Mobile Endgeräte stellen für Behörden und Unternehmen eine Herausforderung dar, weil sie naturgemäß in nicht kontrollierbaren Umgebungen betrieben werden. [...]
Statt ihren Einsatz zu unterbinden, müssen Konzepte entwickelt werden, die den Mobilitätsbedarf der Mitarbeiter und die Sicherheitsanforderungen in Einklang bringen. Dazu gehört die Einrichtung von „Containern“, die dienstliche Daten konsequent von anderen abschotten.
Zusammen mit Cloud Computing und dem Internet der Dinge gehört der Einsatz mobiler Endgeräte zu den Megatrends der IT. Was Ende des vorigen Jahrtausends im privaten Bereich mit aus heutiger Sicht recht schlichten Mobiltelefonen begann, hat mittlerweile das Kommunikationsverhalten revolutioniert. Auch Organisationen, die sich zunächst vom Thema Mobility, nicht oder nur am Rande betroffen sahen, müssen sich daher dieser Herausforderung stellen: öffentliche Einrichtungen, Ämter und Behörden, aber auch Unternehmen in sicherheitskritischen Bereichen, die strenger Geheimhaltung unterliegen.
Herkömmliche IT arbeitet in einem kontrollierten Bereich: Der Betreiber legt zum Beispiel fest, wer welchen Dienst nutzen kann und er schafft damit, sofern er bei der Umsetzung korrekt vorgeht, Sicherheit. Nicht zuletzt dadurch, dass nicht jedermann das Gebäude betreten und sich an einen Computer setzen darf. Das ist bei mobilen Endgeräten natürlich ganz anders. Sie sind ja dafür konzipiert, das sichere Gebäude zu verlassen – und die Anforderungen der Nutzer zielen auf solche Einsatzszenarien, beispielsweise für den Außendienst. „Draußen“ aber können die Geräte verloren gehen, sie können zwischendurch mal von unberechtigten Personen benutzt werden. Kritisch ist vor allem die Kommunikation der Geräte; die Verbindungen ins Internet ist unerlässlich – niemand wird sein Smartphone auf Taschenrechner- und Kompassfunktion beschränken wollen –, stellt aber einen beliebten Angriffspunkt dar, beispielsweise über unsichere WLAN-Verbindungen an öffentlichen Plätzen. Weit mehr als herkömmliche IT sind mobile Geräte einem extremen Angriffsdruck ausgesetzt. Dies ist umso gefährlicher als der Nutzer hier weitgehend auf sich allein gestellt ist, im ICE oder abends im Hotel kann sich kein Sicherheitsingenieur kurzerhand einklinken und ein gefährdetes System herunterfahren.
Aus diesen Überlegungen lässt sich im Grunde nur ein Schluss ziehen: In sicherheitsempfindlichen Einsatzszenarien, wozu aufgrund hoheitlicher Aufgaben die Mehrzahl der Ämter und Behörden zählen, aber zum Beispiel auch im Gesundheitswesen oder bei Betreibern kritischer Infrastrukturen, haben mobile Endgeräte nichts verloren.
Mobility lässt sich nicht unterbinden
Es wäre für alle Organisationen allerdings fatal, sich technologischen Trends ganz prinzipiell entgegenstemmen zu wollen. Anders formuliert: dieser Zug ist abgefahren. Smartphones und Tablets sind nun mal in der Welt, sie werden eingesetzt, weil sich damit produktiv arbeiten lässt, und genauso wenig wie Behörden oder Unternehmen das Internet aussperren konnten, können sie auf Dauer den Einsatz mobiler Endgeräte unterbinden. Der Preis wäre nicht nur, dass man auf Produktivitätsvorteile verzichten müsste, man würde sich auch von einer allgemeinen Entwicklung abkoppeln, und in wachsendem Maße auf das Unverständnis von Kunden, Geschäftspartnern, Mitarbeitern, im Fall von Behörden generell von Bürgern und politischen Entscheidungsträgern, stoßen.
