Foto: alphaspirit-shutterstock
Die Mehrheit der zwei Milliarden Menschen, die heute weltweit online sind, verwenden mobile Geräte. In den nächsten 5 Jahren werden es laut Google noch einmal zwei Milliarden Leute mehr sein. Sie werden laut Schätzungen von IDC zu einem guten Teil auch mobil arbeiten können oder wollen. Im Jahr 2015 soll es bereits 1,3 Milliarden mobile Arbeitsplätze geben. Untersuchungen im Rahmen der Cisco-Studie "Workplace of the Future" zeigen auf, dass der überwiegende Teil aller Unternehmen bis ins Jahr 2020 mobile Arbeitsplätze zur Verfügung stellen möchte. Es wird daher nicht bei den prognostizierten Zahlen an Arbeitsplätzen bleiben, denn die Erwartungen der Unternehmen sind hoch: Höhere Produktivität durch mehr Flexibilität, weniger Kosten für Immobilien und Reisen sowie eine höhere Attraktivität für dringend benötigte Fachkräfte. Die höhere Produktivität wird durch eine verbesserte Kommunikation und klügere Entscheidungen aufgrund aktueller Informationen vor Ort - beispielsweise beim Kunden - erreicht.
Doch mobiler Arbeitsplatz ist nicht gleich mobiler Arbeitsplatz. Es wird zum einen mit verschiedenen Arbeitsgeräten - wie Notebook, Smartphone, Tablet, Digitalkamera, Videobrille, Fernseher oder Auto - auf Daten und Anwendungen des Unternehmens zugegriffen. Zum anderen erfolgt dieser Zugriff sowohl auf lokaler Client-Ebene als auch auf Remote-Basis. Manche Mitarbeiter verbringen zwar den Tag im Büro, arbeiten aber innerhalb des Firmengeländes ständig mobil. Andere sind von einem festen Home- oder Remote-Office aus tätig, wieder andere arbeiten immer von unterwegs.. Was die Sicherheit und den Schutz von unternehmenskritischen Daten betrifft, hat jede dieser Zugriffsarten ihre spezifischen Risiken, denen die jeweilige Unternehmens-IT begegnen muss.
- Art des Jobs
Sind es Positionen für Führungskräfte, Innovatoren, Experten, Analysten oder Informationsverarbeitende? - Wissensarbeit
Sind die Arbeitstätigkeiten unter dem Begriff Wissensarbeit zusammen zu fassen? - Vernetzung, innen wie außen
Kann der Mitarbeiter vernetzt denken, das Ganze überschauen, um eine Aufgabe im Zusammenhang zu anderen Ansprüchen zu verstehen? - Konzentration, Kommunikation
Kann sich eine Person in einem gegebenen Zeitraum konzentrieren sowie gleichzeitig kommunizieren und inhaltliche Arbeit bewältigen? - Selbstmanagement
Hat die Person Selbstmanagement-Kompetenz (diszipliniertes Zeitmanagement und eigenständigen Arbeitsstrukturierung)? - Mitarbeiterpotenzial
Ist der Mitarbeiter engagiert (<a href="http://de.wikipedia.org/wiki/X-Y-Theorie" target="_blank">Theory Y nach McGregor</a>) - ist er oder sie eigengesteuert, entwicklungsorientiert, setzt sich selber Ziele und will diese auch erreichen? - Art des Jobs
Sind es Positionen für Führungskräfte, Innovatoren, Experten, Analysten oder Informationsverarbeitende? - Wissensarbeit
Sind die Arbeitstätigkeiten unter dem Begriff Wissensarbeit zusammen zu fassen? - Vernetzung, innen wie außen
Kann der Mitarbeiter vernetzt denken, das Ganze überschauen, um eine Aufgabe im Zusammenhang zu anderen Ansprüchen zu verstehen? - Konzentration, Kommunikation
Kann sich eine Person in einem gegebenen Zeitraum konzentrieren sowie gleichzeitig kommunizieren und inhaltliche Arbeit bewältigen? - Selbstmanagement
Hat die Person Selbstmanagement-Kompetenz (diszipliniertes Zeitmanagement und eigenständigen Arbeitsstrukturierung)? - Mitarbeiterpotenzial
Ist der Mitarbeiter engagiert (<a href="http://de.wikipedia.org/wiki/X-Y-Theorie" target="_blank">Theory Y nach McGregor</a>) - ist er oder sie eigengesteuert, entwicklungsorientiert, setzt sich selber Ziele und will diese auch erreichen?
