Sicherheit am Digital Workplace

Kapitulation vor BYOD



Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.

1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.

Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.

Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".

Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
BYOD-Risiken sind heute technisch nicht mehr in den Griff zu kriegen, sagt Gartner. Einzig mögliche Lösung sei, den Mitarbeitern mehr zu vertrauen.
Viele Menschen benutzen privat und beruflich mittlerweile fast so viele unterschiedliche Geräte wie die Mitarbeiter bei Google.
Viele Menschen benutzen privat und beruflich mittlerweile fast so viele unterschiedliche Geräte wie die Mitarbeiter bei Google.
Foto: Google

"Vertrauen ist gut, Kontrolle ist besser", sagte Lenin einst, und der Genosse wusste, wovon er sprach. Unter Revolutionären ist eine gewisse Paranoia sicher nützlich. Unternehmen sollten dagegen einen gänzlich anderen Weg gehen, jedenfalls sagt das Gartner. Die IT-Analysten fordern in ihren "Top SecuritySecurity Trends", mehr als bisher darauf zu vertrauen, dass Mitarbeiter "sich im Umgang mit Unternehmensdaten schon richtig verhalten werden." Alles zu Security auf CIO.de

Was auf den ersten Blick wie ein vernünftiger, sozialer Ansatz wirkt, ist in Wahrheit eine Kapitulation. Vor den vielen Geräten und den noch mehr Anwendungen, die Angestellte jeden Tag mit ins Büro bringen und sie dort wie selbstverständlich auch benutzen wollen. Und Gartner macht aus dieser Kapitulation auch gar kein Hehl. "Die Einrichtung von vollständig digitalisierten Arbeitsplätzen sorgt immer mehr dafür, dass die IT-Abteilungen die Kontrolle über Endgeräte, Anwendungen, ServerServer und das gesamte Netzwerk verlieren", so Tom Scholtz, Gartner Fellow und Vice President. Und: "Durch die schiere Menge an Endgeräten und Zugriffspunkten, die der Digital Workplace mit sich bringt, sowie die immer intelligenteren Cyber-Attacken, werden die klassischen vorbeugenden und kontrollierenden Methoden der IT-Security zunehmend ineffektiv." Alles zu Server auf CIO.de

In kontextbasierte Sicherheitswerkzeuge investieren

Scholtz´ Analyse der Sicherheitslage dürfte vielen Verantwortlichen den Angstschweiß auf die Stirn treiben. Aber weil er für Gartner arbeitet, liefert er die Lösung des Problems natürlich gleich mit: "An einem Arbeitsplatz, der von Consumer-Hardware bestimmt wird, müssen sich Security und ihre Kontrolle auf die Informationsschicht, also auf die Inhalte, konzentrieren."

Klingt ebenso einfach wie einleuchtend. Die Botschaft: Das Gerät ist egal, Hauptsache, der Mitarbeiter stellt mit den Daten darauf keinen Unsinn an. In der Praxis müssten die Unternehmen mehr als bisher in kontextbasierte Sicherheitswerkzeuge investieren, die dann nicht nur für die interne IT zum Einsatz kommen, sondern auch dort, wo es Türen nach außen gibt.

BYOD soll auch die zeitweise Arbeit daheim erleichtern - was mal besser und mal schlechter klappt...
BYOD soll auch die zeitweise Arbeit daheim erleichtern - was mal besser und mal schlechter klappt...
Foto: Iurii Sokolov - Fotolia.com

Also quasi überall, vor allem an den virtuellen Schnittstellen zwischen Privat- und Arbeitsleben. Gartner schreibt dazu: "Der Ansatz des Digital Workplace beinhaltet, dass User mehr als bisher selbst entscheiden können, wie sie Technologien und Informationen nutzen wollen. Und das bedeutet, dass Arbeitgeber mehr darauf vertrauen müssen, dass ihre Angestellten vernünftig und angemessen mit Unternehmensdaten umgehen werden. Gartner glaubt, dass der Erfolg des Konzepts ‚Digital Workplace‘ entscheidend davon abhängt, dass wir dem User stärker vertrauen."

