Interview mit Lars Kroll, Symantec

BYOD-Strategie statt Schockstarre

04. Februar 2014, 06:55 Uhr   |  LANline/Dr. Wilhelm Greiner

BYOD-Strategie statt Schockstarre

Die Bedrohungslage hat sich durch die zunehmende Verbreitung von Mobilgeräten und BYOD (Bring Your Own Device) verschärft, so Symantecs Cyber Security Strategist Lars Kroll im LANline-Interview. Dennoch führe an BYOD kein Weg vorbei, IT-Organisationen müssten mit der neuen Lage produktiv umgehen.

LANline: Herr Kroll, wie stark hat sich eigentlich die Bedrohungslage für Unternehmensnetze durch die Verbreitung aktueller Smart Devices aus der Consumer-Welt tatsächlich verändert?

Lars Kroll: Die Bedrohungslage ist insgesamt in der Tat deutlich dramatischer geworden. Es gibt neue Angriffsvektoren, darunter zum Beispiel spezialisierter Schadcode, der von mobilen Geräten auf das Unternehmensnetz übergreifen kann.

LANline: Ein wesentlicher Bestandteil dieser Entwicklung sind private Endgeräte, die die Mitarbeiter ins Unternehmen mitbringen, also BYOD. Aber lässt sich BYOD denn überhaupt noch aus den Unternehmen fernhalten?

Lars Kroll: Wer heute glaubt, dass man den Einsatz von mobilen Geräten noch reglementieren kann, irrt gewaltig. Es geht hier nicht nur um Smartphones, sondern um einen gesellschaftlichen Wandel in der Kommunikation. Dies hat erst mal nichts mit Technologie zu tun, sondern damit, dass der Mitarbeiter quasi am „Werkstor“ nicht mehr sein Privatleben und seine private Kommunikation  abgeben will – das funktioniert heute in den meisten Fällen nicht mehr. Studien belegen übrigens, dass Mitarbeiter am produktivsten sind, wenn sie auch mal zwischendurch über mobile Geräte interagieren können. Ein Unternehmen darf die technische Seite dabei keinesfalls ignorieren, weil es sonst sein geistiges Eigentum nicht wirksam schützen kann, aber mit einem generellen Verbot ist das Thema nicht erledigt. Denn es geht hier um einen Massentrend mit gesellschaftlichen Wurzeln.

LANline: Wie also sollte die IT-Abteilung reagieren?

Lars Kroll: Der IT-Abteilung stehen im Prinzip zwei Wege offen: den Kopf in den Sand zu stecken oder aber sich als Enabler zu positionieren. Die Technik ist heute zum Glück so weit, dass man offensiv mit dem Thema BYOD umgehen kann.

LANline: Macht es denn aus Security-Sicht – nicht aus Datenschutz- oder Privacy-Sicht – überhaupt einen nennenswerten Unterschied, ob es sich bei mobilen Endgeräten um ein beruflich genutztes Privatgerät oder aber um ein auch privat genutztes Endgerät handelt, das der Arbeitgeber gestellt hat?

Lars Kroll: Da besteht kein wesentlicher Unterschied, aber auf einem unternehmenseigenen Gerät hat die IT-Abteilung in der Regel mehr Möglichkeiten, kontrollierend einzugreifen. Es gilt, zur Wahrung der Informationssicherheit die Entscheidung zu treffen: Wer darf mit welchem Endgerät auf die Kronjuwelen des Unternehmens zugreifen? Dabei darf die IT nicht als „Dr. No“ erscheinen. Umgekehrt darf sie aber auch kein Feindbild kultivieren, dass der Endanwender immer nur die Unternehmenssicherheit untergraben würde.

LANline: Das bedeutet also mehr Vertrauen in die Endanwender, kombiniert mit mehr Security-Schulung?

Lars Kroll: Nicht nur Schulung, sondern Enablement. Ein Großunternehmen kann ein Millionenbudget für die IT-Sicherheitsstrategie haben, aber wenn man das Enablement der Mitarbeiter vergisst, dann ist die Strategie schnell ausgehebelt.

LANline: Welche neuen Risiken entstehen denn konkret durch die aktuelle Generation von Smart Devices, die es nicht früher längst auch schon gab?

Lars Kroll: Ein neuartiges Risiko ist zum Beispiel Schadcode, der zwischen den Welten – den Mobilgeräten und dem Windows-Rechner – zu springen vermag. So ist zum Beispiel Android.Claco ein Schadcode, der von Android auf Windows überspringt, während umgekehrt Trojan.Droidpak Windows-Rechner als Sprungbrett nutzt, um Android-Geräte zu infizieren. Die wenigsten Unternehmen sind sich bewusst: Für eine Gefährdung reicht schon die bloße Verbindung des Privatgeräts mit der Infrastruktur, zum Beispiel über ein simples USB-Ladekabel.

