MOBILE SECURITY IN DEUTSCHLAND 2015

Transkript

1 Gesponsert von AirWatch by VMware IDC Multi-Client-Projekt Executive Brief MOBILE SECURITY IN DEUTSCHLAND 2015 Unternehmen im Spannungsfeld zwischen Produktivität und Sicherheit

2 Inhaltsverzeichnis Einleitung 01 Seite 01 Einleitung Trends und Entwicklungen in Deutschland Seite 02 Der Einsatz mobiler Technologien führt zu neuen Angriffszielen und -Techniken 03 Ein umfassendes Mobile-Security-Konzept ist erforderlich 04 Container-Lösungen sind als zusätzlicher Sicherheits-Layer nicht nur für BYOD-Szenarien attraktiv 05 Die Sicherheit mobiler Apps kann mittels verschiedener Konzepte verbessert werden 06 Der richtige Umgang mit Consumer File Sharing Tools: Verbieten Sie noch oder sichern Sie schon? 06 Wearables und biometrische Kriterien heben die Multifaktor-Authentifizierung auf eine neue Ebene 07 Sprachverschlüsselung & sichere Messenger rücken beim Schutz der mobilen Kommunikation in den Fokus 07 Organisatorische Best Practices: Anwendertrainings sind wirksamstes Mittel 09 Fazit 09 IDC Empfehlungen 11 Empfehlungen von Anwendern für Anwender 11 Methodik AirWatch by VMware-Fallstudie: Universitätsspital Basel Seite 12 Informationen zum Kunden 12 Anforderungen des Kunden 13 Darstellung der Lösung 13 Projekt-Highlights 13 Zitate des Kunden zum Projekt Interview mit Ian Evans, AirWatch by VMware 14 Autor: Mark Alexander Schulte, Consultant & Projektleiter, IDC IDC Central Europe GmbH, 2015

3 MOBILE SECURITY IN DEUTSCHLAND 2015 Einleitung Die Verwirklichung einer umfassenden mobilen Sicherheit ist für Unternehmen keine einfache Aufgabe. Der Einsatz verschiedener mobiler Betriebssysteme, eine zunehmende private und geschäftliche Gerätenutzung, eine wachsende Anzahl an Smart Devices sowie eine hohe Innovationsdynamik und neue, auf die mobile IT ausgerichtete Angriffsszenarien führen zu einer großen Komplexität beim Schutz von Firmendaten. Unternehmen müssen sich daher zwingend mit der Absicherung ihrer mobilen Geräte, Apps und Informationen auseinandersetzen und das Risiko von Informationsverlusten durch geeignete Sicherheitskonzepte und -lösungen minimieren. Dabei gilt es, eine umfassende mobile Sicherheit zu gewährleisten, ohne die Produktivität der Anwender im Umgang mit Smartphones, Tablets, Apps & Co. zu stark einzuschränken. IDC hat im Mai 2015 eine Befragung unter 243 IT- und Fachbereichs-Verantwortlichen aus Unternehmen mit mehr als 100 Mitarbeitern in Deutschland durchgeführt, um ein besseres Verständnis für das Bedrohungspotenzial sowie die Anforderungen, Maßnahmen und Pläne zur Absicherung der mobilen Technologien in Organisationen zu gewinnen. Besonders im Blickpunkt standen die Sicht der IT-Verantwortlichen auf der einen und die Perspektive der Anwender aus den Fachbereichen auf der anderen Seite. Die wichtigsten Ergebnisse der Studie Mobile Security in Deutschland 2015 sind im Folgenden zusammengefasst. Mark Alexander Schulte Consultant & Projektleiter, IDC 1

4 Mobile Security Trends und Entwicklungen in Deutschland Der Einsatz mobiler Technologien führt zu neuen Angriffszielen und -Techniken Durch die wachsende Verbreitung von mobilen Geräten und Applikationen im Unternehmensumfeld rücken diese verstärkt in das Fadenkreuz von Cyber-Kriminellen. Fast zwei Drittel der befragten Unternehmen haben bereits Erfahrungen mit Angriffen auf die Sicherheit von Smartphones und Tablet-PCs gemacht. Im Durchschnitt berichten sie von mehr als sechs Sicherheitsvorfällen in den vergangenen zwölf Monaten. Dies ist ein beachtlicher Wert vor dem Hintergrund, dass Informationen, die durch einen Sicherheitsbruch abfließen, einen finanziellen Schaden, rechtliche Konsequenzen und einen Imageverlust für die betroffene Organisation zur Folge haben können. Das Bedrohungspotenzial ist real - und die möglichen Angriffsszenarien vielfältig. Als größtes Sicherheitsrisiko schätzen die befragten IT-Verantwortlichen die Gefahr durch mobile Malware ein, deren Verbreitung auch in der heterogenen mobilen Betriebssystemlandschaft in den letzten Jahren deutlich zugenommen hat. Darüber hinaus zählen mehr als ein Drittel der Befragten Phishing-Attacken zu den drei größten Risiken. Phishing ist auf mobilen Endgeräten besonders tückisch, denn aufgrund der kleinen Displays werden URLs nur teilweise angezeigt und s häufig so schnell gelesen, dass Unternehmen ihre Sicherheitsfilter noch nicht anpassen konnten. Die größten Sicherheitsrisiken im Umgang mit mobilen Geräten, Apps und Inhalten (Laptops ausgenommen) ABBILDUNG 1 Malware 42% Phishing und Social Engineering 35% Fehlverhalten von Anwendern - vorsätzlich oder unabsichtlich 30% Unsichere mobile Betriebssysteme 29% Unsichere mobile Apps 28% Fremdzugriffe mittels öffentlicher Hotspots 23% n = 168 IT-Verantwortliche, Auswahl der drei wichtigsten Kriterien, Abbildung gekürzt Quelle: IDC,

