Consumer-Technologien gefährden Unternehmens-IT

Die Grenze zwischen privat genutzter und gewerblicher IT verwischt immer mehr. Für Mitarbeiter und Unternehmen bedeutet das neue Chancen. Die Kehrseite der Medaille sind jedoch wachsende Sicherheitsrisiken.

Seit längerem sagen Analysten wie Gartner oder die Experton Group vorher, dass die Unternehmens-IT zunehmend von Consumer-Elektronik beherrscht wird. Aber auch die Unternehmen selbst setzen mehr und mehr Technologien ein, die nicht primär für den Einsatz in einem gewerblichen Umfeld geschaffen wurden.

Über private E-Mail-Dienste wie Gmail oder Web.de, Instant Messaging aber auch VoIP-Clients wie Skype werden nicht mehr nur persönliche Nachrichten verschickt, auch Unternehmensdaten und Unterlagen werden darüber ausgetauscht. Aus kulturellen, aber auch häufig aus technischen Gründen heraus, sind Unternehmen nicht in der Lage oder nicht geneigt, diese Dienste abzublocken.

Nun stuft Gartner diesen Trend jedoch als eine der größten Bedrohungen für die Sicherheit der Unternehmens-IT ein. Das Beratungshaus spricht von einer Konsumerisierung der IT. Unternehmen seien gezwungen, sich diesem Trend zu stellen und geeignete Maßnahmen zu treffen. Was nicht immer ganz einfach zu sein scheint.

“Obwohl Consumer-Technologie neue Risiken für die Unternehmen bedeutet, wird es zunehmend schwieriger und unpraktikabel, den Gebrauch dieser Technologien einzuschränken oder zu verbieten”, gibt Rich Mogull, Research Vice President bei Gartner, zu bedenken. Unternehmen müssten nun in grundlegende Sicherheitstechnologien investieren und ihre Netzwerke so für den Einsatz mit der neuen Technologie vorbereiten. Für den Anschluss mobiler Geräte rät Garnter zu Management-Lösungen und sicheren Verbindungen wie etwa VPN (Virtual Private Network) oder SSL (Secure Socket Layer).

Traditionelle Sicherheitsmodelle und Technologien seien jedoch oft für eine umfassende Sicherheitsstrategie nicht ausreichend. Dennoch gebe es, derzeit zwar noch zu hohen Preisen und nicht immer voll ausgereift, Tools und Lösungen für das Problem.

Als Beispiele führt Mogull Network Access Control (NAC) oder CMF/DLP (Content Monitoring and Filtering/Data Loss Protection) an. Obwohl es derzeit vielleicht noch ein wenig zu früh für den Einsatz dieser noch nicht immer voll ausgereiften Technologien sei, sollten sich Unternehmen bereits jetzt mit Regeln  und vorgeschriebenen Verfahren auf den künftigen Einsatz solcher Lösungen vorbereiten.

Trends wie etwa das Bloggen, was auch für Unternehmen und Marketingstrategen immer wichtiger wird, oder ähnliche Aktivitäten sollten Unternehmen möglichst genau regeln. So sollte klar sein, welche Informationen über ein Unternehmen in einem Blog weitergegeben werden dürfen und welche nicht.

Ein Beispiel ist die Wall Street. Die New York Stock Exchange hat nun zusammen mit börsennotierten Unternehmen und der Börsenaufsicht SEC in zweijähriger Arbeit ein Regelwerk aufgesetzt, wie in den verschiedenen Kanälen elektronischer Kommunikation mit den teilweise hoch sensiblen Informationen umgegangen werden soll.

Wie die New York Times berichtet, sei die grundlegende Regel, dass Unternehmen, die den Inhalt einer Nachricht nicht kontrollieren oder den Absender nicht identifizieren können, den betreffenden Mitarbeiter vom Arbeitsplatz sperren sollen.

Inzwischen hätten zwar viele Broker-Unternehmen den Gebrauch persönlicher Mail-Accounts verboten, doch sollten laut den neuen Regeln auch Instant-Messaging-Clients gesperrt werden, wenn sie nicht richtig kontrolliert werden können.

Sicherheitsrisiken für Unternehmen wachsen auch dann, wenn die Anwender auf ihren gewerblich und gleichzeitig privat genutzten Plattformen mehr und mehr zur Zielscheibe von Angreifern werden. So warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem deutlichen Anstieg der Internetkriminalität. Immer mehr haben es die Kriminellen auf das so genannte Online-Banking abgesehen. Bis 2008, so das BSI in einer Mitteilung, könnten bereits 40 Prozent aller Organisationen Ziel von Online-Angriffen werden.
 
88 Prozent aller Kreditinstitute weltweit verfügten bereits über geeignete Strategien gegen derartige Angriffe. Schwachpunkt, so das BSI, sei jedoch noch immer der PC des Anwenders, wo häufig ein ausreichendes Sicherheitsbewusstsein fehlt. Nun untersucht das Consulting-Unternehmen PPI in einer Umfrage, welche Erwartungen Kunden gegenüber dem Online-Banking mitbringen, aber auch wie sich Anwender beim Online-Banking verhalten.

Doch Risiken für den Nutzer entstehen nicht nur durch Kriminelle oder Hacker. Immer mehr sammeln auch staatliche Organisationen Informationen über Kommunikationsteilnehmer. Mit unterschiedlicher Zielrichtung: Immer häufiger spionieren Geheimdienste Wirtschaftsunternehmen über elektronische Kommunikationsformen aus, wie Manfred Fink, Sicherheitsberater und öffentlich bestellter und vereidigter Sachverständiger für Abhörsicherheit, gegenüber silicon.de, bestätigte.

Firmendaten können jedoch auch im Zuge der Verbrechens- und Terrorbekämpfung in staatliche Hände gelangen. Das Bundesland Nordrhein-Westfalen erlaubt derzeit heimliche Online-Durchsuchungen privater PCs, auf denen, glaubt man Gartners Trendprognose, ja auch immer mehr Firmendaten vorgehalten werden. Derzeit klagt der ehemalige Bundesinnenminister Gerhard Baum vor dem Bundesverfassungsgericht gegen diese Regelung.

Letztlich wetterte der ehemalige FDP-Minister auf einer Tagung der Friedrich-Ebert-Stiftung, gegen die Strategie der großen Koalition, in der Bevölkerung eine Hysterie vor Terrorismus und Kriminalität zu schüren und im Zuge dessen “Ausnahmegesetze” zu erlassen, um im Grundgesetz verankerte Rechte zu umgehen.