Karl Tobler hat sein Tagespensum in der Firma erledigt. Er hat eine neue Ventiltechnik für die Mischvorrichtung einer Waffelmaschine entwickelt und letzte Verbesserungen konstruiert. Nun noch schnell alle Änderungen synchronisiert, denn die privaten Auftraggeber in China warten schon ungeduldig. Tobler schiebt die Daten auf das Dropbox-Laufwerk auf seinem Laptop. Jetzt den Laptop mitgenommen und in sein Lieblings-Café, wo es zum Glück WLAN gibt.
Seit Neuestem hat die Firmen-IT so ein lästiges Überwachungs-Tool auf den Firewalls installiert, das Dropbox und andere Filesharing-Dienste blockiert. Aber das ist kein Problem: Kaum im Café das Notebook eingeschaltet, sind die Daten zu Hause angekommen. Wäre doch gelacht. Den zweiten Schritt, die Konstruktionsdaten nach China zu schicken, macht Tobler später separat. Man will ja möglichst wenig Spuren beim Datenklau hinterlassen.
Natürlich ist das ein fiktives Beispiel mit einem fiktiven Protagonisten, aber so ähnlich könnte es sich jederzeit zutragen. Und das Schlimme ist: Sie als Manager der betroffenen Firma würden es wohl erst dann merken, wenn Sie bei einer Messe das brandneue Modell der Konkurrenz sehen, das Ihren eigenen Entwicklungen so frappant ähnelt und sogar schon am Markt ist.
Dropbox ist Synonym für die unübersehbare Vielfalt der Synchronisier-Tools
Dropbox steht hier als Synonym für die unübersehbare Vielfalt an Consumer-Tools zum Synchronisieren von Daten. Wir alle haben wahrscheinlich - ohne es mit Sicherheit sagen zu können - in unseren Firmen Mitarbeiter, die mit Software dieser Art Daten zwischen Endgeräten synchron halten. Grundsätzlich ist dagegen nichts einzuwenden. Nur birgt es ein großes Risiko, da man mit ein paar Mausklicks ganze Verzeichnisse mit einem Computer irgendwo auf der Welt synchronisieren kann.
Es gibt zahllose ähnliche Angebote, auch von großen Unternehmen wie Microsoft ("Sky-drive") und Apple ("iCloud"), meistens aus dem amerikanischen Raum. Und da stecken schon die Hauptprobleme:
Die 3 größten Probleme bei Dropbox, Sky-drive, iCloud & Co.
-
Consumer legen Wert auf einfache Handhabung, und vor allem die jüngeren Generationen nehmen es mit Datenschutz und Privatsphäre nicht mehr so genau. Sie teilen Dinge ganz selbstverständlich mit anderen.
-
In dem Moment, in dem Firmendaten beim Cloud-Provider landen, haben wir keinen Einfluss mehr darauf, mit welchen Systemen sie vor fremdem Zugriff geschützt sind.
-
Der Patriot Act ermöglicht US-Behörden Zugriff auf Daten in ihrem Rechtsraum - dazu zählen auch europäische Niederlassungen amerikanischer Anbieter. Europäische Firmen schätzen das aus gutem Grund ganz und gar nicht. Kein europäischer CIO sollte ruhig schlafen können, wenn seine Daten dem Patriot Act unterliegen.
Die Technologie an sich finde ich als CIO gleichwohl großartig - und viele Kollegen sehen das ähnlich: Daten einfach per Mausklick zu bewegen und an jedem Ort verfügbar zu haben, ohne dass der Nutzer jedes Mal vor dem Herunterfahren ans Synchronisieren denken muss.
Bei Haas werden wir im Management immer wieder damit konfrontiert, dass Mitarbeiter zu Hause arbeiten wollen. Haas unterstützt flexibles Arbeiten, wo es geht - auf der einen Seite. Als Weltmarktführer wollen wir aber auf der anderen Seite nicht, dass Baupläne für eine neue Waffelmaschine beim Wettbewerber auftauchen. Auch wenn es praktisch wäre, alle benötigten Daten jederzeit in der Cloud verfügbar zu haben - am besten kostenlos -, müssen wir unser geistiges Eigentum schützen und klare Grenzen ziehen.