5 Die Anwender selbst werden von den IT-Verantwortlichen als drittgrößtes Sicherheitsrisiko eingeschätzt. Deren oft zu sorgloser Umgang mit der ihnen zur Verfügung gestellten Technologie stellt die mobile Sicherheit oft auf die Probe. 43 Prozent der Sicherheitsvorfälle gehen nach Einschätzung der IT-Entscheider auf das Konto der Mitarbeiter. Beispielsweise verloren in den letzten zwei Jahren 30 Prozent der befragten Fachbereichs-Verantwortlichen ein Smartphone mit darauf befindlichen Firmeninformationen 10 Prozent sogar öfter als einmal. Aus Sicht von IDC sind Unternehmen daher in der Pflicht, Mitarbeiter deutlich intensiver über die Konsequenzen ihres unachtsamen Umgangs mit Smartphones und Co. zu sensibilisieren. FAKTEN Ein umfassendes Mobile-Security-Konzept ist erforderlich Die aktuelle Bedrohungslage verdeutlicht die Notwendigkeit für Organisationen, die Sicherheit der mobilen IT im Unternehmen voranzutreiben. Die Handlungsfelder zur Absicherung der mobilen Technologien sind vielfältig. Diese erstrecken sich von der mobilen Hardware samt Betriebssystem über mobile Applikationen, Dateien und Dokumente sowie die Übertragung von Informationen bis hin zum Messaging und zur Sprachtelefonie. Unternehmen müssen anstreben, sämtliche Bereiche der mobilen IT abzusichern und somit eine umfassende Sicherheit ohne Lücken zu gewährleisten. 43 Prozent der Sicherheitsvorfälle gehen nach Einschätzung der IT-Entscheider auf das Konto der Mitarbeiter. 3

6 Mobile-Security-Handlungsfelder ABBILDUNG 2 Apps Devices Content Mobile Secruity Transmission Gateways Voice & Messaging Quelle: IDC, 2015 In den folgenden Abschnitten werden aktuelle Trends und Best Practices zur Gewährleistung der Mobile Security in den Handlungsfeldern vorgestellt. Container-Lösungen sind als zusätzlicher Sicherheits-Layer nicht nur für BYOD-Szenarien attraktiv Durch Container-Lösungen können mobile Applikationen und Dateien eines Unternehmens in einer geschützten Umgebung verwaltet werden. Zudem ermöglicht die Verwendung eines Containers auf einem mobilen Endgerät die Trennung von privaten und geschäftlichen Informationen. IT-Organisationen können somit beispielsweise Firmendaten in einem gemanagten Container löschen, ohne dass persönliche Dateien davon betroffen sind. Die Daten in dem durch die IT verwalteten Container können im gespeicherten Zustand (Data at Rest) oder bei der Übertragung (Data in Transit) verschlüsselt und nur nach Authentifikation mit entsprechenden Zugangsinformationen geöffnet werden. 54 Prozent der befragten Unternehmen setzen heute Container auf Smartphones und Tablet-PCs ein. Allerdings nannte nur ein Drittel dieser Organisationen die Trennung von privaten und geschäftlichen Inhalten als zentrales Ziel ihrer Lösung; 36 Prozent führten einen besseren Schutz für Firmendaten auf mobilen Geräten an. Während Container oftmals nur mit BYOD-Szenarien in Verbindung gebracht werden, ist die zusätzliche Absicherung von Smart Devices unabhängig davon, ob sie auch privat genutzt werden, am häufigsten das zentrale Ziel einer Implementierung. Unternehmen sollten Container daher nicht nur in Hinblick auf den BYOD Use Case begutachten, sondern auch als möglichen zusätzlichen Sicherheits-Layer auf den Firmengeräten. 4

7 Die Sicherheit mobiler Apps kann mittels verschiedener Konzepte verbessert werden Die Sicherheit von mobilen Apps ist für viele Unternehmen ein wachsendes Problem. Insbesondere wenn Mitarbeiter nicht freigegebene Apps aus öffentlichen App Stores herunterladen. Unsichere mobile Apps zählen aus Sicht von 28 Prozent der befragten IT-Verantwortlichen zu den drei größten Sicherheitsrisiken im Umgang mit mobiler Technologie. Die bereits erwähnten Container-Lösungen bieten Schutz auf Geräte-Ebene, darüber hinaus sind weitere, auf mobile Apps zugeschnittene Security-Lösungen vorhanden. Technologien zur Absicherung von mobilen Apps ABBILDUNG 3 App Scanning und Monitoring in Hinblick auf Malware Im Einsatz Einsatz innerhalb von 12 Monaten geplant Einsatz innerhalb von Monaten geplant Weder im Einsatz noch geplant Per-App VPN Weiß nicht Enterprise App Stores Software Development Kits (SDKs) App Wrapping n= 168 (nur IT-Verantwortliche) (%) Quelle: IDC, 2015 Die Auswahl der richtigen App-Security-Technologie hängt stark von den zu schützenden Informationen und den Sicherheitsanforderungen der Unternehmen ab. So muss beispielsweise beim App Wrapping der Quellcode nicht verändert werden, so dass dieser Ansatz für Unternehmen attraktiv ist, die eine Absicherung schnell und bei bereits entwickelten Apps umsetzen wollen. Software Development Kits (SDKs) hingegen bieten umfangreichere Funktionalitäten, so dass Sicherheits-Features individueller auf die Anforderungen einer Organisation zugeschnitten werden können. Die Planungsabsichten der Unternehmen verdeutlichen, dass sich in den kommenden zwei Jahren noch keine Technologie durchsetzen wird und Organisationen verschiedene Wege zur Absicherung ihrer mobilen Applikationen einschlagen werden. Nach Einschätzung von IDC bewegt sich die Branche jedoch in Richtung offener Standards bzw. eines gemeinsamen Rahmenwerks, welches der Verbreitung von SDKs einen zusätzlichen Auftrieb verleihen wird. 5

8 FAKTEN 52% Heute verwenden immer noch 52 Prozent der Anwender gelegentlich ein Consumer File Sharing Tool zum Teilen von geschäftlichen Dokumenten. Der richtige Umgang mit Consumer File Sharing Tools: Verbieten Sie noch oder sichern sie schon? File-Sharing-Lösungen ermöglichen es Anwendern, geräteübergreifend auf Dateien und Dokumente zuzugreifen. Wenn allerdings Mitarbeiter ihre privaten Accounts bei z. B. Dropbox, GoogleDrive oder OneDrive nutzen, um geschäftliche Dokumente zu teilen, verliert die IT die Kontrolle über die Firmendaten. Acht von zehn Business-Verantwortlichen haben schon einmal ihren privaten File Sharing Account für geschäftliche Zwecke benutzt. Heute verwenden immer noch 52 Prozent der Anwender zumindest gelegentlich ein Consumer File Sharing Tool zum Teilen von geschäftlichen Dokumenten. Ein deutliches Zeichen dafür, dass viele Anwender hinter dem Rücken der IT die Tools verwenden, mit denen sie vertraut sind und deren Nutzung am bequemsten ist. Allerdings gestatten 44 Prozent der Unternehmen die Verwendung privater Tools, da die IT mittels zusätzlicher Maßnahmen die Sicherheit der Dokumente gewährleistet. Diese Strategie bietet Organisationen den Vorteil, dass Mitarbeiter mit den Tools arbeiten können, mit denen sie bereits produktiv umgehen können. Zudem spiegeln die Ergebnisse auch Resignation auf Seiten der IT wider, nach dem Motto: Was du nicht verhindern kannst, sichere wenigstens ab. Die Sicherheit und Compliance der Dateien kann zum Beispiel mittels Content Connector verbessert werden. Entsprechende Lösungen binden private Speicher über jeweilige Schnittstellen in das Enterprise-Content-Management- System ein. Eine weitere Möglichkeit ist die Dokumentenverschlüsselung, die Sicherheitsfunktionen direkt am zu schützenden Objekt verankert und mit ihm wandert. aliquet. Wearables und biometrische Kriterien heben die Multifaktor-Authentifizierung auf eine neue Ebene Smart Devices werden heute im geschäftlichen wie auch im privaten Umfeld zunehmend für das Abwickeln von Transaktionen und das Erteilen von Genehmigungen verwendet. Die Multifaktor-Authentifizierung (MFA) baut eine mehrschichtige Verteidigung zum Schutz dieser Transaktionen auf, indem sie zwei oder mehr unabhängige Berechtigungsnachweise kombiniert. 44 Prozent der befragten Unternehmen setzen heute eine Zwei-Faktor- Authentifizierung (2FA) im Zusammenhang mit mobilen Geräten ein. Durch die hohe Innovationsdynamik rücken biometrische Kriterien und Wearable Devices als neue Faktoren in den Fokus, die ein zusätzliches Maß an Sicherheit versprechen. 6

