Mobile Geräte sind im Geschäftsalltag und erst recht im Privatleben nicht mehr wegzudenken. Die Verwendung dieser oft noch als Gadgets verunglimpften Wunderdinger hat einen enormen Einfluss auf die Art und Weise, wie Geschäfte heute abgewickelt werden. Die Produktivität und die Flexibilität der Mitarbeiter werden massiv erhöht, da sie nun in der Lage sind, jederzeit und von überall her auf die Unternehmensdaten zuzugreifen und zu arbeiten. Die neuen mobilen Dienste bieten auch neue Geschäftsmodelle an, was letztlich die Organisationsstrukturen in Unternehmen und in der Gesellschaft als Ganzes auf den Kopf stellt.
Konnektivität ist nicht mehr auf die Telefonie beschränkt. Mit IoT, „Internet-of-Things“, gibt es heute schier grenzenlose Möglichkeiten für mobile Geräte. Auf dem Markt findet zudem eine starke Konsolidierung der End-Geräte statt, was zu wenigen, dafür sehr mächtigen Hardware- und Software-Unternehmen führt. Eine weitere Entwicklung ist auch die schrittweise Migration von mobilen Gerätefunktionalitäten in die Cloud. Mittlerweile hat auch das mobile Wallet oder Mobile Payment eine konkrete Umsetzung gefunden. Die Nahfeldkommunikation (Near Field Communication, Abkürzung NFC) ist ein internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten per Funktechnik über kurze Strecken von wenigen Zentimetern. Diese Technik wurde vorerst nur für Zahlungen von kleineren Beträgen verwendet, ist aber nun für die Bezahlung über die gängigen Kreditkarten vorgesehen.
Von den Mitarbeitern wurde immer mehr Flexibilität und Mobilität in Bezug auf ihren Arbeitsplatz gefordert. Nun ist dies mittels der neuen mobilen Technologie zur Tatsache geworden. Das Büro ist nicht mehr das Zentrum des Arbeitens und es wird nicht mehr eine permanente Präsenz erwartet. Mitarbeiter können heute ihre Arbeitszeit und ihr Arbeitsumfeld oft selber gestalten. Dies stellt gerade die internen IT-Supportprozesse und externen Serviceverträge vor grössere Herausforderungen. Wenn mobile Anwender einen 24/7-Service verlangen, sind die Auswirkungen auf die Organisationsstruktur wahrscheinlich beträchtlich.
Während die Mobilität und die Flexibilität eine Tendenz zur Dezentralisierung schaffen, konvergieren technologische Plattformen mehr zur Integration neuer Szenarien. Gerade in der Automobilindustrie oder teilweise schon in Haushaltgeräten ist dies zu beobachten. Diese Geräte werden stärker in die Benutzer-Interaktion einbezogen. Man betrachtet dies auch als Mehrwert-Dienst, wie beispielsweise Fernsteuerung. Viele Automobilhersteller bieten heute bereits Ferndiagnosen bei Störungen oder das Entsperren der Autos an. Als negative Auswirkung kann die Kompromittierung dieser Fernsteuerungs-Sensoren als neues Sicherheitsrisiko betrachtet werden.
Funktionen wie Freisprechen via Smartphones im Auto sind heute selbstverständlich. Moderne Autos können mittlerweile die Kontakte, Adressen und Termine aus den Geräten auslesen. Wenn dies mit einem gemieteten Auto geschieht, kann man sich die Risiken gut vor Augen führen. Im Unternehmen gehört das Security Management der Firmenwagen und Mietwagen mittlerweile in die Gesamtstrategie für das Management der mobilen Geräte.
Eine weitere wichtige Entwicklung ist die Einführung von medizinischen Geräten und Implantaten, die mittels mobiler Geräte wirkungsvoll gemanagt werden. Wozu dies alles führen kann, mag man sich heute noch gar nicht richtig vorstellen. Was diese Entwicklungen gemeinsam haben, ist die Kombination aus autonomer Rechenleistung, umfangreiche Datenspeicherfunktionen und die Möglichkeit, Breitbandkommunikation zu verwenden. Aufgrund der Tatsache, dass mobile Geräte die Endpunkte der Unternehmensnetzwerke darstellen, werden sie gerne als Angriffsziel für Hackerattacken genutzt.
Mit Verboten oder Einschränkungen von solchen Geräten wird man höchstwahrscheinlich auch mittelfristig keinen Erfolg haben. Viele Unternehmen haben ein Verbot gewisser Geräte ausgesprochen. Trotzdem haben diese aufkommenden Technologien bereits einen Fuss in denselben Unternehmen, da sie sehr stark von privater Seite akzeptiert und genutzt werden. Die Geschäftswelt lässt sich nicht mehr vollständig von der privaten Welt abtrennen. Aber mit der zunehmenden Mobilität und der einfachen Nutzung von Cloud-Services haben solche Systeme ein grosses Risikopotenzial, welches von den Unternehmensverantwortlichen nicht einfach so hingenommen werden darf.
