Was bei der Umsetzung einer BYOD-Strategie zu beachten ist

Transkript

1 Technology Karsten Knüttel, Etienne Auger, Claus Eßmann Kurz vor Chaos Was bei der Umsetzung einer BYOD-Strategie zu beachten ist Ein privates Gerät im Firmennetzwerk?! Der Aufschrei der IT-Verantwortlichen in den Unternehmen war laut. Dabei gibt es gute Gründe, private Mobilgeräte von Mitarbeitern auch offiziell zur Bearbeitung von Unternehmensdaten zuzulassen. Wer Chancen und Risiken abgewogen hat, kann mit der Umsetzung einer BYOD-Strategie innerhalb der Sicherheitsricht linien beginnen. 48 Detecon Management Report 1 / 2012

2 Kurz vor Chaos W ährend bei den Betriebssystemen der von den Unternehmen gestellten Notebooks die Wahl der IT-Abteilungen klar in die Richtung des eindeutigen Marktführers von Microsoft geht, ist das Bild bei der Wahl des Ökosystems für firmeneigene Mobiltelefone nicht so eindeutig. Meist haben sich die IT- Abteilungen nach eingehender Prüfung für Windows Mobile, Symbian von Nokia oder Blackberry von RIM entschieden, da diese Systeme vor dem Beginn der iphone- und Android-Ära mit einer fernwartbaren Gesamtlösung aufwarten konnten. Nutzung privater Geräte in der Firma liegt im Trend Die klassischen mobilen Systeme haben jahrelang den Markt für (Business-)Smartphones beherrscht, können allerdings seit dem Markteintritt von Apples iphone und Googles Android nicht mehr mit den schnellen Innovationszyklen der inzwischen etablierten Newcomer mithalten. Dieser Rückstand führt dazu, dass immer mehr Mitarbeiter ihre privaten mobilen Geräte wie Smartphones, Tablets und Notebooks in der Firma verwenden, um s und Dokumente zu bearbeiten. Folglich existiert ein potenzielles Sicherheitsrisiko für die Firmendaten, da die firmeneigene IT keinerlei Kontrolle über die Mitarbeitergeräte besitzt. Die berufliche Nutzung der privaten Geräte geschieht entweder in Abstimmung mit den IT-Abteilungen oder sie wird stillschweigend geduldet beziehungsweise bleibt oft sogar vom Arbeit geber unbemerkt. Da im Grunde alle Unternehmen mit sensiblen Daten arbeiten, besteht allerdings ein grund legendes Interesse daran, diese Daten zu schützen und nur den entsprechenden Empfängern zugänglich zu machen. Diese Datensicherheit ist umso schwieriger sicher zu stellen, je mobiler die Geräte sind und je weniger Kontrolle das Unternehmen über die Geräte hat. Die für IT-Abteilungen einfachste Lösung, nämlich die Nutzung privater Geräte konsequent zu unterbinden, ist nicht zeitgemäß und wirkt demotivierend auf die Mitarbeiter. Umgekehrt kann man durchaus davon ausgehen, dass ein Mitarbeiter, der privat und beruflich ein Gerät seiner Wahl und damit die von ihm präferierte Infrastruktur nutzt, effizienter ist und motivierter die ihm übertragenen Aufgaben auch über den Arbeitsplatz hinaus erledigt. Eine ausgewogene Strategie, die die Nutzung von privaten Geräte im Unternehmenskontext definiert, tut Not. Dazu bedarf es einer unternehmensspezifischen Analyse der Chancen und Risiken des Einsatzes von individuellen Endgeräten am Arbeitsplatz. Die Frage ist, für welche Firmen und in welchem Rahmen eine Bring Your Own Device (BYOD)-Strategie technisch machbar und kommerziell vorteilhaft ist. Dabei ist zu prüfen, welche sicherheitsrelevanten Herausforderungen sich für die Firmen-IT stellen, um die Daten und die Unternehmenshardware vor unberechtigten Zugriffen zu schützen. Kommerzielle