Der Siegeszug privater mobiler Geräte am Arbeitsplatz birgt massive Security-Risiken. Wer sie eindämmen will, sollte schrittweise vorgehen.
Der neue Begriff "Consumerization" wurde von Gartner geprägt und benennt den Trend zur Vermischung privater und beruflicher IT-Nutzung. Anwender sind heute technikversierter denn je und haben ihre persönlichen IT-Vorlieben. Deshalb wollen sie ihre Android-Geräte, iPhones, iPads oder andere Tablets auch für die beruflichen Aktivitäten nutzen.
Dieser Trend verändert die Arbeitsweise der Unternehmens-IT rasant und nachhaltig. In Sachen IT-Security bringt er eine neue Mischung aus strategischen und operationalen Herausforderungen mit sich. Der Grund: Es droht eine Anarchie, denn die neuen Endbenutzertechniken sind sehr heterogen und oft über das ganze Unternehmen verteilt im Einsatz.
Außerdem treiben die Anwender diese Innovationen auf eigene Faust, ohne dabei auf zentrale IT-Pläne oder vorhandene IT-Richtlinien zu achten. Sie beschaffen sich ihre eigenen Dienste, installieren ihre eigenen Anwendungen und finden zum Teil sehr kreative und auch entsprechend unsichere Wege, Verbindungen zum Unternehmensnetzwerk aufzubauen, um auf ihre E-Mail, Verzeichnisse und geschäftliche Daten zuzugreifen.
Sind nun die Arbeitgeber bereit, sich ins Unvermeidliche zu fügen und die geschäftliche Nutzung der vielfältigen privaten Ressourcen zu erlauben, so stehen CIOs und andere IT-Verantwortliche vor der schwer lösbaren Aufgabe, dem "kreativen Chaos" Einhalt zu gebieten und die Sicherheit der IT zu gewährleisten.
Aufgaben und Fähigkeiten des CIOs der Zukunft
Aufgaben und Fähigkeiten des CIOs der Zukunft Die neue CIO-Rolle pendelt zwischen intern und extern ausgerichteten Aufgaben. Zudem vereint sie zu gleichen Teilen Technik- und Business-Expertise. Manche CIOs meistern vielleicht nur eine der neuen Aufgaben. Wer aber oben mitspielen will, müsse alle vier Rollen beherrschen:
Chief Infrastructure Officer: Viele CIOs spielen dieses Rolle längst, so Wang. Es sei auch relativ einfach. In dieser Rolle sind sie für 65 bis 70 Prozent des CIO-Budgets verantwortlich und müssen die Kosten senken. Bei den meisten Projekten dreht es sich darum, sie am laufen zu halten und vererbte Systeme zu betreuen. Die Infrastruktur-CIOs konzentrieren sich meist auf Technik und interne Angelegenheiten. Wang zufolge entwickelt sich die Rolle des Infrastruktur-CIOs zur Kernkompetenz, die aber immer weniger wahrgenommen wird.
Chief Integration Officer: Auch das Einfühlen in diese Rolle bedeute keine große Umstellung, sagt Wang. Sie veranschlage nur fünf bis zehn Prozent des Budgets und muss verschiedene Geschäftsprozesse zusammenführen: Daten, das System, vererbte Systeme und die neuen Cloud-Initiativen. Der Integrations-CIO kümmert sich sowohl um die Technik sowie nach außen und innen gerichtete Aufgaben.
Chief Intelligence Officer: Ihm unterstehen zehn bis 15 Prozent des Budgets, und seine Aufgabe ist es, die User im Unternehmen mit Informationen zu versorgen. Die richtigen Daten müssen zur richtigen Zeit auf der richtigen Plattform bei der richtigen Person landen. Er kümmert sich also um nach innen gerichtete Aufgaben.
Chief Innovation Officer: Mit nur fünf bis zehn Prozent des Budgets muss er zu Schnäppchenpreisen Innovationen vorantreiben. "Sich an die Rolle des Innovations-CIOs zu gewöhnen, wird für viele bestimmt schwierig", sagt Wang. "Dafür muss man die Geschäftsstrategien sehr gut kennen und gleichzeitig bei richtungsweisenden Technologien am Ball bleiben. Häufig deckt der Markt diese neuen Techniken gar nicht gut ab, sodass sich Teams im Haus schon früh selbst um die Einbindung kümmern müssen."
