BUSINESS IT CONFERENCE

Transkript

1 THE BUSINESS IT CONFERENCE REVIEW KEY TAKEOUTS FROM SOME OF THIS YEAR S BIGGEST BUSINESS IT CONFERENCES BROUGHT TO YOU BY

2 CONTENTS DER GARTNER SECURITY & RISK SUMMIT Keynote-Präsentation zur Eröffnung Mit effektivem Risikomanagement Unternehmensziele erreichen Wo heutige Sicherheitsmaßnahmen am häufigsten versagen Die Bedrohung ändert sich THE FUTURE OF ENTERPRISE MOBILITY & DEVICE MANAGEMENT Geräte-Management wird erwachsen Eine sichere Evolution von BYOD Mobile Sicherheit: Leak ist nicht gleich Leak Ihr nächstes Gerät: Das Internet der Dinge INTEROP NEW YORK: CONNECTING THE IT COMMUNITY Keynote Diskrete Sicherheit? Mobilität als Business-Herausforderung Die 5 größten Fehler beim Wechsel in die Cloud

3 MOBILITY FOR BUSINESS Marketing über mobile Geräte: Unbegrenztes Potenzial Das Internet der Dinge Intelligente Geräte und Big Data Die Herausforderung von BYOD in Unternehmen Kleine Unternehmen: Vorreiter der Mobilität Einzelkämpfer oder Konzern: Welchen Schutz für welche Daten? DISRUPT EUROPE 2014 Vordenker Prognose für digitale Medizin Der kulturelle Kontext für Innovationen WSJ: WHERE THE DIGITAL WORLD CONNECTS Zusammenfassung der Konferenz Modernste Technik und Staatskunst in China Apples nächstes Kapitel Was kann Technik für uns Menschen tun? Eine Technik-Untersuchung der Weltgesundheit Weisheiten von den IT-Weltmeistern

4 GARTNER SECURITY & RISK SUMMIT 8th - 9th September 2014 LONDON, UK

5 KEYNOTE Der Gartner Security and Risk Management Summit 2014 begann mit einer unterhaltsamen Keynote, in der betont wurde, dass bei Chancen immer auch die damit verbundenen Risiken und Sicherheitserwägungen berücksichtigt werden müssen. Von Adrian Bridgwater Vernetzung macht verletzlich Gartners VP John Girard begann mit der Feststellung, dass die neue Ära des digital vernetzten Business eine größere Herausforderung für die Sicherheit darstellen wird als selbst das Aufkommen des Internets. Auf vernetzten Produkten sollte der Fokus unseres Geschäfts liegen, so Girard. Bis 2020 werden 80 Prozent aller Unternehmen schwere Ausfälle zu verzeichnen haben, weil sie daran scheitern werden, die Prozesse umzustellen, die von vernetztem Business abhängen. Es fehlt an angemessenen Sicherheitsvorkehrungen und Risikomanagement. Wir haben es hier mit einem Balanceakt zu tun, der sich zwischen Datenschutz und dem Nutzen neuer Geschäftsmöglichkeiten bewegt. Gartner-Analysten führten uns durch die Evolution der EDV, von den Anfängen der PCs bis hin zum Internet, wie wir es heute kennen. Drahtlose und mobile Geräte sowie BYOD haben dafür gesorgt, dass wir keinen Verhaltenskodex mehr für sicheres Business formulieren können, so Girard. Da heutzutage so viele Geräte verwendet werden und dabei so viel unsicherer Code im Umlauf ist, dürften wir uns nicht wundern, wenn unser Toaster unsere Kontoauszüge preisgibt, scherzte Girard. Wenn man diese Art von Risiko auf die Business-Welt überträgt, versteht man, warum das so genannte Internet der Dinge im Bereich Business momentan nicht als sicher zu betrachten ist. Wer sollte Administrator werden? Wer clever ist, der überprüft heute in regelmäßigen Intervallen seine Sicherheitssysteme und lässt systematisch Sicherheitslücken stopfen. Heutzutage wären 90 Prozent aller Einfallstore von Windows verschlossen, wenn sich Benutzer NICHT als Administrator anmelden würden was leider die meisten Benutzer tun, obwohl sie eine solche Berechtigungsstufe gar nicht benötigen. Alles dreht sich um die richtige Balance die Führungskräfte von heute müssen die Business-Herausforderungen von morgen erkennen, doch