Aspekte müssen individuell quantifiziert und können hier nur qualifiziert werden. Viele Chancen, viele Risiken Chancen und Risiken des Einsatzes von individuellen Endgeräten müssen aus den verschiedenen Blickwinkeln von Mitarbeitern, IT-Verantwortlichen und Kostenstellenverantwortlichen betrachtet werden, da sich ein Vorteil für die eine Gruppe durchaus als Risiko für eine andere Gruppe darstellen kann. Mitarbeiter, die sich ihre mobile Arbeitsumgebung selbst aussuchen dürfen, haben meist eine höhere Motivation beim autodidaktischen Erlernen von Gerätefunktionen, was der Produktivität zu Gute kommt. Darüber hinaus ist durch die Geräteauswahl nach individuellen Vorlieben, zum Beispiel Bildschirmgröße, eine größere Identifikation mit dem Gerät und damit auch der Arbeit selbst zu erwarten. IT-Verantwortliche sehen die Verwendung von aktueller und leistungsstarker Hardware als Chance, da sie dadurch softwarebasierte IT-Sicherheitskonzepte wie die Virtualisierung konsequent umsetzen können. Durch die Nutzung von webbasierten Diensten für die privaten Geräte besteht einerseits die Möglichkeit zur (begrenzten) Selbstadministration für Mitarbeiter, andererseits eine Verkürzung der Zeiten für die Verteilung von Firmenapplikationen auf den Geräten. Da sich zudem viele Mitarbeiter aus Eigeninteresse mit dem Gerät vertraut machen, kann die IT-Abteilung mit einer reduzierten Anzahl von Supportanfragen rechnen. 49 Detecon Management Report 1 / 2012

3 Technology Für die Kostenstellenverantwortlichen stehen neben der Kostenreduktion durch die Verringerung des Supports andere Argumente für die Verwendung von privaten Mobilgeräten im Unternehmenskontext im Vordergrund, zum Beispiel die Möglichkeit, individuelle Leistungsanreize in Form von Wunschgeräten für die Mitarbeiter zu gestalten. Die Unternehmensführung partizipiert sowohl an den Vorteilen der Mitarbeiter und IT-Verantwortlichen als auch an den Vorteilen für die Kostenstellenverantwortlichen. Darüber hinaus profitiert das Unternehmen auch dadurch, dass potenzielle Mitarbeiter einen Anreiz darin sehen, sich ihre mobile Arbeitsumgebung nach den persönlichen Interessen zusammen zu stellen. Für ein Unternehmen ist dies auch die Chance, eine fortschrittliche Arbeitskultur und ein modernes Image zu demonstrieren. Neben diesen Vorteilen gibt es jedoch auch Risiken, die durch den Einsatz von individuellen Endgeräten verursacht werden. Auch hier muss man die verschiedenen Gesichtspunkte der drei betrachteten Gruppen beleuchten: Mitarbeiter könnten es kritisch sehen, dass sie eine erhöhte Eigeninitiative zur Einarbeitung in die Gerätefunktionen aufbringen müssen. Dies gilt speziell im Problemfall, da die IT- Abteilung nicht mehr für jedes Gerät den zuvor gewohnten Support bereitstellen kann. Um jedoch ein Mindestmaß an Sicherheit zu gewährleisten, kann die IT beanspruchen, gewisse Funktionalitäten des Mobilgerätes zu limitieren, zum Beispiel durch Blacklisting von bestimmten Applikationen, die nicht auf dem Gerät ausgeführt werden dürfen. Im Rahmen einer BYOD-Strategie wird von Mitarbeitern darüber hinaus eine erhöhte Mitwirkung bei der Umsetzung von individuellen Sicherheitsmaßnahmen gefordert, zum Beispiel bei der Befolgung von Verhaltensrichtlinien oder der Verwendung von geeigneten Verschlüsselungsverfahren. Viele IT-Verantwortliche sehen die Umsetzung einer BYOD- Strategie in ihrem Unternehmen eher