Wenn mit der Plug-and-Play-Mentalität fremde Systeme an die Firmeninfrastruktur einfach so angeschlossen werden, dann sind die Daten und deren Bearbeitung nicht mehr unter der vollständigen Kontrolle des Unternehmens. Durch die ungetestete und je nach Herkunft unsichere IT öffnet man die Schleusen für externe Angriffe, während man intern mit sehr viel Aufwand und Technik versucht, Schädlinge von sich fernzuhalten. Wenn Mitarbeiter das Unternehmen verlassen ist nicht klar, wie mit den Daten und Geräten umzugehen ist, welche der Mitarbeiter selbst eingebracht hat. Wird alles gelöscht – oder nimmt er die Daten einfach so mit?
Wer ist nun für die Qualität und Sicherheit verantwortlich? Wie sieht es lizenzrechtlich aus, wenn private Software plötzlich im Unternehmensumfeld genutzt wird? Wer haftet für Schäden, wenn durch ungesicherte private Geräte Viren- und Cyber-Attacken auf Firmendaten und -systeme auftreten? Kann die Unternehmensleitung die Verantwortung einfach auf die Mitarbeiter abschieben, welche die Richtlinien nicht beachtet haben, wenn sie gleichzeitig wegschaut oder die Mitarbeiter gewähren lässt?
Sicherheit wird oft als selbstverständlich betrachtet und die Benutzer nehmen sich vielfach nicht die Zeit, die Geräte ordnungsgemäss zu überprüfen. Einige Beispiele veranschaulichen die Eigenrisiken (intrinsische Risiken):
- Bei beliebten Anwendungen (Apps) wie Twitter® oder FacebookTM ist es häufig sehr schwierig, diese sicherheitstechnisch optimal einzurichten. Sie benötigen oft mehr als zehn kritische Berechtigungen auf mobilen Betriebssystemen, einschliesslich das Ändern von Daten, ändern von Konfigurationen sowie die Einleitung oder der Unterbruch von Verbindungen auf mobile Telefongeräte.
- Die Logfiles der häufigsten mobilen Betriebssysteme (OS) enthalten äusserst detaillierte Daten. Wenn das Gerät abstürzt, werden diese Daten von den letzten vier Wochen an den Provider verschickt – ohne Zutun der Benutzer.
- Opt-out respektive das Einschränken von Berechtigungen auf den Geräten ist sehr schwierig oder unmöglich. Eine wachsende Zahl von mobilen Apps stellt den Benutzern einfach einen „OK“-Schaltknopf zur Verfügung und nach dessen Bestätigung sind einige ziemlich kritische Genehmigungen ohne wirkliche Kenntnis erteilt worden. Der einzige Weg, um sich davon wieder zu befreien, ist die zwangsweise Abschaltung und Löschung der App.
- Die Authentifizierung wird häufig mit dem mobilen Gerät selbst (mit dessen Telefonnummer; Subscriber Identity Module [SIM]-Karte als einmaliger Token) und mit Anwendungsfunktionen ermöglicht.
Eine aktuelle Studie der Aruba Networks hat aufgezeigt, dass die die nachrückende Y-Generation das Thema Security im Umfeld von BYOD nicht mehr so heiss essen, wie wir ältere Generationen.
Gleichzeitig kann diese Art zu arbeiten auch einen Mehrwert für die Unternehmen darstellen. Da immer intelligentere Geräte verfügbar werden, können die Mitarbeiter auch effizienter und mit viel mehr Komfort arbeiten. Dies erhöht die Arbeitgeberattraktivität und ermöglicht die Organisationsentwicklung hin zu neuen Geschäftsmodellen. Wenn diese aufstrebenden Praktiken und Arbeitsmuster durch ein flexibles Security Management unterstützt werden, dann können sie messbaren Nutzen für die Unternehmen bringen.
Die Kehrseite dieser flexiblen Arbeitsweise ist die Verwischung zwischen geschäftlichen und privaten Aktivitäten. Die Benutzer werden durch längere und anhaltende Nutzung des Gerätes oft abgelenkt und dadurch auch weniger produktiv. Ebenso wird mit der Nutzung der mobilen Geräte eine Erwartungshaltung geschaffen, immer online sein zu müssen. Dies führt nicht selten zu erheblichem Druck auf Benutzer, was dann in Burnouts oder psychischer Belastung resultieren kann. Diese negativen Auswirkungen erhöhen die Gefahr von Sicherheitslücken und unbeabsichtigtem Fehlverhalten der Anwender.
