Bring Your Own (Wearable) Device
Die Risiken von BYOD bewältigen
Während manch ein IT-Leiter noch hoffen mag, dass BYOD (Bring Your Own Device) wieder verschwindet, prophezeien Marktkenner, das Thema werde Bestand haben. Denn bei BYOD geht es nicht nur um das bloße Mitbringen von Privatgeräten ins Unternehmen, sondern um einen Kulturwandel: Das private "Always on"-Sein trifft auf die Arbeitswelt. Die IT ist deshalb gefordert, sich den Risiken von BYOD zu stellen - während mit Wearables bereits die nächste Gadget-Welle heranrollt.Jeder IT- oder Sicherheitsverantwortliche kann Beispiele für Szenarien nennen, in denen man gar nicht anders könnte, als die Nutzung privater oder generell mobiler Endgeräte strikt zu untersagen. So ist in manch einem Produktionsareal etwa in der Automobilbranche das Tragen eines Handys ohne versiegelte Kamera ein Kündigungsgrund - schließlich sollen keine Fotos geheimer Prototypen nach außen dringen. Und für streng vertrauliche Unterredungen empfiehlt es sich - wie dank des NSA-Skandals inzwischen allgemein bekannt - ohnehin, die Smartphones nicht nur auszuschalten, sondern am besten gleich außerhalb des Konferenzraums zu deponieren. Viele Mitarbeiter eines Unternehmens sind allerdings an weit wenig kritischer Stelle tätig: Weder sind sie an der Konstruktion von "Erlkönigen" beteiligt, noch kommen sie jemals in den Genuss, mit dem Chef Merger und Akquisitionen zu diskutieren. Vielmehr sind sie im Vertrieb, in der Verwaltung oder auch im Marketing beschäftigt. Bei dieser Masse der Arbeitnehmer gehört es immer mehr zum Alltag, ständig online zu sein, ein Mobilgerät (oder mehrere) stets bei sich zu tragen und damit jederzeit im Kontakt mit dem privaten wie auch beruflichen Umfeld zu stehen - per Facebook, Twitter, Instagram, Whatsapp, E-Mail und eine Vielzahl weiterer spezialisierter Apps (zu denen auch eine sprachbasierte namens "Telefonie" zählt). Für diese Mitarbeiter - insbesondere für die Vertreter der Generation "Gibt?s denn da keine App für?" - ist das Smartphone oder sonstige Smart Device nicht einfach ein technisches Hilfsmittel, sondern ein integraler Bestandteil ihrer Lebensweise, mitunter sogar ihres Selbstverständnisses: die Erweiterung des Ichs mit Hilfe der IT. Die Anweisung, das smarte Gerätchen im Unternehmen auszuschalten, muss ihnen als Anachronismus erscheinen, vergleichbar einem: "Nein, Telefon haben wir nicht, aber unten an der Straßenecke ist eine Telefonzelle." Das Private ist das Berufliche Den Hintergrund hierzu liefert ein weiterer gesellschaftlicher Trend: Die Grenze zwischen Privat- und Arbeitsleben verwischt zusehends - man denke an Home Offices, die "Car Allowance" für die Nutzung eines Privat- statt eines Firmenwagens oder auch an Mitmenschen, die beim Abendessen "nur noch mal schnell die Mail von diesem wichtigen Kunden checken - dauert höchstens eine Minute!" In diesem Kontext ist es nachvollziehbar, dass immer mehr Mitarbeiter geradezu selbstverständlich voraussetzen, das private Smart Device auch beruflich verwenden zu können - im Unternehmensnetz ebenso wie unterwegs. Diese Entwicklung - von US-amerikanischen Marketiers mit dem unhandlichen Begriff BYOD belegt - setzt sich nach und nach durch, wie in diversen Studien nachzulesen ist. So berichtete zum Beispiel knapp die Hälfte (48 Prozent) der 2.000 Unternehmensmitarbeiter, die das Marktforschungshaus Vanson Bourne im Auftrag von BT und Cisco für die Studie "Beyond Your Device" (Juni 2013) befragt hatte, ihr Privatgerät im Unternehmen nutzen zu dürfen (siehe Link). Die