Mobilnetze hebeln die IT-Sicherheit aus
Den BYOD-Trend so zu verstehen, dass eben die Zahl der privaten Smartphones und Tablets im Unternehmen zunimmt, ist zu kurz gedacht. Es ist sogar zu kurz gedacht, wenn man auch die privaten Apps auf den mobilen Endgeräten nicht vergisst, sondern ihren Netzwerkzugriff in die Kontrollen einbezieht. Unter Beachtung des Datenschutzes, versteht sich.
Private Endgeräte im Unternehmen bedeuten, dass die Beschäftigten ihre eigene Technologie dabei haben. Deshalb wird auch gerne summarisch von BYOT (Bring Your Own Technology) gesprochen. Dazu gehört insbesondere, dass die Beschäftigten dank mitgebrachter Smartphones auch ins mobile Internet können. Selbst wenn den Privatgeräten der betriebliche Internet-Zugang verwehrt würde: Die Smartphones und Tablets sind schon drin, im Internet.
Über die Brücke ins offene Web
Eine intuitive Antwort auf das Problem könnte lauten: „Na und, was geht das mich an? Solange die Mitarbeiterinnen und Mitarbeiter nicht ihre Arbeitszeit mit privatem mobilen Surfen vergeuden, ist mir das gleichgültig.“ Sollte es aber nicht: Zum einen besteht natürlich die Gefahr, dass sich der mobile Internet-Zugang auf die Produktivität auswirkt, bei der Menge an privaten E-Mails und Facebook-Benachrichtigungen, die man heute so bekommt. Aber auch die Datensicherheit kann bedroht sein, denn die Privatgeräte haben eine Brückenfunktion.
Smartphones können zur Brücke ins Internet werden, und zwar für webfähige Firmengeräte, die aus Sicherheitsgründen eigentlich nicht ins Internet sollen. Das geht ganz einfach, wenn die Firmengeräte eine vom Nutzer aktivierbare WLAN-Schnittstelle haben (was wahrlich keine Seltenheit ist) und wenn die privaten Tablets und Smartphones sich als mobiler WLAN-Zugang anbieten.
Malware durch die USB-Schnittstelle
Damit nicht genug: Wegen der chronischen Akkuprobleme wollen Smartphones und Tablets gerne über USB-Schnittstellen aufgeladen werden, z.B. am Firmennotebook oder am Desktop-PC. Selbst wenn dem Unternehmen die Stromkosten egal sind: Über USB-Verbindungen können vertrauliche Daten abwandern und Schadprogramme auf betriebliche IT sowie unter Umständen auch ins Firmennetzwerk gelangen. Aus dem mitgebrachten privaten Netz und der Entwicklung hin zu BYON wird plötzlich ein betriebliches Netzwerkrisiko.
Teil 1 beginnt mit dem BYOD-Trend (Bring Your Own Device) und rät Unternehmen: strikt verbieten oder ausdrücklich erlauben; eine Duldung ist niemals gut. Teil 2 sieht sich an, was auf den mitgebrachten Privatgeräten alles läuft: Apps zum Zeitvertreib und ohne Sicherheitsvorkehrungen. Auch BYOA (Bring Your Own Application) in dieser Form darf nicht sein. Teil 3 beobachtet, dass das mobile WLAN der mitgebrachten Geräte auch sicherheitsrelevante Firmendatenträger ins Netz holt. Bei BYON (Bring Your Own Network) muss Datensicherheit daher ganz unten ansetzen.
Produktivität kontra Kostensenkung
Natürlich könnte die Nutzung privater Netze auch gewisse Vorteile haben, z.B. geringere Kosten für die Internet-Nutzung, wenn die Beschäftigten ihr eigenes Netz auch zu betrieblichen Zwecken verwenden. Umfragen wie der iPass Global Mobile Workforce Report – Q3 2012 zeigen aber, dass die Mitarbeiter ihre geschäftlichen E-Mails eher nicht abfragen, wenn damit Kosten für sie verbunden sind – was auch verständlich ist. Das spielt z.B. immer dann eine Rolle, wenn die Smartphone-Nutzer im Ausland auf Geschäftsreise sind, wo Roaming-Kosten anfallen, oder wenn sie wider Erwarten keine Datenflatrate nutzen.
Wenn BYON also unter Kostengesichtspunkten gesehen wird, kann das in der Praxis schnell zu Lasten der Mitarbeiterproduktivität und Erreichbarkeit gehen – kein gutes Geschäft. Ebenfalls kritisch kann der Trend für die IT-Sicherheit werden. Lookout Mobile Security z.B. listet BYON bereits unter den sicherheitsrelevanten Themen für 2013.
Fazit: Datensicherheit setzt bei den Daten an
Alle Überlegungen rings um private Geräte, Anwendungen und eben auch Netzwerke führen vom Standpunkt der Datensicherheit aus zu einem wesentlichen Schluss: Es reicht nicht, Geräte, Anwendungen und Netzwerke zu kontrollieren. Es geht um die Sicherheit der Daten, und diese müssen kontrolliert werden. Setzt die IT-Sicherheit auf der Daten- und Dateiebene an, dann sind die BYOT-Entwicklungen wesentlich sicherer zu nutzen – zur Freude der Beschäftigten und der Unternehmen. Dann können Unternehmen auch der von Forrester erwarteten Entwicklung („Prepare For Anywhere, Anytime, Any-Device Engagement With A Stateless Mobile Architecture“) gelassener entgegensehen.
Das heißt aber nicht, dass BYOD, BYOA und BYON keine weitere Beachtung und Regelung brauchen. Hier sind klare interne Richtlinien zu definieren, umzusetzen und zu kontrollieren. Dazu gehört z.B. auch eine Regelung zur möglichen Kostenübernahme durch das Unternehmen und natürlich zur Verwendung passender Sicherheitslösungen für die private Technik, wenn sie betrieblich genutzt wird.
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de