Smartphones und Tablets drängen immer stärker in die Unternehmen und stellen die Unternehmens-IT dadurch vor zahlreiche Probleme. Einige Hard- und Software-Hersteller nutzen diese Situation, um ihre eigenen Produkte zur Unterstützung privater Endgeräte im Unternehmen zu bewerben und aus "Bring your own Device (ByoD)" eine Tugend zu machen.
Unter der Überschrift ByoD werden nun verschiedene Lösungsansätze, Produkte und Hoffnungen verkauft, die eines gemeinsam haben: nicht der Arbeitgeber soll die Endgeräte kaufen, sondern der Mitarbeiter. Nach Aussagen der Hersteller von Lösungen in diesem Umfeld sollen sich dadurch Kosten sparen lassen und die Mitarbeiterzufriedenheit erhöht werden. Bei näherer Betrachtung zeigt sich, dass hier ganz unterschiedliche Anforderungen und Interpretationen in einen Topf geworfen werden und die Argumente oft gar nicht zueinander passen.
Der Strich durch die Rechnung
Die verallgemeinerte Hoffnung, dass man mit einer ByoD-Strategie und der dabei eingeführten Infrastruktur jegliche Arten von Endgeräten auf dem gleichen Weg unterstützen kann, scheitert in Deutschland meist schon an den rechtlichen Problemen. In einer realistischen Betrachtung sind zudem hohe Kosten statt Kostenersparnis sowie Probleme mit der Informationssicherheit und im Support absehbar.
Die Empfehlung von Juristen lautet meist, dass man auf ByoD in Deutschland besser verzichten sollte. Die Probleme beginnen bereits bei so einfachen Fragen wie "wem gehört eigentlich was". Die Software, die auf dem Privatgerät installiert ist, der Datentarif, über den der Internet-Zugang abgerechnet wird, die Accounts zu sozialen Netzen etc.. Damit verbunden ist auch gleich die Frage nach der Haftung für Missbrauch der Internetverbindung, illegal installierte Software oder bei Verlust des Gerätes. Spannend wird es dann aber vor allem, wenn es um die Zugriffsrechte des Unternehmens auf die privaten Endgeräte und den Einblick darauf geht.
Ein privates Smartphone, das für die geschäftliche Nutzung in das Managementsystem des Unternehmens eingebunden ist, liefert dem Unternehmen meist nicht nur Einblick in die auf dem Gerät installierte Software, sondern kann bei Verdacht auf Missbrauch oder Verlust auch vom Managementsystem aus gelöscht werden. Spätestens wenn nach einer solchen Löschung auch private Daten oder Bilder gelöscht wurden und der Mitarbeiter seinen Arbeitgeber auf Schadensersatz verklagt, wird klar, auf wie rechtlich wackeligen Beinen das Ganze steht. Einverständniserklärungen, wie sie manche Unternehmen von ihren Mitarbeitern für die Verwendung privater Geräte verlangen, sind dann nicht mehr viel wert.
Kosten, Kosten, Kosten
Auch die finanzielle Seite ist in Deutschland nicht so einfach wie dies gelegentlich von amerikanischen Lösungsanbietern dargestellt wird. Ein Anbieter von Desktop-Virtualisierungs-Software warb beispielsweise damit, dass er 20 Prozent seiner IT-Kosten durch die Einführung von ByoD einsparen konnte. Anstelle von firmeneigenen Arbeitsplatz-PCs hat das Unternehmen seinen Mitarbeitern einen Zuschuss zum Kauf eines privaten Notebooks bezahlt und die privaten Notebooks dann über eine firmeneigene virtuelle Desktop-Infrastruktur (VDI) integriert.
In Deutschland wäre ein solcher Zuschuss vom Mitarbeiter als geldwerter Vorteil zu versteuern, was die Sache schnell unattraktiv macht. Zudem muss eine entsprechende Infrastruktur erst beschafft, implementiert und betrieben werden, was hohe Kosten verursacht und mit der Situation beim Hersteller der VDI-Lösung selbst natürlich nicht vergleichbar ist.