kritisch, da sie eine potenzielle Vermischung von geschäftlichen und privaten Daten befürchten und traditionelle IT-Risiken, zum Beispiel Viren, Spyware und Identitätsdiebstahl, nicht nur bestehen bleiben, sondern sogar schwerer zu kontrollieren sind. Die anfänglichen Aufwände zur Implementierung und Umsetzung der nötigen Sicherheitsmechanismen einer BYOD-Strategie sind ebenso wie die Notwendigkeit, Unternehmensrichtlinien zum Umgang mit Unternehmensdaten auf den privaten Geräten durchsetzen zu müssen, Gründe, IT-Verantwortliche einer BYOD-Strategie eher kritisch gegenüberstehen zu lassen. Kostenstellenverantwortliche stellen dagegen naturgemäß eher die finanziellen Risiken in den Vordergrund. Beispielsweise kann auf einem privaten Gerät nur mit erhöhtem Aufwand eine Abgrenzung zwischen privaten und geschäftlichen Verbrauchskosten stattfinden. Ebenfalls werden erhöhte IT-Gemeinkosten durch eine nicht konsequente und damit ineffiziente Umsetzung von Sicherheitskonzepten auf den privaten mobilen Geräten befürchtet. BYOD-Strategieimplementierung fußt auf zwei Säulen Ist eine Entscheidung für die Implementierung einer BYOD-Strategie getroffen, beginnt die Umsetzung mit einer Planungsphase, in der die einzelnen Risiken für die Firmendaten systematisch aufgelöst werden. Diese Risiken müssen vollständig und detailliert erfasst und behandelt werden, da die Konsequenzen einer lückenhaften Umsetzung des BYOD- Wirtschaftlichkeitsbetrachtung Um die Umsetzung einer BYOD-Strategie wirtschaftlich zu betrachten, muss der Gesamtnutzen den Gesamt kosten gegenübergestellt werden. Diverse Faktoren sind zu analysieren und zu bewerten. Kosten für die Endgeräte, die Verbindungsendgelte und die IT-Infrastruktur sind innerhalb eines Unternehmens relativ direkt zu ermitteln. Eine Vorausberechnung der Kosten und des Nutzens erfordert insbesondere wegen der kurzen Innovationszyklen und der möglichen Etablierung von deutlich verkürzen Prozessen spezifische Branchenkenntnis. Um den Nutzen des Effizienzgewinns eines Mitarbeiters zu bilanzieren, müssen die Arbeitsabläufe eines Mitarbeiters betrachtet werden. Da die Betrachtung der Arbeitsabläufe eines jeden Mitarbeiters nicht möglich ist, sollten strukturierte Klassen gebildet werden. Klar ist, dass ein Mitarbeiter-Typ, der viel von unterwegs und in Projekten mit unterschiedlichen Anforderungen arbeitet, mehr profitiert, als ein Mitarbeiter-Typ, der an seinem Arbeitsplatz standardisierte Arbeitsabläufe hat. Darüber hinaus müssen gegebenenfalls eine Reihe von Faktoren bilanziert werden, die sich erst durch die Implementierung einer BYOD-Strategie ergeben. Ein Beispiel dafür ist die Frage, ob ein Unternehmen eine Versicherung für den Mitarbeiter abschließen sollte, wenn dessen eigenes Gerät bei einer geschäftlichen Nutzung zu Schaden oder abhanden kommt. 50 Detecon Management Report 1 / 2012

4 Kurz vor Chaos Konzeptes schwerwiegend sein können und im Ernstfall, zum Beispiel durch Kompromittierung von vertraulichen Daten, neben dem Image-Schaden oft auch einen direkten finanziellen Schaden für das Unternehmen bedeuten. Das Datensicherheitskonzept für mobile Geräte im BYOD- Kontext in seiner gesamten Komplexität beschäftigt derzeit viele IT- und Sicherheitsverantwortliche in den Unternehmen. Dieses Konzept unterscheidet sich signifikant vom traditionellen Sicherheitskonzept für mobile Geräte, die in Firmenbesitz sind, da