«Bring Your Own Device» steht auf der Wunschliste vieler Mitarbeiter und damit auch auf der Agenda vieler CIOs. Eine Gesamtbetrachtung der Chancen, Risiken und Lösungsansätze bringt Transparenz in dieses Trendthema.
Security agility- dynamic policy creation and rollout
«BYOD» – Chancen, Risiken und Lösungsansätze
1. «BYOD» – Chancen, Risiken und Lösungsansätze
Dominique C. Brack Senior Security Consultant bei United Security Providers.
BYOD – mehr dazu am www.security-podium.ch vom 3. April im Schloss Au
«Bring Your Own Device» steht auf der Wunschliste vieler Mitarbeiter und damit auch auf
der Agenda vieler CIOs. Eine Gesamtbetrachtung der Chancen, Risiken und Lösungsansätze
bringt Transparenz in dieses Trendthema.
Bring Your Own Device (BYOD) ist ein simples Konzept: Die Mitarbeiter bringen ihre
eigenen Geräte mit zur Arbeit und erhalten die nötigen Zugriffe auf die entsprechenden
Ressourcen. Die IT-Abteilung wird von der Verwaltung und Fehlerbehebung von Endgeräten
befreit. Sie kann sich auf andere Aufgaben und strategische Initiativen fokussieren. Wem ist
es nicht schon so ergangen? Im privaten Bereich geht Kommunikation und
Informationsaustausch so leicht von Händen, aber im Büro plagt man sich mit nicht
performanter Hardware oder veralteter Software rum. Wer verzichtet schon gerne bis nach
Arbeitsschluss auf die vielen Funktionalitäten seines Smartphones oder Tablett-PC‘s? Der
Technology- und Produktivitäts- Graben zwischen privaten Endgeräten und der IT-
Infrastruktur in der Firma ist allgegenwärtig. Keiner verzichtet bis nach Arbeitsschluss gerne
auf die vielen Funktionalitäten seines Smartphones oder Tablet-PCs. Denn was im Privatleben
Vorteile bringt, soll auch im Geschäft Nutzen stiften. Die Forderung nach der Nutzung der
eigenen Geräte für Geschäftszwecke wird daher immer lauter beim Namen gerufen: Bring
Your Own Device, kurz BYOD. Eine BYOD-Strategie kann helfen, diesen Graben zu
schliessen. Sie kommt den Bedürfnissen der Mitarbeiter nach und ermöglicht gleichzeitig eine
verbesserte Mobilität und höhere Produktivität. Diese Faktoren erhöhen die
Mitarbeiterzufriedenheit. Moderne Unternehmen versuchen stetig, Ihren Mitarbeitenden ein
noch motivierenderes und attraktiveres Arbeitsumfeld zu bieten. Für die heranwachsenden
Generationen ist eine hohe Mobilität und Flexibilität Standard.
Vorteile, Chancen und Risiken
Eine BYOD-Strategie hat für beide Seiten Vorteile: Die Mitarbeitenden geniessen mehr
Arbeitskomfort, erhöhte Mobilität und Flexibilität. Auf der IT-Seite entfallen
Anschaffungskosten für Hardware, die durch wesentlich tiefere und gut kalkulierbare
jährliche Equipment-Pauschalen an die Mitarbeitenden abgelöst werden. Auch die Kosten für
Wartung und Support sinken massiv. Ausserdem kann die IT so Schritt für Schritt stabile
Strukturen für die Zukunft schaffen.
Die Risiken des Mitmachens
Dennoch stellt sich hier die Frage nach den Risiken, die für die Unternehmen durch ihre
Einbindung ins Web 2.0, durch die Nutzung von Facebook und Twitter, von YouTube und
Xing, entstehen. Schliesslich ist die Welt nicht besser geworden, nur weil es Web 2.0 gibt;
auch wenn es manchem Protagonisten so erscheint. Technische und "soziale" Gefahren lauern
auch im Web 2.0 an jeder Ecke. Dabei ist ein grundlegender Aspekt wichtig: Das Web 2.0 ist
keine Technologie, sondern eine andere Art, die bekannten Technologien zu nutzen. Die zu
Grunde liegenden Techniken sind seit langem bekannt und werden nur neu kombiniert und
anders eingesetzt. Die für das Web 2.0 typische Technik, die die unerlässliche Interaktivität
ermöglicht, wird daher auch in ganz anderen Anwendungen verwendet. In rein technischer
Hinsicht gibt es für Unternehmensnetze deshalb keine Gefahren, die ausschliesslich das Web
2. 2.0 und Social Media betreffen. Das Web 2.0 teilt mit dem gesamten Web die technische
Grundlage und damit zwangsläufig auch die technischen Risiken. Wer also Unternehmen über
seine Web-2.0-Auftritte angreifen will, was heute überwiegend in kommerzieller Absicht
geschieht – die Zeit der Spass- und Profil-Hacker ist vorbei – der wird sich der bekannten und
häufig angetroffenen Sicher-heitslücken der Web-Applikationen bedienen. Er wird also zum
Beispiel Schwachstellen wie DoS (Denial of Service), Cross Site Scripting (XSS), lückenhafte
Fehlerbehandlung oder Pufferüberlauf nutzen, um sich Zu-gang zu einem System zu
verschaffen. Wer umgekehrt seine Hausaufga-ben in Sachen Web-Sicherheit gemacht hat, der
muss sich auch wegen Web 2.0 keine Sorgen machen.
