Thought Leadership
Mitarbeiter nutzen sie wie selbstverständlich jederzeit für geschäftliche Zwecke: Private Mobilgeräte bieten Hackern vielfältige Möglichkeiten für Datendiebstahl. Das Risikopotential haben viele Unternehmen bereits erkannt, jedoch ist die Sicherung der mobilen Endgeräte mit einigen Hürden verbunden.
In den vergangenen zehn Jahren sind private Mobilgeräte wie Smartphones und Tablets ein fester Bestandteil des Unternehmensalltags geworden. Dies zeigt durchaus positive Auswirkungen: Die Zufriedenheit der Mitarbeiter, die dadurch Arbeitsprozesse stärker nach ihren Präferenzen gestalten können, kann gesteigert werden und auch die Effizienz kann sich im Zuge dessen verbessern.
Für böswillige Akteure hingegen eröffnet sich mit Mobilgeräten im Unternehmensumfeld eine ganze Fülle von Wegen, um in die IT-Infrastruktur eines Unternehmens vorzudringen und sensible Daten zu erbeuten. In einer Umfrage von Bitglass unter Black Hat-Hackern im Jahr 2017 gaben 61 Prozent von ihnen nicht-verwaltete Geräte als die Top-Schwachstelle in Unternehmen an. Vereinfacht dargestellt, birgt jedes Endgerät ein individuelles Risikopotential. Dieses setzt sich zusammen aus Faktoren wie der Version des Betriebssystems, den darauf installierten Apps und nicht zuletzt aus dem Grad der Sorglosigkeit des Nutzers. Hacker, die gezielt in die IT-Umgebung eines Unternehmens eindringen wollen, müssen lediglich das Gerät mit dem niedrigsten Sicherheitsniveau als Einfallstor nutzen.
Trotz der offensichtlichen Notwendigkeit, Mobilgeräte von Mitarbeitern zu sichern, sieht die Realität häufig anders aus. In vielen Unternehmen werden private Endgeräte in der Hoffnung, dass schon nichts passieren wird, sozusagen als stille Teilnehmer in der Unternehmens-IT hingenommen. Dies hat vielfältige Gründe.
BYOD: Ein Aufwand, der häufig unterschätzt wird
So ist „Bring Your Own Device“ (BYOD) tatsächlich mit deutlich mehr Aufwand verbunden, als der Wortlaut zunächst vermuten lässt. Vor allem die rechtliche Seite sorgt bei deutschen Unternehmen für Kopfzerbrechen. Datenschutzrechtliche Auflagen verlangen die strikte Trennung von privaten und Unternehmensdaten auf den Endgeräten der Arbeitnehmer. Es muss gewährleistet werden, dass die Daten des Unternehmens problemlos gesichert werden können, darüber hinaus sollen private Daten von jeglicher Unternehmensnutzung unbeeinträchtigt bleiben. Neben den Daten ist auch die Nutzung der Unternehmenssoftware eine entscheidende Frage: Softwareanbieter unterscheiden zwischen privatem und gewerblichem Gebrauch. Für Unternehmen bedeutet dies, sie müssen prüfen, inwieweit die Nutzung auf privaten Geräten mit ihrer erworbenen Lizenz abgedeckt ist. Auch können im Zuge dessen steuerrechtliche Fragen auftreten. Und schließlich müssen auch personelle interne Bestimmungen sowie Haftungsfragen gelöst werden. Ein hoher Aufwand, den viele Betriebe scheuen, da sich dieser für sie nicht lohnt.
MDM und MAM: Gut gedacht, aber schlecht gemacht
Als geeignete Lösung, die Datensicherheit auch auf privaten Geräten mit vertretbarem Aufwand zu gewährleisten, erscheint vielen Unternehmen der Einsatz von Mobile Device Management (MDM). Dies ermöglicht die Mobilgerätnutzung im Einklang mit den Sicherheitsrichtlinien des Unternehmens. Auf den Geräten wird eine Software installiert, die dafür sorgt, dass der Nutzer das Gerät nur mit eingeschränkten Befugnissen und einige Anwendungen nur mit begrenztem Funktionsumfang nutzen kann. Im Falle eines Verlusts oder Diebstahls hat die IT-Verwaltung die Möglichkeit, sämtliche Unternehmensdaten auf dem Gerät aus der Ferne zu löschen. Wenn es um den Einsatz im BYOD-Kontext geht, gerät MDM-Software jedoch schnell an ihre Grenzen. Ursprünglich wurde diese entwickelt für die Nutzung in regulierten Branchen, in denen Mitarbeitern meist vom Unternehmen Mobilgeräte zur geschäftlichen Nutzung zur Verfügung gestellt werden. Handelt es sich hingegen um zahlreiche verschiedene Gerätemodelle mit entsprechend unterschiedlichen Betriebssystemen, können Schwierigkeiten bei der Kompatibilität auftreten. Bei den Nutzern macht sich dies mit Funktionsstörungen, wie zum Beispiel App-Abstürzen bemerkbar. Zudem sind nicht alle Verwaltungsfunktionen der Software für jeden Gerätetyp verfügbar.