das Unternehmen im BYOD-Kontext das Gerät nicht oder nur eingeschränkt verwalten und kontrollieren kann. Beispielsweise muss das Unternehmen zusätzlich auf die privaten Daten und Anwendungen der Mitarbeiter achten, kontrolliert nicht mehr alle Konfigurationsparameter des Geräts und darf keine Funktionen des privaten Geräts beliebig aktivieren oder deaktivieren. Aus diesem Grund wird ein neues Datensicherheitskonzept benötigt, welches nach dem aktuellen Stand der Technik auf folgenden zwei Säulen aufbaut: der Sicherheit der unternehmenskritischen Daten auf dem Endgerät und der Sicherheit der Daten bei der Übertragung. Umgesetzt wird das Datensicherheitskonzept durch eine technische Infrastruktur, eine BYOD Mobile Security Policy, ein Security Awareness Program für die Mitarbeiter und eine Liste der qualifizierten Geräte im Rahmen des BYOD-Konzeptes. Säule 1: Datensicherheit auf dem Endgerät Ein umfassendes Datensicherheitsmodell unterstützt das Vorgehen, sowohl private mobile Geräte im Unternehmen zu integrieren als auch gleichzeitig die Daten abzusichern. Es basiert auf einem 7-Schichten-Modell, welches alle Sicherheitsaspekte im Endgerät abdeckt. Das Modell ist zentrisch um die zu beschützenden Daten aufgebaut und so konzipiert, dass der Ausfall einer einzelnen Schicht, zum Beispiel aufgrund eines Angriffs, allein nicht zu einem Versagen der Gesamt sicherheit führt, da die darunter liegenden Schichten weiterhin ihre Schutzfunktion beibehalten. Die Schichtenstruktur implementiert eine Eindämmungstrategie auf sieben Ebenen (siehe Abbildung). Diese sieben Schichten bestimmen die Anforderungen an die zulässigen Geräte und die Organisation zur Umsetzung einer BYOD-Strategie. Abbildung: Das 7-Schichtenmodell Information Assets 1. Verschlüsselung 2. Anwendungssoftware 3. Betriebssystem 4. Hardware 5. Physische Sicherheit 6. Prozesse und Sicherheitsbewußtsein 7. Verantwortungsbereiche, Organisation und Policies Quelle: Detecon 51 Detecon Management Report 1 / 2012

5 Technology Die erste Schicht des Modells beschäftigt sich mit der Verschlüsselung unternehmenskritischer Daten auf dem privaten Gerät. Grundsätzlich bestimmt das Unternehmen, ob und mit welcher Verschlüsselung Unternehmensdaten gespeichert werden dürfen. Prinzipiell müssen im privaten Gerät gespeicherte Firmendaten immer verschlüsselt werden. Die Verschlüsselung verhindert bei einem Verlust des privaten Gerätes, dass durch einen Eingriff in die Hardware, zum Beispiel dem Entfernen der SD-Karte, die Daten mit einem anderen Gerät gelesen werden können. Da die Ressourcen für eine Datenverschlüsselung in den aktuellen Endgeräten vorhanden sind, sollte eine Verschlüsselung implementiert werden. Diese sollte zudem transparent für den Benutzer in die Arbeitsabläufe integriert werden, um das Bedienerlebnis nicht zu verschlechtern. Sollte keine Datenverschlüsselung auf dem Speichermedium gewünscht sein, besteht noch die Möglichkeit, Daten über ein Webinterface zumindest lesbar zu machen, ohne dass die Daten auf dem Gerät gespeichert werden. Diese Methode hat den Vorteil, dass bei Verlust des Geräts keine Firmendaten verloren gehen, da diese nicht auf dem Gerät selbst gespeichert sind. Dies schränkt jedoch gleichzeitig die Arbeitsmöglichkeiten ein zum Beispiel keine Möglichkeit zur Bearbeitung von Daten, wenn das Gerät offline ist und begrenzt dadurch den potenziellen Produktivitätsgewinn