«BYOD wird sich auf die eine oder andere Art durchsetzen. Die IT muss lernen, mit
solchen Veränderungen umzugehen»
Dazu gehört etwa der Aufbau eines optimalen Netzwerk-Zonen-Konzepts, ein zuverlässiges
Identitätsmanagement und eine flächendeckende Port-Security im Access-Bereich. Aus
Unternehmersicht ist BYOD ein attraktives Thema, weil die Effizienz der Mitarbeitenden
steigt und die Aufwände der IT – langfristig gesehen – stark sinken. Beides wirkt sich positiv
auf die Erfolgsrechnung des Unternehmens aus. Kein Zweifel, BYOD birgt auch Risiken. Die
Nutzung der Firmeninfrastruktur mit privaten Geräten wirft traditionelle Sicherheitskonzepte
über den Haufen und erzwingt eine Anpassung der IT-Sicherheitsstrategie und der
Datenschutzrichtlinien an heutige wie zukünftige Anforderungen. Im Normalfall sind die
Mitarbeitenden auch nicht genügend für die Sicherheitsthematik sensibilisiert. Fehlende
Backups oder die Infektion der Geräte mit Malware und Viren können das Firmennetz
gefährden, und vertrauliche Informationen in E-Mails schneller in falsche Hände geraten
lassen.
Strategie zur Umsetzung
Das Thema BYOD muss aus mehreren Perspektiven angegangen werden. Dazu bietet sich die
Gliederung in Strategie, Organisation und Technik an. Dank der Aufteilung in diese drei
Bereiche lässt sich die Umsetzung leichter überblicken und – idealerweise im Rahmen einer
BYOD-Task-Force – auf mehrere Schultern im Unternehmen verteilen. Im Bereich Strategie
steht die Aufnahme des Themas in die Agenda des Unternehmens an erster Stelle. Zur
Darstellung und Abwägung der finanziellen und nicht-finanziellen betriebswirtschaftlichen
Konsequenzen drängt sich die Erstellung eines Business Cases auf. Eine Kosten-Nutzen-
Analyse liefert die Antwort auf potenzielle Ersparnisse. Auch rechtliche Aspekte müssen
frühzeitig geprüft werden. In die Disziplin Organisation fällt die Prüfung und Anpassung von
Richtlinien und Reglementen. Zunächst sollte eine fundierte Bedarfsanalyse den Sinn des
BYOD-Vorhabens stützen. Anschliessend kann ein Proof of Concept mit IT-affinen
Mitarbeitenden gestartet werden.
Technische Voraussetzungen
Die technische Dimension ist für die erfolgreiche Umsetzung einer BYOD-Strategie zentral.
Die effektive technische Umsetzung sollte aber erst angegangen werden, wenn aus
organisatorischer Sicht die Voraussetzungen erfüllt sind, ein einheitliches Verständnis für
BYOD besteht und im Unternehmen eine klare Strategie vorliegt. Nur so können am Ende die
bevorstehenden Herausforderungen bezüglich Komptabilität, Konnektivität, aber auch punkto
Sicherheit gemeistert werden. Aus einer Vielzahl von Lösungsansätzen gilt es, den für das
eigene Unternehmen passendsten auszuwählen. Dieser wird sich in den allermeisten Fällen
aus einer Kombination mehrerer sich ergänzender Komponenten zusammensetzen. Dazu
3. gehören zum einen die diversen Netzwerkanbindungen über EDGE, UMTS, DSL, WLAN
oder weitere Techniken. Ein wichtiger Aspekt ist die Auswahl der geeigneten
Authentifizierungsmethoden, etwa eine tokenbasierte Zwei-Faktoren-Authentifizierung für
externe Zugriffe. Die Datenübertragung kann beispielsweise über integrierte VPN-Protokolle
und SSL/TLS abgesichert werden. In vielen Fällen kann der Einsatz von Terminal Services
oder der Aufbau einer Virtual-Desktop- Infrastruktur (VDI) sinnvoll sein. Bestehende
virtuelle Desktops können auch offline genutzt werden, indem das Image lokal gespeichert
und ausgecheckt wird. Die Daten werden dann bei der nächsten Verbindung mit der
Unternehmensinfrastruktur synchronisiert. Ohne Verbindung zum Server wird ein Offline-
Desktop nach einer vordefinierten Zeit inaktiv. Auch kann die Evaluation einer Network-
Access-Control-Lösung (NAC) am Anfang stehen. Ein ausgereiftes NAC kann mit seinen
Funktionalitäten dabei helfen, die Herausforderungen punkto Sicherheit bei BYOD zu
bewältigen.