9 Von den Unternehmen, die heute eine 2FA im Einsatz haben, planen 40 Prozent im nächsten Jahr eine Authentifizierung mittels Wearable Device zu ermöglichen. So müssten Mitarbeiter beispielsweise eine auf dem Smartphone initiierte Transaktion auf ihrer Smart Watch final bestätigen. Einen Schritt weiter sind Unternehmen heute bei der biometrischen Identitätsüberprüfung. In 40 Prozent der Organisationen kommt diese heute bereits zum Einsatz. Am häufigsten wird ein Fingerabdruck-Sensor genutzt, der in vielen neuen Smartphone- und Tablet- Generationen integriert ist. Die Erfassung von biometrischen Kriterien ist für Anwender sehr benutzerfreundlich, da sie selbst das Kriterium sind und somit das Sicherheitskriterium im Gegensatz zu beispielsweise einem Passwort - nicht vergessen können. Sprachverschlüsselung und sichere Messenger rücken beim Schutz der mobilen Kommunikation in den Fokus Um vertrauliche Telefonate über das Smartphone abzusichern, ist die Sprachverschlüsselung ein probates Mittel. Verschlüsselte Gespräche werden über eine mobile App initiiert, die den Schlüssel mit der Applikation auf dem anderen Gerät austauscht. Von den befragten Unternehmen gab ein Drittel an, heute bereits einen Teil der mobilen Telefonate zu verschlüsseln. Auch die Kommunikation via Messenger hat im geschäftlichen Umfeld deutlich zugenommen. Die befragten IT-Entscheider äußerten sich durchaus positiv über die Sicherheit der mobilen Chat-Kommunikation in ihrem Unternehmen - aus IDC-Sicht zu positiv. Viele IT-Verantwortlichen scheinen das Ausmaß der Nutzung von privaten Messenger Tools wie WhatsApp oder Facebook Messenger und deren Risiko für Datensicherheit und schutz noch zu unterschätzen. Organisatorische Best Practices: Anwendertrainings sind wirksamstes Mittel Die Absicherung von mobilen Geräten, Apps und Dokumenten erfordert nicht nur auf technologischer, sondern auch auf organisatorischer Ebene Vorkehrungen. Mitarbeitertrainings sind aus Sicht der IT-Entscheider hierfür am besten geeignet, gefolgt von der Durchsetzung einer Mobile Security Policy und der Schulung des IT-Personals. Unternehmen sollten aus IDC-Sicht eine Mobile-Security-Richtlinie nicht isoliert betrachten, sondern vielmehr in das unternehmensweite IT-Sicherheitskonzept integrieren. Um sicherzustellen, dass die festgelegten Richtlinien eingehalten werden, ist es sinnvoll, die Mitarbeiter über mögliche Konsequenzen bei Nichteinhaltung aufzuklären. Dies steht wiederum im engen Zusammenhang mit den Einweisungen und Trainings. 7

10 Die effektivsten organisatorischen Maßnahmen zur Verbesserung der Mobile Security ABBILDUNG 4 Training der Anwender 46% 51% Richtlinie zur sicheren Nutzung mobiler Endgeräte (Mobile Security Policy) Training der IT-Mitarbeiter 41% 35% 38% 36% Mobile Sicherheit wurde in das formelle Informations- Sicherheitsmanagement aufgenommen Ernennung von Mobile-Security- Verantwortlichen 32% 35% 21% 27% Hohe Usability der Sicherheitslösung 19% 35% Stärkere Berücksichtigung der Mitarbeiterwünsche 16% 27% Weiß nicht 2% 3% IT Business N = 243, Mehrfachnennungen Quelle: IDC, 2015 Auch die befragten Fachbereichs-Verantwortlichen sehen Schulungen als das probateste Mittel zur Verbesserung der Mobile Security an, sind also selbstkritisch. 95 Prozent der Fachbereichs-Verantwortlichen, die in den letzten zwölf Monaten ein Training erhalten haben, berichten von einer Verbesserung im Umgang mit mobilen Technologien. Nach Einschätzung von IDC müssen Unternehmen der Sensibilisierung ihrer Mitarbeiter künftig einen deutlich höheren Stellenwert einräumen. Denn für viele Unternehmen ist das Anwenderfehlverhalten nach wie vor die größte Hürde bei der mobilen Sicherheit. 8