der BYOD-Strategie. Eine Zwischenlösung, welche unabhängig vom Betriebssystem ist, stellt das Management eines gesonderten Speicherbereichs im Gerät dar, eines sogenannten Encryption Vault. In diesem Speicherbereich, der mit Unterstützung spezieller Software vom Unternehmen verwaltet wird, können Firmendaten verschlüsselt abgespeichert werden. Dies hat gleichzeitig den Vorteil, dass die Firmendaten unabhängig von den privaten Daten auch gelöscht oder unlesbar gemacht werden können. In der zweiten Schicht des Modells werden die Sicherheitsaspekte auf der Softwareebene analysiert, wobei diese Analyse sowohl die Sicherheitssoftware als auch die eigentlichen Anwendungen betrachtet. Grundsätzlich muss jedes mobile Gerät eine aktuelle Antivirus- Software verwenden, da täglich neue Schädlinge erscheinen. Der Sicherheitssoftwarehersteller McAfee schätzt, dass pro Tag bis zu neue Schadprogramme (Malwares) detektiert werden. Die Mitarbeiter müssen mithilfe der BYOD Mobile Security Policy dazu verpflichtet werden, eine vom Unternehmen ausgewählte Sicherheitssoftware auf dem privaten Gerät zu verwenden. Im BYOD-Kontext entsteht zusätzlich eine Herausforderung aus der Koexistenz von privaten und Firmenapplikationen auf demselben Gerät: Die ungeklärte Herkunft privater Anwendungen, deren Aktivitäten beispielsweise bei der Übertragung von statistischen Daten an unbekannte Server nicht immer der Kontrolle des Benutzers unterliegen, birgt Gefahren. Deswegen muss eine klare Trennung zwischen Firmen- und privaten Anwendungen auf dem Gerät stattfinden, wofür verschiedene Lösungen auf dem Markt existieren. Der aus Applikationssicht für die IT-Abteilung eines Unternehmens einfachste Fall ist ein privates Gerät, auf dem keine Firmenanwendungen installiert sind und alle Zugriffe auf Unternehmensdaten über den Browser, ein Webinterface oder Web-Applets vorgenommen werden. Dabei muss ebenfalls sichergestellt werden, dass der Mitarbeiter nur über eine aktuelle Version des Web-Browsers auf die Infrastruktur des Unternehmens zugreift. Einen anderen Schutzansatz bietet das Sandboxing -Prinzip, bei dem Firmenanwendungen in einem reservierten und geschützten Speicherplatz ausgeführt werden. Sandboxing erweitert damit das Konzept der Encryption Vault von Daten auf Anwendungen. Bei diesem Ansatz erfolgt keine Interaktion mit Daten oder Anwendungen, die außerhalb dieses speziellen Speicherplatzes liegen. Wenn in einer derartigen Sandbox- Umgebung ein aus der Sicht des Unternehmens sicheres Betriebssystem und die Firmenanwendungen von dem privat verwendeten Betriebssystem, den privaten Anwendungen und privaten Daten getrennt werden, spricht man von Virtualisierung, auf die wir detaillierter in der nächsten Modellebene eingehen. In der dritten Schicht wird die Sicherheit des Betriebssystems betrachtet. Das Unternehmen muss dabei sicherstellen, dass alle Geräte innerhalb des Unternehmensnetzwerkes mit einem sicheren Betriebssystem arbeiten. Das Betriebssystem ist bei einem privaten Gerät üblicherweise unter der Kontrolle des Benutzers und wird nur mit Einschränkungen vom Unternehmen verwaltet. Hier unterstützt das User Awareness Programm bei der Sensibilisierung der Mitarbeiter für das regelmäßige Einspielen von Sicherheitspatches. Um diese Anforderungen durchzusetzen, kann zum Beispiel die Version des Betriebssystems bei einer Verbindung mit einem Firmenserver überprüft und der Zugriff nur für Nutzer gewährt werden, welche die minimalen Sicherheitsanforderungen erfüllen. Ein abgelehnter Nutzer darf sich erst nach der Aktualisierung seines Betriebssystems wieder am Unternehmensnetzwerk anmelden. Eine Alternative zu der vorhergehenden Lösung stellt die Virtualisierung dar: In diesem Fall kontrolliert das Unternehmen das virtuelle Betriebssystem in einer abgesicherten Umgebung und kann automatisch Aktualisierungen steuern, 52 Detecon Management Report 1 / 2012