6 BIS 2020 WERDEN 80 PROZENT ALLER UNTERNEHMEN SCHWERE AUSFALLE ZU VERZEICHNEN HABEN, WEIL SIE DARAN SCHEITERN WERDEN, DIE PROZESSE UMZUSTELLEN, DIE VON VERNETZTEM BUSINESS ABHANGEN. Gartner VP John Girard nur allzu oft sehen wir, dass Sicherheitsmanager und Chief Information Security Officers (CISOs) nichts aus der Vergangenheit gelernt haben. Wir müssen Sicherheit zu einem Faktor machen, der neue Arten von Business überhaupt erst ermöglicht. CISOs müssen jetzt auf alle Mitarbeiter ihres Unternehmens einwirken, damit diese Sicherheitsrisiken auch wirklich ernst nehmen sonst könnte schon ein Einzelner durch seine Nachlässigkeit das ganze Unternehmen schädigen. Engagierte Einzelkämpfer Erfolgreich sind Sicherheitsprogramme heute im geschäftlichen Umfeld dann, wenn sie Mitarbeiter individuell ansprechen, ihnen Schutz bieten und auch für ein Umfeld sorgen, in dem Innovationen die Rentabilität steigern. Wenn ein neuer Cloud-Speicherdienst (wie etwa Dropbox) an Beliebtheit gewinnt und Mitarbeiter ihn auch am Arbeitsplatz nutzen wollen, dann muss das Unternehmen in der Lage sein, solche Innovationen zu übernehmen und sicher zu integrieren. Unternehmensprogramme müssen erarbeitet werden, um eine neue Sicherheits- und Risikokultur einzuläuten. Internes Marketing und Werbung beim eigenen Personal können dabei für die nötige Aufklärung sorgen. Doch all das muss nach und nach umgesetzt werden, und das Unternehmen sollte den Sicherheitsrisiken Priorität einräumen, die am dringlichsten sind. Die Dringlichkeit sollte dazu im Rahmen einer formellen Risikoeinschätzung ermittelt werden. Im Rampenlicht der Konferenz Bei Sicherheitskonferenzen wie dieser wird gerne der Fokus auf die Bedrohung des Tages gerichtet. Liegt etwa in diesem Jahr der Schwerpunkt auf Identitäts- und Zugriffsverwaltung, der Bedrohung durch Insider und sogar auditorischer Kontrolle, dann werden genau diese Themen im Rahmen eines solchen Forums angesprochen.

7 MIT EFFEKTIVEM RISIKOMANAGEMENT UNTERNEHMENSZIELE ERREICHEN Auf dem Gartner Security and Risk Management Summit 2014 sorgte die Session Cybersecurity Gets Top Management s Attention What Do You Do About it? für Aufsehen: Professor Dr. Marco Gercke von der Cybercrime Research Institute GmbH in Köln betonte, dass Unternehmen sich auf ihre erwünschten Ergebnisse und Kern-Prozesse konzentrieren müssen, um neue Sicherheitsstrategien zu formulieren. Von Adrian Bridgwater Man braucht nicht BWL studiert zu haben, um ein besseres Verständnis des eigenen Unternehmens in der neuen Welt der Sicherheit zu gewinnen, so Gercke es gehört zum grundlegenden Vorgang der Ausrichtung eines Unternehmens. Durch die Implementierung von InfoSec (Informationssicherheit) Prozeduren, die in einen neuen strategischen Business-Plan integriert sind, können Unternehmen auch in Zukunft eine führende Rolle spielen. Dieser Prozess setzt voraus, dass bei einem Unternehmen Folgendes ermittelt wird: Risikoabhängigkeit Betriebsabhängigkeit Geschäftsprozesse Geschäftsergebnisse Warum KRIs wichtig sind Vielleicht sind Sie schon mit dem Kürzel KPI (Key Performance Indicator, Leistungskennzahl) als Maßstab einer Business-Strategie vertraut. Doch hier müssen wir uns die KRIs ansehen (Key Risk Indicators, Risikokennzahlen). Mit ihrer Hilfe können wir die Parameter identifizieren und analysieren, mit denen wir die Risiken jeder geschäftlichen Aktivität messen können und sie warnen uns, falls uns Schaden durch Risiken droht. Unternehmen brauchen ein neues Führungsmodell, das dem Umstand Rechnung trägt, dass es keinen perfekten Schutz gibt darauf können wir dann erfolgreiche Risikostrategien aufbauen. Gercke ging auch darauf ein, dass das Top-Management mittlerweile ein beliebtes Ziel von Hackern geworden ist. Denn obwohl wir oft meinen, die Masse an mittleren Angestellten mit schlechten Sicherheitsvorkehrungen sei ein leichtes Opfer für Hacker, sind die Folgen für den Ruf des Unternehmens häufig sehr viel gravierender, wenn Top- Manager direkt das Opfer von Hackern werden. Kluge Selbsteinschätzung ist besser als blindes Vertrauen auf Formeln