11 FAZIT Die Gewährleistung einer umfassenden Sicherheit für Smartphones, Tablets und Co. stellt für viele Unternehmen eine Herausforderung dar. Diese entsteht insbesondere durch eine hohe Komplexität der mobilen IT, die durch verschiedene mobile Betriebssysteme, eine Verschmelzung von privater und geschäftlicher Technologie, eine kontinuierlich wachsende Anzahl an Smart Devices sowie eine hohe Innovationsdynamik gekennzeichnet ist. Viele IT-Organisationen greifen deshalb auf externes Know-how zurück, um die Mobile Security zu verbessern. Zudem befinden sich IT-Entscheider in einem Zwiespalt: Auf der einen Seite müssen sie die Sicherheit von Firmendaten auf mobilen Geräten verbessern, auf der anderen Seite soll die Produktivität der Anwender im Umgang mit mobilen Smart Devices nicht eingeschränkt werden. Nach Einschätzung von IDC verlieren trotz aller notwendigen Sicherheitsmaßnahmen nur wenige IT-Organisationen die Produktivität der Anwender aus den Augen. Eine einfache und intuitive Handhabung von Mobile-Security-Lösungen auf dem jeweiligen Endgerät ist der Schlüssel zu einer hohen Akzeptanz bei den Anwendern. Es ist in den nächsten Monaten nicht zu erwarten, dass die potenziellen Sicherheitsgefährdungen durch mobile Endgeräte und Applikationen zurückgehen werden. Mobility hat weder die Grundsätze der IT-Sicherheit noch die böswilligen Absichten der Cyber-Kriminellen verändert, doch der Einsatz mobiler Geräte, Apps und Inhalte ermöglicht neue Angriffsziele und -techniken. Unternehmen müssen ein Verständnis für diese Bedrohungsszenarien entwickeln und anhand von Tools und Prozessen Schutzvorkehrungen treffen. Nur so kann ein produktives und gleichzeitig sicheres Arbeiten von unterwegs ermöglicht werden. IDC Empfehlungen Die Absicherung der mobilen Unternehmens-IT ist eine zentrale Aufgabe für Unternehmen in 2015 und darüber hinaus. Das richtige Mobile-Security-Konzept zu finden und dieses mit geeigneten Lösungen zu hinterlegen, ist nicht immer leicht. Auf Basis der Befragungsergebnisse empfiehlt IDC Anwenderunternehmen deshalb Folgendes: Betrachten Sie Mobile Security nicht isoliert, sondern als wichtigen Teil Ihres IT-Sicherheitskonzepts Unternehmen beschäftigen sich seit vielen Jahren mit der Absicherung ihrer IT-Infrastruktur, von Desktop-PCs und Laptops. Betrachten Sie daher die Durchsetzung der Sicherheit auf mobilen Geräten nicht isoliert, sondern vielmehr als einen zentralen Bestandteil des unternehmensweiten IT-Sicherheitskonzepts. Achten Sie daher auf die Kompatibilität Ihrer Mobile-Security-Lösungen mit Ihren bestehenden Tools, z. B. für die Endpoint Security, dem Identity Management, der Netzwerksicherheit oder der Datensicherheit. Für einen effektiven Schutz müssen die verschiedenen Bestandteile zusammenarbeiten und dürfen sich nicht gegenseitig beeinträchtigen. Finden Sie die richtige Balance aus Produktivität und Sicherheit Während die Vorteile, wie eine höhere Mitarbeiter-Produktivität durch den Einsatz von Smartphones und Co., auf der Hand liegen, tun sich viele Unternehmen mit dem richtigen Ansatz zur Absicherung der mobilen IT noch schwer. Dabei gilt es, ein Gleichgewicht aus Benutzerfreundlichkeit und Sicherheit zu finden. Je nach Geschäftsmodell und 9

12 Branche eines Unternehmens ist diese Balance eine andere. Die Verwendung von biometrischen Kriterien wie dem Fingerabdruck-Scan ist ein gutes Beispiel, wie sich Benutzerfreundlichkeit und Sicherheit vereinbaren lassen. Sensibilisieren Sie Anwender für die Risiken im Umgang mit ihrer mobilen IT Das Fehlverhalten von Anwendern ist für viele Unternehmen eine der größten Herausforderungen bei der Absicherung ihrer Smart Devices. Machen Sie daher Mitarbeiter stärker auf die Risiken einer leichtfertigen Verwendung aufmerksam. Die Erstellung und Durchsetzung einer Mobile Security Policy ist dabei ein wichtiger Bestandteil. Die Ergebnisse zeigen aber, dass eine gründliche Einweisung und Trainings der Anwender am erfolgversprechendsten sind. Diese müssen allerdings in regelmäßigen Abständen z.b. bei Aushändigung eines neuen Geräts - erfolgen, um eine nachhaltige Verbesserung zu erreichen. Verschaffen Sie sich Transparenz in einem unübersichtlichen Markt Der Mobile-Security-Markt ist durch eine Vielzahl von Anbietern mit verschiedenen Hintergründen gekennzeichnet. Security-Anbieter, EMM-Vendoren oder Mobile Security Pure Player sind hier beispielhaft zu nennen. Es kann daher leicht passieren, den Überblick über geeignete Mobile-Security-Anbieter und deren Lösungen zu verlieren. Die Stärken der Anbieter sind je nach deren Background anders gelagert. Allerdings sollten Sie sich zuallererst über Ihre Zielvorstellung klar werden. Die Handlungsfelder zur Absicherung der mobilen IT sind vielfältig und sollten als Ausgangspunkt für eine Anbieterauswahl dienen. Holen Sie sich externe Unterstützung ins Boot, sollte die Komplexität Sie übermannen Die wachsende Anzahl an mobilen Geräten, verschiedene Betriebssysteme, ein Zusammenwachsen von privater und geschäftlicher Technologie und die hohe Innovationsdynamik führen zu einer Komplexität bei der Mobile Security, die viele Unternehmen nicht mehr alleine bewältigen können. Zögern Sie nicht, auf externe Unterstützung für die Entwicklung und Umsetzung von Mobile-Security-Konzepten zurückgreifen. Das Risiko einer lückenhaften Absicherung Ihrer mobilen IT ist zu groß. Setzen Sie sich mit den Auswirkungen von Wearables auf Ihre IT-Sicherheit auseinander Wearables wie Smart Watches sind Chance und Herausforderung für die Mobile Security zugleich. Im Rahmen einer Multifaktor-Authentifizierung können Smart Watches zur Verbesserung der mobilen Sicherheit beitragen. Gleichzeitig handelt es sich jedoch um zusätzliche Geräte, die aus IT-Sicht gemanagt und abgesichert werden müssen insbesondere, wenn sie über eine eigene Internetverbindung verfügen. Unternehmen sollten vermeiden, dass Mitarbeiter ihre privaten Wearables für geschäftliche Zwecke nutzen und somit die Sicherheit, wie vor etwa vier Jahren erstmalig mit ihren Smartphones, erneut herausfordern. 10