Neben den Risiken in Bezug auf die Funktionalität hat MDM auch sehr häufig mit der Zurückweisung seitens der Mitarbeiter zu kämpfen – und dies nicht nur auf Grund der verringerten Performance. Die Software räumt der IT-Verwaltung weitreichende Zugriffsrechte ein. Diese können theoretisch auch in böser Absicht missbraucht werden – mit Hilfe von MDM wäre es für berechtigte Nutzer wie die IT-Abteilung kein Problem, das Surfverhalten zu beobachten, in den E-Mailverkehr einzugreifen und Dateien auf dem Gerät löschen oder dieses auf Werkseinstellungen zurückzusetzen. Wie aus der Umfrage zum aktuellen BYOD Security-Report von Bitglass hervorgeht, ist die Hälfte der Befragten (51 Prozent) davon überzeugt, dass die Akzeptanz von MDM-Software deutlich höher wäre, wenn die IT-Verwaltung nicht die Möglichkeit zu einem derart tiefen Einblick in die Privatsphäre hätte.
Ähnlich verhält es sich mit Mobile Application Management (MAM)-Lösungen, die im Vergleich zu MDM etwas weniger invasiv sind. Damit können unternehmenseigene Apps auf den Endgeräten der Mitarbeiter sicher bereit gestellt und unternehmenseigene Daten notfalls aus der Ferne gelöscht werden. Allerdings übernehmen Mobile Application Manager auch die Kontrolle über den Austausch von Daten zwischen den mobilen Apps auf dem Gerät, was zu Funktionseinbußen des Geräts und anderer Anwendungen führen kann. So benannten die 400 der für den BYOD Security Report Befragten „Bedenken über die Einhaltung der Privatsphäre“ mit 36 Prozent als die größten Vorbehalte, die Mitarbeiter gegen MAM hegen. Nachteile durch MDM und MAM entstehen außerdem auch der IT-Abteilung: Für sie ist es mit einem erhöhten Aufwand verbunden, zunächst jedes einzelne Gerät mit der Software auszustatten und anschließend trotz vereinzelter technischer Schwierigkeiten sicherzustellen, dass die Datensicherheit auf allen Installationen in ausreichendem Maße gegeben ist.
Datensicherheit muss die Geräte ignorieren
Das Vorhaben, private Mobilgeräte zu sichern, scheint im Unternehmenskontext stets mit Verlusten verbunden. Mit MDM- und MAM-Lösungen können Datensicherheit, Benutzerkomfort, Effizienz und Vertrauen nur suboptimal miteinander in Einklang gebracht werden, was schließlich für Frust auf Unternehmens- als auch Mitarbeiterseite sorgt. Geräte sichern zu wollen, wirkt letztendlich wie ein Selbstzweck, der im Zeitalter der Daten längst überholt ist.
Der Ausweg aus dem Dilemma führt über den Blick auf das Wesentliche: Der unmittelbare Schutz von Daten. Auf dieser Ebene setzen Lösungen an, die aus dem Mobile Information Management (MIM) hervorgegangen sind. Sie verschlüsseln alle Daten, die sich im Umlauf befinden und kommen ohne Installation auf den Endgeräten aus. Der IT-Abteilung bieten sie ohne Einschränkung die Funktionen, die auch MDM mit sich bringt, wie Data Loss Prevention und das Datenlöschen via Fernzugriff. Für die Nutzer bleibt der Bedienkomfort erhalten und ihre Privatsphäre ist keinem Risiko ausgesetzt. Auf diese Weise kann Datensicherheit auf eine für alle Beteiligten zufriedenstellende Weise erzielt werden.
