«BYOD» – Chancen, Risiken und Lösungsansätze

Dominique C. Brack Senior Security Consultant bei United Security Providers.

BYOD – mehr dazu am www.security-podium.ch vom 3. April im Schloss Au

«Bring Your Own Device» steht auf der Wunschliste vieler Mitarbeiter und damit auch auf

der Agenda vieler CIOs. Eine Gesamtbetrachtung der Chancen, Risiken und Lösungsansätze

bringt Transparenz in dieses Trendthema.

Bring Your Own Device (BYOD) ist ein simples Konzept: Die Mitarbeiter bringen ihre

eigenen Geräte mit zur Arbeit und erhalten die nötigen Zugriffe auf die entsprechenden

Ressourcen. Die IT-Abteilung wird von der Verwaltung und Fehlerbehebung von Endgeräten

befreit. Sie kann sich auf andere Aufgaben und strategische Initiativen fokussieren. Wem ist

es nicht schon so ergangen? Im privaten Bereich geht Kommunikation und

Informationsaustausch so leicht von Händen, aber im Büro plagt man sich mit nicht

performanter Hardware oder veralteter Software rum. Wer verzichtet schon gerne bis nach

Arbeitsschluss auf die vielen Funktionalitäten seines Smartphones oder Tablett-PC‘s? Der

Technology- und Produktivitäts- Graben zwischen privaten Endgeräten und der IT-

Infrastruktur in der Firma ist allgegenwärtig. Keiner verzichtet bis nach Arbeitsschluss gerne

auf die vielen Funktionalitäten seines Smartphones oder Tablet-PCs. Denn was im Privatleben

Vorteile bringt, soll auch im Geschäft Nutzen stiften. Die Forderung nach der Nutzung der

eigenen Geräte für Geschäftszwecke wird daher immer lauter beim Namen gerufen: Bring

Your Own Device, kurz BYOD. Eine BYOD-Strategie kann helfen, diesen Graben zu

schliessen. Sie kommt den Bedürfnissen der Mitarbeiter nach und ermöglicht gleichzeitig eine

verbesserte Mobilität und höhere Produktivität. Diese Faktoren erhöhen die

Mitarbeiterzufriedenheit. Moderne Unternehmen versuchen stetig, Ihren Mitarbeitenden ein

noch motivierenderes und attraktiveres Arbeitsumfeld zu bieten. Für die heranwachsenden

Generationen ist eine hohe Mobilität und Flexibilität Standard.

Vorteile, Chancen und Risiken

Eine BYOD-Strategie hat für beide Seiten Vorteile: Die Mitarbeitenden geniessen mehr

Arbeitskomfort, erhöhte Mobilität und Flexibilität. Auf der IT-Seite entfallen

Anschaffungskosten für Hardware, die durch wesentlich tiefere und gut kalkulierbare

jährliche Equipment-Pauschalen an die Mitarbeitenden abgelöst werden. Auch die Kosten für

Wartung und Support sinken massiv. Ausserdem kann die IT so Schritt für Schritt stabile

Strukturen für die Zukunft schaffen.

Die Risiken des Mitmachens

Dennoch stellt sich hier die Frage nach den Risiken, die für die Unternehmen durch ihre

Einbindung ins Web 2.0, durch die Nutzung von Facebook und Twitter, von YouTube und

Xing, entstehen. Schliesslich ist die Welt nicht besser geworden, nur weil es Web 2.0 gibt;

auch wenn es manchem Protagonisten so erscheint. Technische und "soziale" Gefahren lauern

auch im Web 2.0 an jeder Ecke. Dabei ist ein grundlegender Aspekt wichtig: Das Web 2.0 ist

keine Technologie, sondern eine andere Art, die bekannten Technologien zu nutzen. Die zu

Grunde liegenden Techniken sind seit langem bekannt und werden nur neu kombiniert und

anders eingesetzt. Die für das Web 2.0 typische Technik, die die unerlässliche Interaktivität

ermöglicht, wird daher auch in ganz anderen Anwendungen verwendet. In rein technischer

Hinsicht gibt es für Unternehmensnetze deshalb keine Gefahren, die ausschliesslich das Web

2.0 und Social Media betreffen. Das Web 2.0 teilt mit dem gesamten Web die technische

Grundlage und damit zwangsläufig auch die technischen Risiken. Wer also Unternehmen über

seine Web-2.0-Auftritte angreifen will, was heute überwiegend in kommerzieller Absicht

geschieht – die Zeit der Spass- und Profil-Hacker ist vorbei – der wird sich der bekannten und

häufig angetroffenen Sicher-heitslücken der Web-Applikationen bedienen. Er wird also zum

Beispiel Schwachstellen wie DoS (Denial of Service), Cross Site Scripting (XSS), lückenhafte

Fehlerbehandlung oder Pufferüberlauf nutzen, um sich Zu-gang zu einem System zu

verschaffen. Wer umgekehrt seine Hausaufga-ben in Sachen Web-Sicherheit gemacht hat, der

muss sich auch wegen Web 2.0 keine Sorgen machen.