6 Kurz vor Chaos da die gesamte Sandbox-Umgebung von der Unternehmens- IT kontrolliert wird. Aus diesem Grund ist die Virtualisierung im BYOD-Kontext vorteilhaft, allerdings wird leistungsstarke Hardware benötigt, da für das parallele Ausführen von zwei Betriebssystemen das originale und das virtuelle Betriebssystem hohe Ansprüche an die Hardware-Ressourcen gestellt werden. Spezielle Anforderungen, zum Beispiel das Verbot von Jailbreaking auf ios-geräten oder das Rooten von Android- Geräten, muss die Mobile Security Policy des Unternehmens sicherstellen, da solche Anforderungen meist nicht durch technische Maßnahmen abgedeckt werden können. Die vierte Schicht des vorgestellten Modells fokussiert sich auf die Sicherheit der Hardware. Hierbei muss definiert werden, auf welche Hardware das Betriebssystem zugreifen soll, um die Sicherheit des Gerätes zu gewährleisten. Je nach Sicherheitsanforderungen werden biometrische Sensoren wie der Fingerabdruck und eine hardwarebasierte Verschlüsselung zwingend vorausgesetzt. Bei der Realisierung dieser Maßnahmen ist insbesondere auf das Bedienerlebnis zu achten: Wenn die Benutzererfahrung durch technische Maßnahmen zu sehr verschlechtert wird, zum Beispiel weil der Fingerabdrucksensor den Benutzer nicht zuverlässig erkennt, geht man das Risiko an, dass der Benutzer die Geräte nicht verwendet und damit die Potenziale der BYOD-Strategie verschenkt werden. Die Sicherheitsmaßnahmen und Anforderungen aus dieser Schicht beeinflussen die BYOD-Richtlinien sowie die Liste der akzeptierten Geräte für das Unternehmen. Die physische Sicherheit wird in unserem Modell innerhalb der fünften Schicht behandelt. Hier werden Sicherheitsmechanismen entwickelt, welche bei einem physischen Zugriff auf das System relevant sind, beispielsweise die Verwendung eines Passworts beim Systemstart und das Verbot, Unternehmensdaten auf einem externen Speicher wie einer SD-Karte zu speichern. Im traditionellen Kontext der firmenkontrollierten Geräte wäre es möglich, die entsprechenden Schnittstellen zu sperren, im BYOD-Kontext jedoch, in dem das Gerät dem Benutzer gehört, muss das Unternehmen stattdessen auf die BYOD Mobile Security Policy und die Security Awareness-Maßnahmen zurück greifen, um diese Richtlinien durchzusetzen. Die sechste und vorletzte Schicht des Sicherheitsmodells definiert die sicherheitsrelevanten Prozesse und die Maßnahmen zur Bildung des Sicherheitsbewusstseins der Mitarbeiter. Die Sicherheitsprozesse bilden dabei den Gerätelebenszyklus nach und schließen zum Beispiel die Datensicherungsmechanismen, die Datenfernlöschung im Fall von Verlust oder Diebstahl des Gerätes, die Anmeldung und Abmeldung eines Gerätes im BYOD-Umfeld und das Benutzerverhalten im Fall einer Reparatur oder eines Tausches des privaten Gerätes ein. Auch interne Prozesse wie die Einführung einer neuen Firmenanwendung auf die Geräte werden hier