Identity- and Access-Management
IAM als Fundament für BYOD
Bring Your Own Device (BYOD) schafft Mobilität und bringt immense Vorteile mit sich. Es birgt aber auch Risiken und Gefahren, die man nicht außer Acht lassen darf. Richtlinien zur Datensicherung oder zur Sperrung von Zugriffen sind unumgänglich. Für die Umsetzung bildet ein funktionierendes Identity- and Access-Management (IAM) das Fundament für die Durchsetzung der Maßnahmen.BYOD setzen die Mitarbeiter tagtäglich bewusst oder unbewusst ein. Sie greifen mit ihren mobilen Geräten auf verschiedene Arten auf Geschäftsdaten zu (Bild 1): Die Daten und Anwendungen befinden sich lokal auf dem mobilen Gerät. Die Anwendungen sind lokal, die Daten auf dem Geschäfts-Server vorhanden. Die Daten und die Anwendungen sind auf dem Geschäfts-Server verfügbar. Die Daten sind lokal und die Anwendungen sind auf dem Geschäfts-Server, was allerdings eher selten vorkommt. Für ein Unternehmen muss der Einsatz von mobilen Geräten mehr als nur eine Philosophie sein. Dabei spielt es keine Rolle, ob dies mit betriebseigenen Geräten oder als klassisches BYOD und der damit verbundenen Gewährung von externen Zugriffen umgesetzt ist. Für eine eventuelle Vereinfachung der Arbeitsweise und die erlaubte Nutzung verschiedener mobiler Geräte in der IT-Infrastruktur reichen ein paar einfache Richtlinien bei Weitem nicht aus, um dem Mitarbeiter den Zugang zu Unternehmensinformationen zu gewähren. Vielmehr müssen mit klaren Prozessen organisatorische und technische Maßnahmen und vor allem korrekt abgestimmte Zugriffsrechte definiert sein. Die Grenzen für den Einsatz mobiler Geräte müssen klar gezogen sein, um die wertvollen geschäftlichen Informationen zu schützen. Mit BYOD scheint die Verletzung gesetzlicher Regeln und Normen beinahe unvermeidbar - und dies teilweise schwerwiegend. Insbesondere der Datenschutz, das Urheberrecht und das Persönlichkeitsrecht gilt es zu berücksichtigen. Nutzt ein Mitarbeiter private Hilfsmittel für geschäftliche Zwecke, stellt dies ein weiteres Risiko dar. Im Falle eines Datendiebstahls lässt sich die Haftung vielleicht ausschließen, der angeschlagene Ruf ist aber gewiss. Um BYOD richtig einzuführen, sind neben einer Reihe an organisatorischen auch diverse technische Maßnahmen notwendig. In der Kombination bilden sie den Schlüssel zum Erfolg. Organisatorische Maßnahmen Um die organisatorischen Maßnahmen sicherzustellen, gilt es, folgende Fragen zu klären: Für wen ist BYOD bestimmt und welche Benutzergruppe darf mit einem eigenen Gerät auf Firmendaten zugreifen? Auf welche Daten und Informationen dürfen Mitarbeiter von extern zugreifen? Auf welche Daten dürfen sie aus dem Ausland zugreifen? Welche Geräte und welche Betriebssysteme lässt das Unternehmen zu und unterstützt es? Darf der Mitarbeiter Daten auf das lokale Gerät kopieren oder diese nur mit lokalen Anwendungen bearbeiten? Wo oder zu wem darf er ein Gerät zur Reparatur bringen? Dürfen auch Dritte (etwa die Familie) ein privates Gerät nutzen, das für den Zugriff auf Unternehmensdaten zum Einsatz kommt? Wie ist der Umgang mit Lizenzen geregelt? Diese Fragen gilt es, anhand der definierten Richtlinien zu klären. Dabei ist es wichtig, dass diese den Benutzern bekannt sind und eingehalten werden. Organisatorische Maßnahmen werden