Spätestens seit dem Bekanntwerden der Schwachstellen in PDF-Dokumenten für Apple-Geräte sind Smartphones auch ein Thema für die Sicherheitsbeauftragten der IT-Abteilung. Jeder Mitarbeiter, der mit seinem iPhone, Blackberry oder Android Einlass ins Firmennetz begehrt, drängt die IT nach Antworten auf einige Sicherheitsfragen.
Die erste Frage ist: Soll es überhaupt eine firmenweite Erlaubnis geben, iPhones, Androids oder mobile Endgeräte mit ganz anderen Betriebssystemen ins Unternehmen zu holen? Und dürfen in diesem Fall die Mitarbeiter auch ihre eigenen Geräte mitbringen?
Wie will ein Unternehmen die unübersichtliche Menge an Geräten unterschiedlicher Betriebssysteme in das Firmennetz und in die Sicherheitsregeln einbetten? Und: Wie kann ein Unternehmen dafür sorgen, dass Sicherheitsbestimmungen auch von solchen Geräten eingehalten werden, die ihm gar nicht gehören?
Tatsächlich beantworten sich manche dieser Fragen von selbst: "Sie kommen", meint zum Beispiel Terrell Herzig, Sicherheitsmanager beim Gesundheitsanbieter UAB Health System mit einer Portion gesundem Fatalismus. Er meint sie alle: iPhones, iPads, Androids ...
Ungeachtet unternehmensweit formulierter Strategien brächten die Mitarbeiter ihre Geräte einfach mit und erwarteten, dass die IT sie ins Firmennetz integriere. Die Nachfrage allein bei UAB sei so gewaltig, dass der CIO eine Task Force eingerichtet habe, um zu klären, wie sein Unternehmen mit den vielen mobilen Endgeräten umgehen soll.
"Wir haben unseren Mitarbeitern geraten, mit dem Kauf eines neuen Geräts solange zu warten, bis wir diese Grundsatzfragen geklärt haben", berichtet Herzig. Es wird wohl nicht lange dauern, denn erst vor ein paar Tagen gab das Unternehmen sein OK zum firmenweiten Gebrauch des iPad.
iPhone & Co: unter Analysten heiß diskutiert
Die Frage, ob und wie (private) Smartphones unterschiedlichster Bauart in Unternehmen ziehen, ist auch unter Beratern und Analysten ein heiß diskutiertes Thema. Kalani Silva von Presidio Network Solutions zweifelt daran, dass sich die Sicherheitsbestimmungen eines Unternehmens überhaupt auf die Vielzahl möglicher Gerätetypen einstellen lassen. Wer es dennoch versuche, so Silva, werde mit Anforderungen an IT und Sicherheit konfrontiert, die den Aufwand nicht lohnen.
Der Blackberry scheint in diesem Zusammenhang in Ordnung zu sein: Das Gerät ließe sich einigermaßen kontrollieren, meint Silva. Bei iPhone und Android sehe das aber schon ganz anders aus - ganz zu schweigen von den Smartphones, die da noch kommen mögen.
Die Erlaubnis, solche Geräte mit ins Unternehmen zu bringen, sei vielleicht von der Hoffnung getrieben, es werde irgendwann möglich sein, diese Geräte sicher zu betreiben. Für die Gegenwart gelte das aber noch nicht.
Andere Analysten teilen die Bedenken, sind aber überzeugt, dass sich das regeln lässt. Der Blackberry sei lange Zeit das Smartphone der Wahl in Unternehmen gewesen, wohl auch, weil der Hersteller RIM sein Marketing für das Gerät entsprechend ausgerichtet habe, meint Aberdeen-Analyst Andrew Borg. Aber der Druck sei enorm, nun auch andere Geräte ins Unternehmen zu lassen, auch, wenn sie die vor allem für Privatanwender gemacht worden seien.
Weniger Smartphone ist mehr
Aberdeen empfiehlt, die Anzahl der für den Unternehmenseinsatz infrage kommenden Smartphones von vorneherein zu begrenzen - neben dem Blackberry würden iPhone und ein Android genügen. Hauptkriterium für die Eignung sei die Verfügbarkeit von Management-Tools für die mobilen Endgeräte. Zudem sei es wichtig zu eruieren, ob sich diese Verwaltungswerkzeuge an die speziellen Sicherheitsanforderungen des Unternehmen anpassen ließen, etwa für das Sperren oder Löschen von Geräten oder das Verschlüsseln von Daten.