8 Cyber-Angriffe auf die Führungsebene wirken sich auf die Wirtschaft ganzer Staaten aus. Und sobald die Medien darüber berichten, ist die Wirkung verheerend, weil unsere westlichen Volkswirtschaften ja gerade über den Informationsaustausch funktionieren. Doch in jedem Unternehmen sind die Risiken anders gelagert, weshalb es schwer ist, als einzelnes Unternehmen auf eher allgemeine Lösungsansätze zu setzen. Es gibt keine Zauberformel, mit der sich Sicherheitsrisiken einfach so berechnen lassen. Daher müssen Unternehmen ihre eigenen Strukturen überprüfen, um individuelle Lösungen zu finden. Die Kern-Verantwortung der CEOs Obwohl wir wissen, dass Sicherheit auf die Agenda des Top- Managements gehört und nicht nur ein Problem für System- Administratoren ist, ist genau das nicht immer der Fall. Was ist also zu tun? Gercke schlägt vor stärker zu betonen, dass CEOs nach folgenreichen Cyber-Angriffen der Rausschmiss droht. Vernachlässigt ein Manager seine Pflicht, für ein effektives Risiko-Management zu sorgen, könnte ihn das am Ende noch teuer zu stehen kommen. Natürlich ist das alles andere als ein Kinderspiel: Allein schon die Bürokratie auf den Chefetagen kann Entscheidungsprozesse verschleppen und wenn der Vorstand kein grundlegendes Verständnis von Daten und deren Auswirkungen auf das Unternehmen hat, dann könnte sich eben dieser Vorstand als Stolperstein entpuppen. In der Welt draußen wird mit harten Bandagen gekämpft, und es wird nicht leicht sein, im digitalen Zeitalter die Sicherheit des eigenen Unternehmens und dessen Geschäftsprozesse zu gewährleisten. Wenn wir uns zumindest das bewusst machen, können wir produktiv die nächsten Schritte wagen. WO HEUTIGE SICHERHEITSMASSNAHMEN AM HAUFIGSTEN VERSAGEN Das ist keine Verkaufsmasche, sondern hier geht s um ein Problem, das wir alle haben. Diese Einschätzung zu heutigen Sicherheitspraktiken stammen von Mark Nunnikhoven, VP of Cloud and Emerging Technologies bei Trend Micro. Von Adrian Bridgwater Arbeiten trotz lückenhafter Sicherheitsvorkehrungen Mit Beispielen namhafter nordamerikanischer Einzelhändler wie ebay, Home Depot und Target konzentrierte sich Mark Nunnikhoven auf die schwierige Situation von Unternehmen, die sich genötigt sehen, im Internet präsent und aktiv zu sein obwohl sie wissen, dass ihre Software über allgemein bekannte Sicherheitslücken verfügt. Das ist an sich nicht ungewöhnlich, und Unternehmen entscheiden sich in der Regel für den Einsatz, sobald sie das Gefühl haben, genug Maßnahmen zum Schließen von Sicherheitslücken ergriffen zu haben. Natürlich wurden diese Beispiele ausgewählt, weil eben jene Sicherheitslücken ausgenutzt wurden. Überraschend ist aber, dass wir

9 hier von Großkonzernen mit hoch spezialisierten Sicherheitsteams reden also haben wir es hier offenbar mit schwerwiegenden Problemen zu tun. Die Lehre daraus ist, dass solche Cyber-Angriffe immer häufiger vorkommen und immer gravierendere Folgen haben. Unser Redner sprach sich für einen Ansatz aus, bei dem ein Unternehmen den eigenen Internet-Server-Traffic nachverfolgen kann und damit: Inbound-Traffic einschränken Outbound-Traffic einschränken und Zugriffe umfassend überwachen kann Verhaltensanalyse Im Mittelpunkt dieses Prozesses steht die Authentifizierung und Autorisierung von Benutzern. Clevere Unternehmen versuchen auch, schädliches Nutzerverhalten in Echtzeit aufzudecken und zwar mithilfe eines Prozesses, den EDV-Sicherheitsexperten als nutzerbezogene Verhaltensanalyse bezeichnen. Dadurch ergeben sich weitere mögliche Maßnahmen, wie etwa die Suche nach ungewöhnlichen Zugriffsmustern im Netzwerk. Und damit kommen wir zu eventuellen Problemen, die wir uns näher anschauen sollten. Nun ist es ratsam, unseren Benutzern unterschiedlich große Zugriffsrechte einzuräumen und einen rollenbasierten Zugriff auf alle Daten im Unternehmensnetzwerk durchzusetzen. Nicht vergessen: Wenn Angreifer erst einmal in ein Netzwerk eingedrungen sind, bleiben sie oft für Monate dort und stellen sich tot, bis sie den optimalen Zeitpunkt für einen Angriff sehen. Wir kennen die Probleme nicht! Eines der angesprochenen Problematiken: Solange wir die Absichten eines Hackers nicht kennen, also Ausmaß, Schwere und Ziele seines Angriffs, dann wissen wir nicht, wie viele Daten wir verlieren könnten. Also wissen wir auch nicht, wie groß der Schaden für das Unternehmen ausfallen könnte. Mehr als ein Redner bei dieser Gartner-Veranstaltung brachte ein Zitat des Boxers Mike Tyson an: Jeder hat einen Plan, bis er eine Faust ins Gesicht kriegt. Vor dem Hintergrund des Datenschutzes bedeutet das, dass wir niemals wissen, wie schwerwiegend ein Hacker-Angriff sein kann, wenn wir ganz normal unserem Geschäft nachgehen also müssen wir uns für alle Fälle wappnen. Business-Manager, CEOs und Finanz-Manager müssen endlich begreifen, wie wichtig das Thema Sicherheit ist. Ein exzellenter Bericht zu diesem Thema stammt von der Internet Security Alliance: The Financial Impact of Cyber Risk, 50 Questions Every CFO Should Ask. Ein weiterer wichtiger Punkt, der zur Sprache kam, war, dass das Risikobewusstsein bei Betriebsverfahren (ein guter Titel für eine eigene Session) bei einem großen Teil der Unternehmen geringer ist, als es heutzutage sein müsste.