Studie enthält weitere interessante Zahlen: Der BYOD-Einsatz sei in UK auf 32 Prozent gesunken, in Indien aber auf 71 Prozent und in China gar auf 88 Prozent gestiegen. Von den befragten Mitarbeitern, die kein BYOD nutzen dürfen, antworteten 46 Prozent, sie würden gern ihr Privatgerät verwenden. In 46 Prozent der deutschen Unternehmen existieren laut der Umfrage formelle BYOD-Vorgaben (zum Vergleich: In den USA sind es sogar 49, in Frankreich nur 25 Prozent). International gaben 24 Prozent an, im eigenen Unternehmen werde BYOD aktiv gefördert, einschließlich zentralem Management und Support von Privatgeräten. "Wer heute glaubt, dass man den Einsatz von mobilen Geräten noch reglementieren kann, irrt gewaltig. Es geht hier nicht nur um Smartphones, sondern um einen gesellschaftlichen Wandel in der Kommunikation", meint auch Lars Kroll, Cyber Security Strategist bei Symantec. "Ein Unternehmen darf die technische Seite dabei keinesfalls ignorieren, weil es sonst sein geistiges Eigentum nicht wirksam schützen kann, aber mit einem generellen Verbot ist das Thema nicht erledigt. Denn es geht hier um einen Massentrend mit gesellschaftlichen Wurzeln." Schockstarre überwinden "IT-Organisationen müssen vor allem aus der ,Schockstarre? herausfinden, mit der viele heute dem Thema BYOD gegenüberstehen", so der Security-Fachmann weiter. "Man muss für eine ordentliche Grundsicherung sorgen, eine passende zentrale Management-Möglichkeit schaffen und die Geräte richtig konfigurieren." Zu dieser Grundsicherung gehöre MDM (Mobile-Device-Management) für unternehmenseigene Geräte, eine Security-Lösung für Android-Geräte sowie MAM (Mobile-Application-Management) für BYOD-Szenarien. "Auf dieser Basis", so Kroll, "kann man dann Erfahrungen sammeln und ein Finetuning vornehmen." Die Verbreitung der Personal Devices birgt natürlich eine Vielzahl neuer Risiken - ähnlich der Lage, als einst Personal Computer die Unternehmensnetze eroberten. "Ein neuartiges Risiko ist zum Beispiel Schadcode, der zwischen den Welten - den Mobilgeräten und dem Windows-Rechner - zu springen vermag", erläutert Lars Kroll. "So ist zum Beispiel Android.Claco ein Schadcode, der von Android auf Windows überspringt, während umgekehrt Trojan.Droidpak Windows-Rechner als Sprungbrett nutzt, um Android-Geräte zu infizieren. Die wenigsten Unternehmen sind sich bewusst: Für eine Gefährdung reicht schon die bloße Verbindung des Privatgeräts mit der Infrastruktur, zum Beispiel über ein simples USB-Ladekabel." "Weitere Risiken treten durch vorsätzliches Modifizieren der mobilen Endgeräte durch ,Jailbreak? und ,Rooten? auf", ergänzt Falko Binder, Manager Systems Engineering bei Cisco. "Da dies durch MDM-Lösungen erkannt und der Zugang zu unternehmenskritischen Daten unterbunden wird, zeichnet sich am Markt eine vermehrte Integration dieser Lösungen ab." Zudem beobachte man bei Cisco, dass Geschäftsdaten mittels Virtual-Desktop-Software im Unternehmen bleiben, während private Daten weiterhin auf dem Endgerät vorgehalten werden. "Darüber hinaus sehen wir Entwicklungstendenzen wie eine Makro-Virtualisierung und Verschlüsselung der Datenübertragung bis auf Applikationsebene", so Cisco-Mann Binder. Anweisung von oben Laut Boris Lamping, Manager EMEA Sales Engineering bei Good Technology, kommt der Wunsch nach BYOD häufig aus den Chefetagen. Damit sei es für die IT-Organisation sehr schwer, BYOD pauschal abzublocken, solange der Security-Beauftragte nicht zwingende Gründe vorweisen könne. Erschwerend kommt hinzu, dass der in Unternehmen häufig diskutierte Alternativweg - die Bereitstellung moderner Devices durch den Arbeitgeber, CYOD oder Choose Your Own Device genannt - nach Einschätzung von Cisco-Manager Binder im Vergleich zu BYOD keine wesentlich besseren Security-Aussichten bietet: "Bei einer sicheren Integration mobiler Endgeräte in die Firmeninfrastruktur besteht kein Unterschied zwischen BYOD- und CYOD-Szenarien. Eine ganzheitliche Lösung bestehend aus Mobile-Device-Management und Policy-basierter Zugangskontrolle ist in beiden Szenarien unabdingbar." "MDM allein ist hier kein differenzierender Faktor", betont Dr. Kai Höhmann, Vorstand bei Seven Principles, mit Blick auf die äußerst vielfältige MDM-Anbieterlandschaft. Vielmehr gehe es um eine geschäftsprozessorientierte, sichere Kombination von Mobile-Device-, Mobile-Application- und Mobile-Content-Management (MDM, MAM, MCM) - eine Kombination, die derzeit unter dem Kürzel "EMM" (Enterprise-Mobility-Management) gehandelt wird, häufig ergänzt um Mobile-Security-Management und zentral bereitgestellte Business-Apps für sichere E-Mails und mehr. Die Vermischung von Privat- und Berufswelt ("Consumerization") sei hier die treibende Kraft: "Die Privatkundenwelt zeigt der Geschäftskundenwelt, wo die Reise hingehen muss", erklärt Höhmann. So findet man die in der Consumer-Welt so beliebten und meist an Cloud-Services gekoppelten Apps heute immer öfter in Form von Enterprise App Stores auch in der Unternehmenswelt. Cloud-Services und Apps können dabei allerdings nicht nur ein Risiko, sondern auch ein Hilfsmittel sein, merkt Michael Rudrich, Regional Sales Director Central Europe bei Websense, an: "Anti-Malware-Services aus der Cloud bieten den Vorteil, dass Schadcode gar nicht erst auf das mobile Endgerät und damit ins Unternehmensnetz gelangt, da die Inhalte bereits beim Zugriff in Echtzeit gescannt werden." Dies, so Rudrich mit Blick auf den hauseigenen Service Triton Mobile Security, entlaste die Unternehmens-IT ebenso wie den Endanwender. Wichtig sei es, dass die IT-Organisation als "Enabler" und nicht nur als Mahner oder gar als "Verhinderer" der gewünschten mobilen Arbeitsweisen dastehe. Tragbar, tragbarer, am tragbarsten Während das Gros der IT-Organisationen noch am Rollenwandel zum "Enabler" unternehmenstauglicher Smartphone- und Tablet-Nutzung arbeitet, bringt sich heimlich bereits die nächste Generation smarter Gadgets in Stellung, der IT das Leben schwer zu machen: Ein Trendphänomen auf der Consumer Electronics Show (CES) in Las Vegas war eine Fülle so genannter Wearables (deutsch: "die Tragbaren"). "Tragbar" sind Client-Geräte schon seit der Erfindung des Notebooks - gemeint sind hier hingegen Kleinstrechnerchen, die direkt am Körper getragen werden. In diese Kategorie fallen Devices wie Googles Always-on-Monokel namens Glass ebenso wie die diversen Smartwatches und eine schnell wachsende Fülle von Armbändern, Kleidungsstücken oder auch Schmuck, die vorrangig der Kontrolle und/oder Optimierung des persönlichen Gesundheitszustands dienen: Pulsmesser, Schritt- und Stufenzähler, Vor-zuviel-UV-Strahlen-Warner und vielerlei mehr. Sobald diese Wearables über den Umweg des nächsten Fitness-Hypes oder eines ähnlichen Consumer-Trends flächendeckende Verbreitung gefunden haben, werden die Endanwender mit derlei Armbändern, Uhren etc. im Unternehmen auftauchen - und diese Geräte selbstverständlich weiternutzen wollen. Ein Schrittzähler zum Beispiel ist schließlich nur dann aussagekräftig, wenn er die durchschrittene Entfernung ganztags misst - nicht nur