Die Raiffeisen Rechenzentrum GmbH begegnet der "Bring your own Device"-Challenge auf der sicheren Schiene: Die Mitarbeiter erhalten Smartphones oder Tablets für Beruf und privat direkt vom Unternehmen. Die Security-Maßnahmen werden zentral verwaltet. [...]
Der Trend zu „Bring your own Device“ (BYOD) führt seinen Siegeszug konstant fort, dennoch gehen damit komplexe technische, organisatorische und rechtliche Herausforderungen einher. Diese betreffen den technischen Schutz geschäftskritischer oder personenbezogener Daten sowie die Aufrechterhaltung eines reibungslosen IT-Betriebs. Auf juristischer Ebene müssen Aspekte wie Verlust-, Reparatur-, und Ersatzansprüche klar geregelt sein. Auch lizenzrechtliche Fragen kommen hinzu.
Die Raiffeisen Rechenzentrum GmbH (RZZ) als größtes Bankenrechenzentrum im Süden Österreichs mit rund 100 Mitarbeitern löst die BYOD-Problematik im Zeichen der Sicherheit: Der IT-Full-Service-Provider stellt seinen Mitarbeitern großflächig Smartphones und Tablets zur Verfügung, die sowohl beruflich als auch privat genutzt werden dürfen. „Wir sehen diesen Schritt als zusätzliches Motivationsmoment für unsere technikbegeisterten Mitarbeiter, wodurch gleichzeitig auch die Produktivität zunimmt“, betont Dietmar Schlar, Vorsitzender der Geschäftsführung der Raiffeisen Rechenzentrum GmbH. Insgesamt verwaltet das Unternehmen nicht nur für den Eigenbedarf, sondern vor allem auch für seine Kunden mehr als 1.000 Smartphones und rund 110 Tablets. Mit dieser Strategie lassen sich die mobilen Geräte zentral verwalten und höchste Sicherheitsanforderungen einhalten, was im sensiblen Bankenumfeld essentiell ist. Bereits seit Jahren ist das RRZ durch die Zertifizierungsorganisation CIS nach den internationalen Standards ISO 27001 für Informationssicherheit und ISO 20000 für IT-Service-Management zertifiziert. Daher musste die Mobile-Device-Strategie auch im Einklang mit diesen Normen umgesetzt werden.
„Durch die Nutzung firmeneigener mobiler Geräte werden zahlreiche rechtliche BYOD-Probleme vermieden – wie etwa die Haftung für verlorene Unternehmensdaten oder die Frage des Verschuldens bei Einschleusen von Schadsoftware“, bestätigt CIS-Auditor Robert Jamnik als externer Prüfer die defensive RRZ-Strategie. Auf der arbeitsrechtlichen Seite wurde der Komfort, mit firmeneigenen Devices beruflich wie privat arbeiten zu können, durch eine Betriebsvereinbarung geregelt. „Zudem müssen die Mitarbeiter Nutzungsbedingungen unterschreiben, für deren Einhaltung sie haften“, ergänzt Markus Hefler, Leiter der Information Security im RRZ.
Auf technischer Ebene wurde die Mobile-Device-Strategie des RRZ mit Hilfe einer Container-App-Lösung realisiert. Damit wird eine Kapselung der Unternehmensdaten innerhalb eines verschlüsselten Containers erzeugt, wodurch eine exakte Trennung zwischen Beruf und privat möglich ist. „Somit betreffen die zentral gesteuerten Sicherheitsrichtlinien ausschließlich die mobil abgelegten Business-Daten. Im Falle des Verlusts des Endgerätes werden auch ausschließlich die Unternehmensdaten remote gelöscht“, erklärt der Security-Leiter. Mit Hilfe des Management Frameworks ist es möglich, für die Container App Sicherheitsrichtlinien zu konfigurieren – etwa für die Passwortkomplexität oder das Verhalten bei manipulierten Betriebssystemen.
SICHERHEITSTECHNISCHE ANFORDERUNGEN
Mit Hilfe dieser Lösung werden auch technische Gefahren wie Rooting oder Jail Breaking adressiert. „Diese Techniken beschreiben die Manipulation mobiler Betriebssysteme durch ihren Besitzer, mit dem Ziel, uneingeschränkten Zugriff auf sämtliche Funktionen des Gerätes zu erhalten – etwa gegen Einschränkungen von Mobilnetzbetreibern“, erklärt Hefler. Diese Manipulationen eröffnen zwar mehr Nutzungsmöglichkeiten, jedoch wird auch der Infektion durch manipulierte Apps Tür und Tor geöffnet. Dieser Bedrohung begegnet das RRZ auf organisatorischer Ebene innerhalb der verpflichtenden Nutzungsrichtlinie sowie auf technischer Ebene mit Hilfe einer Container-App-Funktion: Diese prüft bei jedem Aufruf der Container App, ob das Betriebssystem des Endgerätes manipuliert wurde. Wird dies festgestellt, kann der Benutzer nicht mehr auf den geschützten Bereich mit den Unternehmensdaten zugreifen.
Die aktuelle Mobile-Device-Management-Lösung in der RRZ GmbH ermöglicht die Nutzung von E-Mails, Kalender, Kontakten und Aufgaben. „Wir arbeiten aber an einer breiteren Lösung, die auch die Nutzung von Applikationen wie Office oder Powerpoint ermöglicht. Zudem wird eine private Cloud-Lösung implementiert, die auch die Offline-Verfügbarkeit von Unternehmensdaten und deren Bearbeitung auf dem Smartphone oder Tablet erlaubt“, so Hefler. Allerdings steigt mit der erweiterten mobilen Nutzung das Bedrohungsrisiko in Bezug auf die Informationssicherheit. Daher müssen künftig neben den Collaboration-Daten auch die mobil abgelegten Office- und Datenbank-Dokumente mittels Verschlüsselung geschützt werden. Dafür ist nicht nur ein leistungsfähigeres MDM-Tool notwendig, sondern auch eine ganz neue Infrastruktur inkl. neuer Server und Authentisierungssysteme.
„Die Evaluierung der Anforderungen an ein MDM-Projekt ist nicht immer einfach“, resümiert Hefler, „denn die Kosten steigen mit dem Leistungsumfang enorm an und man ist darauf bedacht, die Funktionen sparsam umzusetzen. Andererseits steigt mit der mobilen Nutzung die Erwartungshaltung der User. Daher empfiehlt es sich generell, bereits zu Projektbeginn auf umfangreichere Tools zu setzen, die eine spätere MDM-Erweiterung reibungslos ermöglichen.“
SECURITY-EVENT IN WIEN
Zum Thema Informationssicherheit nach ISO 27001 laden die Zertifizierungsorganisationen CIS und Quality Austria am 04.06.2014 zu ihrem 10. „Information-Security-Symposium“ in den Kursalon Wien ein. Unter dem Titel „Kundenvertrauen stärken durch Sicherheit mit System: ISO 27001 – ISO 20000 – ISO 9001“ präsentieren hochkarätige Vortragende und Aussteller aktuelle Themen. Key Speaker ist der Wiener Jurist Max Schrems zu „Big Data & Datenschutz“. Weitere Schwerpunkte sind u.a. Riskmanagement, Data-Center-Zertifizierung und intelligente Unternehmen. Anmeldung unter: www.cis-cert.com/Symposium.
* Die Autorin Heike Galley ist als Kommunikationsberaterin auf IT-Themen spezialisiert und betreut namhafte Unternehmen im IT-Bereich, darunter die Zertifizierungsorganisation CIS.
Be the first to comment