13 Empfehlungen von Anwendern für Anwender Im Rahmen der Befragung wurden die IT-Verantwortlichen gebeten, anderen Firmen und Organisationen einen Hinweis zu geben, worauf sie achten sollten, um die Sicherheit von mobilen Geräten, Apps und Informationen zu verbessern. Einige der Antworten sind nachfolgend ungefiltert wiedergegeben. Auf eine Kommentierung wird hier bewusst verzichtet, um einen möglichst authentischen Eindruck zu vermitteln: Erhöhen Sie die Benutzerfreundlichkeit, damit sich die Mitarbeiter auch wirklich sicherheitskonform verhalten. Behalten Sie einen Überblick über den Markt, und zwar in alle Richtungen. Auf das Zusammenspiel von leistungsfähiger Security-Software und sorgfältiger Anwender- Schulung achten. Dass im Unternehmen einheitliche Richtlinien verwendet werden und das es keinen Wildwuchs in der Gerätevielfalt gibt. Soweit möglich, alle Mitarbeiter mit der gleichen Hard- und Software-Technologie ausstatten. Die Anwender schulen, schulen, schulen und ermahnen. Eine gemeinsame Aufklärung in Form von Bildern sowie grafische Darstellungen. Es sollte möglichst von Anfang an eine strikte Trennung von privaten und beruflichen Daten und Anwendungen auf Mobilgeräten durchgesetzt werden. Klare Richtlinien, welche Geräte benutzt werden dürfen. BYOD ist DAS Problem, wenn jeder seine eigenen Devices nutzt und die IT-Abteilung nicht alle Varianten im Griff hat. Nicht nur auf die Kosten schauen, für eine optimale Sicherheit lohnt sich auch eine höhere Investition. Software und Apps ständig aktuell halten, Authentifizierungsmaßnahmen einsetzen, gute Scanning- und Monitoring-Funktionen. Methodik Ziel der von IDC im Mai 2015 durchgeführten Befragung unter 243 IT- und Fachbereichs-Entscheidern aus Unternehmen in Deutschland mit mehr als 100 Mitarbeitern war es, ein besseres Verständnis für das Bedrohungspotenzial sowie die Anforderungen, Maßnahmen und Pläne zur Absicherung der mobilen Technologien in Organisationen zu gewinnen. Besonders im Blickpunkt standen die Einschätzungen der IT-Verantwortlichen auf der einen und die Aussagen der Anwender aus den Fachbereichen auf der anderen Seite. Die nachfolgende Fallstudie basiert auf Informationen, die von AirWatch by VMware zur Verfügung gestellt wurden. Für diese Angaben übernimmt IDC keine Gewähr. 11

