CIO-Round-Table Mobile Security
"Mit Mobile wird der CIO zum Getriebenen"
Mobile Devices? Für die Teilnehmer an unserem aktuellen CIO-Roundtable - Thomas Schott, CIO bei der Rehau AG, Sebastian Broecker, Chief Information Security Officer (CISO) bei der Deutsche Flugsicherung (DFS) GmbH, sowie Christof Meier, Head of Corporate IT bei der Gauselmann-Gruppe - ist dies kein neues Thema. Teilweise beschäftigen sie sich mit Mobility und den damit verbundenen IT-Facetten bereits seit vielen Jahren.
War die SecuritySecurity anfangs für die IT-Verantwortlichen in der "Blackberry-Zeit" kaum ein Thema, so änderte sich dies vor vier bis fünf Jahren mit dem Siegeszug des iPhones. Ein Grund hierfür dürfte sicher sein, "dass die Executives bei Problemen mit ihren Devices eher zur Tochter oder zum Sohnemann gehen als zur IT-Abteilung", wie CIO Schott resümiert. Letztlich sehen sich die CIOs mit einer neuen Herausforderung konfrontiert, auf die sie reagieren müssen, "denn wer das Thema Mobile Security aussitzt, der wird ausgesessen werden", warnt etwa Hagen Rickmann, Geschäftsführer Sales bei T-Systems. Gleichzeitig sieht er im Thema Mobile aber auch ein Chance für die CIOs, "denn sie werden wieder als verlässliche Partner gebraucht, um die Security zu gewährleisten", wobei der CIO in den Augen Rickmanns beim Thema Mobile zum Getriebenen wird. Alles zu Security auf CIO.de
- Roundtable-Diskussion ...
... in den Räumen der CIO-Redaktion - Christof Meier, Head of Corporate IT bei der Gauselmann Gruppe:
"Das Tablet wird auf vielen Ebenen den Laptop als mobiles Arbeitsgerät ablösen." - Sebastian Broecker, CISO der Deutschen Flugsicherung:
"Die Digital Natives sind oft Digital Naives, die unreflektiert auch Interna auf Facebook posten." - Thomas Schott, CIO von Rehau:
"Heikle Daten haben grundsätzlich nichts auf einem Mobile Device verloren." - Sebastian Broecker, Christof Meier und Thomas Schott (von links)
- Hagen Rickmann, Geschäftsführer Sales bei T-Systems
- Encryption App:
T-Systems bietet einen kostenlosen Test für die Verschlüsselung von mobilen Gesprächen und Messaging an. Die Lizenzen für 20 Endgeräte sind einen Monat lang umsonst, die Nutzung für den Anwender laut Herstellerangabe intuitiv. Mehr Info unter mobile-enterprise@telekom.de - Sebastian Broecker, Christof Meier und Thomas Schott (von links)
1000 neue Apps am Tag
Zudem hält es Rickmann für einen Trugschluss, dass es eine hundertprozentige Sicherheit geben könnte. "Sie können als IT-Verantwortlicher nur versuchen, möglichst nahe an den Zenit des Verbrechens zu gelangen." Die Bedenken in Sachen Security teilt auch DFS-CISO Broecker und fordert zum gesunden Misstrauen gegenüber AppleApple auf, "denn 1000 neue Apps pro Tag, die kann auch Apple nicht kontrollieren". "Letztlich räumt der User den Apps alles an Rechten ein", trauert Broecker der sicheren BlackBerry-Zeit hinterher, "denn diese Devices waren noch für das Business konzipiert, während Apple und Co die Consumer im Visier haben." Alles zu Apple auf CIO.de
Letztlich waren sich die Diskussionsteilnehmer einig, dass die eigenen Mitarbeiter eine große Fehlerquelle in Sachen Security sind, und CIO Schott regte an, die Mitarbeiter zu schulen, um sie für einen vertrauensvollen Umgang mit Daten zu sensibilisieren. Allgemein sieht man in der digitalen Fahrlässigkeit der Mitarbeiter eine Gefahr, oder wie es CISO Broecker formulierte: "Die Digital Natives sind oft Digital Naives, die unreflektiert auch Interna auf FacebookFacebook posten." Des Weiteren fürchtet Broecker private Apps, die von Mitarbeitern entwickelt werden, da diesen häufig die erforderlichen Security-Maßnahmen fehlten. Alles zu Facebook auf CIO.de
Sebastian Broecker, CISO der Deutschen Flugsicherung: "Die Digital Natives sind oft Digital Naives, die unreflektiert auch Interna auf Facebook posten." |
Unisono vermissen die IT-Fachleute mit Blick auf die Sicherheit die BlackBerry-Zeit, auch wenn eingeräumt wird, dass Browser und selbst Mail-Client nicht mehr auf der Höhe der Zeit sind. "Der BlackBerry war einfach für den Business-Einsatz konzipiert", so Meier, "bei den heutigen Smartphone-Playern spielt das Business nur die zweite Geige." Bei allen dreien hat in den Unternehmen das iPhoneiPhone den BlackBerry abgelöst, wobei sich die Begeisterung im Umgang mit iOS teilweise in Grenzen hält. So ärgert sich etwa IT-Leiter Meier darüber, dass Apple noch immer Probleme im Umgang mit Mail-Anhängen bei Notes hat oder er keine Chance hat, als IT-Verantwortlicher Updates für die Geräte zu sperren. Alles zu iPhone auf CIO.de
Schott dagegen gewinnt der iPhone-Welt auch positive Aspekte ab: "So verarbeiten die Geräte etwa Zertifikate, was bei Windows Phone nicht möglich ist." Letztlich hinkt MicrosoftMicrosoft für Schott dem Markt deutlich hinterher, und er ergänzt: "Die Anschaffungskosten für Apple sind in Ländern mit deutlich niedrigerem Gehaltsniveau im Vergleich sehr hoch." Ein No-Go ist für alle drei derzeit Android, denn ihnen ist das Betriebssystem Stand heute noch zu unsicher. "Zudem gibt es das Android ja nicht, denn jeder Hersteller schraubt daran herum", bringt CISO Broecker die Zurückhaltung der Manager auf den Punkt. Alles zu Microsoft auf CIO.de
Skepsis gegenüber Apple
Doch bei aller Begeisterung für das Apple-Universum gibt es auch hier Bedenken in Sachen Sicherheit. CIO Schott fragt sich, ob "heikle Daten nicht grundsätzlich nichts auf einem Mobile Device verloren haben." Eine Einschätzung, die alle Diskussionsteilnehmer gerne in der Praxis umsetzen würden - nur die nahe Zukunft dürfte in vielen Unternehmen anders aussehen, wie Meier skizziert: "Das Tablet wird auf vielen Ebenen den Laptop als mobiles Arbeitsgerät ablösen."