Sicherheitsstandards
Die Marktforscher von IDC schätzen, dass gut die Hälfte kritischer Datenverluste in Unternehmen durch interne Mitarbeiter verschuldet worden sind. Die Gründe reichen von Unachtsamkeiten und Fehlern bis hin zu schlecht verwalteten Systemen.
Ob Kontostände, Kundendaten, Produktunterlagen, Bilanz- oder Strategiepapiere - der Verlust wichtiger Informationen kann Firmen jeder Größe sehr empfindlich treffen. Ohne neue Standards werden solche Vorfälle in Zeiten des mobilen Wachstums weiter rasant zunehmen. Die Standards müssen den gesamten Bereich eines mobilen Arbeitsplatzes und sämtliche Zugriffsarten umfassen. Eine kluge "Enterprise Information Defense Strategy" für die Bereitstellung sicherer mobiler Arbeitsplätze beginnt beim Endgerät, umfasst die Kommunikationsplattformen zwischen Endgeräten und IT-Infrastruktur und endet bei der Bewertung unternehmenswichtiger Daten und Informationen. Sie stützt sich auf die traditionellen Ansätze der IT-Security und kombiniert verschiedene Ausrichtungen des traditionellen Data Loss Prevention (DLP), das zwischen Bewegungsdaten (Data in Motion), gespeicherten Daten (Data in Rest) und Daten auf dem Endgerät (Data at the Endpoint) unterscheidet. Darüber hinaus sollte eine unternehmensweite Bewertung von Informationen erfolgen. Zusätzlich muss die Strategie den Aspekt der sich durch Mobilität verändernden lokalen Rahmenbedingungen einbeziehen. Je nach Land sind die Zugriffsrechte auf bestimmte Daten zu definieren, gleichzeitig aber lokale gesetzliche Rahmenbedingungen zu berücksichtigen.
DLP
DLP zielt darauf ab, einen Verlust von unternehmenskritischen Daten zu vermeiden. Dieses Element der Enterprise Information Defense Strategy besteht aus Maßnahmen zum Schutz der Bewegungsinformationen, einer Überwachung der gespeicherte Daten sowie der Absicherung unternehmenskritischer Informationen auf dem Endgerät. Im Fall der Bewegungsdaten soll beispielsweise die unkontrollierte Kommunikation über das Netz verhindert werden. Die erlaubte Kommunikation wird von Seiten der internen IT daher ständig überwacht und analysiert. Dies geschieht auf Basis eines speziellen Regelwerks, das die unternehmensweiten Richtlinien für den Schutz sensitiver Daten abbildet.
Gespeicherte Daten werden in den Bereichen Sichtbarkeit (Wo sind überall Daten zu finden?), Zugriff (Wer darf zugreifen?) und Sicherheit (Wer greift gerade zu?) geschützt. Ein drittes Maßnahmenpaket zielt darauf, die Daten auf dem Endgerät abzusichern. Eine der größten Schwachstellen ist schließlich der Verlust von Geräten wie Smartphones oder Notebooks - gelangen diese in falsche Hände, wird dem Missbrauch schnell Tür und Tor geöffnet. Ebenfalls wichtig sind exakte Kontrollen bei der Auslieferung sämtlicher Endgeräte und der Speicherung der Unternehmensdaten. Auch muss eine sichere Verwaltung der Endgeräte, deren Software und Privilegien sowie die zentralisierte Überwachung verteilter IT-Infrastrukturen gewährleistet sein.
Unternehmerische Bewertung von Daten
Foto: Fotolia, imageteam
Eine Enterprise Information Defense Strategy basiert auf der Unterscheidung zwischen sensitiven und nicht-sensitiven Informationen. Nur wenn ein Unternehmen eine solche festgelegt hat, lassen sich eine Strategie definieren, Sicherheitsmaßnahmen festlegen und umsetzen. Bereits eine simple Unterscheidung zwischen kritischen Daten, Business Performance Daten, essentiellen Daten, sensiblen Daten und nichtkritischen Daten (siehe Box "Die Datenklassen") ist hier sehr hilfreich und für viele Unternehmen ausreichend. Diese müssen dann entsprechend ihrem Unternehmenswert geschützt und sicher verwaltet werden.