beschrieben. Da der gesamte Prozessbereich sehr weitläufig ist, können spezielle Anwendungsfälle dabei helfen, alle Prozesse zu inventarisieren. Dazu kann ebenfalls ein Benutzer-Feedback-Kanal etabliert werden, um die Umsetzung der BYOD-Strategie mit den Rückmeldungen der Benutzer zu unterstützen. Als Ergänzung und Unterstützung zur Einführung der Sicherheitsprozesse auf der Firmenseite muss das Sicherheitsbewusstsein der Benutzer durch geeignete Maßnahmen wie Schulungen, entsprechend verstärkt werden. Dabei sollten diese Schulungen die Vorteile des sicheren Umgangs mit den Geräten ebenfalls für die privaten Daten betonen, um die Mitarbeiter entsprechend einzubinden. Die letzte Schicht des Modells ist auf der organisatorischen Ebene angesiedelt und definiert die Verantwortlichkeiten für die Bereiche und Organisationen, die für die Sicherheit, die Ausführung der Prozesse und die Definition und Einhaltung der BYOD-Unternehmensrichtlinien zuständig sind. Mit dieser ersten Säule des Datensicherheitskonzepts wurden mittels der beschriebenen sieben Ebenen alle Sicherheitsaspekte des Endgeräts angegangen. Nicht abgedeckt wurden hierbei bis jetzt die Informationsflüsse vom und zum Endgerät. Dafür ist die zweite Säule Sicherheit der Übertragung verantwortlich. Säule 2: Sicherheit der Daten bei der Übertragung Die wachsende Anzahl drahtloser Kommunikationsschnittstellen, die von mobilen Geräten unterstützt werden, stellt auch im BYOD-Kontext eine Herausforderung dar. Daten werden in den meisten Fällen via GSM, UMTS, Bluetooth, WiFi oder Infrarot übertragen, obwohl nicht alle dieser Schnittstellen dieselben Sicherheitsstandards gegen Lausch -Angriffe unterstützen. Speziell Bluetooth steht vor allem aufgrund seines schwachen Identifizierungsmechanismus stark in der Kritik, wohingegen beispielsweise UMTS-Verbindungen nach wie vor als sicher gelten, da die Identifizierung des Geräts mittels SIM-Karte vom Netzwerkoperator erfolgt und die Daten mit einem robusten Verschlüsselungsalgorithmus übertragen werden. Grundsätzlich sind aus diesem Grund lediglich GSM-/ UMTS- und WiFi-Verbindungen im Firmenumfeld zu erlauben, da nur diese entsprechend starke Sicherheitsprotokolle enthalten. Bei Benutzung eines privaten Gerätes muss daher in 53 Detecon Management Report 1 / 2012

7 Technology 54 Detecon Management Report 1 / 2012

8 Kurz vor Chaos der BYOD Mobile Security Policy bestimmt werden, welche Kommunikationsprotokolle für die Benutzung im Firmenkontext erlaubt sind. Die Einschränkung zum Beispiel auf GSM-/ UMTS-Verbindungen hätte allerdings einen starken finanziellen Einfluss auf den BYOD Business Case, da in diesem Fall die Verbindungskosten zu einem großen Teil vom Unternehmen getragen würde. Eine zusätzliche Sicherheitsmöglichkeit bietet die Verschlüsselung des Netzwerkzugriffs, wobei sich VPN-Verbindungen in den letzten Jahren als Standardlösung für den Netzwerkzugriff auf Unternehmensnetzwerke von außerhalb etabliert haben. Eine VPN-Verbindung stellt hierbei eine verschlüsselte Punkt-zu-Punkt-Datenübertragung sicher. Um jedoch eine Sicherheit im betrachteten Gesamtkontext zu erreichen, reicht die alleinige Verwendung einer VPN-Verbindung nicht aus, da ein verseuchtes Gerät Schädlinge durch den VPN-Tunnel übertragen kann und diese damit den Empfänger über eine scheinbar sichere Übertragung erreichen. Aus diesem Grund ist es wichtig, mit Hilfe des