Dafür gebe es bereits Lösungen; Aberdeen empfiehlt in einem aktuellen Report solche von Good Technology, Zenprise, Trust Digital (kürzlich von McAfee übernommen), MobileIron, Tangoe und Box Tone.
Die Frage, ob Mitarbeiter ihre eigenen Smartphones mitbringen dürfen, um es gleichermaßen im Unternehmensnetz als auch privat einzusetzen, müsse unternehmensseitig beantwortet werden. Dazu gehörten Abwägungen über Sicherheitsfragen, Kostenvorteile und die Frage, ob sich die Geräte angemessen kontrollieren ließen. Die Antwort wird am Ende aller Wahrscheinlichkeit "Ja" heißen; auch bei Aberdeen hat es sich herumgesprochen, dass immer mehr Unternehmensverantwortlichen mit den Smartphones auflaufen, die schon ihre Kinder cool finden.
"Heterogenität ist einfach eine Realität, der sich die Firmen stellen müssen", meint denn auch David Goldschlag, einer der Vizepräsidenten bei McAfee. Erhebungen seiner Firma hätten ergeben, dass rund ein Drittel der größeren Unternehmen bereit sei, ihren Mitarbeitern die Verwendung privaten Equipments zu gestatten. Gartner-Analyst John Pescatore pflichtet bei: "Es ist so gut wie unmöglich, sich dieser Welle entgegenzustemmen."
Er rät Firmen, die Latte für Sicherheitsbestimmungen und Management nicht zu niedrig zu legen. Es gebe keine Alternative zu zwingenden Vorschriften, etwa Geräte mit Passwörtern vor unbefugtem Zugriff zu schützen, Dateien und E-Mails zu verschlüsseln und zu erlauben, Daten löschen zu können.
Der Schlüssel für den Umgang mit unterschiedlichen Smartphones liege darin, diese Kontrollmechanismen rund um die Verwaltungs-Tools für mobile Geräte zu etablieren, nicht für jedes Gerät einzeln. Noch schaffen das nicht alle der genannten Lösungen, aber es gebe Anlass zur Hoffnung, dass sich das in der nächsten Zukunft ändern werde, meint Pescatore.
Dann werde es vielleicht auch Funktionen wie das Browser-basierte Filtern von Inhalten und Whitelists zur positiven Bestimmung geeigneter Webseiten geben, so der Gartner-Analyst. Zudem würden die Cloud-Angebote der Netzwerkbetreiber dann viel mehr Optionen bieten, die zu den Sicherheitsrichtlinien der Unternehmen passen.
"Nein!" ist nicht die richtige Antwort
Im Forrester-Report "Apple's iPhone and iPad: Secure Enough for Business?" meint auch der Analyst Andrew Jacquith "’Nein!’ ist nicht länger die richtige Antwort". Zwar preist der Report den Blackberry als Gold-Standard für sichere mobile Endgeräte, sieht aber auch für iPhone und iPad die Zeit gekommen. Egal, ob von der Firma angeschafft oder im Privatbesitz: unter bestimmten Bedingungen seien sie in den Unternehmen zuzulassen. Auch Forrester nennt automatische Sperren, das Löschen von Inhalten bei Verlust und Verschlüsselung als Mindestanforderungen.
Bei Geräten im Eigentum der Mitarbeiter sei es nicht wichtig, nach der Marke zu fragen. Vielmehr komme es darauf an, den Funktionsumfang und die Fähigkeiten der Geräte mit den Anforderungen der Unternehmens-IT abzugleichen.
Sicher zu den schwierigsten Themen bei der Frage der Zulassung mitarbeitereigener Geräte gehörten die Rechte des Arbeitgebers, einzelne Geräte zu konfiszieren. Es könne Vorfälle geben, bei denen einzelne Geräte zur Beweissicherung herhalten müssten, etwa bei Strafverfahren. Jacquith empfiehlt Unternehmen für solche Fälle, mit den Mitarbeitern Vereinbarungen zu treffen, dass die Firma in einem solchen Fall das Recht zur Einziehung hat.