10 DIE BEDROHUNG ANDERT SICH Nur 25 Prozent aller Malware wird von Anti-Virus- Software entdeckt, was natürlich auch bedeutet, dass 75 Prozent durchkommen! Kommentare aus einer Reihe von Sessions vom zweiten Tag des Gartner Security and Risk Management Summit Von Adrian Bridgwater Formwandelnde polymorphe Malware Polymorphe Malware ist Schadsoftware, die sich selbst neu erfinden kann und speziell zu dem Zweck geschrieben wurde, bekannte Sicherheitssysteme zu umgehen. Bis zu 50 Prozent dieser Malware dient dazu, sie durch Tarnung so gut wie unsichtbar zu machen. Jeder Ihrer Bekannten hat sicher schon eine Phishing- der einen oder anderen Art bekommen und die sind ja auch relativ einfach zu erkennen. Doch leider haben 82 Prozent der Institutionen, die durch Malware geschädigt wurden, erst durch ihre Kunden davon erfahren. Transaktionsschutz ist heute ein immer wichtigeres Thema. So sollten wir zum Beispiel sichergehen, dass wir nur dann Online- Banking nutzen, wenn unsere Transaktionen nicht unterwegs abgefangen und manipuliert werden. Zielgerichtete und generische Malware Malware diversifiziert sich. Generische Malware wird nicht modifiziert, um ein bestimmtes Unternehmen und dessen Daten ins Visier zu nehmen. Doch zielgerichtete Malware ist extra auf ein bestimmtes Opfer zugeschnitten. Und das bedeutet, dass wir noch einen harten Business- Transformationsprozess vor uns haben, wenn wir eine Antwort auf die heutigen Bedrohungen und Risiken finden wollen. Letztes Jahr führte ein Bericht von McAfee 196 Millionen einzigartige Malware- Programme allein im Jahr 2013 auf. In den Jahren gerieten 37,3 Millionen Benutzer ins Visier von Phishing-Angriffen. Eine neue Zukunft transformierter Unternehmen Malware und Hacker bedrohen auch weiterhin Unternehmen. Von staatlich sanktionierten Angriffen über Hacktivismus (sozial motivierte Angriffe) bis hin zu Internet-Betrug und Phishing die Lage wird immer unübersichtlicher. Unternehmen müssen auf eine transformierte Zukunft hinarbeiten, in der sie dank eines strafferen Ansatzes beim Umgang mit Risiken und der eigenen Sicherheit einen kompletten Überblick über ihre installierten Systeme haben. Diese Systeme müssen regelmäßig aktualisiert werden und in Echtzeit funktionieren, damit alle Beschäftigten (vor allem mobile Arbeitnehmer) sicher mit dem Rechenzentrum verbunden bleiben können, wenn sie gerade unterwegs sind.

11 Die Sicherheitssysteme, die wir heute einsetzen, müssen Teil der Business-Strategie jedes Unternehmens sein, damit das Wort IT- Risiko kein Tabu mehr ist. Wenn uns das gelingt, dann können wir im Fall von Angriffen alle infizierten Teile unserer Business-Systeme abschotten und unter Quarantäne stellen. So ließe sich die so genannte Verweilzeit auf ein Minimum reduzieren, die jeder Angreifer in unserem IT-System bleiben kann. Eine abschließende Anmerkung zu den Sessions und Rednern Blicken wir noch einmal auf die Sessions und Redner beim diesjährigen Summit zurück und wägen wir die angesprochenen Problemfelder ab. Die Kommentare und Statements stammen alle von Experten im Bereich EDV-Sicherheit sie wurden dafür ausgebildet, Internet-Angriffe durch Malware und Hacker abzuwehren. Ich möchte nicht das Gesagte in Abrede stellen oder andeuten, dass die Anzahl der Angriffe zurückgeht (denn dem ist sicher nicht so!), doch wir sollten auch bedenken, dass diese Experten das Thema Sicherheit buchstäblich leben und deshalb auch überall Sicherheitslücken sehen. Wir müssen online mehr auf unsere Sicherheit achten, also freuen wir uns auf das, was uns beim Gartner Summit im nächsten Jahr erwartet. RETURN TO CONTENTS