Trotz der sicherheits-technischen Herausforderung besteht ja auch im Öffentlichen Sektor mittlerweile ein großer Bedarf für den Einsatz mobiler Endgeräte, etwa wenn Mitarbeiter im Home-Office oder unterwegs arbeiten. Natürlich ist der PC als Standardgerät unangefochten, aber er wird auch im Büro ergänzt durch die Nutzung mobiler Endgeräte, zum Beispiel für die Kommunikation oder für spezielle Aufgaben wie die fotographische Dokumentation. Hohe Flexibilität und damit Produktivität sind die Argumente für den Einsatz mobiler Systeme auch bei Behörden. Und ein weiteres kommt hinzu: Produktive und leicht bedienbare Arbeitsmittel steigern die Motivation. Die Mitarbeiter sind im privaten Bereich an Smartphones und Tablets gewöhnt und wollen deren Vorteile auch in der Arbeit nutzen. Dies ist vor allem in Hinblick auf das Re¬cruiting wichtig, denn wer im Wettbewerb um die „besten Köpfe“ nicht zurückstehen will, muss auch ein Arbeitsumfeld mit aktuellen Technologien bieten.
Statt den Einsatz von mobilen Endgeräten durch entsprechende Dienstanweisungen zu unterbinden, müssen Behörden und Unternehmen daher Konzepte entwickeln, die sowohl dem Mobilitätsbedarf der Mitarbeiter als auch dem Wunsch nach einer einfachen Implementierung und Steuerung durch die IT und den hohen Sicherheitsanforderungen kritischer Einsatzprofile gerecht werden.
Dabei hat sich in den letzten Jahren noch eine zusätzliche Problematik ergeben, die gewissermaßen als erschwerende Nebenbedingung zu berücksichtigen ist: Die Mitarbeiter sind daran gewöhnt, Mobilgeräte für private Zwecke zu verwenden. Es liegt in der Natur der Sache, dass bei mobilen Geräten die Grenzen zwischen privater und dienstlicher Nutzung unscharf sind; schließlich wurden diese Systeme für den Consumer-Sektor konzipiert und die Innovationen werden auch weitenhin davon getrieben.
Grundsätzlich ist auch hier Flexibilität gefragt; in Abhängigkeit von Sicherheitsstufe und Budget bieten sich für kritische Organisationen folgende Möglichkeiten an:
1. Bereitstellung eines dienstlichen Smartphones oder Tablets, auf dem jegliche privaten Anwendungen verboten sind;
2. Bereitstellung eines dienstlichen Smartphones oder Tablets, das auch privat genutzt werden darf;
3. Nutzung privater Geräte der Mitarbeiter für dienstliche Anwendungen (Bring your Own Device – BYOD).
Für die beiden letzten Fälle müssen Unternehmen und Behörden Einsatzregeln definieren und technische Lösungen implementieren, die den sicheren Betrieb mobiler Systeme für dienstliche und private Anwendungen gewährleisten. Es müssen einfache Richtlinien entwickelt werden, wobei diese so zu gestalten sind, dass eine Balance zwischen Flexibilität, Anwendungskomfort und Sicherheit gewährleistet ist.
Technisch müssen Unternehmen und Behörden auf jedem mobilen Endgerät private und dienstliche Daten und Anwendungen strikt voneinander isolieren. Solche Container-Lösungen sind einfach zu implementieren und zu betreiben und garantieren die Sicherheit der Daten. Da die Daten in der Container-App verschlüsselt sind, ist ein Austausch von Daten, etwa durch Cut and Paste, nicht möglich. Dienstliche Daten bleiben also im Dienst-Container. Wird das Gerät verloren, so können die Daten von der IT auch remote gelöscht werden. Die Sicherheitsmechanismen laufen in der Container-App intuitiv ab und beeinträchtigen die Mitarbeiter nicht. Auf diese Weise ist Sicherheit praktikabel und Sicherheit, die nicht behindert, setzt sich auch im Alltag durch. So gesichert können mobile Endgeräte auch mit Privatnutzung nicht nur überall eingesetzt werden, sie sind sogar sicherer als rein dienstlich genutzte Endgeräte ohne entsprechende Absicherung.
*Der Autor Günter Junk ist CEO der Virtual Solution AG in München.
Be the first to comment