Christof Meier, Head of Corporate IT bei Gauselmann: "Das Tablet wird auf vielen Ebenen den Laptop als mobiles Arbeitsgerät ablösen." |
Mit Blick auf diese Erkenntnis ist bei den IT-Entscheidern fast schon Resignation auszumachen, denn sie wissen einerseits um die Gefahren mobiler Endgeräte und müssen sich andererseits der Realität stellen, dass zumindest auf der Management-Ebene TabletsTablets und SmartphonesSmartphones im beruflichen Umfeld nicht mehr aufzuhalten sind. Letztlich müsse sich jedes Unternehmen die Frage stellen, so Meier, "welche Bedrohungsszenarien es gibt und wie der Datenfluss so getrennt werden kann, dass heikle Daten ein sicheres Umfeld erst gar nicht verlassen". Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de
Ein Anspruch, den die Manager sowohl an Notebooks und Smartphones als auch an Tablets stellen, denn in der Praxis mussten sie feststellen, dass zwar eher Notebooks "vergessen" werden, dafür aber Smartphones und Co. gefährlich sind, da sie fast überall und immer online sind und Daten austauschen. Hier stellt sich die Frage, ob die Geräte unterwegs wirklich Vollzugriff auf die Unternehmensdaten benötigen oder ob nicht der lesende Zugriff genügt, da in den Apps der Content bearbeitet wird. Im Gegensatz zum heute meist üblichen Device-Management würde dies eher in Richtung Mobile Application Management gehen.
In der Praxis setzt Meier etwa Afaria von SAP in Kombination mit einer Security-Lösung von Cisco auf Zugriffsebene ein, während man bei der DFS auf eine strikte Trennung von Produktivnetz (Flugsicherung) und Office-Netz setzt. Schott bei Rehau setzt wiederum beim Mobile-Device-Management auf MobileIron.
Gleichzeitig könnten sich aber auch alle einen virtuellen Client, der losgekoppelt von der Hardware ist, auf den Endgeräten vorstellen, denn seit den Snowden-Enthüllungen ist das Misstrauen gegenüber US-amerikanischen IT-Anbietern groß. Zudem hätte eine solche Lösung für den einen oder anderen zudem den Charme, dass er so - trotz knapper Ressourcen - eine Chance hätte mit der Dynamik des mobilen Sektors mitzuhalten. "Die Innovationszyklen treiben uns den Schweiß auf die Stirn, hinzu kommt noch der Druck der User", unterstreicht CISO Broecker.
Thomas Schott, CIO von Rehau: "Heikle Daten haben grundsätzlich nichts auf einem Mobile Device verloren." |
Eher resigniert stellt denn auch CIO Schott fest, dass "ein bis zwei Endgeräteplattformen beherrschbar sind, wir aber nicht jede ,Kiste' selbst schützen können." Schott ist deshalb auch für alternative Ansätze offen, die ihm etwa eine Security-as-a-Service auf Device-Ebene offerieren und dabei jedes Device integrieren, um so den Gesamtverband zu schützen. Ein Gedanke, der mit Blick auf das Internet of Things oder IndustrieIndustrie 4.0 wohl in nächster Zeit noch an Bedeutung gewinnen dürfte. Top-Firmen der Branche Industrie
Zauberwort "Opt-in"
Unter dem Strich, so ist T-Systems-Manager Rickmann überzeugt, "steuern wir auf eine Wertediskussion in Sachen Security und Daten zu. Das Zauberwort wird dabei Opt-in heißen, und es ist unser aller Aufgabe, die entsprechende Transparenz herzustellen, was mit den Daten geschieht." Eine Diskussion, die uns eventuell schneller ereilt, als uns lieb ist, wenn man etwa Apples neues mobiles Betriebssystem iOS 8 betrachtet und schaut, welch sensible Daten dort die neue Health-App erfasst und speichert.