«BYOD wird sich auf die eine oder andere Art durchsetzen. Die IT muss lernen, mit

solchen Veränderungen umzugehen»

Dazu gehört etwa der Aufbau eines optimalen Netzwerk-Zonen-Konzepts, ein zuverlässiges

Identitätsmanagement und eine flächendeckende Port-Security im Access-Bereich. Aus

Unternehmersicht ist BYOD ein attraktives Thema, weil die Effizienz der Mitarbeitenden

steigt und die Aufwände der IT – langfristig gesehen – stark sinken. Beides wirkt sich positiv

auf die Erfolgsrechnung des Unternehmens aus. Kein Zweifel, BYOD birgt auch Risiken. Die

Nutzung der Firmeninfrastruktur mit privaten Geräten wirft traditionelle Sicherheitskonzepte

über den Haufen und erzwingt eine Anpassung der IT-Sicherheitsstrategie und der

Datenschutzrichtlinien an heutige wie zukünftige Anforderungen. Im Normalfall sind die

Mitarbeitenden auch nicht genügend für die Sicherheitsthematik sensibilisiert. Fehlende

Backups oder die Infektion der Geräte mit Malware und Viren können das Firmennetz

gefährden, und vertrauliche Informationen in E-Mails schneller in falsche Hände geraten

lassen.

Strategie zur Umsetzung

Das Thema BYOD muss aus mehreren Perspektiven angegangen werden. Dazu bietet sich die

Gliederung in Strategie, Organisation und Technik an. Dank der Aufteilung in diese drei

Bereiche lässt sich die Umsetzung leichter überblicken und – idealerweise im Rahmen einer

BYOD-Task-Force – auf mehrere Schultern im Unternehmen verteilen. Im Bereich Strategie

steht die Aufnahme des Themas in die Agenda des Unternehmens an erster Stelle. Zur

Darstellung und Abwägung der finanziellen und nicht-finanziellen betriebswirtschaftlichen

Konsequenzen drängt sich die Erstellung eines Business Cases auf. Eine Kosten-Nutzen-

Analyse liefert die Antwort auf potenzielle Ersparnisse. Auch rechtliche Aspekte müssen

frühzeitig geprüft werden. In die Disziplin Organisation fällt die Prüfung und Anpassung von

Richtlinien und Reglementen. Zunächst sollte eine fundierte Bedarfsanalyse den Sinn des

BYOD-Vorhabens stützen. Anschliessend kann ein Proof of Concept mit IT-affinen

Mitarbeitenden gestartet werden.

Technische Voraussetzungen

Die technische Dimension ist für die erfolgreiche Umsetzung einer BYOD-Strategie zentral.

Die effektive technische Umsetzung sollte aber erst angegangen werden, wenn aus

organisatorischer Sicht die Voraussetzungen erfüllt sind, ein einheitliches Verständnis für

BYOD besteht und im Unternehmen eine klare Strategie vorliegt. Nur so können am Ende die

bevorstehenden Herausforderungen bezüglich Komptabilität, Konnektivität, aber auch punkto

Sicherheit gemeistert werden. Aus einer Vielzahl von Lösungsansätzen gilt es, den für das

eigene Unternehmen passendsten auszuwählen. Dieser wird sich in den allermeisten Fällen

aus einer Kombination mehrerer sich ergänzender Komponenten zusammensetzen. Dazu

gehören zum einen die diversen Netzwerkanbindungen über EDGE, UMTS, DSL, WLAN

oder weitere Techniken. Ein wichtiger Aspekt ist die Auswahl der geeigneten

Authentifizierungsmethoden, etwa eine tokenbasierte Zwei-Faktoren-Authentifizierung für

externe Zugriffe. Die Datenübertragung kann beispielsweise über integrierte VPN-Protokolle

und SSL/TLS abgesichert werden. In vielen Fällen kann der Einsatz von Terminal Services

oder der Aufbau einer Virtual-Desktop- Infrastruktur (VDI) sinnvoll sein. Bestehende

virtuelle Desktops können auch offline genutzt werden, indem das Image lokal gespeichert

und ausgecheckt wird. Die Daten werden dann bei der nächsten Verbindung mit der

Unternehmensinfrastruktur synchronisiert. Ohne Verbindung zum Server wird ein Offline-

Desktop nach einer vordefinierten Zeit inaktiv. Auch kann die Evaluation einer Network-

Access-Control-Lösung (NAC) am Anfang stehen. Ein ausgereiftes NAC kann mit seinen

Funktionalitäten dabei helfen, die Herausforderungen punkto Sicherheit bei BYOD zu

bewältigen.