Die wichtigsten Fähigkeiten Neben diesen neuen Rollen, sagt Wang, müssten CIOs in Zukunft diese zentralen Fähigkeiten mitbringen:
Schnell die Potenzielle bahnbrechender Technologien für das eigene Unternehmen einschätzen: Schnell die Potenzielle bahnbrechender Technologien für das eigene Unternehmen einschätzen: Führende Unternehmen investieren stärker in Forschung sowie in interne Prozesse, die das eigenen Unternehmen auf die steigende Geschwindigkeit der Technologie-Wechsel einstellen.
Geschäftsmodelle der nächsten Generation entwerfen: IT-Entscheider müssen bestimmen, wo im Wettbewerb eine neue Technologie Vorteile bringt, den Gewinn steigern und gleichzeitig sparsam und effizient auf dem Markt auftreten.
Laufzeitverlängerung finanziert Innovationen: Die IT Budgets werden 2011 kaum wachsen. Also muss ein großer Teil zukunftsweisender Technik und Geschäftsmodelle finanziert werden, indem man die schon getätigten Investitionen ausreizt.
Sicherheit vs. Usability
Dabei haben sie prinzipiell vor allem zwei Herausforderungen zu bewältigen: Zum einen gilt es, das Management der privaten Endgeräte so aufzusetzen, dass eine komfortable und produktive Nutzung der Geräte gewährleistet ist, aber gleichzeitig auch die Sicherheitsrisiken, denen die mobilen Devices ausgesetzt sind, minimiert werden.
Die zweite Aufgabe besteht darin, geschäftskritische Unternehmensdaten zu schützen. Eine der größten Gefahren stellt der Verlust von Laptops und Mobiltelefonen dar, auf denen wichtige Daten lagern, die damit in die falschen Hände geraten können. Des Weiteren können Geschäftsdaten über privat genutzte Anwendungen nach draußen gelangen, etwa wenn ein User sie via Web-Mail, Instant Messaging oder andere Kanäle versendet, die nicht zur Unternehmens-IT gehören.
Eine weitere Gefahr droht, wenn Schadsoftware oder infizierte Daten über solch "gemischt genutztes" Gerät ins Unternehmensnetzwerk eingeschleust wird, etwa wenn der Anwender in einer ungesicherten Umgebung surft. Schließlich kann auch ein privat genutzter Dienst aus der Cloud zur Bedrohung werden.
"Um alle Aspekte dieser vielfältigen Gefahren in den Griff zu bekommen, ohne den Anwendern das Arbeiten unmöglich zu machen, bedarf es eines strategischen Ansatzes", erklärt Udo Schneider, Solutions Architect bei Trend Micro. Dafür sollten Manager und Fachabteilungen bei der Ausarbeitung eines unternehmensweiten Plans und entsprechender Richtlinien zusammenwirken. Nur so ließen sich alle Aspekte beim Einsetzen und Verwalten privater Endgeräte im Arbeitsalltag einbeziehen. Der Experte rät zu einem schrittweisen Vorgehen, wobei die konkrete Auswahl der technischen Lösungen erst ganz am Ende steht.
Sicherheitsrisiko Smartphone
Security-Checkliste: Smartphone im Business Der Smartphone-Einsatz in Unternehmen birgt hohe Sicherheitsrisiken. Lesen Sie hier, was Sie beachten sollten.
Punkt 1: Sicherheit zum zentralen Kriterium bei der Produktauswahl machen
Punkt 2: Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln.
Punkt 3: Sichere Konfiguration der Endgeräte berücksichtigen.
Punkt 4: Sichere Integration in Unternehmens-IT umsetzen.
Punkt 5: Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden
Punkt 6: Benutzerrichtlinien für den Umgang mit Endgeräten definieren.
