Eines ist nach 20 Jahren Smartphone klar: Die digitale Transformation lebt von Mobilität. Nichts hat unsere Welt so sehr verändert wie mobile Technologien. Seitdem Nokia mit seinem 9000 Communicator das "welterste All-in-One Kommunikationsgerät" auf der CeBIT 1996 präsentierte und daraufhin Apple mit dem iPhone den wohl größten Tech-Hype der letzten zwei Jahrzehnte auslöste, ist bekanntlich nichts mehr wie es war. Mittlerweile besitzen drei von vier Deutschen ein Smartphone und schauen einer aktuellen Studie zufolge für den Zugang in die digitale Welt durchschnittlich 88 Mal pro Tag darauf.
Während die Nutzer im Privaten wie im Berufsleben kaum noch auf die kleinen Alleskönner verzichten möchten, befinden sich IT-Admins in Unternehmen noch immer im "Wir-würden-ja-gern-aber..."-Modus. Für sie bleibt das Verwalten und Sichern von mobilen Geräten weiterhin die Herausforderung der Stunde. Wildwuchs und Schatten-IT sind leider allzu oft verbreitet.
Foto: SFIO CRACHO - shutterstock.com
Sicherheitsvorgaben und Stirnrunzeln
In welcher Bredouille sich IT-Entscheider weiterhin in punkto Enterprise Mobility Management (EMM) befinden, verdeutlicht eine aktuelle IT-Sicherheitsstudie von VMware, bei der insgesamt 1.700 IT-Entscheidungsträger und 3.500 Büroangestellte in der Region EMEA befragt wurden. Wichtigste Erkenntnis: Der Druck auf IT-Führungskräfte in Deutschland wächst. Sie bewegen sich auf einem schmalen Grat zwischen dem Vorantreiben von Mobility-Initiativen und dem Einhalten von Sicherheitsvorgaben.
Demnach ist die Mehrheit der IT-Entscheider (60 Prozent) der Meinung, dass die Vorteile der Unternehmensmobilität potentielle Sicherheitsrisiken und damit verbundene Datenverluste rechtfertigen. Mehr als zwei Drittel (68 Prozent) bestätigten, dass ihre Mitarbeiter zunehmend mobile Arbeitsplätze einfordern. So ist fast ein Viertel (24 Prozent) der befragten Büroangestellten der Meinung, dass mobiles Arbeiten ihre Produktivität steigert. Und wenn es sein muss, umgehen 15 Prozent von ihnen dafür sogar die Unternehmensleitlinien in Sachen mobiles Arbeiten. Eine Aussage, für die viele IT-Admins nur ein sorgenvolles Stirnrunzeln übrig haben werden.
Vorbildlich sieht anders aus
Vorbildliches Verhalten der Führungsebene in Bezug auf Richtlinientreue sieht leider auch anders aus. So fühlen sich mehr als 22 Prozent der IT-Führungskräfte von ihrem Management unter Druck gesetzt, Zugriff auf Unternehmensdaten von dem eigenen mobilen Gerät zu erhalten - auch wenn dies gegen die Unternehmensrichtlinien verstößt.
Mobile Endgeräte bereiten IT-Entscheidern in vielen Fällen Kopfschmerzen: Mehr als ein Drittel (35 Prozent) sehen in ihnen die größte Schwachstelle für Cyber-Attacken. Eine berechtigte Angst: Tatsächlich geben mehr als ein Drittel der Büroangestellten (34 Prozent) an, dass sie bei ihren eigenen Geräten mehr auf die Datensicherheit achten als bei ihrem Unternehmensgerät. Und nur jeder Dritte von ihnen kennt die Mobilitätsrichtlinien seines Unternehmens. Mit anderen Worten: Die Mehrheit weiß nicht darüber Bescheid, ob und wann sie überhaupt gegen offizielle Richtlinien verstoßen.
Sicherheit auf Kosten von Wettbewerbsfähigkeit?
Die Umfrageergebnisse stimmen nicht gerade freudig. Unternehmen stehen zunehmend unter Innovations- und Wettbewerbsdruck, sodass sie kurzfristige Sicherheitsrisiken in Kauf nehmen (müssen). Nur so sehen sie sich in der Lage, flexibles Arbeiten und agile Prozesse zu ermöglichen.
