Die Nutzung privater Smartphones und Tablets ist in vielen Unternehmen längst Alltag. Doch mit der Reichweite der mobilen Unternehmensnetze wächst auch ihre Bedrohung durch Sicherheitslücken.
von Uwe Küll, freier Journalist in München
Die Dynamik des Mobile Computing ist ungebrochen. Nach den Erwartungen des BITKOM wird der Markt für mobiles Internet bald das mobile Telefonieren als wichtigsten Umsatzbringer für deutsche Telekommunikationsanbieter ablösen. Das Geschäft mit mobilen Datendiensten legt seit 2009 zweistellig zu, in diesem Jahr voraussichtlich um zehn Prozent auf 9,4 Milliarden Euro, meldet der ITK-Branchenverband aufgrund von Berechnungen seines eigenen Marktforschungsinstituts European Information Technology Observatory (EITO).
Jens Schulte-Bockum vom BITKOM-Präsidium kommentierte im Umfeld des Mobile World Congress: "Deutschland wird zur digitalen Gesellschaft. Im Jahr 2013 stehen die mobilen Datendienste für rund 44 Prozent des deutschen Markts für Mobilfunkdienste. Der Wachstumstrend bei den mobilen Datendiensten wird sich in Zukunft noch weiter beschleunigen." Mit dieser Entwicklung geht die steigende Nachfrage nach Smartphones und Tablet-Computern einher. Der Smartphone-Umsatz legt der Prognose zufolge um ein Viertel auf 8,8 Milliarden Euro zu. Bei Tablets erwartet der BITKOM einen Umsatzanstieg um rund elf Prozent auf 2,3 Milliarden Euro.
Doch was die ITK-Anbieter freut, bereitet den Verantwortlichen in den Anwenderunternehmen Bauchschmerzen. Sie werden nach Ansicht von Experten wie Nicole Dufft, Senior Vice President bei Pierre Audoin Consultants (PAC), von der Entwicklung überrollt. Dabei sind die mobilgerätespezifischen Sicherheitsprobleme alles andere als neu, wie Dufft betont: "Der Hauptunterschied bleibt natürlich, dass die mobilen Geräte einfach verlegt oder gestohlen werden können, was mit einem Desktop-PC doch eher selten passiert."
Auf mobilen Geräten können Daten daher leichter verloren gehen, beschädigt, ausgespäht oder anderweitig missbraucht werden. Ein weiterer zusätzlicher Angriffspunkt in mobilen Netzen sind die drahtlosen Netzverbindungen, die prinzipiell einen leichteren Zugang für Hacker ermöglichen als ein Kabel, das für gewöhnlich physikalisch geschützt verläuft. Auch hier haben potenzielle Angreifer die Möglichkeit der missbräuchlichen Nutzung, Fälschung oder Löschung von Daten und darüber hinaus der Manipulation von Systemen. Dass diese Bedrohungen in vielen Firmen gerade jetzt ins Bewusstsein der Entscheider gelangen, hat nach Ansicht von PAC-Managerin Dufft vor allem mit der veränderten Nutzung des mobilen Internets zu tun: "Bis vor Kurzem war das mobile Internet im Unternehmen wenigen Führungskräften vorbehalten, die es in erster Linie zur Kommunikation per E-Mail nutzten. Jetzt sieht das Szenario plötzlich komplett anders aus. Mit den aktuellen Tablets und Mini-Tablets sind weit mehr Anwendungen möglich. Und die Nutzung dieser Geräte lässt sich nicht auf eine kleine Anwendergruppe begrenzen."
Viele Firmen sind noch nicht auf ByoD vorbereitet
- Was bei ByoD zu bedenken ist
Frank Nittka, CIO des Filterherstellers Brita, beschäftigt sich derzeit intensiv mit dem Gedanken an eine Tablet-Lösung für das Topmanagement und die mobilen Mitarbeiter. Mit folgenden Fragen muss er sich dabei auseinandersetzen: - Punkt 1:
Wie hoch ist der Wartungs- und Verwaltungsaufwand, den die IT für die Geräte leisten muss? - Punkt 3:
Wie hoch sind die zu erwartenden Verbindungskosten – vor allem mit dem Ausland? - Punkt 4:
Wie lassen sich private und berufliche Daten auf den Tablets trennen? - Punkt 5:
Und wie sind Bezahltransaktionen für Downloads im Detail handhabbar?
Im Zweifel bringen die Mitarbeiter einfach ihre private Hardware mit und schaffen Fakten. Sie wollen produktiver arbeiten, was ja auch und gerade dem Unternehmen dient. "Das Problem an dieser Entwicklung ist nur, dass sie viele Unternehmen unvorbereitet trifft und die Entscheider erst jetzt erkennen, dass sie etwas tun müssen", so Dufft. Diese Situation, in der die Anwender die Entwicklung der Unternehmens-IT vorantreiben, ist für die handelnden Personen in den ITK-Abteilungen der Unternehmen, aber auch für deren externe Dienstleister neu. Das zeigte sich in den ersten Reaktionen: Die reichten vom Totalverbot privater Endgeräte im Unternehmen - was in der Regel nicht dauerhaft durchsetzbar ist - bis zum Bring-Your- Own-Device-Ansatz.
Doch BYOD birgt Risiken, wie Michael Mohrbacher, Senior Consultant bei Bridging IT, betont. Er warnt: "Die organisatorischen Aufwände des Projekts sind bei Bring Your Own Device in der Regel höher als die technologisch bedingten. Es gibt wenig Rechtssicherheit aufgrund fehlender Rechtsprechung und Referenzen zu diesem jungen Themenkomplex." Das Information Security Forum (ISF) bezeichnet die Consumerization der IT in seinem Security Threat Horizon 2015 gar als eine der gefährlichsten Bedrohungen für die IT-Sicherheit in Unternehmen. Die Gefahr durch Trends wie Bring Your Own Cloud (BYOC) und BYOD besteht einerseits darin, dass Technologien eingesetzt werden, ohne vorher ausreichend getestet worden zu sein. Andererseits werden Informationen häufiger dupliziert, an immer mehr Stellen abgelegt oder sind über immer mehr Devices zugänglich. Unternehmen verlieren dadurch leicht den Überblick und bieten Angreifern mehr Angriffsmöglichkeiten.