12 THE FUTURE OF ENTERPRISE MOBILITY & DEVICE MANAGEMENT th September 2014 LONDON, UK

13 GERATEMANAGEMENT WIRD ERWACHSEN Diese erste Konferenz in London konzentriert sich auf die Themen Sicherheit, Innovation und Standard-Compliance vor dem Hintergrund unserer Anforderungen an Business Transformation. Von Adrian Bridgwater Sicherheit, Innovation und Compliance Mit The Future Of Enterprise Mobility & Device Management 2014 hat die imm Group diesen September in London eine neue Konferenz ins Leben gerufen, deren Schwerpunkt auf Sicherheit, Innovation und Standard-Compliance vor dem Hintergrund unserer Anforderungen an eine Business-Transformation liegt. Microsoft gab mit zwei erstaunlichen Fakten zum Thema Mobilität gleich den Ton an: 2 Prozent aller Menschen arbeiten auf der Toilette und 1 Prozent auf Beerdigungen. In den letzten fünf Jahren haben Benutzer ihr Nutzungsverhalten bei elektronischen Geräten wirklich grundlegend geändert. Marc Dowd, Principal Advisor EMEA (Europa, Mittlerer Osten und Afrika) bei Forrester (einem US-Forschungsinstitut für Business- Fragen) sagt, dass wir uns das ganze Ausmaß dieser Verschiebung hin zur Mobilität wirklich vor Augen führen müssen. Heute geben 42 Prozent aller Menschen an, dass sie beim Surfen im Internet eine auf mobile Endgeräte zugeschnittene Website erwarten weil die Anwender nun mal hauptsächlich über mobile Geräte ins Internet gehen. Die Relevanz mobiler Daten Forrester-Analysten sagen auch, dass 70 Prozent aller Unternehmen in den nächsten zwölf Monaten ab September 2014 ihren Mitarbeitern das Arbeiten mit mobilen Geräten erleichtern wollen. Hinzu kommt, dass Beschäftigte immer öfter für ihre eigenen Apps bezahlen, um ihre Jobs zu erledigen. Dies erklärt, warum 15 Prozent der Daten eines Unternehmens, inklusive vertraulicher Kundendaten, an Orten gespeichert sind, die dem Unternehmen unbekannt sind beispielsweise innerhalb von Apps und im privaten Cloud-Speicher von Mitarbeitern. Wir müssen auch darüber nachdenken, wie BYOD (Bring Your Own Device) international in verschiedenen Staaten funktionieren soll, vor allem innerhalb der EU.

14 Keine Firewall bei mobilen Geräten Dass es bei mobilen Geräten keine Firewall geben kann, ist eine der grundlegenden Tatsachen bei BYOD, mit der wir uns abfinden müssen. Das ist so, damit Daten ins Rechenzentrum des Unternehmens gelangen können, und zwar auf einem der vielen Kanäle, die auf mobilen Geräten zur Verfügung stehen. Und das bedeutet, dass wir den Datenfluss analysieren und jederzeit Daten ausschließen können müssen. Heute gehören zu den Management-Optionen Choose Your Own Device (CYOD) und Stipendiensysteme, um den Einsatz von Geräten vollständig oder teilweise zu kontrollieren, indem den Mitarbeitern das Gerät subventioniert wird. Dahinter sitzt dann ein maßgeschneidertes System, das festlegt, was Mitarbeiter wirklich tun müssen, und ihnen für die jeweilige Aufgabe die nötigen Rechte und Geräte zuweist. Insgesamt kamen auf dieser Veranstaltung drei Aspekte zur Sprache: Sicherheit Fragen dazu, wie Organisationen die Risiken im Zusammenhang mit BYOD verringern können. Innovation Ein Blick auf die jüngsten technischen Entwicklungen, die für optimale Ergebnisse sorgen können. Compliance Ein Unternehmen sollte sich selbst fragen, wie belastbar die eigenen Richtlinien hinsichtlich Geräte- Management und BYOD wirklich sind. Eine Einstellung des Laissez-faire Eine Umfrage der Regulierungsbehörde UK Information Commissioner s Office (ICO) brachte die folgende unbequeme Wahrheit zutage: Viele Angestellte scheinen eine Einstellung des Laissez-faire zu haben, wenn es darum geht, andere Mitarbeiter ihre persönlichen Geräte geschäftlich nutzen zu lassen. Dies bedeutet ein Risiko für die persönlichen Daten Dritter. Angesichts dieser Fakten und Zahlen müssen wir uns nun überlegen, wie genau wir diesen Balance-Akt schaffen wollen: Einerseits sind mobile Geräte sehr oft das Hauptziel von Schadsoftware, und Unternehmen stehen unter immer stärkerem Druck, belastbare Richtlinien für das Geräte-Management einzuführen, um jederzeit wissen zu können, wo genau persönliche Daten gespeichert sind. Andererseits wissen wir, dass die neuen Spielzeuge die Produktivität ihrer Benutzer in einem Maße steigern können, das wir uns vor einem Jahrzehnt nie hätten träumen lassen. Der Herausforderung dieser Innovation zu begegnen, bei der die Bereiche Sicherheit, Risiko, Compliance und Governance gleichzeitig um unsere Aufmerksamkeit buhlen, war von Anfang an nicht leicht. Der Geräte-Entwicklung folgen Es ist schwer, genau vorherzusagen, wie sich die Dinge in den nächsten 18 Monaten entwickeln werden. Es gibt so viele

