Herausforderungen durch Bring Your Own Device
Tipps zur BYOD-Sicherheit
Bring Your Own Device (BYOD) gehört vielerorts bereits zum Arbeitsalltag. BYOD verändert vieles, während Fehler erhebliche Kosten und Mühen verursachen können. Deshalb sollte ein Unternehmen systematisch vorgehen und eine Strategie entwickeln.
Die Herausforderungen, die mit BYOD verbunden sind, fallen in fünf Bereiche: Benutzer, Geräte, Apps und Dienste, Infrastruktur und Sicherheit. Für jeden Bereich muss ein Unternehmen die richtigen Fragen stellen, die Antworten analysieren und passende Lösungen entwickeln. Natürlich gilt es, alle fünf Bereiche vor dem Hintergrund der individuellen Unternehmensstrategie, der Prioritäten, der juristischen Anforderungen und der Unternehmenskultur zu betrachten.
Benutzer
Noch mehr als bei anderen IT-Services dreht sich bei BYOD alles um den Benutzer. Die Analyse sollte daher mit folgenden Fragen beginnen:
Wer nutzt BYOD? Wer möchte es gerne nutzen?
Für welche Geschäftsprozesse und -funktionen nutzen die Mitarbeiter BYOD?
Benötigen die Benutzer BYOD nur für E-Mails oder auch für geschäftskritische Anwendungen?
Welche neuen Anwendungsbereiche kommen hinzu?
Mit welchen Daten arbeiten die (potenziellen) BYOD-Benutzer?
Welche Probleme treten bei den Benutzern auf oder könnten auftreten?
Wie technisch versiert sind die einzelnen Benutzergruppen?
Welche Gastbenutzer sind durch die IT zu unterstützen?
Auf dieser Basis lassen sich die Benutzer in Gruppen einteilen, die jeweils unterschiedliche BYOD-Anforderungen haben, etwa Vertriebsmitarbeiter, Mitarbeiter im Support oder leitende Angestellte. Für die Benutzergruppen kann man dann unterschiedliche Prioritäten vergeben, man muss nicht mit einem Mal alle Benutzer und Geräte gleichzeitig unterstützen.
Viele BYOD-Herausforderungen betreffen alle mobilen Geräte, andere beziehen sich nur auf Geräte, die nicht dem Unternehmen gehören. Um beide Arten von Herausforderungen erfolgreich zu meistern, sind folgende Fragen zu stellen:
Welche privaten Geräte und Plattformen sind am weitesten verbreitet?
Welche neuen Geräte möchten die Mitarbeiter nutzen?
Wie sehen die jeweiligen Sicherheits- und Verwaltungsmechanismen dieser Plattformen aus?
Welche Einschränkungen lassen sich durchsetzen?
Was geschieht bei Verlust oder Diebstahl?
Wie häufig kaufen BYOD-Benutzer neue oder zusätzliche Privatgeräte?
Traten bei bestimmten Plattformen oder Gerätetypen spezielle Support-Probleme auf?
Welche Möglichkeiten mobile Geräte bieten, hängt vom Betriebssystem ab. So bietet Apple IOS robuste Profile, die es Unternehmen ermöglichen, Apps per Fernzugriff zu installieren und zu aktualisieren sowie selektiv Apps und Daten zu entfernen. Die Management-Infrastruktur in Android-Geräten ist derzeit noch nicht so weit. Selbst zwischen den einzelnen Versionen der verschiedenen Plattformen variieren die Funktionen, und viele Benutzer haben zudem ältere Geräte. Gerätehersteller gleichen Schwächen der nativen Android-Plattform auch mit eigenen Versionen aus. Samsung erreicht mit SAFE-Geräten zum Beispiel Verwaltungsfunktionen, die nahezu vergleichbar mit den Funktionen bei IOS sind. Basierend auf den Antworten kann ein Unternehmen eine Liste der Plattformen und Geräte zusammenstellen, die es sofort (oder später) unterstützen will. Dabei sollte man sicherstellen, dass die IT-Abteilung auch in der Lage ist, diese Plattformen zu unterstützen. Zudem sind Tools bereitzustellen, mit denen sich Aufgaben effizient erledigen lassen, darunter die Registrierung, Ortung, Remote-Zurücksetzung und Außerbetriebnahme der Geräte.
Apps und Dienste
Wenn es bei BYOD nur um Geräte ginge, wäre die Verwaltung viel einfacher. Aber BYOD umfasst auch eine ganz neue Generation kleiner, downloadbarer Apps. Dazu kommen Cloud-basierte Dienste, über die das Unternehmen keine Kontrolel hat. Folgende Fragen gilt es also zu stellen:
Welche Apps kommen momentan und in Zukunft zum Einsatz (seitens der Benutzer oder des Unternehmens)?
Ist das Unternehmen in der Lage, riskante Apps zu identifizieren und zu sperren?
Welche App Stores benutzen die Mitarbeiter? Kann/sollte dies eingeschränkt werden?
Welche Cloud-basierten Speicherdienste finden Verwendung?
Welche Apps und Aktionen speichern sensible Daten auf Privatgeräten?
Basierend auf den Antworten können Unternehmen gemeinsam mit ihren Benutzern Richtlinien erarbeiten, die für alle praktikabel sind. Es gilt herausfinden, welche Anforderungen an eine Anti-Malware-Lösung bestehen. Außerdem sollte ein Unternehmen eine Ende-zu-Ende-Verschlüsselung der Daten in Betracht ziehen, sowohl an den Speicherorten als auch bei der Übertragung. Abschließend sollte es mögliche MAM-Anforderungen (Mobile-Application-Management) prüfen. Mit MAM-Tools lassen sich unautorisierte App Stores sperren sowie Whitelists und Blacklists für Apps erstellen.
