BYOD-Risiken sind heute technisch nicht mehr in den Griff zu kriegen, sagt Gartner. Einzig mögliche Lösung sei, den Mitarbeitern mehr zu vertrauen. [...]
„Vertrauen ist gut, Kontrolle ist besser“, sagte Lenin einst, und der Genosse wusste, wovon er sprach. Unter Revolutionären ist eine gewisse Paranoia sicher nützlich. Unternehmen sollten dagegen einen gänzlich anderen Weg gehen, jedenfalls sagt das Gartner. Die IT-Analysten fordern in ihren „Top Security Trends“, mehr als bisher darauf zu vertrauen, dass Mitarbeiter „sich im Umgang mit Unternehmensdaten schon richtig verhalten werden.“
Was auf den ersten Blick wie ein vernünftiger, sozialer Ansatz wirkt, ist in Wahrheit eine Kapitulation. Vor den vielen Geräten und den noch mehr Anwendungen, die Angestellte jeden Tag mit ins Büro bringen und sie dort wie selbstverständlich auch benutzen wollen. Und Gartner macht aus dieser Kapitulation auch gar kein Hehl. „Die Einrichtung von vollständig digitalisierten Arbeitsplätzen sorgt immer mehr dafür, dass die IT-Abteilungen die Kontrolle über Endgeräte, Anwendungen, Server und das gesamte Netzwerk verlieren“, so Tom Scholtz, Gartner Fellow und Vice President. Und: „Durch die schiere Menge an Endgeräten und Zugriffspunkten, die der Digital Workplace mit sich bringt, sowie die immer intelligenteren Cyber-Attacken, werden die klassischen vorbeugenden und kontrollierenden Methoden der IT-Security zunehmend ineffektiv.“
IN KONTEXTBASIERTE SICHERHEITSWERKZEUGE INVESTIEREN
Scholtz´ Analyse der Sicherheitslage dürfte vielen Verantwortlichen den Angstschweiß auf die Stirn treiben. Aber weil er für Gartner arbeitet, liefert er die Lösung des Problems natürlich gleich mit: „An einem Arbeitsplatz, der von Consumer-Hardware bestimmt wird, müssen sich Security und ihre Kontrolle auf die Informationsschicht, also auf die Inhalte, konzentrieren.“
Klingt ebenso einfach wie einleuchtend. Die Botschaft: Das Gerät ist egal, Hauptsache, der Mitarbeiter stellt mit den Daten darauf keinen Unsinn an. In der Praxis müssten die Unternehmen mehr als bisher in kontextbasierte Sicherheitswerkzeuge investieren, die dann nicht nur für die interne IT zum Einsatz kommen, sondern auch dort, wo es Türen nach außen gibt.
Also quasi überall, vor allem an den virtuellen Schnittstellen zwischen Privat- und Arbeitsleben. Gartner schreibt dazu: „Der Ansatz des Digital Workplace beinhaltet, dass User mehr als bisher selbst entscheiden können, wie sie Technologien und Informationen nutzen wollen. Und das bedeutet, dass Arbeitgeber mehr darauf vertrauen müssen, dass ihre Angestellten vernünftig und angemessen mit Unternehmensdaten umgehen werden. Gartner glaubt, dass der Erfolg des Konzepts ‚Digital Workplace‘ entscheidend davon abhängt, dass wir dem User stärker vertrauen.“
KONTROLLE 3.0 – PEOPLE-CENTRIC SECURITY
Allerdings, und an dieser Stelle ist Gartner doch nicht so sehr weit entfernt vom Genossen Lenin, dürfen die Verantwortlichen ihr Vertrauen ruhig mit ein wenig Kontrolle unterfüttern. Und zwar, um im Bild zu bleiben, mit einer Art „Kontrolle 3.0“. Gartner-Analyst Tom Scholtz: „Zusätzlich zu systematischen Schulungen, die nachprüfbare Verhaltensregeln vermitteln, sollten Security-Verantwortliche ihre Fähigkeit ausbauen, mit unterschiedlichen Abteilungen zusammenzuarbeiten. Ziel ist dabei, Arbeitsplatzbeschreibungen und Belohnungssysteme so zu modifizieren, dass sie die angestrebten Security-Ziele unterstützen.“
Den Ansatz nennt Gartner PCS – People-centric Security. Bei ihm beziehen sich Regeln nicht auf Geräte oder Applikationen, sondern auf das generelle Sicherheitsverhalten des einzelnen Mitarbeiters, völlig unabhängig davon, welche Technik er nutzt.
SOLL SICH DIE RECHTSABTEILUNG DOCH KÜMMERN
Unternehmen, die Gartners Ansatz folgen, verlagern die Sicherheitsthematik teilweise von der IT- in die Rechtsabteilung. Schließlich bedeutet People-centric Security, trotz großer Betonung großen Vertrauens, nichts anderes, als den Verstoß gegen Regeln mit Sanktionen zu bedrohen.
Was arbeitsrechtlich zu Problemen führen kann, und zwar nicht nur in Deutschland, sondern auch in den nicht eben für rabiaten Angestelltenschutz berühmten USA. Heather Egan Sussmann, Arbeitsrechtlerin in der internationalen Kanzlei McDermott Will & Emery mit Hauptsitz in Chicago, kennt mehrere Fälle, in denen Unternehmen bei der Definition von Verhaltensregeln zu weit gegangen sind. Bisher bezogen sich diese zwar vor allem auf den Umgang mit Sozialen Medien, aber solche Konflikte könnten ebenso gut BYOD-Regeln betreffen, so die Anwältin.