15 Herausforderungen im Bereich Geräte-Management und neue Aspekte von BYOD zu beachten. Zudem ziehen uns die IT-Industrie und ihre Analysten Tag für Tag in eine andere Richtung. Mit Sicherheit können wir aber sagen, dass es noch mehr Anbieter für Arbeitsplatz-Management-Lösungen geben wird, mehr Cloud- und virtualisierte Desktop-Lösungen, mehr Lösungen für mobile Geräte und Anwendungsmanagement und, was wahrscheinlich kaum jemanden wundern wird, es wird wohl auch noch mehr Konferenzen und Messen zum Thema Geräte-Management und Mobilität geben. EINE SICHERE EVOLUTION VON BYOD Mitarbeitereigene Geräte bilden einen nicht unwesentlichen Teil der unternehmensweiten Konnektivität und rücken BYOD-Grundsätze (Bring Your Own Device) in den Mittelpunkt der IT Planung. Von Adrian Bridgwater Bei dieser temporeichen Veranstaltung hatten die Redner jeweils nur 20 Minuten Zeit für ihre Beiträge. Nick Fowler, Enterprise Account Executive bei AirWatch von VMware erinnert uns zum Einstieg daran, dass BYOD-Geräte der Mitarbeiter heute bei der Konnektivität innerhalb eines Unternehmens eine wichtige Rolle spielen. Er sagte, Unternehmen müssen die wachsende Bedeutung und Verbreitung mobiler Geräte nutzen, indem sie den Einsatz privater Geräte zwecks Steigerung der Produktivität im Rahmen eines sicheren BYOD-Programms fördern und gleichzeitig die Vorteile der Cloud ausnutzen. Die evolutionäre Natur von BYOD ist eine Herausforderung für die Sicherheit von Unternehmen, deren Assets auch auf mobilen Geräten gespeichert sind. Fowler erläuterte, wie er heute eine Welt des BYOD sieht, in der Mitarbeiter nach Belieben ihre privaten Geräte benutzen können, also Digitalkameras, Wearables und alle möglichen Neuheiten genau wie auch ganz normale Tablets und Laptops. Die Angst des Mitarbeiters vor der Preisgabe seiner privaten Daten Wichtig: Wir glauben zwar, dass das Hauptproblem das Abriegeln der Mitarbeitergeräte durch das Unternehmen sei. Doch ebenso wichtig sind die Bedenken von Benutzern, die nicht alle ihre persönlichen Daten irgendeiner übergeordneten Instanz im Unternehmen preisgeben wollen. Angesichts der vielen verschiedenen Herausforderungen rund um BYOD müssen wir uns vor Augen führen, dass nur ein mehrdimensionaler Ansatz für Sicherheit sorgen kann. Wir müssen Sicherheitsrichtlinien für jeden Benutzer auf Basis dessen jeweiliger Rolle definieren und von diesem Punkt ausgehend jene Richtlinien

16 konsequent durchsetzen und die Systeme überwachen. Rechtliche Probleme durch BYOD Man stelle sich einen Benutzer vor, der gesundheitliche Probleme hat und eine App auf seinem Gerät einsetzt, um leichter seine Verfassung im Blick zu behalten (im Jahr 2014 kein sonderlich futuristischer Gedanke mehr). Wir müssen dafür sorgen, dass die Daten auf jenem Gerät kontrolliert werden, jedoch nicht in einem Ausmaß, dass medizinische Informationen an den Arbeitgeber weitergereicht werden, denn das würde personalrechtliche Konsequenzen nach sich ziehen. Unter den Datenschutz fällt auch, wie präzise Arbeitgeber per GPS den Standort der Geräte eines Benutzers ermitteln und speichern können. BYOD kann als komplett verwalteter Dienst implementiert werden, bei dem die IT-Abteilung die volle Kontrolle über das fragliche Gerät hat. Und doch ist auch ein stärker segmentierter Ansatz denkbar, bei dem das Gerät über verschiedene Arbeitsbereiche verfügt, von denen manche für den Mitarbeiter und manche für die geschäftliche Nutzung reserviert sind. BYOD ist nicht einfach Vergessen werden darf nicht, dass es Geräte gibt, die sich mehrere Benutzer in einem Unternehmen teilen. Ein mögliches Szenario könnte dabei sein, dass ein mobiles Endgerät zum Aufzeichnen der Lebensfunktionen eines Patienten verwendet wird und dann zurück auf eine zentrale Ladestation kommt. Wenn ein solches Gerät über Internetzugang verfügt oder persönliche Daten speichern kann, haben wir es mit einer BYOD-Herausforderung zu tun, die weitreichende Folgen haben kann. Die Welt des BYOD ist noch längst nicht vollständig definiert - und wir müssen sie vorsichtig erkunden. MOBILE SICHERHEIT IT und Sicherheitsabteilungen sollten die Vielfalt der Mitarbeiterrollen und -bedürfnisse berücksichtigen bei ihrer Untersuchung, warum es überhaupt zu einem Data Leak gekommen ist. Im Mittelpunkt dieser Session stand die Tatsache, dass BYOD (Bring Your Own Device)-Richtlinien es zwar mobilen Beschäftigten ermöglichen, effizienter und produktiver zu arbeiten. Doch die große Verbreitung privat genutzter Cloud-Dienste zum Datentransfer, die zudem für die IT-Abteilungen unsichtbar bleibt, stellt viele Unternehmen vor enorme Sicherheitsherausforderungen. Das Problem ist, dass es im Bereich mobile Sicherheit keine Universallösung gibt,

