Welche Hardware spielt mit?
Die Sicherheit solcher Lösungen hängt auch hier stark von der verwendeten Hardware, dem Betriebssystem und den Apps selbst ab. Dies führt dazu, dass die Apple-Geräte (iPhones und iPads) der letzten Jahre weitaus beliebter bei Firmen sind als Geräte auf Basis von Googles Android. Die Android-Geräte verfügen - abgesehen von den neuesten Geräten von Google - selbst meist nicht über offene Verschlüsselungskomponenten in der Hardware, werden mit veralteten Betriebssystemen ohne Update-Möglichkeit ausgeliefert und die offene Strategie von Google in Bezug auf den PlayStore hat zu einem massiven Malware-Problem geführt. Blackberrys spielen in diesem Kontext meist keine Rolle, da sie nur selten privat beschafft werden. Geräte auf Basis von Microsofts Windows Phone 8 sind noch selten, aber durchaus im Kommen.
Als Alternative oder Ergänzung zu den mitgelieferten Apps setzen einige Unternehmen auf spezielle Sicherheitslösungen, die einen eigenen verschlüsselten Container für Office-Dokumente oder auch für Firmen-Mails, Kontakte und Kalender mitbringen. Gerade bei Mail-Attachments lässt sich so besser steuern, in welchen anderen Apps die möglicherweise vertraulichen Firmen-Dokumente geöffnet werden können. Wenn nicht nur Attachments in solchen Containern gespeichert werden, sondern auch die Mails, Kontakte und Kalender des Unternehmens, dann hat diese Separierung von privaten und geschäftlichen Daten auch einen deutlichen Nachteil in der Bedienbarkeit. Der Anwender muss immer wieder entscheiden, ob er in die nativen Apps für private Kontakte oder Mails oder in die Container-App gehen muss. Der Sicherheitsgewinn ist dabei nicht so hoch wie er zunächst erscheint, denn auf einem kompromittierten Endgerät kann Malware durchaus auch die Daten aus solchen Containern auslesen.
- Was bei ByoD zu bedenken ist
Frank Nittka, CIO des Filterherstellers Brita, beschäftigt sich derzeit intensiv mit dem Gedanken an eine Tablet-Lösung für das Topmanagement und die mobilen Mitarbeiter. Mit folgenden Fragen muss er sich dabei auseinandersetzen: - Punkt 1:
Wie hoch ist der Wartungs- und Verwaltungsaufwand, den die IT für die Geräte leisten muss? - Punkt 3:
Wie hoch sind die zu erwartenden Verbindungskosten – vor allem mit dem Ausland? - Punkt 4:
Wie lassen sich private und berufliche Daten auf den Tablets trennen? - Punkt 5:
Und wie sind Bezahltransaktionen für Downloads im Detail handhabbar?
Zentrale Verwaltung
Auf Seite der Firmen-Infrastruktur ist auch einiges zu tun, um Smartphones und Tablets sicher zu integrieren. Die erste Anforderung ist typischerweise eine zentrale Managementlösung für mobile Endgeräte. Solche MDM-Lösungen (Mobile Device Management) ermöglichen es, Konfigurationseinstellungen, beispielsweise für den Mail-Zugriff oder die erforderliche Passwortkomplexität zentral zu definieren und in Profilen per Funk auf die verwalteten Geräte zu verteilen. Ohne eine MDM-Lösung ist der Betrieb von mehr als 50 Geräten schlichtweg zu unflexibel und zu umständlich. Die marktüblichen MDM-Produkte unterscheiden sich dabei in den Grundfunktionen kaum, da diese von den Herstellern der Endgeräte durch die Management-Schnittstellen vorgegeben sind.
Neben einer MDM-Lösung werden auch Zertifikate für die Integration mobiler Endgeräte immer wichtiger. Für die Authentisierung bei der Mailzustellung beispielsweise ist es sinnvoll, dies nicht mit einem Domänenpasswort, sondern mit einem Zertifikat zu lösen. Auch beim Zugriff auf Unternehmensapplikationen über einen Web-Browser drängt sich eine SSL-Verschlüsselung und Authentisierung mit Client-Zertifikaten geradezu auf. Dafür benötigen die Unternehmen eine PKI oder zumindest einen CA-Server, der sich mit der gewählten MDM-Lösung integriert.