Mit Verboten alleine werden diese mobilen Geräte in den Unternehmen nur als unnötiges Risiko betrachtet und das Chancen-Potenzial wird völlig ausgeblendet. Das Security Management muss daher das Innovationspotenzial der Geräte und die damit verbundenen Risiken und Bedrohungen in den Lösungskonzepten gleichwertig adressieren.
Es muss sichergestellt werden, dass das Unternehmen eine IT bereitstellen kann, welche den Businessanforderungen besser entsprechen kann und den trendigen Ansprüchen im Markt genügt. Auch wenn Business-Einheiten selbst IT-Leistungen von aussen initiieren und nutzen wollen, müssen Rahmenbedingungen und tragbare Konzepte definiert und diese mit den internen Richtlinien in Einklang gebracht werden, bevor unkontrolliert Schatten-ITs errichtet werden, die für das Unternehmen eine echte Bedrohung darstellen können. Dazu muss die interne IT agiler werden und ihre Leistungen regelmässiger mit den Fachabteilungen abstimmen. Anstatt neue Technologien zu verteufeln und mit viel Aufwand zu versuchen, deren Anwendung zu verhindern, sollten Strategien überlegt werden, wie damit sinnvoll umgegangen werden kann.
Klare Governance-Strukturen und Mobile-Strategie sind gefordert
Die Unternehmens- oder Organisations-Governace für mobile Geräte ergibt sich aus der strategischen Entscheidung, wie diese Geräte in das Unternehmen kommen und wofür sie verwendet werden sollen. Daten und Informationen, die auf den mobilen Geräten gespeichert werden, unterliegen verschiedenen Governance-Bestimmungen im Unternehmen. Dazu gehört auch, auf welche Art und Weise die Benutzer die Geräte für die Telefonie und die E-Mail-Nutzung verwenden dürfen. Die Unternehmen müssen eine gute Balance finden zwischen den unternehmerischen, wirtschaftlichen Interessen sowie den Rechten der Nutzer, um die Geräte frei und produktiv einsetzen zu können. Dies kann zu einer echten Herausforderung werden – insbesondere dann, wenn die Benutzer ihre eigenen Geräte einsetzen können. Dann braucht es einen offenen Ansatz, welcher seinerseits ein Sicherheitsrisiko darstellen kann. Die Unternehmen müssen die zugrundeliegenden Ideen ihrer internen Kultur und Strategie anpassen.
Ohne ein angemessenes Governance-Konzept rund um die mobilen Geräte sind technische und betriebswirtschaftliche Probleme vorprogrammiert. Als Konsequenz werden Sicherheitsrisiken und Schwachstellen nicht erkannt und können zu Folgeschäden und Datenverlusten führen. Unternehmen stehen dabei oft unter Druck ihrer Mitarbeiter, ihnen die neuen Technologien zu erlauben. Die neue, sogenannte Y-Generation ist bezüglich der geschlossenen Systeme weniger tolerant und betrachtet diese als veraltet. In extremen Fällen kann diese mangelnde Flexibilität die Attraktivität des Unternehmens als Arbeitsgeber negativ beeinflussen.
Der Business Case
Die Nutzung der mobilen Geräte, unabhängig von deren Form, dient einem Geschäftszweck, welcher mit den organisatorischen Zielen verknüpft werden muss. Dies müssen berücksichtigt werden, wenn neue Technologien, über welche die Governance-Kontrolle sichergestellt werden muss, bewertet und im Unternehmen eingeführt werden sollen. Auf einer tieferen Ebene werden dann die Grenzen des Einsatzes der Geräte definiert, welche aufgrund strategischer Ziele und bestimmter mobiler Lösungen abgeleitet werden. Dies umfasst sowohl die technischen Anforderungen wie auch Kosten-Nutzen-Überlegungen.
Wenn kein Business Case vorliegt, dann ist der Einsatz der mobilen Geräte unverbindlicher Natur. Wenn man aber die Sicherheitsfragen sowie die Kosten für den Betrieb betrachtet, wird man zweifelsohne zu einer strengeren Business-Case-Betrachtung kommen.
ISACA hat eine Publikation veröffentlicht (Securing Mobile Devices Using COBIT 5 for Information Security), welches einen praktischen Leitfaden zur Erstellung der notwendigen Richtlinien darstellt.
In meinem Buch „COBIT 5 Grundlagen“ habe ich diesem Thema ein eigenes Kapitel gewidmet und zeige auf, wie COBIT 5 bei der Erarbeitung einer BYOD- und Mobile-Strategie genutzt werden kann.