Quelle: IBM Corporation

… Mitbringsel: Mit dem Siegeszug privater Tablets und Smartphones fällt der eiserne Vorhang zwischen Firmen- und Privat-Computern. Das Linux-Magazin stellt sich an die Seite der vom “Bring your own Device”-Virus gebeutelten IT-Abteilungen und stellt Strategien vor, die das Unvermeidliche erträglich machen.

BYOD – Bring your own Device! [1]. Jeder Mitarbeiter würde diese Aufforderung für Drucker oder die Kaffeemaschine als Zumutung empfinden. Bei privaten Tablets oder Smartphones dagegen fordern viele Angestellte von ihrer Firma regelrecht, diese benutzen zu können. Oft ausgehend vom iPad-besitzenden Geschäftsführer geben immer mehr Unternehmen dem Druck nach.

Endgeräte zur Arbeit mitzubringen oder von zu Hause aus auf Firmendaten zuzugreifen, diese zu speichern und zu verarbeiten, galt IT-Verantwortlichen noch vor zwei, drei Jahren als inakzeptables Sicherheitsrisiko. Heute gehört es zum Alltag in modernen Unternehmen. Die Artikel im Titelschwerpunkt dieses Linux-Magazins zeigen, welche Gefahren auf den Admin zukommen und wie er die Firmen-IT gegen die als Hölle verschrienen BYOD-Szenarien wappnen kann.

Geld gespart?

Für wirtschaftlich denkende Unternehmer ist es zunächst sehr verlockend: Wer den Privatgeräten der Mitarbeiter Zugang gewährt, spart Anschaffungskosten. Der Mitarbeiter ist meist zusätzlich motiviert, sich auch in seiner Freizeit mit den Daten zu beschäftigen und erreichbar zu sein. Nicht selten berichten Admins auch davon, dass Supportaufwände sinken, weil die Heimarbeiter “abends so lange probiert haben, bis es endlich geklappt hat”, wo sie früher einfach ein Trouble Ticket aufmachten. Und nicht zuletzt behandelt ein Anwender sein eigenes Gerät sicherlich pfleglicher als ein möglicherweise ungeliebtes, von der Firma zur Verfügung gestelltes Device.

Deutsche Nachzügler, junge Anarchisten

Regionale Unterschiede offenbart dabei eine Umfrage von Aruba Networks [2]: In Europa, dem Mittleren Osten und Asien (EMEA) gestatten bereits 69 Prozent aller Unternehmen die Nutzung privater Endgeräte in Büro und Werkstatt. Deutsche Firmen (48 Prozent) zieren sich laut Umfrage deutlich mehr.

In einer ähnlichen Erhebung hat Fortinet die erste Generation der BYOD-Anwender (im Alter von 20 bis 29 Jahren) befragt [3]. Dabei kam Erschreckendes zu Tage: Mehr als 30 Prozent der Anwender missachten und verletzen Unternehmensrichtlinien wissentlich, um ihre Privatgeräte beruflich oder in einer beruflichen Umgebung zu nutzen.

Hoch im Kurs steht dabei der ständige Zugang zu den großen sozialen Netzwerken. Speziell in Deutschland sehen sogar fast 60 Prozent der befragten 3800 Mitarbeiter es als ihr gutes Recht an, mit ihrem privaten Gerät die Infrastruktur des Unternehmens zu nutzen. Zwei Drittel verwehren jedoch im selben Atemzug der Firma jeglichen Zugang zu ihrem privaten Endgerät. Ein effektiver Schutz potenzieller Unternehmensdaten auf den mobilen Geräten lässt sich damit nicht zentral umsetzen (Abbildung 1).

Abbildung 1: Eigentlich der Horror für jeden sicherheitsbewussten Admin: Auf die privaten Geräte seiner Mitarbeiter hat er keinen Zugriff, aber er soll ihnen den Zugriff auf die Ressourcen des Unternehmens gewähren.

Gartner [4] hat sich außer in Industrieländern auch in den BRIC-Nationen umgehört (Brasilien, Russland, Indien, China) und dabei den größten Trend zu BYOD bei der Generation Y festgestellt, der Gruppe der heute 30-Jährigen, häufig auch als Millenials bezeichnet. Die sehen vor allem die Möglichkeiten mobiler Geräte sehr positiv und eher durch technische Probleme eingeschränkt, während in den USA und Europa vor allem rechtliche und organisatorische Probleme im Vordergrund stehen.

Privates Surfen muss kein Zeitfresser sein

Auf den ersten Blick scheint das Benutzen privater Endgeräte in Unternehmen – auch ohne jede Vernetzung mit der Firmen-IT – ein potenzieller Produktivitätskiller. Die Teilnahme an sozialen Netzwerken mit mehr oder weniger ständiger Kommunikation kostet Arbeitszeit, die sich doch viel besser produktiv für das Unternehmen nutzen ließe, sollte man meinen.

Dem widerspricht jedoch eine Studie der Universität Melbourne [5], die das “Workplace Internet Leisure Browsing” (WILB, also das private Surfen am Arbeitsplatz) als sehr produktiv bezeichnet und eine ansteigende Konzentrationsfähigkeit nachweist. Personen, die bis zu 20 Prozent ihrer Zeit mit WILB verbringen, sind bis zu 9 Prozent produktiver als andere Personen.