LANline: Apple ist mit IOS 7 den Security-Verantwortlichen in puncto App-Management einen Schritt entgegengekommen, und in der Android-Welt bemühen sich Anbieter wie etwa Samsung mit Knox, mittels Containerisierung eine unternehmenstaugliche, sichere Arbeitsumgebung zu schaffen. Bieten denn IOS 7 und Knox eine ausreichend sichere Basis für den Einsatz von Smart Devices im Unternehmen, oder braucht man nach wie vor zusätzlich eine MDM/MAM-Lösung (Mobile-Device-/Mobile-Application-Management)?

Lars Kroll: Grundsätzlich ist eine Entscheidung für eine aktuelle Plattform wie Apple IOS 7 oder Samsung Knox schon eine solide Basis für eine Absicherung. Oft reichen die Herstellerangebote allein aber nicht aus, etwa wenn es um E-Mail-Verschlüsselung geht. Für die Unternehmenssicherheit sollte man deshalb auch weitere Lösungen in Betracht ziehen, darunter einen separaten sicheren Browser sowie sichere E-Mail- und PIM-Apps (Personal-Information-Management). Zudem muss ein Unternehmen eine MAM-Lösung für das Management der verschiedenen Plattformen heranziehen, da Apple und Co. immer nur die jeweils eigene Plattform im Blick haben.

LANline: BYOD bedeutet aber: Ein Unternehmen kann eben nicht sicherstellen, dass immer nur die neuesten Apple- und Android-Geräte im Einsatz sind. Viele Consumer-Geräte kommen ab Werk mit einer veralteten Android-Version, und ein Upgrade ist gar nicht erst vorgesehen, da der Hersteller sowieso nur einen Lifecycle von ein bis zwei Jahren ansetzt. Wie bekommt die IT-Abteilung BYOD-Risiken durch derlei Altgeräte in den Griff?

Lars Kroll: Es wäre sehr schwer, solche Device mit OS-Schwachstellen verlässlich abzusichern. Hier hilft es nur, den Netzwerkzugang für diese Gerätegruppen einzuschränken.

LANline: Also Network Access Control (NAC) im Zusammenspiel mit Mobile-Device- und Mobile-Application-Management, um nicht richtlinienkonforme Geräte zu erkennen und ihnen je nach Softwarestand automatisch gestaffelte Zugriffsrechte zuzuweisen?

Lars Kroll: Das wäre komplex, aber technisch möglich. Viele Unternehmen stehen jedoch derzeit noch vor viel grundlegeneren Entscheidungen, nämlich wie sie das Thema Mobility und BYOD überhaupt strategisch angehen sollen, welche Richtlinien sie etablieren und wie sie diese umsetzen sollen.

LANline: Was also wäre hier eine praktikable Vorgehensweise?

Lars Kroll: Die Unternehmen müssen klassifizieren, welche Mitarbeiter mit welchen Geräten auf welche Daten Zugriff haben. Hier muss man allerdings pragmatische Entscheidungen treffen, statt alles bis ins letzte Detail akademisch durchzudefinieren. Zum Beispiel haben meist nur die Geschäftsführung, die Entwicklungsleitung und relativ wenige weitere Personen im Management Zugriff auf wirklich unternehmenskritische Daten. Bei diesem Personenkreis muss man eine strenge Richtlinie anwenden, etwa ein Zugriff nur mit einem unternehmenseigenen aktuellen Smartphone und eine verschlüsselte Ablage kritischer Daten. Für die restliche Belegschaft können dann generell entsprechend weniger strenge Richtlinien gelten.

LANline: Was wäre Ihr Rat, wie die IT-Organisationen in den Unternehmen diesen Wandel angehen sollten?

Lars Kroll: IT-Organisationen müssen vor allem aus der „Schockstarre“ herausfinden, mit der viele heute dem Thema BYOD gegenüberstehen. Man muss für eine ordentliche Grundsicherung sorgen, eine passende zentrale Management-Möglichkeit schaffen und die Geräte richtig konfigurieren. Zu dieser Grundsicherung gehört auf jeden Fall ein MDM für unternehmenseigene Devices und unbedingt auch eine Security-Lösung für alle Android-Geräte, für BYOD ist zudem MAM eine absolute Grundvoraussetzung. Auf dieser Basis kann man dann Erfahrungen sammeln und ein Finetuning vornehmen.

LANline: Herr Kroll, vielen Dank für das Gespräch.

Mehr zum Thema:

Consumerization zwingt zur Reaktion

Flexera: Mehr Eigenverantwortung für Endanwender

Kaseya: Das Scheitern von BYOD verhindern

Aruba: Neue BYOD-Strategien gefragt

BT/Cisco: BYOD in die Praxis umsetzen

Matrix42: Traditionelles CLM vor dem Aus

"IT-Organisationen müssen vor allem aus der ,Schockstarre? herausfinden, mit der viele heute dem Thema BYOD gegenüberstehen", so Lars Kroll, Cyber Security Strategist bei Symantec. Bild: Symantec

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

BYOC statt BYOD
Plattformübergreifendes BYOD

Verwandte Artikel

BYOD

Client-Management

EMM