14 AIRWATCH BY VMWARE Fallstudie: Universitätsspital Basel Informationen zum Kunden Das Universitätsspital Basel gehört zu den führenden medizinischen Zentren der Schweiz und zeichnet sich durch hervorragende Leistung in Lehre und Forschung aus. Das Ziel des Spitals ist es, mit Hilfe modernster medizintechnischer Ausstattung für das Wohlergehen, die Sicherheit und die Genesung seiner Patienten zu sorgen. Anforderungen des Kunden Das Universitätsspital Basel hatte drei Mobilitätsziele: 1. Die Kommunikation zwischen Ärzten und Patienten zu verbessern 2. Die Zusammenarbeit zwischen Fachärzten und zuweisenden Hausärzten zu erhöhen 3. Bessere Patientenleistungen zu erbringen Das Universitätsspital Basel wollte den Ärzten, jederzeit und überall eine sichere Zusammenarbeit ermöglichen. Das Krankenhaus ist der Ansicht, dass Ärzte die in der Lage sind eine Zweitmeinung geben zu können ohne ins Krankenhaus kommen zu müssen oder sich auf eine verbale Beschreibung eines Röntgenbildes verlassen zu müssen extrem wertvoll sind und den Patientenschutz signifikant erhöhen. Darstellung der Lösung Das Spital setzt seit einiger Zeit eine mobile App für ipads ein, die Ärzten jederzeit elektronischen Zugriff auf Patientenakten gibt. Um sowohl Geräte des Spitals als auch jene der Mitarbeiter verwalten zu können hat sich das Spital entschieden eine Enterprise Mobility Management (EMM) Lösung einzusetzen, die Mobilgeräte überwachen und schützen kann und zusätzlich sicherstellt, dass Mitarbeiter auf alle Informationen, die zur Patientenversorgung gebraucht werden, Zugriff haben. Mit AirWatch Enterprise Mobility Management kann das Universitätsspital Basel vertrauliche Dokumente auf seinem Bestand mobiler Geräte schützen und sicherstellen, dass die Daten in der Schweiz bleiben. Der AirWatch Catalog ermöglicht es dem Spital, häufig genutzte Apps, wie zum Beispiel die elektronische Patientenakte App, basierend auf Mitarbeiterfunktionen zu verteilen. Um zu verstehen wie 12

15 Geräte genutzt werden, können IT Administratoren mit dem AirWatch Catalog einsehen, wie häufig Apps von Mitarbeitern heruntergeladen werden. Dies hilft der Entscheidungsfindung bei potentiellen App-Rollouts in anderen Abteilungen. Durch die Kombination von AirWatch und VMware Horizon können Ärzte außerdem den sofortigen Zugriff auf ihre Dokumente, Apps und andere Ressourcen bekommen. Zusätzlich haben medizinische Mitarbeiter besseren Zugriff auf Multimediadateien, um Patienten zu helfen die Behandlung besser zu verstehen. Universitätsspital Basel konnte sein BYOD Programm auf alle Mitarbeiter ausweiten, einschließlich medizinischer und administrativer Mitarbeiter. Patienten können ihre eigenen Geräte einbinden, oder optional können ihnen ipads des Spitals zur Verfügung gestellt werden. Diese Geräte sind so konfiguriert, dass sie Apps wie Radio-, TV- oder Newsseiten, sowie kulturell relevante Apps, basierend auf den Spracheinstellungen des Patienten-iPads, auf Geräte pushen. Dies hat die Patientenerfahrung während langer Behandlungen, wie der Dialyse, erheblich verbessert. Die Zusammenarbeit zwischen internen und externen Fachärzten hat sich durch, von AirWatch verwaltete, elektronische Patienteninformationen signifikant verbessert. In der Vergangenheit waren Informationen für Hausärzte nicht ohne weiteres einsehbar, was zu Verärgerung bei Patienten führen konnte. Nun können Hausärzte sicher und in Echtzeit, von mobilen Geräten aus, auf Patienteninformationen zugreifen und somit die Behandlung effektiv übernehmen. Dies erhöht das Vertrauen und gibt Ärzten die Informationen, die sie benötigen, um die richtigen ärztlichen Entscheidungen zu treffen. Verbesserte Kommunikation, erhöhte Kollaboration und bessere Patientenleistungen haben die Arbeitszeit für Ärzte reduziert und es leichter für sie gemacht, Patienten außerhalb des Büros zu behandeln. Aufgrund dieser Ergebnisse hat das Universitätsspital Basel auch eine Zunahme in der Verwendung mobiler Geräte durch Spitalsmitarbeiter beobachtet. Projekt Highlights Sofortiger Zugriff auf Patientenakten Höheres Patienten-Verständnis der medizinischen Behandlung Verbesserte Patientenerfahrung während langer Behandlungen Zitate des Kunden zum Projekt Wir wollten es Ärzten ermöglichen, jederzeit und überall sicher zusammenarbeiten zu können. Ein Arzt, der eine Zweitmeinung geben kann, ohne ins Spital kommen zu müssen oder sich auf eine verbale Beschreibung eines Röntgenbilds verlassen zu müssen, ist extrem wertvoll und erhöht den Patientenschutz signifikant. Von: Axel Ernst, Business Analyst, Universitätsspital Basel Bevor Patientendaten elektronisch verfügbar waren, mussten wir Akten im Archiv bestellen. Erst wenn die Akte zur Verfügung stand, konnten wir Auskunft über das was wir gefragt wurden geben. Heute ist alles sofort abrufbar, was den Ablauf einfacher und effizienter macht. Ein Video eines Eingriffes zu sehen hilft Patienten, die Behandlung besser zu verstehen, und was noch wichtiger ist, dies hat das Vertrauen von Patienten erhöht, da sie sich mehr in die Diagnosefindung einbezogen fühlen. Von: Dr Jens Jackscha, Oberarzt, Universitätsspital Basel. 13