Kontrolle 3.0 - People-centric Security

Allerdings, und an dieser Stelle ist Gartner doch nicht so sehr weit entfernt vom Genossen Lenin, dürfen die Verantwortlichen ihr Vertrauen ruhig mit ein wenig Kontrolle unterfüttern. Und zwar, um im Bild zu bleiben, mit einer Art "Kontrolle 3.0". Gartner-Analyst Tom Scholtz: "Zusätzlich zu systematischen Schulungen, die nachprüfbare Verhaltensregeln vermitteln, sollten Security-Verantwortliche ihre Fähigkeit ausbauen, mit unterschiedlichen Abteilungen zusammenzuarbeiten. Ziel ist dabei, Arbeitsplatzbeschreibungen und Belohnungssysteme so zu modifizieren, dass sie die angestrebten Security-Ziele unterstützen."

Den Ansatz nennt Gartner PCS - People-centric Security. Bei ihm beziehen sich Regeln nicht auf Geräte oder Applikationen, sondern auf das generelle Sicherheitsverhalten des einzelnen Mitarbeiters, völlig unabhängig davon, welche Technik er nutzt.

Mobility Management? Nach Ansicht vier Experten ist diese Aufgabe allein technisch nicht mehr lösbar.
Mobility Management? Nach Ansicht vier Experten ist diese Aufgabe allein technisch nicht mehr lösbar.
Foto: Sergey Nivens, Fotolia.com

Soll sich die Rechtsabteilung doch kümmern

Unternehmen, die Gartners Ansatz folgen, verlagern die Sicherheitsthematik teilweise von der IT- in die Rechtsabteilung. Schließlich bedeutet People-centric Security, trotz großer Betonung großen Vertrauens, nichts anderes, als den Verstoß gegen Regeln mit Sanktionen zu bedrohen.

Was arbeitsrechtlich zu Problemen führen kann, und zwar nicht nur in Deutschland, sondern auch in den nicht eben für rabiaten Angestelltenschutz berühmten USA. Heather Egan Sussmann, Arbeitsrechtlerin in der internationalen Kanzlei McDermott Will & Emery mit Hauptsitz in Chicago, kennt mehrere Fälle, in denen Unternehmen bei der Definition von Verhaltensregeln zu weit gegangen sind. Bisher bezogen sich diese zwar vor allem auf den Umgang mit Sozialen MedienMedien, aber solche Konflikte könnten ebenso gut BYOD-Regeln betreffen, so die Anwältin. Top-Firmen der Branche Medien

Privacy-Regelungen verwirren eher

Interessant ist auch, dass das Gartner-Konzept im Grunde ein Zurückschwingen des Pendels bedeutet: BYODBYOD bedeutete ja früher schon einmal, starre Regeln durch allgemeine Empfehlungen zu ersetzen, an Vernunft, Anstand und Common Sense im Umgang mit Daten zu appellieren. Leider nur waren diese Appelle im Falle von juristischen Auseinandersetzungen oft wertlos und führten beim Thema Privacy eher zu mehr Verwirrung als zu mehr Klarheit. Alles zu BYOD auf CIO.de

Außerdem wurden die guten Vorsätze nach dieser ersten Phase unter Tonnen von Handheld gewordenem Elektroschrott begraben. Was folgte, waren daumendicken Kataloge mit Anweisungen, was wie mit welchem Gerät erlaubt war und was wie womit genau nicht. Anbieter von Mobile Device Management-Lösungen ließen die Korken knallen in Anbetracht solcher Geschäftsaussichten.

Der Geräte- und App-Wahnsinn ist nicht mehr zu bewältigen

Und jetzt - Phase drei - erleben wir Gartners sicher richtiges Eingeständnis, dass der Geräte- und App-Wahnsinn nicht zu bewältigen ist, oder jedenfalls nicht mit Hilfe technischer Lösungen. Deshalb sollen es jetzt die Rechtsabteilungen richten. Und die werden noch mehr zu tun bekommen in Zeiten, in denen das omnipräsente Internet Anwendungen und Technologien zu einem einzigen Brei verrührt.

