Private Smartphones im Unternehmen
Das letzte Mal warfen wir einen Blick auf das iPad und dessen Herausforderungen an die IT der Unternehmen. Heute wollen wir diese Problematik auf mobile Geräte aller Art ausdehnen.
Die Vorgaben für das Unternehmen sind ähnlich – durch die Heterogenität noch schwieriger. Zusätzlich widmen wir das Augenmerk auch auf den Aspekt eines Einsatzes von privaten Geräten im Rahmen der beruflichen Nutzung (oder umgekehrt: die Nutzung von Firmenequipment für private Zwecke).
Warum die Diskussion?
Die Antwort ist einfach, die Lösung komplex. „Consumerization der IT“ ist das aktuelle Schlagwort, welches eine neue – bis dato wenig berücksichtigte – Komponente in die Unternehmens-EDV bringt. „Die Macht der Anwender“ drängt in die Firmen – zumeist wenig berücksichtigt. Aktuell geht der neue Trend aber von Entscheidungsträgern der mittleren und oberen Ebene aus und kann damit nicht mehr ignoriert werden. Nicht selten kommen diese neuen Anforderungen genau von der Geschäftsleitung, die bisher jegliche Änderungen der technologischen Unternehmenslandschaft (zu Recht oder nicht, aus technologischen oder finanziellen Gründen) verzögert oder abgelehnt hatten. Heute grassieren das „App-Fieber“, die „Always-On“-Mentalität und die „Leichtigkeit der IT“. Wohlgemerkt wir sprechen nicht von den Kiddies oder den Anwendern, die stets die aktuellste Hard- oder Software im Einsatz haben „müssen“. Jetzt hat der Hype die oberen Etagen erfasst.
Prioritäten richtig setzen
Langjährige erprobte Vorgehensweisen der IT-Verwaltung werden heute binnen Minuten in Frage gestellt oder über Bord geworfen. Aus diesem Grund wollen wir uns nochmals die Prioritätenliste im Umgang mit Unternehmens-EDV in Erinnerung rufen: Nicht die Auswahl von Geräten, Apps oder jede andere Art von „must have“ steht im Vordergrund einer verantwortlichen EDV-Betreuung sondern die Integrität der Daten im Unternehmen. Sicherheit hat Vorrang vor finanziellen und funktionalen Gesichtspunkten wenn es um den Einsatz von mobilen Geräten geht.
Die Unternehmensrichtlinie als zentraler Punkt
Für die traditionelle IT war und ist die Vorgabe von Richtlinien in Unternehmen der erste und zentrale Punkt. Dieser sollte heutzutage die Nutzung mobiler Endgeräte einschließen. Vorgaben zu Notebooks sind auf neue Geräte wie Tablets und Smartphones zu übertragen – ein nicht ganz einfacher aber absolut notwendiger Prozess. Letztendlich geht es um die Verarbeitung von Daten außerhalb des Unternehmens. Hier sollten Sicherungsstrategien wie im gesamten Unternehmensbereich greifen: Verschlüsselung von Daten, strenge Kennwortrichtlinien, fest definierte Prozeduren für verlorene oder gestohlene Geräte, etc.
Der sichere Betrieb
Smartphones und Tablets sind heute das Angriffsziel Nummer eins. Dies hat mehrere Ursachen: Geräte dieser Art sind zumeist weniger geschützt als PCs und Notebooks und darüber hinaus noch ständig online. Ein Idealziel für Trojaner und Co.
Hier hilft nur ein fest definierter Sicherheitsbetrieb, welcher von der internen IT vorgegeben werden muss. Neben der Sicherheit der Endgeräte zählt hier gleichbedeutend die Sicherheit der Schnittstellen zur Unternehmens-IT. Es gilt die organisatorischen Prozesse der Nutzung festzulegen und bei den Mitarbeitern für Risikobewusstsein zu werben.
Nicht selten läuft die interne Sicherheitsrichtlinie gegen die von Mitarbeitern gewünschte freie Nutzung der Geräte. Ein Konflikt der Interessen ist an dieser Stelle vorprogrammiert. Grundvoraussetzung für die Eingliederung von mobilen Geräten in die IT ist die Akzeptanz der kommunizierten Standards: die automatische Gerätesperre, eine definierte Komplexität von Kennwörtern (mit Intervalländerungen), der Ausschluss externer Speichermedien, das Verbot zur individuellen Installation von Applikationen. Letzteres wird die Mitarbeitermotivation wohl auf eine Probe stellen.
Die Herausforderung des Admin
Wohlgemerkt, es geht nicht um Technik. Es geht um Unternehmens-IT! Was nutzt die beste Form der Einbindung von mobilen Geräten, wenn gleichzeitig die gute (und teure) Sicherheitsstrategie des Unternehmens ausgehebelt wird? Bleiben wir aber bei den Aufgaben des IT-Verantwortlichen. Hier geht es um das Management aller Geräte. Und wir sprechen hier von einem (hoffentlich) unternehmensweiten Prozeß. Der Admin ist verantwortlich für den gesamten Rollout aller Patches zur Schließung von Sicherheitslücken (Stichwort: gesamtunternehmerischer Patch-Management-Zyklus). Nur eine zentrale Verwaltung gibt dem Admin diese Möglichkeit. Unterstützt ein (in Worten: ein einziges Gerät!) diese Möglichkeit nicht, so ist die gesamte Sicherheitsphilosophie im Eimer!
Was nun?
Die Vorgangsweise ist eigentlich einfach. Erinnern Sie sich nur an die „alten“ Gepflogenheiten der IT-Führung. Auch wenn es die aktuelle „Consumerization“ allen Beteiligten schwer macht – die Zugangsweise bleibt gleich. Erstellen Sie vorab eine Analyse, welche Anforderungen im Interesse von Produktivität und Mitarbeitermotivation sind. Die Auswahl der eingesetzten Geräte erfolgt zuletzt!
Benötigen die Mitarbeiter und Kollegen nur Email-Zugriff und Kalendereinsicht von unterwegs oder mehr? Sind offline-Arbeiten gewünscht oder gar gefordert?
Mein Tipp: Erstellen Sie eine Checkliste als Vorbereitung zur Einbindung von neuen Geräten! Vergessen Sie nicht den zusätzlichen Aufwand für die interne IT (Kosten!), egal wer die Hardware bezahlt („Bring Your own Device“).
Bedenken Sie vielmehr den Schaden, den mobile Geräte (auch und gerade über VPN!) anrichten können und welchen Nutzen sie bei „richtiger“ Integration in die Unternehmens-IT bringen können.
Die Welt dreht sich nur schneller – nichts anders.
Eine Antwort
[…] Verlust. Die aktuelle Entwicklung sollte auch Privatanwender vorsichtig stimmen, bedeuten aber beim Einsatz in der Firma eine nicht zu unterschätzende Gefahrenquelle. In diesem Beitrag wollen wir kurz und übersichtlich […]