Mobile Security: iPad und Co. fordern CIOs heraus Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


04.12.2011 Susanne Franke*

Mobile Security: iPad und Co. fordern CIOs heraus

Der Siegeszug privater mobiler Geräte am Arbeitsplatz birgt massive Security-Risiken. Wer sie eindämmen will, sollte schrittweise vorgehen.

Der neue Begriff "Consumerization" wurde von Gartner geprägt und benennt den Trend zur Vermischung privater und beruflicher IT-Nutzung. Anwender sind heute technikversierter denn je und haben ihre persönlichen IT-Vorlieben. Deshalb wollen sie ihre Android-Geräte, iPhones, iPads oder andere Tablets auch für die beruflichen Aktivitäten nutzen.

Dieser Trend verändert die Arbeitsweise der Unternehmens-IT rasant und nachhaltig. In Sachen IT-Security bringt er eine neue Mischung aus strategischen und operationalen Herausforderungen mit sich. Der Grund: Es droht eine Anarchie, denn die neuen Endbenutzertechniken sind sehr heterogen und oft über das ganze Unternehmen verteilt im Einsatz.

Außerdem treiben die Anwender diese Innovationen auf eigene Faust, ohne dabei auf zentrale IT-Pläne oder vorhandene IT-Richtlinien zu achten. Sie beschaffen sich ihre eigenen Dienste, installieren ihre eigenen Anwendungen und finden zum Teil sehr kreative und auch entsprechend unsichere Wege, Verbindungen zum Unternehmensnetzwerk aufzubauen, um auf ihre E-Mail, Verzeichnisse und geschäftliche Daten zuzugreifen.

Sind nun die Arbeitgeber bereit, sich ins Unvermeidliche zu fügen und die geschäftliche Nutzung der vielfältigen privaten Ressourcen zu erlauben, so stehen CIOs und andere IT-Verantwortliche vor der schwer lösbaren Aufgabe, dem "kreativen Chaos" Einhalt zu gebieten und die Sicherheit der IT zu gewährleisten.

SICHERHEIT VS. USABILITY Dabei haben sie prinzipiell vor allem zwei Herausforderungen zu bewältigen: Zum einen gilt es, das Management der privaten Endgeräte so aufzusetzen, dass eine komfortable und produktive Nutzung der Geräte gewährleistet ist, aber gleichzeitig auch die Sicherheitsrisiken, denen die mobilen Devices ausgesetzt sind, minimiert werden.

Die zweite Aufgabe besteht darin, geschäftskritische Unternehmensdaten zu schützen. Eine der größten Gefahren stellt der Verlust von Laptops und Mobiltelefonen dar, auf denen wichtige Daten lagern, die damit in die falschen Hände geraten können. Des Weiteren können Geschäftsdaten über privat genutzte Anwendungen nach draußen gelangen, etwa wenn ein User sie via Web-Mail, Instant Messaging oder andere Kanäle versendet, die nicht zur Unternehmens-IT gehören.

Eine weitere Gefahr droht, wenn Schadsoftware oder infizierte Daten über solch "gemischt genutztes" Gerät ins Unternehmensnetzwerk eingeschleust wird, etwa wenn der Anwender in einer ungesicherten Umgebung surft. Schließlich kann auch ein privat genutzter Dienst aus der Cloud zur Bedrohung werden.

"Um alle Aspekte dieser vielfältigen Gefahren in den Griff zu bekommen, ohne den Anwendern das Arbeiten unmöglich zu machen, bedarf es eines strategischen Ansatzes", erklärt Udo Schneider, Solutions Architect bei Trend Micro. Dafür sollten Manager und Fachabteilungen bei der Ausarbeitung eines unternehmensweiten Plans und entsprechender Richtlinien zusammenwirken. Nur so ließen sich alle Aspekte beim Einsetzen und Verwalten privater Endgeräte im Arbeitsalltag einbeziehen. Der Experte rät zu einem schrittweisen Vorgehen, wobei die konkrete Auswahl der technischen Lösungen erst ganz am Ende steht.

SCHRITT 1: BESTANDSAUFNAHME DER GERÄTE UND DES BEDARFS Am Anfang sollte eine Bestandsaufnahme der im Unternehmen genutzten mobilen Geräte und der darauf laufenden Anwendungen (Mail, Präsentationssoftware, Kontakte etc.) stehen. Dazu gehören auch die involvierten Firmendaten. Zudem empfiehlt es sich, die innovativen User über ihre nützlichsten Anwendungen und Geräte zu befragen, um bei Bedarf auf diese Erfahrungen zurückgreifen zu können.

Nicht alle Anwender haben den gleichen Bedarf an Mobilität, Information oder Kommunikation. Daher kann es hilfreich sein, Nutzerprofile zu erstellen und die Anwender in entsprechende Gruppen zusammenzufassen, empfiehlt Schneider. Für diese gelten dann bestimmte Richtlinien, die etwa den Zugriff auf Unternehmensanwendungen, Messaging oder Kalender regeln. Auch müssen ihre Geräte bestimmten Sicherheitsanforderungen genügen.

In dieser Phase gilt es auch festzulegen, welche Geräte und Technologien unterstützt und welche nur geduldet oder untersagt werden. Hat sich ein Unternehmen für den Weg der Anwenderorientierung der IT entschieden, so sollte es auch alle mobilen Geräte unterstützen. Die Nutzer werden es nur schwerlich akzeptieren, wenn ihr persönliches Gerät aus welchen Gründen auch immer nicht unterstützt wird, so der Security-Fachmann.

SCHRITT 2: AUFSETZEN VON RICHTLINIEN Die Entscheidungen innerhalb der ausgearbeiteten Sicherheitsstrategie sollten im nächsten Schritt in Form von Unternehmensrichtlinien festgehalten werden: Diese beziehen sich auf die Art der Nutzung privater Geräte und die Bereitstellung entsprechender Anwendungen. Weitere wichtige Aspekte sind die Trennung von privaten und geschäftlichen Daten auf den Geräten, das Festlegen der erlaubten Netzwerke, Rechte und Pflichten der Anwender (etwa verpflichtende Installation von Updates), Level der Verwaltung und Kontrolle dieser Devices und die Haftung im Falle des Verlusts.

Eines der zu lösenden Grundprobleme bei der Nutzung eines Geräts sowohl für private als auch geschäftliche Zwecke stellt die notwendige Trennung der privaten von den Unternehmensdaten dar, warnt Schneider. Dies ist sowohl rechtlich als auch sicherheitstechnisch von Bedeutung. Es stellt sich unter anderem die Frage, inwieweit ein Unternehmen auf dem Arbeitnehmer-eigenen Gerät sicherheitstechnische Maßnahmen durchsetzen darf.

Geht ein Gerät verloren, so können die Daten mit einem so genannten "Remote Wipe" unter Umständen gelöscht werden - leider meist einschließlich der privaten. Das wiederum wäre ein Eingriff in die Privatsphäre des Besitzers. Die Lösung des Problems kann aber auch nicht immer in einem Verbot der Speicherung von Geschäftsdaten auf dem mobilen Gerät liegen, denn dann wäre es auch nicht möglich, offline zu arbeiten.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • mic customs solutions (Gruppe)

    mic customs solutions (Gruppe) Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr

Hosted by:    Security Monitoring by: