu gehören unterschiedlichste Gruppen von Systemen – vom klassischen Desktop-PC über den Notebook bis hin zu Smartphones, Tablets, Convertibles und Geräten, die es heute noch nicht einmal gibt und die in den nächsten Jahren auf den Markt kommen werden. Das – etwas eng gefasste – Schlagwort lautet „Mobile Computing“.
Es geht aber auch um immer mehr Benutzergruppen, die Zugriff benötigen. Auch hier ist das gängige Schlagwort „Social Computing“ etwas eng gefasst, weil es eben nicht nur um soziale Netzwerke und neue Formen der Zusammenarbeit geht, sondern ganz generell um das erweiterte Unternehmen („Extended Enterprise“), in dem man viel enger mit mehr Partnern und insbesondere auch mit Kunden zusammenarbeitet. Die „Identity Explosion“ führt dazu, dass man mit ungleich mehr Identitäten arbeiten und deren Zugriffe managen muss. All die Personen hinter diesen digitalen Identitäten nutzen natürlich unterschiedlichste Endgeräte. Hinzu kommt, dass die Anwendungen und Informationen nicht mehr unbedingt im Rechenzentrum der Unternehmen liegen, sondern sich irgendwo in der Cloud befinden können. Auch das Cloud Computing hat also Einfluss auf diese Gesamtbetrachtung.
Man könnte zudem so genannte „Smart Infrastructures“ und Themen wie das mit dem Internet verbundene Fahrzeug („Connected Vehicle“) in die Betrachtung aufnehmen – auch hier handelt es sich um neue Systeme, die Zugriff auf unternehmensinterne Systeme und Informationen benötigen können. Die eigentliche Herausforderung der Informationssicherheit ist es, in diesem Spannungsfeld von mehr Benutzern, immer mehr und unterschiedlicheren Geräten und einer größeren Vielfalt von Deployment-Modellen dennoch die Sicherheit von Systemen und Informationen zu gewährleisten.
Es ist offensichtlich, dass dieses Thema größer ist als BYOD – aber BYOD spielt dabei eine Rolle, weil nun der Zugriff auf Systeme und Informationen häufig von weniger sicheren Geräten aus erfolgt. Es geht um die Frage, wie man eine adäquate Sicherheit erreichen kann, was bedeutet, dass man Geräte sicherer machen muss oder nicht alle Zugriffe von allen Geräten aus erlauben darf. Der Versuch, die Herausforderung BYOD allein mit fokussierten Lösungen zu adressieren, kann einen Nutzen in einem Gesamtkonzept bringen. Allerdings sollte man sich immer im Klaren darüber sein, dass spezialisierte Lösungen für die mobile Sicherheit nur einen kleinen Teilaspekt der eigentlichen Herausforderung der Unternehmen abdecken.
 
MDM in der Wirkung begrenzt
Hinzu kommt, dass gerade die prominenteste Produktkategorie im Bereich mobiler Sicherheit per se in ihrem Wirkungskreis limitiert ist: MDM (Mobile-Device-Management) betrachtet nur die mobilen Endgeräte und ist dabei in einem ständigen Wettlauf mit den Neuerungen bei Herstellern. Wer den Markt für mobile Endgeräte beobachtet, weiß, dass es hier schnell zu fundamentalen Änderungen kommen kann. So berichtete beispielsweise das Wall Street Journal unlängst, dass Apple seine Bestellungen bei Iphone-Zulieferern massiv reduziert hat, während Samsung deutlich mehr verkauft. Auch die Verkäufe von Smartphones mit Windows Phone 8 waren dem Vernehmen nach im Weihnachtsgeschäft gut. Welche Plattform und Konzepte aber in zwei oder drei Jahren dominant sein werden, weiß heute niemand – dafür ist der Markt zu schnelllebig. Damit ist ein Anwender von MDM-Lösungen aber immer in der Gefahr, dass seine Software den nächsten Hype bei Smartphones oder Tablets nicht rechtzeitig unterstützt und BYOD dann eben nicht funktioniert.
MDM kann ergänzenden Nutzen bieten. Es löst aber die grundsätzlichen Probleme von BYOD nicht, ganz zu schweigen vom größeren Kontext der neuen Herausforderungen an die Informationssicherheit. Der wichtigste Schritt für Unternehmen ist es, diese Änderungen zu verstehen und ihre gesamte Strategie im Bereich der Informationssicherheit darauf auszurichten. Dann lässt sich auch der Nutzen von Punktlösungen wie MDM bewerten.
 
