IT-Sicherheit: Smartphones stehen im Fadenkreuz

Gerade die privat-dienstliche Nutzung mobiler Endgeräte wie Smartphones oder Tablets treibt den IT-Verantwortlichen regelmäßig die Sorgenfalten in die Stirn:

  • Weil Mitarbeiter mit ihren privaten Geräte natürlich auch auf abstrusen Seiten unterwegs sein können, ist die Gefahr groß, dass sie damit auch einen Virus in das eigene System einschleppen.
  • Um von überall Zugriff auf die dienstlichen Daten zu haben und damit arbeiten zu können, werden diese gerne auch mal in privaten Clouds abgelegt - und sind damit dem potenziellen Zugriff von Hackern ausgesetzt.
  • Insbesondere die Nutzung von Apps stellt ein Sicherheitsrisiko dar: Der Nutzer weiß bei manchen Anwendungen schlicht nicht, auf welche Handy-Daten und Kontakte beim Start jedes Mal zurückgegriffen wird.
  • Was passiert, wenn die privaten Geräte, die Zugang zur Firmendatennbank haben, abhanden kommen oder gestohlen werden? Haben Diebe dann Zugriff auf Kundendaten, Preise, Betriebsgeheimnisse?
  • Wenn jeder sein eigenes Gerät mitbringt, dann existieren im Unternehmen zugleich zahlreiche Betriebssysteme und Versionsnummern, die ständig synchronisiert, arbeitsfähig gehalten und überwacht werden müssen.

Laut einer Studie der Marktforschung IDC wurde in den vergangenen zwölf Monaten rund ein Viertel der mobilen Nutzer online attackiert. Ein Sicherheitsproblem, das stetig wächst. Vor allem geschäftlich genutzte Smartphones stehen permanent im Fadenkreuz der Angreifer. Eine internationale Untersuchung von Dimensional Research kam etwa zum Ergebnis:

  • 79 Prozent der Mitarbeiter greifen mit ihrem Gerät auf Unternehmens-E-Mails zu.
  • 65 Prozent speichern dort Geschäftskontakte.
  • 47 Prozent haben sensible Kundendaten auf dem Handy.
  • 38 Prozent hinterlegen im Smartphone sogar PINs und Passwörter.

Ein Wissensschatz für jeden, der ihn heben kann. Die jüngste Entwicklung (und Lösung) zeigt daher in eine andere Richtung, die ebenfalls aus einem Akronym besteht:

Chose Your Own Device: Handy-Pools zum Datenschutz

CYOD - Chose Your Own Device. Gemeint ist damit eine Art Buffet-Lösung: Der Mitarbeiter kann zwar immer noch wählen, welches Gerät er im Job nutzen möchte. Die Auswahl ist jedoch begrenzt und vorgegeben: Dabei handelt es sich letztlich um Firmengeräte (sogenannte Handy-Pools), die von der IT-Abteilung zentral gesteuert und synchronisiert werden kšnnen. Bei einem strengen Choose-Your-Own-Device-Konzept dürfen die Mitarbeiter die Geräte jedoch nicht privat nutzen (siehe weiter unten: COPE).

Einer, der das Konzept bereits umsetzt, ist der Flughafenbetreiber Fraport. Hier fernwartet, aktualisiert und sichert die IT-Abteilung rund 1600 mobile Geräte der Mitarbeiter, iPhones vor allem.

  • Im Idealfall reicht ein Knopfdruck, und die Diensthandys sind auf dem aktuellsten Stand.
  • Genauso kann mit einem Knopfdruck ein gestohlenes Gerät außer Betrieb und damit die IT außer Gefahr gesetzt werden.

Wie COYD funktioniert, zeigt übrigens auch dieses Video (Englisch):

COPE: Firmengerät privat genutzt

Eine dritte Variante bei der betrieblichen Nutzung von mobilen Geräten ist das sogenannte COPE-Konzept. Auch hierbei handelt es sich um ein Akronym und steht für: Corporate Owned Personally Enabled. Sinngemäß übersetzt heißt das so viel wie: Die Geräte gehören zwar dem Unternehmen, dürfen aber ausdrücklich vom Mitarbeiter auch privat eingerichtet, genutzt und aktualisiert werden.

Im Grunde handelt es sich dabei um einen Zwitter aus den ersten beiden Lösungen - mit entsprechenden Nachteilen für beide Seiten: Meist ist hierbei der Mitarbeiter (zu einem gewissen Grad) selbst verantwortlich dafür, was er auf das Diensthandy lädt und dass er oder sie das Betriebssystem auf dem Laufenden hält. Wirklich sicher ist das also nicht. Gleichzeitig muss vorab definiert werden, was zu den persönlichen Daten des Mitarbeiters zählt und was nicht und worauf der Arbeitgeber damit vielleicht einmal Zugriff hat, was wiederum arbeitsrechtliche Probleme aufwirft.

Auch beim Elektronikzulieferer Rosendin Electric sind derzeit rund 1000 Mitarbeiter beschäftigt, die natürlich auch dienstlich Smartphones und mehr als 400 iPads oder Microsoft Surface-Tablets nutzen. Jedes davon gehört dem Unternehmen, wie Rosendin-Electric-CIO betont. Er selbst hält wenig von BYOD oder COPE. Seiner Erfahrung nach "stürzen" sich seine Branchenkollegen zwar häufig zuerst auf BOYD, kämen dann aber schnell auf CYOD zurück.

Nicht zuletzt, weil es auch finanzielle Vorteile hat:

Zwar schlagen zunächst die hohen Anschaffungskosten für die firmeneigenen Geräte zu buche. Das rechnet sich aber, wenn man im Vergleich dazu den Aufwand für die ständigen Sicherheitsrisiken und den Support privater Betriebssysteme gegenüberstellt.

Auch laut der oben schon erwähnten IDC-Studie hat mittlerweile jedes zweite befragte Unternehmen ein Choose-Your-Own-Device-Konzept im Einsatz.

Einziger Haken für die Mitarbeiter: Sie müssen gegebenenfalls den geldwerten Vorteil eines COYDevices mit privater Nutzung versteuern.

Weiterführende Artikel zum Thema