Access gehört zum Standard - Sicherheit leider nicht
Foto: Giritech
Ob Tablet oder Smartphone, integrierte Connectivity-Verfahren gehören zur Standardausstattung. Von Cloud-Zugriff über VPN bis SSH oder RAS reichen die Möglichkeiten, die dem Anwender grenzenlose Mobilität versprechen und für die IT sprichwörtlich zum Albtraum werden. Mit wenigen Klicks ist das Device - in der Regel an jeder Policy vorbei - direkt mit dem Unternehmensnetzwerk verbunden. Sensible Daten werden im Handumdrehen vom Server auf das Smartphone repliziert, Zugangsdaten inklusive aller Passwörter sind auf dem Mobilgerät abgelegt und entziehen sich dort jeder Kontrolle. Dass dabei unkontrollierte Zugangsverfahren und technisch veraltete Sicherheitsmechanismen keinen ausreichenden Schutz gegenüber Malware, Missbrauch, Datenverlust oder Diebstahl bieten, ist dem technisch wenig versierten Nutzer nicht bewusst.
Glaubt man einschlägigen Studien, gewinnt man den Eindruck, dass die Sicherheitsrisiken beim Einsatz von Mobilgeräten nur durch massives Aufrüsten gelöst werden können: Device-Management, Zugriffsverbote, umfangreiche Policies, Virenschutz mit mobiler Endpoint-Protection, Fernlöschungsmechanismen und zahllose Kontrolloptionen sollen die Risiken reduzieren. Mit dem Nachteil, dass der CIO im Falle von Verlust, Diebstahl, Missbrauch oder Manipulationen in der Verantwortung steht.
Doch es entstehen noch andere Probleme: Einerseits wird die Nutzungsqualität durch die Restriktionen drastisch eingeschränkt, andererseits wird übersehen, dass die Mobilgeräte in der Regel nicht vom Unternehmen, sondern durch die Mitarbeiter selbst gekauft worden sind. Wer neben der Businessnutzung mit seinem Tablet oder Smartphone in sozialen Netzwerken kommuniziert, private Dokumente bearbeitet oder Urlaubsfotos schießt, wird eine Überwachung, Kontrolle oder Beschränkung durch die Firma in der Regel nicht akzeptieren. Doch selbst wenn diese durchgesetzt würde, wer haftet, wenn dadurch die Privatsphäre des Anwenders verletzt wird oder persönliche Daten verloren gehen?
Zwar mag die Anschaffung firmeneigener Mobilgeräte eine verlockende Alternative sein, doch in der Realität möchte niemand mit zwei oder mehr Geräten verreisen und je nach Bedarf hin und her wechseln. Und auch die Vorstellung eine Fernlöschfunktion würde alle Probleme lösen, erweist sich in der Praxis als falsch. Versierte Hacker werden nach dem Diebstahl eines Gerätes immer erst versuchen, die gespeicherten Daten ohne aktive Mobilfunkverbindung abzugreifen. Das schnelle Entfernen der SIM-Karte genügt, um eine Fernlöschung unmöglich zu machen.
Diese Punkte machen deutlich, dass Device-Management und Co. für echte "Bring Your Own Device"-Angebote höchstens eingeschränkt sinnvoll sind.