Die Datenklassen
Going Global
Foto: alphaspirit - Fotolia.com
Das dritte Element einer guten Enterprise Information Defense Strategy berücksichtigt den lokalen Kontext des Zugriffs auf die Daten. Dies betrifft besonders den mobilen Arbeitsplatz. Je nach Aufenthaltsort des Mitarbeitenden gelten für den Umgang mit kritischen Daten unterschiedliche Regeln. So ist es beispielsweise in vielen Ländern nicht strafbar, geschützte Technologien, also das geistige Eigentum anderer, ohne Lizenzierung zu verwenden oder gar in eigene Produkte zu integrieren. Das kann insbesondere in forschungsintensiven Hochtechnologiesektor schnell zu einem Problem werden, da sich Mitbewerber so schnell einen Vorteil verschaffen und wirtschaftlichen Schaden anrichten können. Des Weiteren gelten in unterschiedlichen Ländern unterschiedliche Datenschutzgesetze, die den Umgang mit Personendaten regeln. Die gesetzlichen Vorgaben sind zu berücksichtigen und in die Strategie mit einzubeziehen.
Fazit
Die "mobile Explosion" hat weitreichende Konsequenzen auf die IT-Infrastruktur von Unternehmen jeder Größe und damit auch auf die Verwendung businessrelevanter Informationen. Klassische Sicherheitsregeln alleine genügen nicht, um die neuen Risiken der globalen Mobilität von Arbeitsplätzen konsequent abzusichern. Unternehmen, die mobile Arbeitsplätze anbieten wollen, sind gut beraten, vor dem Start mögliche Konsequenzen beim Umgang mit unternehmenskritischen Daten genau zu analysieren. Komplettlösungen existieren nach aktuellem Stand der Technik noch nicht. Kritische Daten lassen sich jedoch mit einer konsequenten Sicherheitsstrategie basierend auf DLP, Datenklassifizierung und -kontext bereits jetzt sehr gut schützen. (sh)
Checkliste 1: Ist Ihre Infrastruktur bereit für den Wandel?
Die IT-Infrastruktur für mobile Arbeitsplätze von morgen ist eine Kombination aus bewährter interner IT mit Cloud & Big Data Services, intelligenter Netzwerktechnologie und Sozialen Netzwerken.
- Cloud-Services
Nutzt Ihr Unternehmen Cloud-Dienste? - Cloud
Sind Ihre Anwendungen <a href="http://www.computerwoche.de/a/neue-trends-im-cloud-computing,2535410" target="_blank">Cloud-ready</a>? - Raus aus dem Silo
Ist Ihre IT-Landschaft auf dem Weg vom Silo zum Plattform? - Daten als Werte begreifen
Wird der Unternehmenswert "Informationen" bewusst verwaltet? - Appstore
Bestehen Pläne für einen <a href="http://www.computerwoche.de/a/enterprise-app-stores-werden-die-softwarelandschaft-aendern,2532905" target="_blank">Enterprise Appstore</a>? - Apps
Werden Apps im Unternehmen eingesetzt? - ByoD
Verzichtet Ihr Unternehmen auf Standardgeräte für die Arbeit oder ist es auf dem Weg dahin (ByoD)? - Social Enterprise
Nutzen Sie intern soziale Netze oder andere Enterprise-2.0-Technologien wie Blogs, Wikis oder Instant Communication oder Podcasting?
Die Nachteile des Mobile Worker
- Die 15-Minuten-Falle
Überall nur verkürzt und zwischen Terminen arbeiten <br /><br />(Quelle aller Nachteile: Prof. Dr. Meissner, 13.6.2013 - <a href="http://www.homeofficeday.ch/" target="_blank">Home Office Day Switzerland</a>) - Die Situation treiben lassen
Flexibilität ohne Führung führt zu Einzelkämpfertum - Betroffene zu Unbeteiligten machen
Mobiles Arbeiten verordnen - Unterschiedliche Erwartungen
Die einen dürfen, die anderen nicht - Repression
Unterdrückung von neuen Technologien - Halbherzigkeit
Mobil Arbeiten ja, aber nur nach genau definierten Regeln
Quelle Teaserbild Homepage: ollyy, Shutterstock.com