Schritt 1: Bestandsaufnahme der Geräte und des Bedarfs
Am Anfang sollte eine Bestandsaufnahme der im Unternehmen genutzten mobilen Geräte und der darauf laufenden Anwendungen (Mail, Präsentationssoftware, Kontakte etc.) stehen. Dazu gehören auch die involvierten Firmendaten. Zudem empfiehlt es sich, die innovativen User über ihre nützlichsten Anwendungen und Geräte zu befragen, um bei Bedarf auf diese Erfahrungen zurückgreifen zu können.
Nicht alle Anwender haben den gleichen Bedarf an Mobilität, Information oder Kommunikation. Daher kann es hilfreich sein, Nutzerprofile zu erstellen und die Anwender in entsprechende Gruppen zusammenzufassen, empfiehlt Schneider. Für diese gelten dann bestimmte Richtlinien, die etwa den Zugriff auf Unternehmensanwendungen, Messaging oder Kalender regeln. Auch müssen ihre Geräte bestimmten Sicherheitsanforderungen genügen.
In dieser Phase gilt es auch festzulegen, welche Geräte und Technologien unterstützt und welche nur geduldet oder untersagt werden. Hat sich ein Unternehmen für den Weg der Anwenderorientierung der IT entschieden, so sollte es auch alle mobilen Geräte unterstützen. Die Nutzer werden es nur schwerlich akzeptieren, wenn ihr persönliches Gerät aus welchen Gründen auch immer nicht unterstützt wird, so der Security-Fachmann.
BYOD: CIOs müssen reagieren
BYOD - CIOs müssen reagieren Private iPhones und iPads akzeptieren oder aussperren? Über diese Frage zerbrechen sich viele IT-Verantwortliche die Köpfe. Trägt man die Empfehlungen der verschiedenen Analysten zusammen, ergibt sich folgendes Bild:
Tipp 1: IT-Leiter sollten offen für die Wünsche der Anwender sein. Der Trend zur Consumerisierung lässt sich nicht aufhalten. Nur wer sich darauf einlässt, wird den wachsenden Druck meistern und die Vorteile umsetzen können.
Tipp 2: Die IT-Organisation sollte eine Strategie ausarbeiten, wie sie ihre Client-Landschaft gestalten will und welche Techniken - etwa Desktop-Virtualisierung - sie dafür benötigt. Wichtig dabei ist auch festzulegen, welche Geräte wozu genutzt werden dürfen.
Tipp 3: Sicherheit ist ein wichtiges Thema: Doch wer den Gebrauch privater Geräte rigoros zu reglementieren versucht, riskiert im Endeffekt ebenso viele Sicherheitslecks, weil die Devices dann an der IT vorbei ihren Weg ins Unternehmen finden werden.
Tipp 4: Die Security-Infrastruktur muss in Ordnung sein. Die IT sollte Richtlinien aufstellen, wer auf welche Informationen zugreifen darf. Zudem sollte es Notfallpläne geben, für den Fall, dass Geräte mit sensiblen Daten abhandenkommen.
Tipp 5: Beweisen Sie Fingerspitzengefühl bei der Definition der Regeln. Wer beispielsweise damit droht, die Geräte in bestimmten Situationen zu beschlagnahmen, treibt die User dazu, die Devices unter dem Radar der IT-Abteilung durchzuschleusen.
Tipp 6: Angesichts der wachsenden Komplexität rund um neue Endgeräte und Apps empfiehlt Forrester Research, die Verantwortlichkeit für das Management der damit verbundenen Infrastruktur zu bündeln und beispielsweise die Position eines Chief Mobility Officer einzurichten.
Schritt 2: Aufsetzen von Richtlinien
Die Entscheidungen innerhalb der ausgearbeiteten Sicherheitsstrategie sollten im nächsten Schritt in Form von Unternehmensrichtlinien festgehalten werden: Diese beziehen sich auf die Art der Nutzung privater Geräte und die Bereitstellung entsprechender Anwendungen. Weitere wichtige Aspekte sind die Trennung von privaten und geschäftlichen Daten auf den Geräten, das Festlegen der erlaubten Netzwerke, Rechte und Pflichten der Anwender (etwa verpflichtende Installation von Updates), Level der Verwaltung und Kontrolle dieser Devices und die Haftung im Falle des Verlusts.