Compliance und Rechtliche Aspekte (Wo ist der Hacken?)
Hier ist der Haken. Der Prüfungsausschuss, die C-Suite, und gleichermassen die Mitglieder
des Audit Komitees – während sie selbst fröhlich auf ihren iPads E-Mail bearbeiten – stellen
fest, dass wenn die Mitarbeiter ihre eigenen Geräte benutzen, um auf
Unternehmensressourcen zuzugreifen, dies ein erhebliches Sicherheits- und Compliance
Risiko darstellt. Was, wenn kein Passwort aktiviert ist oder das Gerät beim nächsten Business
Lunch liegen gelassen wird? Was ist, wenn nicht-öffentliche Daten über Dropbox
synchronisiert werden? Was ist, wenn ein unsicheres WLAN am Flughafen genutzt wird?
Dies sind nur einige der Aktivitäten, die vertrauliche Daten gefährden können und die das
Unternehmen und die Compliance gefährden. Das grösste Problem stellt die nicht
„Nachvollziehbarkeit“ dar. Wer sich mit den rechtlichen Aspekten und Compliance
auseinandersetzt, wird nicht darum herumkommen, sich mit Mobile Device Management
Software (MDM) vertraut zu machen. MDM hilft bei den folgenden Tasks:
• Software Distribution - Die Fähigkeit zur Verwaltung und Unterstützung von mobilen
Anwendungen bereitstellen, installieren, aktualisieren, löschen oder sperren.
• Policy Management – Entwicklung, Steuerung und Betrieb der Enterprise Policy.
• Inventory Management - Neben grundlegenden Bestandsführung, Provisionierung und
Support.
• Security Management - Die Durchsetzung von Standard-Device-Sicherheit, Authentisierung
und Verschlüsselung.
Nebst den technischen Herausforderungen gilt es folgende rechtliche Aspekte zu
berücksichtigen:
• Arbeitgeber und Arbeitnehmer können sich problemlos einigen, dass der Mitarbeiter die
Geräte selber zur Verfügung stellt.
• Der Arbeitgeber muss dem Arbeitnehmer eine angemessene Entschädigung bezahlen.
• Wer übernimmt die Amortisationskosten?
• Für die Privatnutzung anteilmässige Aufteilung der Kosten für das Gerät zwischen dem
Arbeitgeber und dem Arbeitnehmer.
• Wer Personendaten bearbeitet, ist verpflichtet, die Bestimmungen des Datenschutzgesetzes
einzuhalten.
• Es sind technische und organisatorische Massnahmen zu ergreifen, damit die Personendaten
vor unbefugtem Zugriff geschützt sind.
• Den Arbeitnehmer verpflichten, alle geschäftlichen Daten bei Beendigung des
Arbeitsverhältnisses zu löschen.
4. Das weitere Vorgehen
Folgende Punkte können Sie in ihrem weiteren Vorgehen unterstützen.
Strategisch:
• Thema in Agenda/ Radar aufnehmen
• Rechtliche Aspekte klären
• Business Case definieren
• Potential Kostenersparnis
• Kosten/Nutzen (ROI)
Organisatorisch:
• Richtlinien prüfen/erstellen
• Proof of Concept umsetzen
• Bedarfsanalyse erstellen
• Inventarisierung
• IT-affine Mitarbeiter/Innen
Technisch:
• Network Access Control(NAC) evaluieren und einführen
• Mobile Device Management evaluieren und einführen
• Dynamic VLAN Routing
• Remote Wiping
• Device Encryption
• Zertifikate
• Endgeräte Inventarisierung (mittels NAC)
Fazit: Herausforderung annehmen
Ein strukturiertes Vorgehen, unter Beachtung der beschriebenen Massnahmen, verspricht
einen hohen Projekterfolg. Auf diese Weise können auch existierende Information-Security-
Management-Systeme (ISMS, z.B. ISO27002) erfolgreich integriert werden. CIOs und
Sicherheitsverantwortliche werden sich so oder so der Herausforderung der «privaten»
mobilen Endgeräte im Business-Umfeld stellen müssen. Der Einbezug eines externen Partners
erhöht die Erfolgschancen. Der Dienstleister kann das Unternehmen auf strategischer,
organisatorischer und technischer Ebene beraten und durch eine Fülle von Erfahrungen aus
Projekten bei anderen Unternehmen unterstützen.