16 INTERVIEW MIT IAN EVANS, AIRWATCH Anlässlich der Vorstellung der Ergebnisse der Studie Mobile Security in Deutschland 2015 sprach IDC mit Ian Evans, Vice President and Managing Director, EMEA bei AirWatch by VMware. IDC: Die Verwendung von mobilen Geräten, Apps und Inhalten ist in Unternehmen in den vergangenen Jahren rasant gestiegen. In erster Linie, damit Mitarbeiter produktiver arbeiten und Prozesse verbessert werden. Gleichzeitig ist jedoch auch die Absicherung der mobilen Technologie in den Fokus gerückt. Was zeichnet aus Ihrer Sicht eine gute Balance zwischen Produktivität und Sicherheit aus? Ian Evans: Die Sicherung von Unternehmensressourcen ist unerlässlich, um den Schutz vertraulicher Informationen und geistigen Eigentums zu gewährleisten. Gleichzeitig ist die Produktivität der Mitarbeiter entscheidend für den Erfolg eines Unternehmens. Mitarbeiter fordern von der IT den Zugriff auf Unternehmensinhalte, überall und jederzeit. Wir betrachten diese Herausforderung als Chance, mit Hilfe derer IT-Abteilungen Sicherheits- Anforderungen des Unternehmens gerecht werden und Mitarbeitern erfolgreiches Arbeiten auf jedem Gerät ermöglichen können. VMware Business Mobility-Lösungen aus dem End-User Computing ermöglichen den sicheren Gebrauch von Apps und Inhalten auf allen Geräten sowie einfache und sichere Verwaltung durch die IT-Abteilung. IDC: Welche sind typische Herausforderungen, denen Unternehmen bei der Verbesserung der Mobile Security gegenüberstehen? Evans: Segmentieren von Benutzern und Geräten ist eine Herausforderung in vielen Unternehmen, wenn es um Verbesserungen in Mobile Security geht. Die meisten Unternehmen haben Nutzer, die unterschiedliche Zugriffsrechte auf Unternehmensressourcen benötigen und es gelten verschiedene regulatorische und Compliance- Anforderungen, basierend auf Rolle und Ort der Mitarbeiter. Viele EMM-Anbieter liefern keine vollständig mandantenfähigen Lösungen, wir hingegen bieten eine hoch skalierbare, mandantenfähige Lösung, um den Geräteeinsatz unabhängig von Gerätetyp und Standort zu unterstützen. Eine weitere Herausforderung IAN EVANS ist, externen Mitarbeitern und Partnern den Zugriff auf Unternehmens-Ressourcen zu ermöglichen, denn die eigenen Mitarbeiter sind nicht die einzigen, die Zugriff benötigen. Wir bieten eine Container-Lösung, die den Zugriff auf Unternehmens-Ressourcen für interne, wie auch externe Parteien unter sicheren Bedingungen ermöglicht. IDC: Welche Vorgehensweise empfehlen Sie, um die mobile Welt im Unternehmen bestmöglich abzusichern - ohne dabei die Produktivität der Mitarbeiter aus den Augen zu verlieren? Evans: Mobile Sicherheit darf niemals ein Status-Quo bleiben, deshalb ist es unser Ziel, kontinuierliche Innovation und Unterstützung neuer Betriebssysteme noch am Tag der Markteinführung zu bieten. Des Weiteren ist eine gute Zusammenarbeit mit Kunden und Partnern von essenzieller Bedeutung, weshalb wir enge Partnerschaften pflegen. Wir wollen sicherstellen, dass unsere Lösungen die Mitarbeiterproduktivität unserer Kunden steigert, wie zum Beispiel mit AirWatch Content Locker, Socialcast und Chat, und gleichzeitig Sicherheit bieten. 14

17 Copyright Hinweis Die externe Veröffentlichung von IDC Information und Daten dies umfasst alle IDC Daten und Aussagen, die für Werbezwecke, Presseerklärungen oder anderweitige Publikation verwendet werden, setzt eine schriftliche Genehmigung des zuständigen IDC Vice Presidents oder des jeweiligen Country-Managers bzw. Geschäftsführers voraus. Ein Entwurf des zu veröffentlichenden Textes muss der Anfrage beigelegt werden. IDC behält sich das Recht vor, eine externe Veröffentlichung der Daten abzulehnen. Für weitere Informationen bezüglich dieser Veröffentlichung kontaktieren Sie bitte: Katja Schmalen, Marketing Director, oder Urheberrecht: IDC, Die Vervielfältigung dieses Dokuments ist ohne schriftliche Erlaubnis strengstens untersagt.

18

19 IDC Central Europe GmbH Hanauer Landstr. 182 D Frankfurt Germany T: F: E: info_ce@idc.com