Zu strenge Sicherheitsrichtlinien für mobile Geräte?

Michael Disabato,

Gestohlene Laptops, verlorene BlackBerrys – die Fachmedien sind voll von Geschichten über Vorfälle, die zu Verletzung der Datenintegrität geführt haben. Im Zuge der zunehmenden Mobilität haben IT-Manager die Notwendigkeit erkannt, mobile Geräte zu überwachen und zu kontrollieren, um die darauf gespeicherten Informationen zu schützen. Doch die entwickelten Policies laufen dem kulturellen Wandel entgegen.

Dieser Wandel wird ausgelöst durch den Generationswechsel am Arbeitsplatz. Mobilität ist für die Mitarbeiter der jüngeren Generation Teil des Lebensstils, mit dem sie aufgewachsen sind.

Mit dem Generationswandel ist die sogenannte “Consumerization” der Technologie einhergegangen. Sie bezeichnet die Nutzung von Endgeräten in einem geschäftlichen Umfeld. Mobiltelefone weisen immer mehr Funktionalität auf und die Mitarbeiter erwarten, mit diesen auch auf die Informationssysteme des Unternehmens zuzugreifen – allen voran die Mail- und Kalendersysteme. BlackBerry, iPhone, Palm Pre und Android-basierte Smartphones sind die besten Beispiele für diese professionellen Verbrauchergeräte (“Prosumer-Geräte”). Während das Blackberry in der Geschäftswelt inzwischen akzeptiert ist, fehlt den anderen populären Verbrauchergadgets die notwendige Funktionalität, um sie “businesstauglich” zu machen. Aus der Sicht einiger IT-Manager haben sie noch nicht den Sprung vom Spielzeug zum tatsächlichen Werkzeug geschafft.

Doch die jüngeren Arbeitskräfte und ihre Nutzung von Prosumer-Geräten wird die IT dazu zwingen, ihre Herrschaftsposition zugunsten einer Partnerschaft mit den Arbeitnehmern aufzugeben. Ebenso wird sie Arbeitgeber dazu bringen, sich dem demografischen Wandel am Arbeitsplatz anzupassen, aber auch die Arbeitnehmer werden ihre Definition eines Arbeitsplatzes ändern müssen. Der unvermeidliche Kompromiss zwischen Nutzerfreundlichkeit, Nutzerwünschen und Sicherheit wird die Flexibilität ermöglichen, nach der die Mitarbeiter verlangen. Er wird aber auch den Sicherheitsbedürfnissen der Unternehmen und den Vorschriften der Aufsichtsbehörden Rechnung tragen müssen.

IT-Abteilungen haben verschiedene Aufgabenbereiche zu verantworten, darunter:

  • Auswahl, Einführung und Support effizienter Services, welche die gängigen Businessanforderungen erfüllen

  • Definition und Durchsetzung von Management Policies für die Technologie

  • Definition und Durchsetzung von Sicherheitsrichtlinien, welche die Unternehmensinformationen in Übereinstimmung mit den gesetzlichen Vorschriften vor Ort schützen

Die Sichtweise der IT-Abteilungen, wie diese Aufgabenstellungen am besten umzusetzen sind, unterscheidet sich jedoch von den Vorstellungen der Anwender und führt zu Spannungen. Loggen sich mobile Arbeitnehmer in fremde Netzwerke ein, so machen sich Security Manager Sorgen in Bezug auf Administration der Geräte, Schutz der Unternehmensdaten, Backup-Strategien, Verlust von Geräten und Infizierung mit Malware. Diese Befürchtungen sind wohlbegründet. Das regulatorische Umfeld legt heute die Maßnahmen genau fest, die zum Schutz von Informationen in den verschiedenen Branchen zu ergreifen sind.