CYOD statt BYOD

Bring-Your-Own-Device (BYOD) bedeutet, dass sich die verschiedensten Geräte im Netzwerk tummeln. Eric Doyle ist der Auffassung, dass es auch sicherer geht: mit Choose-Your-Own-Device (CYOD).

Der Mobile World Congress (MWC) und die CeBIT haben ihre Pforten geschlossen und neue Smartphones und Tablets vorgestellt. Dank Quad-Core-Handys und Verbesserungen bei der Technik können Nutzer nun mehr als je zuvor anfallende Arbeiten mit ihren mobilen Endgeräten erledigen.

Das große Gesprächsthema in Barcelona und Hannover war Bring-Your-Own-Device (BYOD). IT-Manager räumten in Umfragen ein, dass sie BYOD bei der Anschaffung und der Nutzung von Betriebs- und Geschäftsausstattungen als zwangsläufige Veränderung betrachten. Gleichzeitig prophezeiten Analysten, dass es in den IT-Abteilungen angesichts der hereinbrechenden Herausforderungen zu viel Wehklagen und Harreraufen kommen werde.

Symantec gab sich bezüglich der Haftungsproblematik besorgt – wer ist verantwortlich, wenn die private Hardware den digitalen Geist aufgibt? Greg Day, EMEA Security CTO und Director of Security Strategy bei Symantec, betonte, dass BYOD-Initiativen zusätzlich zu den Sicherheitsproblemen noch regulatorische Probleme aufwerfen würden. “Wenn Mitarbeiter ihre eigenen Handys nutzen, besonders in Europa, wirft dies Probleme bei der Verantwortlichkeit auf”, sagte er. “Wenn Angry Birds nicht mit einer Unternehmens-App kompatibel ist, wer ist dafür verantwortlich? Der Nutzer oder die IT-Abteilung? Außerdem besteht darüber hinaus das Problem, dass IT-Mitarbeiter in manchen Ländern beim Versuch, das Problem zu beheben, nicht auf die persönlichen Daten auf dem Handy zugreifen dürfen.”

Diese ungeregelten Zuständigkeiten werden sich erst in den nächsten Jahren zum Problem auswachsen. Obwohl diese Strategie auf “your own device” – also das im Privatbesitz befindliche Gerät bezogen ist – wer kommt für Reparaturkosten oder ein neues Gerät auf, wenn das Privatgerät im Rahmen der geschäftlichen Nutzung beschädigt wird? Halten sich geschäftliche und private Nutzung die Waage, wenn es um die Zahlung der Telefonrechnung geht? Wenn der Nutzer eine App herunterlädt, die mit Viren verseucht ist, wer muss dann für den etwaigen Schaden geradestehen? BYOD ist nicht nur ein Alptraum für die IT-Abteilung, sondern bereitet auch der Buchhaltung Kopfschmerzen.

Viele der Probleme liegen noch im Dunkeln. Wir stehen in Sachen mobile Bedrohungen erst am Anfang – viele Hacker testen erst die IT-Systeme aus, um herauszufinden, wo sich die vielversprechendsten Exploits verstecken. Für manche Hacker mag es ja ein netter Zeitvertreib sein, Trojaner zu programmieren, aber es gibt nur begrenzte Möglichkeiten, diese Schadsoftware einer nennenswerten Anzahl an Nutzern unterzuschieben – daher ist dies wenig profitabel. Eines Tages wird jemand es schaffen, einen wurmähnlichen Virus zu schreiben, der sich in Unternehmensnetzwerken oder über die Luft verbreiten kann. Die steigende Anzahl von Handys mit WLAN-Funktionen verheißt so manche Möglichkeiten.

Eine beliebte Angriffsmethode von Hackern ist auch das gezielte Versenden von E-Mails, genannt Spear Fishing (Speerfischen). Diese Methode ist in allen IT-Umgebungen gleich effektiv. Der Erfolg hängt von der Leichtgläubigkeit des Nutzers ab und nicht davon, ob es sich um ein Gerät mit Android oder um ein Betriebssystem wie iOS, Windows Phone oder um irgendein anderes Betriebssystem handelt.

Carl Leonard, Leitender Mitarbeiter bei Websense Security Labs, sagt dazu: “Wenn man Mitarbeitern eine Auswahl bei den Geräten bietet, müssen im Unternehmen technische Sicherheitsmaßnahmen getroffen werden, die sämtliche Hersteller und Modelle der Geräte im Unternehmen abdecken – egal ob es sich um ein Tablet oder ein Smartphone handelt. Cloud-basierte Überwachung und das Durchsetzen der Unternehmensrichtlinien ist ein Muss.”

Viele Menschen besitzen heute Smartphones, die sie privat gekauft haben, so Leonard. “Oft sind diese Handys wesentlich moderner und aktueller als die Firmen-Handys, die ihnen von der Firma zur Verfügung gestellt werden, und manche Mitarbeiter nutzen lieber ihr eigenes, moderneres Gerät, um sich in das Unternehmensnetzwerk einzuklinken.” Das bedeute, dass bei BYOD ständig neue Geräte im Netzwerk auftauchen.

Sicherheitstechnisch gesehen, sind diese Geräte weder geprüft noch getestet. Manche Mitarbeiter haben ihr Gerät vielleicht im billigen Internetladen gekauft. Wahrscheinlich werden demnächst Geräte mit manipulierter Hardware angeboten, die Schadsoftware fest eingebaut haben. Die Geräte werden zu günstigen Preisen erhältlich sein, da sie mit Verlust verkauft werden. Dahinter steckt natürlich das Kalkül, dass der Verkäufer die Verluste später leicht wettmachen kann, indem er oder sie Kunden abzockt.

Vielleicht setzt sich ja stattdessen Choose Your Own Device (CYOD) durch. Bei diesem Konzept legen die IT-Manager fest, welche Handys aus einem Handy-Pool unterstützt werden, sie können reglementieren, welche Apps für die Verwendung freigegeben sind – und jedwede Software löschen, die gegen die Regeln verstößt. Darüber hinaus schafft das Unternehmen das Handy oder Tablet für den geschäftlichen Gebrauch an – erlaubt dem Nutzer jedoch, Daten darauf abzuspeichern, wobei definiert wird, was zu den persönlichen Daten zählt und was nicht.

Legt man die derzeit gültigen Regelungen zugrunde, können E-Mails, Sofortnachrichten und SMS herangezogen werden, wenn es in einem Unternehmen oder einer Behörde einen Rechtsstreit gibt. Dadurch ergibt sich ein ernsthaftes Problem: welche Daten dürfen überprüft werden und welche nicht? Die Trennung der beiden Bereiche muss durch die IT-Abteilung organisiert werden – ein weiterer Grund, weshalb CYOD vorzuziehen ist.

BYOD macht die IT zu einem Fachgebiet, in dem stets die allerneueste Technik zum Einsatz kommt. In der Vergangenheit gab es einige Unternehmen, für die das in Ordnung ging – aber es gab nicht allzu viele davon. Es sieht so aus, als ob die Mehrzahl der Unternehmen nun in eine unbequeme, unsichere Zukunft katapultiert wird.

[itframe url=66]