sinnvollerweise, sofern möglich, technisch unterstützt. Technische Maßnahmen Der einfachste Weg, zumindest aus Sicht des Informationsschutzes, sind virtualisierte Lösungen. Möglich ist jedoch auch, dass der Zugriff mit dem eigenen Gerät per VPN auf die Geschäfts-Server erfolgt. Somit fände die Bearbeitung über einen Terminal-Server oder über eine Virtual-Desktop-Infrastruktur statt. Allerdings wird in diesem Fall eine permanente Online-Verbindung ins Unternehmensnetzwerk benötigt. Dadurch würden aber die meisten Risiken um ein Vielfaches reduziert, da auf dem Gerät keine unternehmenseigenen Daten gespeichert wären. Sobald Informationen lokal auf dem Gerät gespeichert sind, muss zusätzlich zur Zugriffssperre der Datenträger verschlüsselt sein. Zudem ist auch ein Schutz gegen Viren und Malware, analog zum Vergehen auf dem Arbeitsplatzrechner, unverzichtbar. Um Datendiebstahl vorzubeugen, sollten die Informationen jedoch nur in so genannten "Containern" gespeichert sein, die das Unternehmen kontrolliert. Eine weitere technische Maßnahme ist der Einsatz eines Mobile-Device-Managements (MDM). Dies ermöglicht eine zentrale Verwaltung der Geräte, die das Unternehmen so auch inventarisieren und kontrollieren kann. Über diese Systeme kann die IT-Organisation steuern, welche Geräte zu welchem Mitarbeiter gehören und zugelassen sind. Dies ermöglicht es zudem, klar zu definieren, die Nutzung welcher Apps auf dem mobilen Gerät für Unternehmenszwecke erlaubt ist. Diese Apps werden getrennt von den privaten Applikationen ausgeführt und lassen sich separat provisionieren und deprovisionieren. Diese Maßnahme beugt auch dem falschen Lizenzieren oder Nichtlizenzieren der Software vor. Zudem kann die IT-Organisation damit den Zugriff auf alle Services und Daten beim Verlust des Geräts oder beim Austritt des Mitarbeiters aus dem Unternehmen umgehend sperren. Ein Unternehmen muss und kann mit den oben genannten Methoden elegant verhindern, dass Daten über ein privates Gerät den unternehmensseitig kontrollierten "Container" verlassen und der Benutzer sie zum Beispiel auf einen privaten Cloud-Dienst kopiert. Eventuell muss die IT bei geschäftlichen Applikationen, um den Schutz zu erhöhen, zusätzlich noch die Print-Screen-Funktionalität unterbinden. Identity- and Access-Management Diese organisatorischen und technischen Maßnahmen bieten aber nur einen beschränkten Nutzen. Die Vergabe von Berechtigungen ist mit all diesen Systemen und Applikationen ohne ein funktionierendes Identity- and Access-Management nicht mehr zu überblicken. Ohne IAM vergeben Applikationsverantwortliche und Systemadministratoren Berechtigungen meist ohne zentrale Kontrolle. Durch BYOD steigt hier die Komplexität noch weiter an. Der Benutzer ist heute an Einfachheit gewohnt und möchte daher für die verschiedensten Geschäftsanwendungen nicht auf unterschiedliche Benutzerkennungen zurückgreifen, beispielsweise für externen oder internen Zugriff. Bislang reichte es aus, dem Benutzer die korrekten Zugriffsberechtigungen zuzuordnen. Abhängig von der Stellung und Funktion des Mitarbeiters wird definiert, wer wann auf welche Informationen zugreifen darf, all dies natürlich rollenbasiert mit Regelunterstützung. Zusätzlich spielt bei BYOD das Gerät eine zentrale Rolle. Die Herausforderung, den unterschiedlichsten