Gefahr erkannt, Gefahr gebannt?
Die Gefahren werden also offenbar in der Fläche erkannt. Der Vergleich mit der IDC-Studie aus dem Jahr 2015 zeigt jedoch keine Verbesserung der Lage in deutschen Firmen und Organisationen auf, das Gegenteil ist der Fall. Was kann also die Lösung sein? Gibt es den einen Königsweg zu sicherer Mobility?
„IT-Entscheider sollten grundsätzlich Lösungen wählen, die den unterschiedlichen Sicherheitsanforderungen ihrer Nutzer entsprechen“, rät Rost. „One-fits-All wird nicht funktionieren“, warnt der Experte. Der Schutz müsse für die Benutzer in jedem Fall transparent sein. Aus Rosts Sicht bedeutet das, dass eine Sicherheitslösung fundamental sicher muss und möglichst wenig Angriffspunkte lassen darf.
Peter Machat stimmt dem zu: „Sicherheitsmechanismen müssen so gestaltet sein, dass sie optimal greifen, ohne dass das Nutzererlebnis und damit die persönliche Produktivität beeinträchtigt werden.“ Und Judith Hoffmann ergänzt, dass man schon verloren habe, wenn ein sicheres Mobilgerät nicht einfach und intuitiv zu bedienen sei. Dies komme vor allem zum Tragen, wenn Unternehmen ihren Mitarbeitern die Nutzung privater Endgeräte für geschäftliche Zwecke nicht ermöglichen. Die IT habe zum Teil Berührungsängste mit BYOD, da der Anwender damit quasi eigene IT-Dienstleistungen erbringen kann. „Der Mitarbeiter wird zum Hired Hacker, er sorgt für Sicherheitsprobleme. Die IT muss beim Thema Sicherheit auf die Fachbereiche zugehen“, so Hoffmann weiter.
In der Praxis hat Bernd Lehmann die Erfahrung gemacht, dass die Anwender eigentlich mit der Sicherheit nichts zu tun haben wollen. Security sei immer nur dann ein Thema, wenn etwas passiere – diese Erfahrung teilten die meisten in der Runde. Die Komplexität beim Schutz mobiler Endgeräte mache das Thema auch für die Wirtschaft schwierig, berichtet Dietmar Schnabel aus seiner Erfahrung. „Das Wissen über Mobile Security hängt stark von der Unternehmensgröße ab, vor allem kleinere Unternehmen fühlen sich davon oft nicht betroffen“, so der Experte. Es fehle hier wie dort das Verständnis der Risiken, auch im Hinblick auf notwendige Investitionen.
Es gibt also noch einiges zu tun in deutschen Firmen und Organisationen – und zwar weit über den DSGVO-Stichtag im Mai 2018 hinaus. Der Faktor Mensch bleibt als Risiko bestehen, auch wenn die Auswirkungen von Fehlern minimiert werden können, da sind sich alle Teilnehmer der Diskussionsrunde einig. Organisatorische Maßnahmen müssen technologische Ansätze begleiten, um die Endanwender für Gefahren zu sensibilisieren und einen sicheren Umgang mit den Unternehmensdaten auf dem Smartphone zu fördern. Hier sind nach Ansicht von IDC auch die Anbieter gefordert, neben sicheren Technologien auch entsprechende – und nicht zuletzt ansprechende – Education-Services bereitzustellen. (mb)