Infrastruktur
Benutzer nehmen die Netzwerk- und Support-Infrastruktur in der Regel gar nicht wahr - es sei denn, es geht etwas schief. Um das zu vermeiden, sollte man folgende Fragen beantworten:
Wie will das Unternehmen den Support für BYOD leisten - mit Vollzeit-IT-Mitarbeitern, speziell abgestellten Mitarbeitern oder über einen Managed Service?
Soll die BYOD-Verwaltung zentral oder dezentral erfolgen?
Ist die verstärkte Nutzung von Videokommunikation, Groupware und anderen Breitbandanwendungen geplant?
Will lässt sich die Einrichtung des WLANs, die Performance-Kontrolle und den Umgang mit häufigen Veränderungen innerhalb des Netzwerks gewährleisten?
Wie kann das Unternehmen bei Bedarf einen sicheren mobilen Zugriff auf interne Systeme bereitstellen - besonders dann, wenn sich Benutzer aus unsicheren Netzwerken wie öffentlichen Hotspots anmelden?
Basierend auf den Antworten kann ein Unternehmen einen Plan entwickeln, um sicherzustellen, dass das WLAN für mehr Geräte, eine stärkere Nutzung und weitere neue Herausforderungen ausgelegt ist. Zum Einsatz kommen könnten eine moderne Application Firewall sowie Echtzeit-Reporting und -Monitoring für das WLAN, um neue Entwicklungen zu erkennen.
Bei der Kapazitätsplanung für das WLAN sollte man über Traffic Shaping nachdenken, um Bandbreite zuweisen und Anwendungen priorisieren zu können. Auch Funktionen zur Freigabe oder Sperrung bestimmter Apps könnten sich eignen, um die Netzwerk-Performance wie auch die Sicherheit zu erhöhen. Es ist sinnvoll festzulegen, um welche Probleme die IT sich kümmern wird und um welche nicht. Dies verhindert, dass sich IT-Mitarbeiter zu lange mit individuellen Problemen der Mitarbeiter aufhalten. Dabei betreffen viele der oben genannten Punkte direkt oder indirekt auch den Bereich Sicherheit.
Sicherheit
Die Sicherheit ist der wohl schwierigste Bereich: Hier ist das Ziel, die bestmögliche Lösung zu finden, denn eine rundum perfekte Lösung gibt es nicht. Folgende Fragen helfen, die optimale Balance zwischen notwendiger Sicherheit und günstigen Arbeitsbedingungen zu erzielen:
Welche Sicherheits- und Compliance-Probleme bei BYOD/mobilen Geräten traten bereits auf (zum Beispiel verloren gegangene Geräte und Datenverlust)?
Wie verhindert die IT-Organisation Malware-Angriffe auf Privatgeräte und wie entfernt sie die Malware im Fall des Falles?
Was wissen die Benutzer über die Sicherheit bei mobilen Geräten und den Datenschutz?
Welche Compliance- und Datenschutzrichtlinien sind einzuhalten?
Trennen die Benutzer private und geschäftliche Daten?
Sind diese Fragen beantwortet, kann ein Unternehmen sein Sicherheitsmodell entwickeln. Zur Gestaltung des Modells sollte ein Unternehmen:
davon ausgehen, dass alle Systeme unsicher sind,
die Aktivitäten der Benutzer auf allen Geräten nachverfolgen, mit denen diese arbeiten,
sich auf die Ende-zu-Ende-Sicherheit der Daten am Speicherort und bei der Übertragung konzentrieren.
Gemeinsam mit der Personalabteilung und juristischen Beratern sollte die Unternehmensleitung Richtlinien erarbeiten, in denen die Bereiche Sicherheit, Datenschutz und Verantwortlichkeiten sowohl für die Unternehmensseite als auch für die Mitarbeiter eindeutig geregelt sind. Mitarbeiter sollte man aktiv über BYOD-Sicherheit aufklären. Um eine breite Akzeptanz zu erreichen, sollte die IT-Organisation deutlich machen, dass die Sicherheitsmaßnahmen auch die Privatsphäre der Mitarbeiter schützen. Nach Möglichkeit kann man Mitarbeitervereinbarungen einführen, mit denen das Unternehmen die Erlaubnis erhält, Sicherheitssoftware auf Privatgeräten zu installieren, die sich mit dem Unternehmensnetzwerk verbinden.
Schulen sollte man insbesondere leitende Angestellte, die vielleicht Ausnahmeregelungen einfordern und dabei Zugriff auf Daten haben, die keinesfalls in falsche Hände gelangen dürfen. Auf technischer Ebene bietet es sich an, über MDM (Mobile-Device-Management) Kontrollmechanismen durchzusetzen, zum Beispiel Passwörter und Sperrmöglichkeiten. Dabei sollte man auch ernsthaft über eine Ausweitung der Ende-zu-Ende-Verschlüsselung nachdenken.
Android-Geräte gehören mit Anti-Malware-Tools geschützt, und mit Richtlinien lässt sich durchsetzen, dass Anti-Malware-Software ausnahmslos genutzt wird. Web Protection kann Verwendung finden, um schädliche Webseiten zu umgehen, deren Schadcode auf Mobilgeräte zielt. Gegebenenfalls lohnt es sich, über die Einführung einer Zwei-Faktor-Authentifizierung nachzudenken. Zudem sollte die Möglichkeit bestehen, Daten auf verloren gegangenen oder gestohlenen Geräten per Fernzugriff zu löschen. Außerdem sollte das Unternehmen genau planen, wie es die Kompetenzen der IT-Abteilung so erweitert, dass sie die neuen Prozesse betreuen kann.
Lesen Sie mehr zum Thema