Selbst das Argument der Mitarbeiterzufriedenheit muss in einem solchen Szenario kritisch hinterfragt werden. Als Beispiel werden oft Mitarbeiter genannt, die privat mit einem High-End-Notebook oder einem Macbook arbeiten und die im Unternehmen nicht mit dem dort bereit gestellten Standard-PC zufrieden sind. Erlaubt man diesen Mitarbeitern nun, ihr Privatgerät zu nutzen, auf dem sie dann aber nur eine Terminalsitzung zu einem virtuellen Desktop im Rechenzentrum aufbauen können, so wird sie dies kaum glücklich machen.
Erwartungshaltungen
Wichtig für das Verständnis der Probleme und Lösungsansätze ist zunächst eine differenzierte Betrachtung der verschiedenen Interpretationen von ByoD. Für die meisten Organisationen steht die neue Generation mobiler Endgeräte im Vordergrund: Smartphones und Tablets. Auf diesen Geräten soll zunächst der Zugriff auf Firmen-Mails, Kontakte und den Kalender möglich sein. Manche Unternehmen legen jedoch den Schwerpunkt auf privat beschaffte Notebooks und denken darüber nach, zukünftig komplett auf die Beschaffung von Arbeitsplatz-PCs zu verzichten. Beide Interpretationen führen zu technisch sehr unterschiedlichen Lösungsansätzen. Die Idee, beides in einer gemeinsamen neuen Infrastruktur zu ermöglichen, in die jegliche Arten von Endgeräten eingebunden werden kann, erscheint nur auf den ersten Blick verlockend.
Wenn man dabei auch die Sicherheitsaspekte berücksichtigt, wird sofort ein Konflikt sichtbar. Vertrauliche Daten und Transaktionen auf einem Gerät zu verarbeiten, das nicht kontrolliert werden kann und das nicht vertrauenswürdig ist, ist zunächst ein Widerspruch, der sich nicht vollständig lösen lässt. Wer die Hardware kontrolliert, wird mit genügend Aufwand auch das Betriebssystem kontrollieren können und wer das Betriebssystem kontrolliert, hat auch Zugriff auf die darauf laufenden Applikationen. Die Situation lässt sich zumindest verbessern, wenn man Verschlüsselung und eine Serverkomponente ins Spiel bringt, so dass die Schlüssel selbst nicht auf dem Endgerät gespeichert werden. Dann ist jedoch die Nutzung der entsprechenden Applikationen nur noch online möglich. Für eine Desktopvirtualisierung auf privaten Notebooks mag das akzeptabel sein, für E-Mails auf Smartphones jedoch nicht. Hier erwarten die Anwender selbstverständlich, dass sie auch ohne Verbindung zum Unternehmen ihre Mails verarbeiten können.
Für die Integration von privaten Notebooks als Firmenarbeitsplätze ist eine Desktop-Virtualisierung möglich, wenngleich auch hier technische Restrisiken bleiben. Malware auf einem solchen Gerät kann durchaus die Bildschirminhalte der Desktopvirtualisierung lesen und die Tastatureingaben des Anwenders aufzeichnen oder sogar eigene Befehle einschleusen.
Usability beachten
Bei Smartphones und Tablets sieht die Situation anders aus. Einerseits ist mehr Mobilität gefragt und eine Lösung, die nur online funktioniert, ist in der Regel nicht akzeptabel. Andererseits ist auch die Bedienung eines virtuellen Windows-Desktops auf dem kleinen Bildschirm eines Smartphones nicht gerade anwenderfreundlich. Auch wenn es bereits Ideen gibt, wie die Darstellung einer Windows-Applikationen so umgebaut werden kann, dass sie auf eine kleinen Smartphone bedienbar wird; von einer generellen Anwendbarkeit in der Praxis ist man hier noch weit entfernt.