Die Frage, die man sich stellen muss, lautet: Wie können Unternehmen die Mobilität ihrer Mitarbeiter vorantreiben, ohne Abstriche bei der IT-Sicherheit zu machen? Wie behalten sie die Kontrolle über ihre Daten angesichts von Trends wie dem Internet of Things und Industrie 4.0, in der die Welt noch viel vernetzter sein wird als sie es heute schon ist? Und überhaupt: Kann Sicherheit einfach sein?
Ein Ende dem "Wir würden ja gern aber..."
Unternehmen müssen sich von dem "Wir-würden-ja-gern-aber..."-Modus lösen und ihre Sicherheitssysteme endlich der modernen Arbeitswelt anpassen - und nicht umgekehrt. Natürlich bedeutet es nicht, dass man Technologien, die jahrzehntelang gute Dienste geleistet haben, von heute auf morgen über Bord werfen sollte. Es geht um nichts anderes als um Mitarbeitermobilität mit Sinn und Verstand.
Es wird oft bemängelt, dass es den Unternehmen an Konzepten für Security, Datenkontrolle und Compliance fehle. Umso wichtiger ist es daher, dass Sicherheitskonzepte für mobile Technologien durch einen ganzheitlichen Ansatz in die Unternehmens-IT integriert werden.
Einen Basisschutz können Container-Lösungen liefern. Sie verschlüsseln die Daten und legen sie in einem speziellen Bereich, dem sogenannten Container ab. Nur Containerprogramme haben Zugriff auf die dort abgelegten Daten.
Selbst wenn der Container einen abgesicherten Bereich darstellt, ist es wichtig, auch die Umgebung, also das Netzwerk, vor Angreifern intelligent zu schützen. Einen Ansatz dafür stellt die Virtualisierung des Netzwerks dar, wobei die Sicherheitsfunktionen direkt in die virtuelle Maschine eingebunden werden. Dies ermöglicht eine Aufteilung des Netzwerkes in verschiedene Segmente: die Netzwerk-Mikrosegmentierung. Automatisierte, detaillierte Richtlinien, die mit den virtuellen Maschinen verknüpft sind, können die Ausbreitung von Bedrohungen im Rechenzentrum deutlich eindämmen.
Datensicherheit durch Separation
Separation heißt auch das Gebot der Stunde für die Verwaltung von mobilen Geräten. Hier sollten Privat-und Arbeitsbereich streng voneinander getrennt sein. Datensicherheit und Endpunkt-Compliance können zudem durch einen bedingungsbasierten Zugriff erreicht werden.
Dringend zu empfehlen sind Zugriffsentscheidungen basierend auf einer Reihe von Bedingungen für Authentifizierungsstärke und Netzwerkstandort. Längst gibt es Digital Workspace Apps, die sich auf privaten oder unternehmenseigenen Geräten installieren lassen. Sobald sie dort authentifiziert wurden, greifen sie auf einen personalisierten Katalog mit Unternehmensanwendungen zu, über den sie die benötigten und freigegebenen Anwendungen abonnieren können.
Ein interessantes Projekt läuft gerade bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde prüft derzeit ein Zertifizierungsverfahren für mobile Geräte mit Separationstechnologie, so dass diese bis zur höchsten Geheimstufe VS-NfD (Verschlusssache - Nur für den Dienstgebrauch) verwendet werden können. Eine vielversprechende Option für mobile Mitarbeiter mit hoher Sicherheitseinstufung.
Schokolade sticht Sicherheitskonzept
Um auf die Eingangsfrage zurückzukommen: Kann Sicherheit einfach sein? Ja, mit einem vernünftigen, ganzheitlichen IT-Sicherheits-Management, das unbedingt Technologie und Mensch zusammenführt. Es gilt, wie die Studie in aller Dringlichkeit zeigt, Beschäftigte für das Thema IT-Sicherheit zu sensibilisieren. Schließlich hat das beste Sicherheitskonzept seine Grenzen, wenn Menschen einem Wildfremden bereitwillig ihr Passwort gegen ein Stück Schokolade verraten. (haf)