Kosten, Geräte, Verwaltung
Die richtige ByoD-Strategie finden
Welche Hardware spielt mit?
Die Sicherheit solcher Lösungen hängt auch hier stark von der verwendeten Hardware, dem Betriebssystem und den Apps selbst ab. Dies führt dazu, dass die Apple-Geräte (iPhones und iPads) der letzten Jahre weitaus beliebter bei Firmen sind als Geräte auf Basis von Googles AndroidAndroid. Die Android-Geräte verfügen - abgesehen von den neuesten Geräten von GoogleGoogle - selbst meist nicht über offene Verschlüsselungskomponenten in der Hardware, werden mit veralteten Betriebssystemen ohne Update-Möglichkeit ausgeliefert und die offene Strategie von Google in Bezug auf den PlayStore hat zu einem massiven Malware-Problem geführt. Blackberrys spielen in diesem Kontext meist keine Rolle, da sie nur selten privat beschafft werden. Geräte auf Basis von Microsofts Windows Phone 8 sind noch selten, aber durchaus im Kommen. Alles zu Android auf CIO.de Alles zu Google auf CIO.de
Als Alternative oder Ergänzung zu den mitgelieferten Apps setzen einige Unternehmen auf spezielle Sicherheitslösungen, die einen eigenen verschlüsselten Container für Office-Dokumente oder auch für Firmen-Mails, Kontakte und Kalender mitbringen. Gerade bei Mail-Attachments lässt sich so besser steuern, in welchen anderen Apps die möglicherweise vertraulichen Firmen-Dokumente geöffnet werden können. Wenn nicht nur Attachments in solchen Containern gespeichert werden, sondern auch die Mails, Kontakte und Kalender des Unternehmens, dann hat diese Separierung von privaten und geschäftlichen Daten auch einen deutlichen Nachteil in der Bedienbarkeit. Der Anwender muss immer wieder entscheiden, ob er in die nativen Apps für private Kontakte oder Mails oder in die Container-App gehen muss. Der Sicherheitsgewinn ist dabei nicht so hoch wie er zunächst erscheint, denn auf einem kompromittierten Endgerät kann Malware durchaus auch die Daten aus solchen Containern auslesen.
- Was bei ByoD zu bedenken ist
Frank Nittka, CIO des Filterherstellers Brita, beschäftigt sich derzeit intensiv mit dem Gedanken an eine Tablet-Lösung für das Topmanagement und die mobilen Mitarbeiter. Mit folgenden Fragen muss er sich dabei auseinandersetzen: - Punkt 1:
Wie hoch ist der Wartungs- und Verwaltungsaufwand, den die IT für die Geräte leisten muss? - Punkt 3:
Wie hoch sind die zu erwartenden Verbindungskosten – vor allem mit dem Ausland? - Punkt 4:
Wie lassen sich private und berufliche Daten auf den Tablets trennen? - Punkt 5:
Und wie sind Bezahltransaktionen für Downloads im Detail handhabbar?
Zentrale Verwaltung
Auf Seite der Firmen-Infrastruktur ist auch einiges zu tun, um Smartphones und Tablets sicher zu integrieren. Die erste Anforderung ist typischerweise eine zentrale Managementlösung für mobile Endgeräte. Solche MDM-Lösungen (Mobile Device Management) ermöglichen es, Konfigurationseinstellungen, beispielsweise für den Mail-Zugriff oder die erforderliche Passwortkomplexität zentral zu definieren und in Profilen per Funk auf die verwalteten Geräte zu verteilen. Ohne eine MDM-Lösung ist der Betrieb von mehr als 50 Geräten schlichtweg zu unflexibel und zu umständlich. Die marktüblichen MDM-Produkte unterscheiden sich dabei in den Grundfunktionen kaum, da diese von den Herstellern der Endgeräte durch die Management-Schnittstellen vorgegeben sind.
Neben einer MDM-Lösung werden auch Zertifikate für die Integration mobiler Endgeräte immer wichtiger. Für die Authentisierung bei der Mailzustellung beispielsweise ist es sinnvoll, dies nicht mit einem Domänenpasswort, sondern mit einem Zertifikat zu lösen. Auch beim Zugriff auf Unternehmensapplikationen über einen Web-Browser drängt sich eine SSL-Verschlüsselung und Authentisierung mit Client-Zertifikaten geradezu auf. Dafür benötigen die Unternehmen eine PKI oder zumindest einen CA-Server, der sich mit der gewählten MDM-Lösung integriert.