Der Netzwerkzugriff der Geräte auf Unternehmensserver kann in einem ersten Schritt über das Mobilfunknetz und eine VPN- oder SSL-Verschlüsselung bis zur Internet-Firewall des Unternehmens erfolgen. Sobald jedoch die Nutzung der Geräte auch am Arbeitsplatz in größeren Unternehmensgebäuden möglich sein soll, wird es schwierig. So ist dort möglicherweise gelegentlich kein Mobilfunknetz verfügbar und der Ruf nach einem eigenen WLAN-Hotspot für die Mitarbeiter wird laut. Damit wird dann typischerweise auch der Bedarf nach einer Netzwerkzugangskontroll-Lösung aufkommen, mit Hilfe derer eigene und fremde Geräte unterschiedlich gehandhabt werden können und die beim Zugang auch die Einhaltung von Policies prüfen oder durchsetzen kann.
So kommt durch die Popularität neuer mobiler Endgeräte, egal ob es dabei um private Endgeräte und BYOD oder um unternehmenseigene Geräte geht, neuer Druck auf ältere Sicherheitsthemen wie PKI oder Netzwerkzugangskontrolle (NAC/NAP). Neue Firewall-Strukturen oder VPN-Produkte werden jedoch meist nicht benötigt und können oft in der vorhandenen Form weiterverwendet werden.
Fazit
ByoD als Hype ist fast schon wieder am Abklingen. Die rechtlichen und organisatorischen Probleme sind größer als der potenzielle Nutzen. Was aber bleibt und weiter wächst, ist der Druck zur Integration mobiler Endgeräte wie Smartphones und Tablets; wobei diese in Deutschland meist vom Unternehmen gekauft werden, um eine bessere Kontroll- und Einflussmöglichkeit zu haben. Dafür müssen auf Seite der Endgeräte eine geeignete und ausreichend sichere Hardware, ein Betriebssystem und geeignete Apps ausgewählt werden. Im Unternehmensnetz ist zunächst eine MDM-Lösung, gefolgt von einer PKI und einer NAC-Lösung gefragt.
Der Markt ist immer noch äußerst dynamisch. So wie es kaum möglich ist, die künftige Bedeutung und die Marktrelevanz von iPhones, Blackberrys oder Windows Phones in zwei bis drei Jahren vorherzusagen, ist auch die Dominanz der MDM-Anbieter nicht absehbar. Neue Player werden auf den Markt kommen und andere werden gekauft werden und dabei möglicherweise stark an Bedeutung verlieren. Das alles wird mit einer Geschwindigkeit geschehen, wie es im klassischen PC- und Server-Umfeld nicht mehr üblich war. (sh)
- Risikomanagement als Unternehmenssteuerungskonzept aufbaue
- Verbot privater Mobilgeräte im Arbeitsumfeld durchsetzen (Ultima Ratio)
- Sicherungssysteme permanent prüfen
- Standardisierte Mobillösungen einführen
- Klare Gesamtprozesse und Risikofaktoren aufzeigen
- Process/Risk Owner benennen
- Interdisziplinäre Arbeitsweise etablieren
PIM-App vs. Sandbox-App
Native Nutzung:
-
GUT: gemeinsame Darstellung von privaten Terminen, Kontakten und dem Kalender führt zu höherer Akzeptanz
-
GUT: Nutzung der Hardware-Verschlüsselung für Mails auf iOS-Geräten
-
SCHLECHT: Benutzer kann den Zugriff von Apps wie Facebook auf Kontakte des Unternehmens erlauben
-
SCHLECHT: Benutzer kann versehentlich geschäftliche Mails an private Adressen weiterleiten
Sandbox-Lösung:
-
GUT: getrennte Verwaltung der Firmendaten von privaten Daten verringert das Risiko von versehentlichen Datenabflüssen
-
SCHLECHT: Keine Nutzung der Hardware-Verschlüsselung für die Geräte-Bindung bei einigen Herstellern
-
SCHLECHT: getrennte Kalender- und Mail-Apps werden als umständlich empfunden
-
SCHLECHT: Bei manchen Herstellern erfolgt der Transport der Daten über ein Gateway des Herstellers