Geschäftliche und private Daten: saubere Trennung nötig
Wichtig ist zudem, dass man die "Consumerization der IT" in den Griff bekommt. Dazu sei eine saubere Trennung zwischen geschäftlichen und privaten Daten auf den Geräten unerlässlich. Ein gutes Gerätemanagement kann laut Jaser durch PIN-Codes und Gerätezertifikate schon einige Sicherheitsrisiken ausschließen. "Ebenso verhält es sich mit dem Applikationsmanagement: Festzulegen, welche Applikationen wann und wie genutzt werden dürfen, ist unerlässlich. Schließlich ermöglicht eine gute MDM-Lösung, die Verfügbarkeit der Unternehmensdaten auf den unterschiedlichen Geräten genau zu definieren."
Die künftigen Herausforderungen für die sichere Nutzung des mobilen Internets sieht Jaser vor allem darin, den automatisierten Informationsaustausch zwischen den Endgeräten im Griff zu behalten. "Machine-to-Machine-Kommunikation ist wichtig, aber diese Prozesse dürfen sich keinesfalls verselbstständigen. Eine weitere Herausforderung wird das Thema Near Field Communication sein."
Künftige Herausforderungen liegen in der Cloud
Christof Baumgärtner, Director und Country Manager DACH von Mobile-Iron, sieht die künftigen Herausforderungen der mobilen Sicherheit vor allem in der Cloud: "Mobiles Internet und die mobile Nutzung von Cloud-basierten Diensten sind eng miteinander verknüpft. Daher wird es zunehmend wichtiger, sicherzustellen, dass wertvolle Daten nicht unkontrolliert in die Cloud wandern, nur weil es für den Benutzer einfach ist. Gegen eine kontrollierte Nutzung von Cloud-Diensten spricht selbstverständlich nichts."
Baumgärtner rät: "Wer seine mobile Strategie nur auf die Anforderungen von heute abstellt, wird in kurzer Zeit vermutlich seine Plattformauswahl revidieren müssen. Wir sehen, dass oft die mobile Nutzung von E-Mail in den Vordergrund gestellt wird, ohne zu bedenken, dass künftig Inhouse Apps grundlegende Geschäftsprozesse mobilisieren werden oder zunehmend Inhalte außerhalb von E-Mail mobilisiert werden müssen. Typischerweise benötigen Unternehmen mittlerweile nicht nur ein sicheres Management von mobilen Endgeräten, sondern, viel wichtiger, von Dokumenten, Apps und deren Inhalten." (rw)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.
Tipps für die sichere Einbindung von BYOD
1. Die Anwendungsfälle für den Einsatz von Privatgeräten sowie die Integration mit Lieferanten- und Partnerprozessen auf Sicherheitsanforderungen bewerten: lokale Datenspeicherung, Verschlüsselung, Weitergaberichtlinien etc.
2. Grundsätzlich ist die Einführung von BYOD für Mitarbeiter ein Thema der Mitbestimmung, in das der Betriebsrat oder die Mitarbeitervertretung einzubinden ist. Klare Anforderungen sind ein wesentlicher Erfolgsfaktor.
3. Im nächsten Schritt muss die passende Lösung im wachsenden Markt der Anbieter identifiziert werden. Cloud-basierte Ansätze, beginnend bei SaaS bis hin zur kompletten Integration von Support, Administration und Betrieb, sind möglich.
4. Bei der Entscheidung für eine Lösung ist zu prüfen, ob und wie sie mit Plattformkonzepten zur Trennung von Arbeits- und Privatwelt (Samsung Knox oder BlackBerry Balance) zusammenarbeitet. Es ist meist sinnvoll, die für BYOD freigegebenen Geräteklassen (iOS, Android ab Version X etc.) zu beschränken.
5. Einige Unternehmensprozesse erfordern weitergehende Security-Compliance (etwa FIPS-140). In diesem Fall kann es notwendig sein, den Partnern und Lieferanten bestimmte Geräte vorzuschreiben. Die BYOD-Lösung muss dies als Richtlinie durchsetzen.
6. Aus rechtlichen und logistischen Gründen können Fremdgeräte nicht direkt (MDM) administriert werden. Lösungen, die einen sicheren Container bereitstellen, ermöglichen durch Mobile-Application-Management (MAM) die nötige Isolation der Geschäftsdaten. Diese Technik hat sich bisher für Desktop-Szenarien (BeraterLaptop) noch nicht durchgesetzt, obwohl sich klare Einsparpotenziale (zum Beispiel bei den Lizenzen) auftun würden.
7. Klärung der rechtlichen Aspekte:
• Nutzungserlaubnis: Die verbindliche Regelung zwischen Arbeitgeber und Mitarbeiter über die Nutzung privater Endgeräte innerhalb und außerhalb des Unternehmens.
• Achtung der Privatsphäre: Das Unternehmen darf keinen Zugriff auf private Daten haben und diese ohne fallbezogene Einwilligung nicht erheben, ändern oder löschen. Das schließt die Fernlöschung eines mobilen Endgeräts bei Verlust aus.
• Steuerliche Behandlung der Nutzung vom Unternehmen überlassener Software auf privaten Geräten und der Bezuschussung von Geräten.
• Urheberrecht: Verbindliche Nutzungsvorgaben und Kontrolle für den Umgang mit privat erworbener Software.
Michael Mohrbacher, Senior Consultant bei Bridging IT