PRIVACY-REGELUNGEN VERWIRREN EHER
Interessant ist auch, dass das Gartner-Konzept im Grunde ein Zurückschwingen des Pendels bedeutet: BYOD bedeutete ja früher schon einmal, starre Regeln durch allgemeine Empfehlungen zu ersetzen, an Vernunft, Anstand und Common Sense im Umgang mit Daten zu appellieren. Leider nur waren diese Appelle im Falle von juristischen Auseinandersetzungen oft wertlos und führten beim Thema Privacy eher zu mehr Verwirrung als zu mehr Klarheit.
Außerdem wurden die guten Vorsätze nach dieser ersten Phase unter Tonnen von Handheld gewordenem Elektroschrott begraben. Was folgte, waren daumendicken Kataloge mit Anweisungen, was wie mit welchem Gerät erlaubt war und was wie womit genau nicht. Anbieter von Mobile Device Management-Lösungen ließen die Korken knallen in Anbetracht solcher Geschäftsaussichten.
DER GERÄTE- UND APP-WAHNSNN IST NICHT MEHR ZU BEWÄLTIGEN
Und jetzt – Phase drei – erleben wir Gartners sicher richtiges Eingeständnis, dass der Geräte- und App-Wahnsinn nicht zu bewältigen ist, oder jedenfalls nicht mit Hilfe technischer Lösungen. Deshalb sollen es jetzt die Rechtsabteilungen richten. Und die werden noch mehr zu tun bekommen in Zeiten, in denen das omnipräsente Internet Anwendungen und Technologien zu einem einzigen Brei verrührt.
NEUE PROBLEME BRINGT DAS INTERNET OF THINGS
Die nächste Belastungsprobe für das Verhältnis zwischen Unternehmen und Angestellten beschert uns das Internet of Things, kurz IoT genannt. Was das mit BYOD beziehungsweise dem Digital Workplace zu tun hat? Viel. Denn das vertrauliche Gespräch von Maschine zu Maschine, das ja im Mittelpunkt des IoT steht, findet nicht nur zwischen RFID-Chips und einem Lesegerät statt, nicht nur zwischen der Rohkarosse im BMW-Werk und der Steuereinheit der Produktionsstraße. Sondern Internet of Things, das ist auch die Kommunikation zwischen dem Pulsmesser und der App auf dem iPhone während des Joggens.
DAS DAMPFBÜGELEISEN ALS SPION
Wobei dieses Beispiel gleich zwei Probleme anschneidet: Erstens die Frage, wie der betreffende Mitarbeiter seine (Gesundheits-)Daten gegenüber dem Arbeitgeber geheim halten kann und darf. Und zweitens, ob diese Verbindungen von einer Maschine zur anderen für den Arbeitgeber des Joggers nicht zum gefährlichen Einfallstor für Spyware und andere gefährliche Schädlinge werden kann.
Realitätsfern ist ein solches Szenario jedenfalls nicht: Vor einiger Zeit war ein Dampfbügeleisen in den Handel gekommen, das über WLANs in seiner Nähe Spam und Spyware verschickte. Möglich wurde dies, weil chinesische Hacker die Geräte vorher mit einem speziellen Chip präpariert hatten.
UNTERNEHMEN NOCH WENIG VORBEREITET
Nun werden zwar auch in Zeiten des Extrem-BYOD die wenigsten Mitarbeiter Dampfbügeleisen mit ins Büro bringen, aber schon bei nur geringfügig besser kaschierten Angriffen könnten viele Unternehmen überfordert sein. Wie eine aktuelle Umfrage von Spiceworks, einem Hersteller von System Management-Software, unter 440 IT-Verantwortlichen in den USA ergab, bereiten sich nur 29 Prozent von ihnen proaktiv auf Angriffe durch autark agierende Maschinen vor. Und das, obwohl 75 Prozent von ihnen solche Angriffe für eine potenzielle Gefahr halten.
Egal, wie es mit dem wuchernden Geräte-Wahnsinn weitergeht: Für mehr Vertrauen zwischen den Beteiligten werden die Gartner-Vorschläge trotz der kuscheligen Rhetorik kaum sorgen. Dabei wäre das dringend notwendig, denn um ebenjenes Vertrauen ist es beim Thema BYOD nicht gut bestellt. Zu diesem Ergebnis kommt eine aktuelle Untersuchung von Webroot, einem US-Anbieter von Internet Security-Lösungen.
MITARBEITER WOLLEN KEINE SICHERHEITS-APP
Dabei war das Studiendesign ebenso einfach wie das Ergebnis eindeutig. Webroot hatte 2000 Angestellten in den USA eine einzige Frage gestellt: „Wenn Ihr Arbeitgeber Sie auffordern würde, eine Sicherheits-App auf Ihrem persönlichen Smartphone oder Tablet zu installieren, würden Sie dies tun?“ Fast die Hälfte der Befragten antwortete, dass sie ein Gerät mit einer solchen Sicherheitsanwendung nicht mehr benutzen würden.
* Christoph Lixenfeld ist Redakteur der deutschen CIO.
Be the first to comment