Informationssicherheit im Kontext
Die wohl wichtigste Technik in diesem Kontext ist aber nicht MDM, sondern das, was man heute meist als „Versatile Authentication“ (vielseitige Authenfizifierung) bezeichnet, hier insbesondere die Ansätze für eine risiko- und kontextbasierende Authentifizierung und Autorisierung. Ziel der Versatile Authentication ist es, unterschiedliche Authentifizierungsmechanismen flexibel nutzen zu können. Es geht also quasi um eine Authentifizierungs-Middleware, bei der eine IT-Organisation unterschiedlichste Verfahren von Social Logins über klassische Benutzername-/Kennwort-Authentifizierung und OTP (One-Time Passwords) mit Soft Tokens und Hard Tokens oder auch biometrische Verfahren einbinden kann. Solche Plattformen unterstützen auch die flexible Kombination von Authentifizierungsverfahren und Ansätze wie die Step-up-Authentifizierung, bei der je nach Bedarf zusätzliche Authentifizierungsinformationen oder -verfahren angefordert werden.
Die risiko- und kontextbasierende Authentifizierung und Autorisierung nutzt solche Ansätze, um die Authentifizierungs- und Autorisierungsentscheidungen basierend auf dem Risiko der Systeme, Informationen und Transaktionen auf der einen Seite und dem Kontext des Zugriffs auf der anderen Seite durchführen zu können. Zu diesem Kontext gehören beispielsweise die Authentifizierungsstärke, das verwendete Gerät, der Standort oder Anzeichen für Betrug. Letzteres wäre beispielsweise der Fall, wenn es vor wenigen Minuten einen Zugriff von einer deutschen IP-Adresse gegeben hat und das gleiche Gerät auf einmal mit einer in China lokalisierten IP-Adresse zugreift. Auch Informationen über den „Gesundheitsstatus“ des Systems, etwa die Aktualität von Antivirus-/Anti-Malware-Software, können hier Verwendung finden. Mit solchen Verfahren lässt sich das Thema BYOD in seiner gesamten Breite adressieren, weil es nicht um die Steuerung einer bestimmten Geräteplattform geht, sondern um die Entscheidung, welche Zugriffe von welchen Geräten welcher Benutzer aus erfolgen dürfen.
 
Smartphones und Tablets
Ein anderer Punkt, den es im BYOD-Kontext zu beachten gilt und bei dem IAM ins Spiel kommt, ist die Authentifizierung bei Smartphones und Tablets. Das Kernproblem besteht hier darin, dass viele Plattformen wie IOS und Android kein Konzept von Benutzern kennen, sondern nur das Gerät – ganz abgesehen von der Frage, welche Informationen bei schwieriger Nachvollziehbarkeit eigentlich an Dritte weitergegeben werden. Es gibt damit zunächst eigentlich nur eine Geräteidentität und keine Benutzeridentität. Die Unterstützung stärkerer Authentifizierungsmechanismen fehlt hier als Standardfunktion. Letztlich hat man mit einem erheblichen Teil der heute verfügbaren Smartphones und Tablets Endgeräte, deren Sicherheitsniveau gerade mal jenes der ersten PCs mit Netzwerkkarten aus den 1980er-Jahren entspricht – allerdings ist die Leistungsfähigkeit erheblich höher, zudem sind Vernetzung und Mobilität ungleich größer.
Unternehmen müssen sich hier die Frage stellen, wie sie das in den Griff bekommen können. Das ist eine Frage, die insbesondere bei den Themen COD/COPE, also vom Unternehmen bereitgestellten Geräten, durchaus kontrollierbar ist. Will man die höheren Risiken und die kaum lösbaren Herausforderungen der Integration dieser Geräte mit zentralen Zugriffs-Management- und Verschlüsselungskonzepten in Kauf nehmen oder fokussiert man eher auf Plattformen, die sich hier besser eignen? Will man beispielsweise eine zertifikatsbasierende Authentifizierung für Benutzer und Geräte auf heute gängigen Plattformen realisieren, stößt man schnell an kaum oder nur teuer überwindbare Grenzen. Immerhin bietet Windows 8 hier einen Ausweg – auch nicht ohne Schwachstellen, aber mit Blick auf Themen wie die Sicherheit und den Umgang mit Identitäten doch sehr viel eher auf dem Niveau, das die Unternehmens-IT benötigt. Eine rationale TCO-Betrachtung mag hier ein durchaus interessantes Bild liefern.
 
Problemfall Consumer Devices
Die eigentliche Herausforderung liegt heute schlicht darin, dass man versucht, mit für Privatleute konzipierten Endgeräten („Consumer Devices“) eine Enterprise-IT zu betreiben. Dieser Widerspruch ist nur schwer und teuer lösbar – oder setzt voraus, dass man entweder erhebliche Risiken für die Informationssicherheit in Kauf nimmt oder Zugriffe über eine risiko- und kontextbasierende Authentifizierung stärker einschränkt, als es beim BYOD-Gedanken eigentlich erwünscht ist.
Dies bedeutet nun nicht, dass ein Unternehmen BYOD oder COPE nicht in der einen oder anderen Form betreiben kann. Es muss sich aber sowohl über die Grenzen als auch über die Gesamtherausforderung im Klaren sein, um die richtigen Lösungen auswählen zu können. Der kaum noch überschaubare MDM-Markt ist von vielen Herstellern geprägt. Da es eben nicht nur um Smartphones und Tablets geht, sollte der Blick sich auf Anbieter richten, die alle Gerätetypen managen können. Einzelne MDM-Anbieter wie Mobileiron gehen diesen Weg, während etablierte Anbieter im Client-Lifecycle-Management-Markt wie Brainware, IBM oder Novell den umgekehrten Weg gehen und ihre Plattformen für eine breite Unterstützung mobiler Endgeräte erweitern.
Im Markt für die risiko- und kontextbasierende Authentifizierung finden sich inzwischen einige der großen Softwarehäuser wie CA und Oracle, die leistungsfähige Lösungen anbieten. Auch RSA Security ist einer von vielen erwähnenswerten Herstellern von Gesamtlösungen.

Bild 2. Risiko- und kontextbasierende Authentifizierung und Autorisierung beziehen den Kontext und die Informationsrisiken in die Zugriffsentscheidung ein. Bild: Kuppinger Cole

Bild 1. Der Einfluss der „Computing Troika“ (Cloud, Mobile, Social Computing) auf Ansätze für die Informationssicherheit. Bild: Kuppinger Cole

LANline.