Die Lösungen für Smartphones und Tablets bestehen daher aus eigenen Apps, die Unternehmensinhalte auf sichere Weise auf mobilen Endgeräten verfügbar machen. Dafür kommen sowohl die vom Hersteller mitgelieferten nativen Apps für Mail, Kontakte und Kalender unter zentraler Kontrolle einer MDM-Lösung in Frage als auch Apps von Drittherstellern, die solche Daten von Unternehmensservern abholen und auf dem Endgerät meist verschlüsselt ablegen.
Welche Hardware spielt mit?
Die Sicherheit solcher Lösungen hängt auch hier stark von der verwendeten Hardware, dem Betriebssystem und den Apps selbst ab. Dies führt dazu, dass die Apple-Geräte (iPhones und iPads) der letzten Jahre weitaus beliebter bei Firmen sind als Geräte auf Basis von Googles Android. Die Android-Geräte verfügen - abgesehen von den neuesten Geräten von Google - selbst meist nicht über offene Verschlüsselungskomponenten in der Hardware, werden mit veralteten Betriebssystemen ohne Update-Möglichkeit ausgeliefert und die offene Strategie von Google in Bezug auf den PlayStore hat zu einem massiven Malware-Problem geführt. Blackberrys spielen in diesem Kontext meist keine Rolle, da sie nur selten privat beschafft werden. Geräte auf Basis von Microsofts Windows Phone 8 sind noch selten, aber durchaus im Kommen.
Als Alternative oder Ergänzung zu den mitgelieferten Apps setzen einige Unternehmen auf spezielle Sicherheitslösungen, die einen eigenen verschlüsselten Container für Office-Dokumente oder auch für Firmen-Mails, Kontakte und Kalender mitbringen. Gerade bei Mail-Attachments lässt sich so besser steuern, in welchen anderen Apps die möglicherweise vertraulichen Firmen-Dokumente geöffnet werden können. Wenn nicht nur Attachments in solchen Containern gespeichert werden, sondern auch die Mails, Kontakte und Kalender des Unternehmens, dann hat diese Separierung von privaten und geschäftlichen Daten auch einen deutlichen Nachteil in der Bedienbarkeit. Der Anwender muss immer wieder entscheiden, ob er in die nativen Apps für private Kontakte oder Mails oder in die Container-App gehen muss. Der Sicherheitsgewinn ist dabei nicht so hoch wie er zunächst erscheint, denn auf einem kompromittierten Endgerät kann Malware durchaus auch die Daten aus solchen Containern auslesen.
Zentrale Verwaltung
Auf Seite der Firmen-Infrastruktur ist auch einiges zu tun, um Smartphones und Tablets sicher zu integrieren. Die erste Anforderung ist typischerweise eine zentrale Managementlösung für mobile Endgeräte. Solche MDM-Lösungen (Mobile Device Management) ermöglichen es, Konfigurationseinstellungen, beispielsweise für den Mail-Zugriff oder die erforderliche Passwortkomplexität zentral zu definieren und in Profilen per Funk auf die verwalteten Geräte zu verteilen. Ohne eine MDM-Lösung ist der Betrieb von mehr als 50 Geräten schlichtweg zu unflexibel und zu umständlich. Die marktüblichen MDM-Produkte unterscheiden sich dabei in den Grundfunktionen kaum, da diese von den Herstellern der Endgeräte durch die Management-Schnittstellen vorgegeben sind.
Neben einer MDM-Lösung werden auch Zertifikate für die Integration mobiler Endgeräte immer wichtiger. Für die Authentisierung bei der Mailzustellung beispielsweise ist es sinnvoll, dies nicht mit einem Domänenpasswort, sondern mit einem Zertifikat zu lösen. Auch beim Zugriff auf Unternehmensapplikationen über einen Web-Browser drängt sich eine SSL-Verschlüsselung und Authentisierung mit Client-Zertifikaten geradezu auf. Dafür benötigen die Unternehmen eine PKI oder zumindest einen CA-Server, der sich mit der gewählten MDM-Lösung integriert.