Eines der zu lösenden Grundprobleme bei der Nutzung eines Geräts sowohl für private als auch geschäftliche Zwecke stellt die notwendige Trennung der privaten von den Unternehmensdaten dar, warnt Schneider. Dies ist sowohl rechtlich als auch sicherheitstechnisch von Bedeutung. Es stellt sich unter anderem die Frage, inwieweit ein Unternehmen auf dem Arbeitnehmer-eigenen Gerät sicherheitstechnische Maßnahmen durchsetzen darf.
Geht ein Gerät verloren, so können die Daten mit einem so genannten "Remote Wipe" unter Umständen gelöscht werden - leider meist einschließlich der privaten. Das wiederum wäre ein Eingriff in die Privatsphäre des Besitzers. Die Lösung des Problems kann aber auch nicht immer in einem Verbot der Speicherung von Geschäftsdaten auf dem mobilen Gerät liegen, denn dann wäre es auch nicht möglich, offline zu arbeiten.
Der Business App-Store
Es gibt unterschiedliche Konzepte, um den Nutzern für den geschäftlichen Betrieb die benötigten Anwendungen zur Verfügung zu stellen und somit die Trennung von privaten und beruflichen Daten zu bewerkstelligen. Eine Lösung sind so genannte Business App Stores, die nach der gleichen Methode funktionieren wie die öffentlichen App Stores, die Inhalte, Anwendungen und Dienste zur Verfügung stellen. Über die Business App Stores können Unternehmen den Nutzern Firmenanwendungen auf den mobilen Geräten zur Verfügung stellen. Auf diese Weise ließen sich private von geschäftlichen Daten trennen. Die Kehrseite der Medaille ist die Vielfalt der mobilen Geräte, für die dieser Softwareverteilungskanal vorhanden sein müsste.
Virtualisierung stellt ebenfalls eine gute Möglichkeit dar, Anwendungen auf den mobilen Geräten genauso wie auf dem Desktop zugänglich zu machen. VMware beispielsweise stellt für Android-Plattformen einen Hypervisor zur Verfügung, sodass auf einem Gerät zwei Android-Instanzen - eine private und eine geschäftliche - laufen. Bei Verlust des Geräts lässt sich die Android-Umgebung auf einer Instanz löschen, während die andere davon unberührt bleibt.
Virtualisierte Desktops sollten als weitere Alternative in Betracht gezogen werden. Auch hier stellt sich sicherheitstechnisch die Frage, ob der Endbenutzer lediglich einen VDI-Client auf seinem Gerät erhält, ohne Daten lokal speichern zu können, oder ob er auch offline arbeiten darf, also Daten abspeichern muss.
Der Zugriff auf Web-Anwendungen wie E-Mail oder Dienste aus der Cloud wie Salesforce.com, Dropbox oder Google Office sollte in einer Sicherheitsstrategie ebenfalls geregelt sein, beispielsweise über Black- und Whitelists. Sollen auf den mobilen Geräten keine lokalen Daten gespeichert werden, so besteht noch die Möglichkeit, Firmenanwendungen mit einem Web-Interface zu versehen. Aber Vorsicht: Dies will sorgfältig entwickelt und abgesichert sein, denn die nach außen gerichtete Schnittstelle ist Bedrohungen wie SQL Injection ausgeliefert.
Millionen neue Geräte drängen in den Markt
Millionen neue Geräte drängen in den Markt. Experten gehen davon aus, dass die Flut neuer Devices, die in den kommenden Jahren auf die Unternehmen zurollt, noch deutlich anschwellen wird.
Trend 1: Die Marktforscher von Gartner prognostizieren, dass 2011 weltweit knapp 468 Millionen Smartphones verkauft werden, fast 58 Prozent mehr als im vorangegangenen Jahr. Bis 2015 soll der globale Absatz von Smartphones auf über 1,1 Milliarden Geräte anwachsen.