Benutzergruppen (internen Mitarbeitern, externen Mitarbeitern, Kunden und Partnern) den Zugriff auf das Unternehmensnetzwerk über verschiedene Geräte zu gewähren, ist nicht zu unterschätzen. Sind die Geräte nicht eindeutig zugeordnet, birgt dies Risikopotenzial. So würde die Gelegenheit bestehen, mit einem Gerät, das keinem Mitarbeiter zugeordnet ist, auf unternehmenseigene Ressourcen zuzugreifen. Der Arbeitgeber ist und bleibt der Eigentümer der Daten, bei ihm liegt somit auch die Verantwortung für diese. Folglich muss er auch jederzeit die Kontrolle darüber haben. Es muss zu jedem Zeitpunkt nachvollziehbar sein, wer wann über welches Gerät auf welche Informationen Zugriff hat. Ein funktionierendes und skalierbares IAM wird damit immer mehr zum Herzstück der IT-Sicherheit eines Unternehmens. Neben der klassischen Bereitstellung von Rechten muss das Unternehmen je nach Konzept die Applikationen für die Geräte des entsprechenden Benutzers bereitstellen und auch wieder entziehen können. Dies kann wie bisher beim Wechsel der Funktion oder - insbesondere in BYOD-Umgebungen - beim Verlust des Geräts sowie beim Ausscheiden des Mitarbeiters aus dem Unternehmen wichtig sein. Die Kontrolle muss klar beim Unternehmen angesiedelt sein, da zum Beispiel bei der Freistellung eines Mitarbeiters nicht mit dessen Kooperation zu rechnen ist. Zusätzlich ist zu berücksichtigen, dass mobile Zugriffe nicht mit den lokalen Zugriffen innerhalb des Unternehmens gleichgesetzt werden dürfen. BYOD erweitert die bereits komplexe Welt der Identitäten und Rollen um eine weitere Dimension. Erlaubt man den Mitarbeitern den Gebrauch eigener Geräte, Lizenzen oder Cloud-Dienste, müssen die Verantwortlichen parallel dazu sämtliche Berechtigungskonzepte im Unternehmen nochmals überdenken und gegebenenfalls anpassen. IAM-Nutzen für BYOD Ohne einheitliche Benutzer- und Berechtigungsverwaltung lässt sich die Skalierung auf BYOD kaum bewältigen, an eine weitgehend manuelle Administration ist kaum mehr zu denken. Die strukturierte und automatisierte Vergabe von Berechtigungen spart außerdem erheblich Kosten ein. Zudem werden Antragswege komplexer, wenn man "firmenfremde" Hilfsmittel im Unternehmen zulässt. Cloud-Dienstleistungen lassen sich nicht mehr so einfach administrieren, und unbekannte Geräte benötigen gegebenenfalls zuerst eine vertrauenswürdige App für die sichere Kommunikation und Datenhaltung. Nur mit einheitlichen Prozessen, unterstützt von elektronischen Workflows, lassen sich hier die immer komplexeren Abläufe unter Kontrolle halten. Ansonsten droht die Durchlaufzeit der Prozesse zu steigen, statt zu sinken. Hinzu kommt, dass man es teilweise nicht unterlassen kann, diese "firmenfremden" Hilfsmittel zu identifizieren. Man lässt einerseits dem Mitarbeiter die Wahl, was er verwenden möchte. Andererseits interessiert es die Unternehmen, wer denn nun mit eigener Hardware oder Cloud-Diensten arbeitet und um welche Cloud-Dienste es sich dabei handelt. Diese letzten Kontrollmechanismen laufen unter Umständen auf eine Inventarisierung hinaus. Sobald man den Anspruch stellt zu wissen, wer womit arbeitet, ist eine Inventarisierung der genutzten Hilfsmittel unausweichlich. Eine erhöhte Datenqualität lässt sich hier kaum ohne ein IAM-System bewerkstelligen.
Lesen Sie mehr zum Thema