bereits vorgestellten Sicherheitsmodells zu gewährleisten, dass die Geräte auf beiden Seiten des VPN-Tunnels abgesichert sind. Hier bietet sich zum Beispiel eine Virtualisierung an, wenn der Tunnel aus dem sicheren virtuellen Betriebssystem gestartet wird und damit für mögliche Schädlinge im privaten Teil des Gerätes unerreichbar ist. Auch wenn es an einigen Stellen sehr aufwändig und komplex erscheint, ist es im Grunde für jedes Unternehmen möglich, eine BYOD-Strategie zu realisieren. Die Sicherheitsfragen und -risiken können aufgelöst werden, wenn alle Punkte des zuvor vorgestellten Sicherheitsmodells beachtet und in die Implementierung der Strategie aufgenommen werden. Bei konsequenter Implementierung wirkt sich eine BYOD- Strategie als Win-Win sowohl für Mitarbeiter als auch für Unternehmen aus. Die Vorteile zeigen sich in einer Effizienzsteigerung durch die Verwendung von vertrauten Systemen für die Mitarbeiter und in einer daraus resultierenden Produktivitätssteigerung. Ebenfalls sind für das Unternehmen Einsparungen im Support erreichbar, da nicht mehr alle Geräte von der IT betreut werden müssen, sondern nur noch die Softwareinstallationen auf den Geräten, die die Verbindung zum Firmennetz herstellen. Um die Chancen einer BYOD-Strategie nutzen zu können und gleichzeitig die vorhandenen Risiken zu vermeiden, bedarf es deshalb von Unternehmensseite einer genauen Analyse und Planung mithilfe eines umfassenden und bewährten Sicherheitsmodells. Chancen- und Risikomanagement, konsistente technische Umsetzungen sowie klare Richtlinien und Vorgaben für die Mitarbeiter ergeben eine BYOD-Strategie, die im Unternehmen implementiert werden kann und jegliches Chaos vermeidet. Karsten Knüttel ist im Bereich Mobil-Architekturen & Services mit den Beratungsschwerpunkten Mobile Dienste, Service Delivery Plattformen, all IP-basierte Kernnetzinfrastruktur und deren Integration in IT-Infrastrukturen tätig. Zuvor arbeitete er im Solution Design bei renommierten Mobilkommunikationsinfrastrukturherstellern und baute am Fraunhofer Institut ein Multi- Vendor-Testlabor auf. Insgesamt verfügt er über mehr als zehn Jahre Erfahrung in den Bereichen der Telekommunikation mit besonderem Fokus auf Dienste, deren Produktion und Management. Etienne Auger ist Consultant bei der Detecon (Schweiz) AG und Mitglied im Global Competence Team IT Risk & Security Management. Er verantwortet dort das Thema Mobile Security. Im Rahmen seiner Ausbildung hat er sich mit der Sicherheit von Funkverbindungen beschäftigt. Bei Detecon entwickelt er IT-Sicherheitskonzepte für große Unternehmen und Organisationen. Claus Eßmann ist im Bereich Mobil-Architekturen & Services mit dem Beratungsschwerpunkt Entwicklung von Technologiestrategien für Festnetz- und mobile Endgeräte tätig. Zuvor hat er drei Jahre lang neue Mobiltelefongenerationen als Softwarearchitekt und Teilprojektleiter bei einem der weltweit größten Mobiltelefonhersteller gestaltet und bis zur Marktreife entwickelt. Weitere drei Jahre war er an einem deutschen Forschungsinstitut mit der Entwicklung und Implementierung neuer Methoden im Bereich der formalen Verifikation von eingebetteten Steuerungssystemen beschäftigt. Insgesamt verfügt er über mehr als 15 Jahre Erfahrung in den Bereichen der Telekommunikation, sicherheitskritische eingebettete Steuerungssysteme und Softwareentwicklung. 55 Detecon Management Report 1 / 2012