Compliance und Rechtliche Aspekte (Wo ist der Hacken?)

Hier ist der Haken. Der Prüfungsausschuss, die C-Suite, und gleichermassen die Mitglieder

des Audit Komitees – während sie selbst fröhlich auf ihren iPads E-Mail bearbeiten – stellen

fest, dass wenn die Mitarbeiter ihre eigenen Geräte benutzen, um auf

Unternehmensressourcen zuzugreifen, dies ein erhebliches Sicherheits- und Compliance

Risiko darstellt. Was, wenn kein Passwort aktiviert ist oder das Gerät beim nächsten Business

Lunch liegen gelassen wird? Was ist, wenn nicht-öffentliche Daten über Dropbox

synchronisiert werden? Was ist, wenn ein unsicheres WLAN am Flughafen genutzt wird?

Dies sind nur einige der Aktivitäten, die vertrauliche Daten gefährden können und die das

Unternehmen und die Compliance gefährden. Das grösste Problem stellt die nicht

„Nachvollziehbarkeit“ dar. Wer sich mit den rechtlichen Aspekten und Compliance

auseinandersetzt, wird nicht darum herumkommen, sich mit Mobile Device Management

Software (MDM) vertraut zu machen. MDM hilft bei den folgenden Tasks:

• Software Distribution - Die Fähigkeit zur Verwaltung und Unterstützung von mobilen

Anwendungen bereitstellen, installieren, aktualisieren, löschen oder sperren.

• Policy Management – Entwicklung, Steuerung und Betrieb der Enterprise Policy.

• Inventory Management - Neben grundlegenden Bestandsführung, Provisionierung und

Support.

• Security Management - Die Durchsetzung von Standard-Device-Sicherheit, Authentisierung

und Verschlüsselung.

Nebst den technischen Herausforderungen gilt es folgende rechtliche Aspekte zu

berücksichtigen:

• Arbeitgeber und Arbeitnehmer können sich problemlos einigen, dass der Mitarbeiter die

Geräte selber zur Verfügung stellt.

• Der Arbeitgeber muss dem Arbeitnehmer eine angemessene Entschädigung bezahlen.

• Wer übernimmt die Amortisationskosten?

• Für die Privatnutzung anteilmässige Aufteilung der Kosten für das Gerät zwischen dem

Arbeitgeber und dem Arbeitnehmer.

• Wer Personendaten bearbeitet, ist verpflichtet, die Bestimmungen des Datenschutzgesetzes

einzuhalten.

• Es sind technische und organisatorische Massnahmen zu ergreifen, damit die Personendaten

vor unbefugtem Zugriff geschützt sind.

• Den Arbeitnehmer verpflichten, alle geschäftlichen Daten bei Beendigung des

Arbeitsverhältnisses zu löschen.

Das weitere Vorgehen

Folgende Punkte können Sie in ihrem weiteren Vorgehen unterstützen.

Strategisch: • Thema in Agenda/ Radar aufnehmen

• Rechtliche Aspekte klären

• Business Case definieren

• Potential Kostenersparnis

• Kosten/Nutzen (ROI)

Organisatorisch: • Richtlinien prüfen/erstellen

• Proof of Concept umsetzen

• Bedarfsanalyse erstellen

• Inventarisierung

• IT-affine Mitarbeiter/Innen

Technisch: • Network Access Control(NAC) evaluieren und einführen

• Mobile Device Management evaluieren und einführen

• Dynamic VLAN Routing

• Remote Wiping

• Device Encryption

• Zertifikate

• Endgeräte Inventarisierung (mittels NAC)

Fazit: Herausforderung annehmen

Ein strukturiertes Vorgehen, unter Beachtung der beschriebenen Massnahmen, verspricht

einen hohen Projekterfolg. Auf diese Weise können auch existierende Information-Security-

Management-Systeme (ISMS, z.B. ISO27002) erfolgreich integriert werden. CIOs und

Sicherheitsverantwortliche werden sich so oder so der Herausforderung der «privaten»

mobilen Endgeräte im Business-Umfeld stellen müssen. Der Einbezug eines externen Partners

erhöht die Erfolgschancen. Der Dienstleister kann das Unternehmen auf strategischer,

organisatorischer und technischer Ebene beraten und durch eine Fülle von Erfahrungen aus

Projekten bei anderen Unternehmen unterstützen.