Trend 2: Mehr als die Hälfte aller in diesem Jahr weltweit verkauften Computing-Devices werden keine PCs oder Notebooks sein, sondern Smartphones, Tablets und Netbooks, prognostiziert Deloitte. Rund ein Viertel aller Tablet-Verkäufe gehe auf das Konto von Unternehmen.
Trend 3: Gartner zufolge werden 2011 weltweit rund 69 Millionen Tablets verkauft. Die Anwender werden dafür rund 30 Milliarden Dollar investieren. Die Prognosen anderer Marktforscher gehen noch weiter. Manche rechnen mit einem Tablet-Absatz von weit über 80 Millionen Stück.
Trend 4: In Deutschland sollen IDC zufolge im laufenden Jahr 2,9 Millionen Tablets verkauft werden (Vorjahr: 790.000). Rund 30.000 Tablet-PCs seien Ende 2010 im Firmeneinsatz gewesen.
Trend 5: Forrester Research taxiert den weltweiten Umsatz mit Apps für Smartphones und Tablets aus dem vergangenen Jahr auf 1,7 Milliarden Dollar. Bis 2015 soll dieser Markt um 82 Prozent jährlich zulegen.
Schritt 3: Auswahl der Security-Technik
Erst wenn alle Sicherheitsanforderungen definiert und in einer Reihe von Policies festgeschrieben sind, sollten die Verantwortlichen an die Auswahl der konkreten Sicherheitslösungen sowohl für den Schutz der mobilen Geräte als auch für die unternehmensweite Infrastruktur gehen. Zu den benötigten Lösungen gehört in erster Linie ein Mobile Device Management (MDM).
Hier empfiehlt es sich, eines zu wählen, das nicht nur reine Managementfunktionen bietet wie etwa Inventory Tracking mit zentraler Registrierung, Bereitstellung und Sperre des Zugriffs auf Netzwerke und Anwendungen sowie eine transparente Kontrolle der Geräte und ihres Zustands. Wichtig sind darüber hinaus auch die nötigen Sicherheitsfunktionen. Diese bauen alle auf einem Inventory- beziehungsweise Asset-Management auf.
Das MDM sollte möglichst alle gängigen mobilen Plattformen absichern können. Zudem ist es von Vorteil, wenn die Lösung in der Lage ist, die Richtlinien für die Mobilgeräte durchzusetzen: Dazu gehören beispielsweise das Herunterladen von Anwendungen auf der Basis von White- und Blacklists, das Bereitstellen und Entziehen von Zugriffsrechten für Netzwerke und Anwendungen oder das Sperren von Funktionen wie Kamera, Bluetooth und SD-Kartenleser. Zu bedenken ist zudem die Tatsache, dass zur Gerätesicherheit auch der Schutz vor Malware gehört.
Mobile Security kann nicht losgelöst von der Unternehmens-Security betrachtet werden: Mobile Geräte sind lediglich weitere Endpunkte, argumentiert Experte Schneider. Das Backend muss ebenfalls mit Firewalls, IDS und Malware-Schutz ausgerüstet sein. Wählt ein Unternehmen eine Virtualisierungsvariante für die mobilen Geräte, so empfiehlt sich für das Backend der Einsatz einer ressourcenschonenden VDI-Sicherheitslösung, die möglichst viele Aufgaben (Aufbringen von Updates, Patches etc.) automatisiert erledigt. Schließlich gilt es noch, den Zugriff auf die Cloud und die benötigten Daten abzusichern, sollen die Benutzer Dienste aus der IT-Wolke in Anspruch nehmen.
Die fünf größten Security-Sünden
Security-Sünde Nr.1 Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).
Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)
Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).
Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).
Die sozialen Netzwerke und die Sicherheit Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).
Die Security-Sünden und die sozialen Medien Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)
Neue Medien und neue Netze bedeuten neue Herausforderungen Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).
Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).
Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)
Warum Antivirus-Software und Firewall definitiv nicht genügen können Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)
Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen? Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).
Security-Sünde Nr.5 Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Die diversen Security-Produkte der Hersteller können ein sicheres Einbinden mobiler Geräte in die Unternehmens-IT nicht garantieren. Entscheidend sind die Planung im Vorfeld und das Aufsetzen von granularen, durchsetzbaren Richtlinien. (Computerwoche)