17 die den unterschiedlichen Ansprüchen aller Unternehmen gerecht wird. Für umfassende mobile Sicherheit müssen Tools und Richtlinien oft für bestimmte Benutzer, Rollen, Abteilungen oder Techniken angepasst werden. Wie kommt es zu einem Datenleck? Paul Huntingdon, UK Sales and Business Development Manager von Accellion Inc. (einem Anbieter privater Cloud-Lösungen für sicheres File-Sharing), sagte, dass es aus vielen Gründen zu einem Datenleck kommen kann. Die Ursache könnte ein defekter PIN-Schutz sein, die Nutzung unzulässiger Anwendungen, Verlust oder Diebstahl von Geräten, inadäquate IT-Überwachung öffentlicher Cloud-File-Sharing-Dienste oder einfach nur eine fehlende Verschlüsselung. Natürlich gibt es das Problem verlorener und gestohlener Laptops bereits seit deren Markteinführung, doch die Geräte werden immer kleiner, während die Speicherkapazität ständig wächst und somit das Problem. Wer ist nun am verwundbarsten? Zum Beantworten dieser Frage empfiehlt sich ein Blick auf einen Bereich namens mobile Produktivitätstools, denn diese Anwendungen setzen das Teilen und Austauschen von Daten voraus. Wenn Unternehmen Cloud-Dienste nutzen wollen, sollten sie auf jeden Fall vermeiden, Duplikate mithilfe ungesicherter Dienste aufzubewahren. Da diese Daten ja dann wieder in das Rechenzentrum des Unternehmens integriert werden, vervielfacht sich der Risikofaktor, falls wir nicht von Anfang an strikte Sicherheitsrichtlinien haben. Mobile Daten-Gateways Roy Tuvey, Co-Founder und President von Wandera (einem globalen Anbieter von Cloud-Sicherheit), nannte neue Möglichkeiten, ein mobiles Daten-Gateway einzurichten. Auf jedem Gerät wird eine App installiert, die den Traffic der Anwendungen und des Browsers durch ein spezielles Cloud-Gateway leitet, das den Datenverkehr in Echtzeit untersucht. Das Unternehmen kann die Daten somit noch im Transit überprüfen und, was am wichtigsten ist, sofort eingreifen, falls Inhalte herausgefiltert werden müssen. Auch dies läuft auf einen mehrdimensionalen Schutz durch Kontrollmechanismen im Cloud-Gateway hinaus, die genau wissen, was die Apps eines Benutzers können müssen. Zusätzlich gibt es noch eine App auf dem Gerät, die überwacht, was damit gemacht wird und diese Informationen werden mit dem Backend und Drittanbieter-Daten darüber abgeglichen, woher Malware kommen könnte. Wann BYOD-Sicherheit funktioniert Wie lässt sich also auch bei BYOD die Sicherheit gewährleisten? Diese Session endete mit dem Fazit, dass der Schutz für den Endbenutzer transparent bleiben muss, und zwar durch ein System, dass Nutzer zum Einsatz motiviert. Es muss einfach anzuwenden und zu verwalten sein. Wir müssen es einsetzen können, um Schäden zu beseitigen. Es muss zukunftstauglich sein. Und es muss zu unseren bereits vorhandenen RETURN TO CONTENTS

18 Mobilitätslösungen passen. INTEROP NEW YORK: CONNECTING THE IT COMMUNITY 29th September - 3rd October 2014 NEW YORK, USA