Neue Probleme bringt das Internet of Things

Die nächste Belastungsprobe für das Verhältnis zwischen Unternehmen und Angestellten beschert uns das Internet of Things, kurz IoT genannt. Was das mit BYOD beziehungsweise dem Digital Workplace zu tun hat? Viel. Denn das vertrauliche Gespräch von Maschine zu Maschine, das ja im Mittelpunkt des IoT steht, findet nicht nur zwischen RFID-Chips und einem Lesegerät statt, nicht nur zwischen der Rohkarosse im BMW-Werk und der Steuereinheit der Produktionsstraße. Sondern Internet of Things, das ist auch die Kommunikation zwischen dem Pulsmesser und der App auf dem iPhoneiPhone während des Joggens. Alles zu iPhone auf CIO.de

Das Dampfbügeleisen als Spion

Die Work-Life-Balance wird durch private Nutzung von Firmenhardware nicht unbedingt besser.
Die Work-Life-Balance wird durch private Nutzung von Firmenhardware nicht unbedingt besser.
Foto: Regus

Wobei dieses Beispiel gleich zwei Probleme anschneidet: Erstens die Frage, wie der betreffende Mitarbeiter seine (Gesundheits-)Daten gegenüber dem Arbeitgeber geheim halten kann und darf. Und zweitens, ob diese Verbindungen von einer Maschine zur anderen für den Arbeitgeber des Joggers nicht zum gefährlichen Einfallstor für Spyware und andere gefährliche Schädlinge werden kann.

Realitätsfern ist ein solches Szenario jedenfalls nicht: Vor einiger Zeit war ein Dampfbügeleisen in den HandelHandel gekommen, das über WLANs in seiner Nähe Spam und Spyware verschickte. Möglich wurde dies, weil chinesische Hacker die Geräte vorher mit einem speziellen Chip präpariert hatten. Top-Firmen der Branche Handel

Unternehmen noch wenig vorbereitet

Nun werden zwar auch in Zeiten des Extrem-BYOD die wenigsten Mitarbeiter Dampfbügeleisen mit ins Büro bringen, aber schon bei nur geringfügig besser kaschierten Angriffen könnten viele Unternehmen überfordert sein. Wie eine aktuelle Umfrage von Spiceworks, einem Hersteller von System Management-Software, unter 440 IT-Verantwortlichen in den USA ergab, bereiten sich nur 29 Prozent von ihnen proaktiv auf Angriffe durch autark agierende Maschinen vor. Und das, obwohl 75 Prozent von ihnen solche Angriffe für eine potenzielle Gefahr halten.

Egal, wie es mit dem wuchernden Geräte-Wahnsinn weitergeht: Für mehr Vertrauen zwischen den Beteiligten werden die Gartner-Vorschläge trotz der kuscheligen Rhetorik kaum sorgen. Dabei wäre das dringend notwendig, denn um ebenjenes Vertrauen ist es beim Thema BYOD nicht gut bestellt. Zu diesem Ergebnis kommt eine aktuelle Untersuchung von Webroot, einem US-Anbieter von Internet Security-Lösungen.

Mitarbeiter wollen keine Sicherheits-App

Dabei war das Studiendesign ebenso einfach wie das Ergebnis eindeutig. Webroot hatte 2000 Angestellten in den USA eine einzige Frage gestellt: "Wenn Ihr Arbeitgeber Sie auffordern würde, eine Sicherheits-App auf Ihrem persönlichen Smartphone oder Tablet zu installieren, würden Sie dies tun?" Fast die Hälfte der Befragten antwortete, dass sie ein Gerät mit einer solchen Sicherheitsanwendung nicht mehr benutzen würden.

Zur Startseite