Der Netzwerkzugriff der Geräte auf Unternehmensserver kann in einem ersten Schritt über das Mobilfunknetz und eine VPN- oder SSL-Verschlüsselung bis zur Internet-Firewall des Unternehmens erfolgen. Sobald jedoch die Nutzung der Geräte auch am Arbeitsplatz in größeren Unternehmensgebäuden möglich sein soll, wird es schwierig. So ist dort möglicherweise gelegentlich kein Mobilfunknetz verfügbar und der Ruf nach einem eigenen WLAN-Hotspot für die Mitarbeiter wird laut. Damit wird dann typischerweise auch der Bedarf nach einer Netzwerkzugangskontroll-Lösung aufkommen, mit Hilfe derer eigene und fremde Geräte unterschiedlich gehandhabt werden können und die beim Zugang auch die Einhaltung von Policies prüfen oder durchsetzen kann.
So kommt durch die Popularität neuer mobiler Endgeräte, egal ob es dabei um private Endgeräte und BYOD oder um unternehmenseigene Geräte geht, neuer Druck auf ältere Sicherheitsthemen wie PKI oder Netzwerkzugangskontrolle (NAC/NAP). Neue Firewall-Strukturen oder VPN-Produkte werden jedoch meist nicht benötigt und können oft in der vorhandenen Form weiterverwendet werden.
Fazit
ByoD als Hype ist fast schon wieder am Abklingen. Die rechtlichen und organisatorischen Probleme sind größer als der potenzielle Nutzen. Was aber bleibt und weiter wächst, ist der Druck zur Integration mobiler Endgeräte wie Smartphones und Tablets; wobei diese in Deutschland meist vom Unternehmen gekauft werden, um eine bessere Kontroll- und Einflussmöglichkeit zu haben. Dafür müssen auf Seite der Endgeräte eine geeignete und ausreichend sichere Hardware, ein Betriebssystem und geeignete Apps ausgewählt werden. Im Unternehmensnetz ist zunächst eine MDM-Lösung, gefolgt von einer PKI und einer NAC-Lösung gefragt.
Der Markt ist immer noch äußerst dynamisch. So wie es kaum möglich ist, die künftige Bedeutung und die Marktrelevanz von iPhones, Blackberrys oder Windows Phones in zwei bis drei Jahren vorherzusagen, ist auch die Dominanz der MDM-Anbieter nicht absehbar. Neue Player werden auf den Markt kommen und andere werden gekauft werden und dabei möglicherweise stark an Bedeutung verlieren. Das alles wird mit einer Geschwindigkeit geschehen, wie es im klassischen PC- und Server-Umfeld nicht mehr üblich war.
PIM-App vs. Sandbox-App
Native Nutzung:
-
GUT: gemeinsame Darstellung von privaten Terminen, Kontakten und dem Kalender führt zu höherer Akzeptanz
-
GUT: Nutzung der Hardware-Verschlüsselung für Mails auf iOS-Geräten
-
SCHLECHT: Benutzer kann den Zugriff von Apps wie Facebook auf Kontakte des Unternehmens erlauben
-
SCHLECHT: Benutzer kann versehentlich geschäftliche Mails an private Adressen weiterleiten
Sandbox-Lösung:
-
GUT: getrennte Verwaltung der Firmendaten von privaten Daten verringert das Risiko von versehentlichen Datenabflüssen
-
SCHLECHT: Keine Nutzung der Hardware-Verschlüsselung für die Geräte-Bindung bei einigen Herstellern
-
SCHLECHT: getrennte Kalender- und Mail-Apps werden als umständlich empfunden
-
SCHLECHT: Bei manchen Herstellern erfolgt der Transport der Daten über ein Gateway des Herstellers
Dieser Artikel erschien bei unserer Schwesterpublikation Computerwoche .