19 KEYNOTE Die Interop ist keine Show wie in Las Vegas, und auch keine Messe wie in Barcelona, Berlin oder Bukarest. Keynote-Sprecher Ben Haines, CIO von Box, und Ray Wang, Gründer von Constellation Research, haben diese Ruhe im Auge des Sturms genutzt, um das zentrale Thema der Servicegeschwindigkeit vor dem Hintergrund von Cloud und Remote Computing näher zu beleuchten. Von Adrian Bridgwater Das zentrale EDV-Thema ist heute Geschwindigkeit, so beide Redner. Da Unternehmen heutzutage nicht mehr ihre EDV mit massivem Kapitalaufwand implementieren, haben wir es heute mit deutlich höheren Betriebsausgaben zu tun. Denn der technische Schwerpunkt verlagert sich hin zum Cloud-Modell. Natürlich wissen wir das alle, und wir erwarten, dass unsere Experten dies gleich ganz am Anfang erwähnen. Aber werden wir auch etwas wirklich Neues zu hören bekommen? Haines war zunächst für Red Bull North America und Hostess (bekannt für das US-Kultgebäck Twinkies) tätig, um dann schließlich zu Box zu gehen. Für ein Unternehmen zu arbeiten, das in der Cloud geboren wurde, bedeutet, dass wir jetzt unser Business zu 99 Prozent mit cloud-basierter Software betreiben können. Die Kernaussage ist: Ja, wir leben in einer Zeit großer Veränderungen. Unternehmen müssen die Art und Weise, wie sie intern arbeiten, schneller denn je umstellen. Community-Thema Das Thema der Show war in diesem Jahr Connecting the IT Community ( Die IT-Gemeinde verbinden ), weshalb von Anfang an die soziale Komponente in den Vordergrund gestellt wurde. Und das bedeutet natürlich, dass die Anbieter das Zauberwort DevOps anbringen können. Damit ist der Prozess gemeint, der Entwickler (Developer, Dev) von Software-Anwendungen dazu bringt, mit dem Betriebsteam (Operations, OP), das Software am Laufen hält, zu reden und effektiv zusammenzuarbeiten. Während in der Software-Branche schon seit Jahren von dieser Art von Interoperabilität die Rede ist, ist die übrige Technik-Szene jetzt auch auf diese Idee gekommen kein Wunder also, das Thema jetzt auch hier auftaucht. Die Redner haben gesagt, dass heute Business-Transformation oft auf eine Veränderung des Geschäftsmodells hinausläuft. Netflix hat die Videothekenkette Blockbuster in einer Art und Weise vom Heimkino- Markt gefegt, die beispielhaft zeigt, wie sehr Unternehmen ihren Ansatz

20 ändern müssen. Zunächst im Betrieb und dann auch bei der Lieferung ihrer Produkte und dem Erbringen ihrer Leistungen. Schatten-IT Die Redner gingen auch auf die so genannte Shadow IT (Schatten-IT) ein und sagten, dass sich hierdurch eine Möglichkeit zur Zusammenarbeit eröffnen könne. Zur Erinnerung: Shadow IT bezeichnet ein Hardware- oder Software-Element, das von der zentralen IT-Abteilung nicht unterstützt wird. Shadow IT wird oft verwendet, weil Mitarbeiter ungeduldig sind und schneller neue Techniken nutzen möchten der Begriff BYOD (Bring Your Own Device) fasst den Kern der Sache gut zusammen. Bereit für ein wenig Inspiration? IT ohne Kultur ist nur IT ist das Zitat dieses Morgens. Angeblich soll es von Rapper Will.i.am stammen, dem Guru, auf den wir alle hören sollten. Ich persönlich lasse mich ja lieber von Zitaten aus dem Munde von Plato und Mandela inspirieren, doch jedem das Seine. Bei Keynotes will man ja immer gerne möglichst hip wirken. Im weiteren Verlauf fielen dann noch so hoffnungsvolle Sätze wie: Man kann sich nur dann mit IT-Sicherheit befassen, wenn man das Business auch wirklich versteht. Aber ist es wirklich sinnvoll, solche allgemeinen Aussagen von sich zu geben und dann als wichtige Thesen darzustellen? Die Antwort lautet: vielleicht etwas ein wenig teilweise falls, und nur falls sich hinter den Plattitüden wirklich technisches Fachwissen und Substanz verbergen. DISKRETE SICHERHEIT? Wir haben bei der Interop 2014 so viele Sessions wie nur möglich besucht, und wir hatten den Eindruck, dass die Redner praxisnahe Probleme aus der Welt der Business- IT ansprechen wollten, ohne dabei zu sehr in die Details einzusteigen. Trotz dieser Orientierung an der realen Welt gab es noch jede Menge anderer Gesichtspunkte zu bedenken. Von Adrian Bridgwater Wie Sie eine Risiko- Schmerzgrafik erarbeiten Der Unternehmensberater John Pironti stellte seinen risikobasierten Ansatz zum Schutz interner Daten im Rahmen einer Präsentation sowie eines Workshops vor, den er in den letzten Monaten mehrmals veranstaltet und verbessert hat. Solche Präsentationen sind wunderbar, solange man sich nicht an den unvermeidlichen konstruierten Elementen stört.lassen Sie mich das etwas näher erläutern: Jede Session, in der es um Risiken, Sicherheit, Malware, Hacker und Sicherheitslücken geht, wird in der Regel von jemandem abgehalten, der mit einer ganzen Reihe ebenso gut recherchierter wie furchterregender Statistiken bewaffnet ist, um allen Teilnehmern einen gehörigen Schrecken einzujagen und sie wie gebannt zuhören zu lassen.