außerhalb des Unternehmensgeländes. Und da solche Geräte ständig online sind (derzeit meist via Smartphone-Anbindung, in Bälde sicher auch mit eigener CPU und Online-Connectivity), funken sie potenziell ununterbrochen personenbezogene Daten an irgendeinen Cloud-Dienst. Diese Daten, per Big-Data-Analyse fix ausgewertet, geben dann nicht nur darüber Aufschluss, wo sich der fitnessbegeisterte Manager gerade aufhält (bei einem neuen Lieferanten oder potenziellen Kunden?), sondern auch über sein Bewegungsprofil, seinen Puls, Kalorienverbrauch und vieles mehr - Gadgets wie Glass mit eingebauter Kamera noch gar nicht mitgerechnet. Endanwender mit Fitness-Wearables werden also wohl bald wesentlich mehr Informationen über sich freiwillig in die Cloud pumpen, als alle Geheimdienste dieser Welt je abgreifen wollten. "Im Zuge des zunehmenden BYOD-Trends sind künftig mit Sicherheit auch Wearable-Geräte wie Smartwatches oder Datenbrillen von der Unternehmens-IT zu berücksichtigen", kommentiert Margreet Fortuné, Regional Manager DACH, Benelux and Eastern Europe bei Absolute Software. Die steigende Heterogenität von Endgeräten und Betriebssystemen mache es erforderlich, dass eine Mobility-Strategie nicht nur MDM beinhaltet, sondern vor allem auch Mobile-Application-, Content-, Security-, Change- und Configuration-Management. "In jedem Fall sollte ein CIO klar Stellung zu der Verwendung dieser Geräte beziehen und verständliche Richtlinien einführen", ergänzt Dr. Kai Höhmann von Seven Principles. "Diese können durchaus offen gestaltet sein: Ein Arbeitgeber hat schließlich ein Interesse daran, wenn Mitarbeiter ihre Produktivität erhöhen oder mittels Fitness-Armbändern gesünder leben möchten. Wichtig ist aber ein aktives Management dieses Trends und keine passive Reaktion, die erst erfolgt, wenn Mitarbeiter bereits Smart Gadgets in die Unternehmens-IT einbinden wollen." Ein kleiner Lichtblick aus IT-Sicht: Nicht jedes neue Miniatur-Gadget kommt aus der Consumer-Welt. So bietet zum Beispiel Dell mit Wyse Cloud Connect ein innovatives, nur ungefähr USB-Stick-großes Client-Device. Mit ihm lässt sich unterwegs ein virtualisierter Desktop flexibel bereitstellen, ist doch der Stick dank HDMI-Stecker und Bluetooth-Support schnell mit jedem handelsüblichen Display sowie mit Bluetooth-Tastatur und -Maus verbunden. Cloud Connect "schließt die Lücke zwischen Thin Client und Smart Device", so Hagen Dommershausen, Marketing Sr. Manager, Central and Eastern Europe bei Dell Cloud Client Computing. Der HDMI-Stick biete damit einen sicheren mobilen Zugang zu einer Desktop-Umgebung "für die Hosentasche". Vom Großrechner zum Gadget IT-Organisationen haben mit mehreren Trends gleichzeitig zu kämpfen, die bewährte Security-Konzepte unterminieren: Consumerization, Always-on-Mobilität und vor allem eine rasant fortschreitende Miniaturisierung der IT. Die Folge dieser Miniaturisierung sind immer mehr verschiedene und immer kleinere Gadgets. Von den ersten beiden Gadget-Wellen - den Smartphones und den Tablets - wurden viele IT-Abteilungen mehr oder weniger überrollt. Die IT-Organisationen sollten sich deshalb am besten heute schon Gedanken machen, wie sie mit der nächsten Welle - den Wearables - umgehen wollen. Wearables können für das Unternehmen schon dieses Jahr relevant werden oder vielleicht erst 2015. Aber hat nicht der Vertriebsleiter, der letztes Jahr unbedingt sein Ipad ins Unternehmensnetz integriert sehen wollte, neulich erwähnt, er müsse künftig mehr auf seine schlanke Linie achten??
Lesen Sie mehr zum Thema