Mobile-Device-Management-Lösung sperrt die Apps
Mit einer Mobile-Device-Management-Lösung sperren wir auf Smartphones und Tablets Apps wie Dropbox. Wir ziehen das rigoros durch. Ein Jailbreak führt zum sofortigen Deaktivieren. "Documents to go" ist bei uns derzeit als Bearbeitungs-Tool erlaubt - allerdings nur die Version ohne iCloud-Anbindung. Wir überlegen noch, ob wir das Ändern von synchronisierten Dokumenten nur mit einer speziellen Software erlauben. In diesem Fall könnten Dokumente nur mit dieser Software bearbeitet und wieder hochgeladen oder verschickt werden.
Sehr schwierig ist das Sperren unerwünschter Anwendungen auf dem Laptop, vor allem, wenn dieser außerhalb der Firmen-Firewalls verwendet wird. Auch Installationen am Client lassen sich nicht in allen Fällen unterbinden. Im Prinzip können wir nur durch einen erzwungenen Proxy eine gewisse Sicherheit schaffen. Darüber läuft dann eben die gesamte Kommunikation der Firma, auch wenn sich Mitarbeiter in Hotels oder an Hotspots befinden. Es ist jedoch aufwendig, permanent an den Firewalls nachzujustieren und alles zu sperren, was irgendwie nach Dropbox aussieht.
Am wichtigsten sind aus meiner Erfahrung eine Policy und ein Bewusstsein der Anwender für deren Inhalt. Wenn Mitarbeiter wissen, dass Kopieren und Verschieben von Daten automatisch analysiert werden und sie bei verdächtigen Vorfällen einen triftigen Grund angeben müssen, werden solche Fälle automatisch seltener. Und bei nachgewiesenen Verstößen haben Sie als CIO zumindest eine Handhabe. Wir haben eine solche Policy seit fast zwei Jahren. Zu Beginn gab es viele Fragen und vereinzeltes Murren. Sehr hilfreich bei der Durchsetzung war die Unterstützung der Eigentümer, die auf die strategische Bedeutung einer solchen Policy hingewiesen haben.
Lösungen von Microsoft und Apple fehlen noch
Wie wird sich der Einsatz von Consumer-Tools in Unternehmen bis in drei Jahren entwickeln? Ich bin mir sicher, dass sowohl Microsoft als auch Apple ihre Betriebssysteme mit mehr Funktionen zum Monitoring und zum Abschotten versehen werden. Gleichzeitig arbeiten beide aber auch unermüdlich daran, ihre Kunden an die eigenen Cloud-Produkte zu binden, indem sie diese weiterhin in die Basis der Betriebssysteme integrieren. Wir CIOs werden uns folglich weiterhin mit Tools nach Art von Dropbox auseinandersetzen müssen.
Ein Trost könnte sein, dass ich für die nahe Zukunft mit mehr europäischen Diensten rechne, die EU-Rechtsnormen unterliegen. Sie könnten für CIOs aus dem deutschsprachigen Raum echte Dropbox-Alternativen sein. Die andere Möglichkeit ist, einen solchen Dienst selbst anzubieten. Wir denken das an, falls wir anders nicht alle Sicherheitslücken schließen können. Der hohe Aufwand für professionelle Entwicklung und Pflege ist allerdings zu berücksichtigen - immerhin soll ein solcher Dienst ja auch akzeptiert werden.
Hoffnung ruht auf europäischen Anbietern
Dann kämen Anwender bestenfalls gar nicht in Versuchung, unautorisierte Tools zu verwenden. Wohlgemerkt: Den Mitarbeiter, der gezielt Daten klaut, werden wir mit einem firmeneigenen Cloud-Speicher nicht daran hindern. Doch gepaart mit Awareness-Kampagnen und Schulungen bietet eine eigene Lösung uns als CIOs gute Chancen, die Mehrzahl der ehrlichen Mitarbeiter zu erreichen, die nicht auf die aus dem Privaten gewohnten, bequemen Tools verzichten wollen. Consumer-Technologien sind tolle Wegbereiter, man muss sie eben Business-tauglich machen.
Die Unternehmensdaten der Haas Food Equipment GmbH
Unternehmen |
Haas Food Equipment GmbH |
Hauptsitz |
Leobendorf (Österreich) |
Umsatz |
251,9 Millionen Euro (2011) |
Mitarbeiter |
1471 (davon 19 Mitarbeiter in der IT) |
CIO |
Bernd Kuntze |