Die Trennung ist schwer

Außerdem ist die Trennung zwischen privater und geschäftlicher Nutzung nicht immer ganz einfach. Die Always-on-Generation nutzt Facebook, E-Mail, Foren und Chats sowohl beruflich als auch privat. Reiseportale dienen zur Buchung von Urlaubs- und Geschäftsreisen, VoIP-Dienste sowohl für private wie auch geschäftliche Telefonate, ebenso Kalender- oder Filesharing-Dienste wie Dropbox oder Googles Kalender (Abbildung 2).

Abbildung 2: Private und geschäftliche Aktivitäten in modernen Berufen überschneiden sich nicht nur, sondern es ist in vielen Fällen schlicht unmöglich, sie voneinander zu trennen, etwa wenn der Mitarbeiter mit seinem privaten Facebook-Account Firmenkunden betreut.

Eine BYOD-Checkliste für den Admin

Ob der sicherheitsbewusste Admin das gut findet, steht gar nicht zur Debatte. Wer den Wünschen seiner Mitarbeiter (mittlerweile reicht das BYOD-Verlangen weit über Vertrieb, Marketing und die Chefetagen hinaus) auf verantwortungsvolle Weise entsprechen will, steht vor einigen Fragen, die teilweise recht umfangreiche Überlegungen und Maßnahmen notwendig machen:

• Ist es dem Anwender erlaubt, Firmendaten auf dem mobilen Gerät zu speichern? Ist dabei der Einsatz einer Verschlüsselungstechnologie notwendig?
• Was passiert beim Verlust des Smartphones? Was bei einer Reparatur?
• Wie soll der Zugriff auf die Server erfolgen (Apps, Browser, Remote Desktop)?
• Welche mobilen Geräte will die Firmen-IT unterstützen?
• Welche Strategien für die Absicherung der Infrastruktur sind notwendig (Malware-Schutz auf den mobilen Geräten, Passwortspeicherung, erweiterte Absicherung wie etwa One-Time-Passwörter)?

Ein Patentrezept für alle Szenarien gibt es nicht, häufig sind Kombinationen aus den möglichen, in den Artikeln dieser Titelstrecke beschriebenen Lösungsansätzen notwendig.

Viele der Strategien erinnern an die Integration privater Notebooks in die Firmen-IT, doch machen die Eigenheiten der mobilen Betriebssysteme bisweilen auch völlig neue Ansätze notwendig, weil sich das private Gerät dem Zugriff des Sicherheitsbeauftragten entzieht.

Ist es den Mitarbeitern gestattet, Unternehmensdaten auf privaten Geräten zu speichern, so besteht bei Verlust oder Diebstahl ein ähnliches Problem wie bei Laptops oder Telefonen, die das Unternehmen zur Verfügung stellt: Nur wer die Geräte durch eine komplette Verschlüsselung ihres Datenspeichers schützen kann, beugt dem Missbrauch der Daten vor. Allerdings hat das bei einem Firmengerät letzten Endes der Admin selbst in der Hand, zumindest wenn er dem Mitarbeiter keinen Rootzugriff gewährt.

Verschlüsselung und Remote Wipe

Dazu kommt: Wer heute das Angebot an Endgeräten mit Blick auf eingebaute Verschlüsselung durchforstet, wird nur selten fündig. Lediglich das abgekündigte Symbian, RIMs Blackberrys, I-OS und Android (beide ab Version 4) können damit aufwarten. Speziell Apple hat sich aber dabei bereits einige haarsträubende Patzer erlaubt [6], und nach einem Jailbreak ist ein Knacken der PIN und damit die Entschlüsselung für einen Angreifer leicht zu bewerkstelligen.

Ähnliche Probleme entstehen auch, wenn der Mitarbeiter sein Recht wahrnehmen will, das private Gerät weiterzugeben, zu verschenken oder zu verkaufen, weil der nächste Besitzer (oder Anwender) dann unter Umständen die Daten der Firma auslesen kann.

Selbst die von vielen Herstellern passender Remote-Wartungssoftware beworbene Funktion der Fernlöschung (Remote Wipe) ist nicht ausreichend, um die Daten sinnvoll zu schützen. In der Regel muss der neue Benutzer (Dieb, Finder …) lediglich die SIM-Karte entfernen – und schon kommt die SMS mit dem Löschbefehl nicht mehr an. Noch bessere Karten hat ein Dieb, wenn das Smartphone noch läuft und der Anwender sträflicherweise kein oder nur ein unsicheres Passwort oder eine allzu simple Geste gesetzt hat.

Handy defekt? Vorsicht!

Auch das Einsenden eines defekten Geräts im Reklamationsfall mag hier ein Problem darstellen. In funktionsuntüchtigen Geräten lassen sich die Daten vorher nicht löschen. Da hilft tatsächlich nur eine Verschlüsselung aller Daten mit einer geheimen Passphrase, die der Anwender bei jedem Start des Geräts eingeben muss – für viele Mitarbeiter eine umständliche und unbeliebte Erschwernis, die sicherlich auch mit den Erwartungen der Anwender kollidiert – zumindest den 60 Prozent, die keine Firmensoftware auf dem Handy wollen.

Ein weiteres Problem ist das Wiederherstellen bei Verlust oder Defekt. Speichert der Anwender bestimmte Daten nur auf seinem eigenen Endgerät, sind diese bei einem Hardware-Ausfall verloren. Er ist selbst für die Sicherung der Daten verantwortlich, die aber nicht überall ohne Weiteres möglich ist. Android erlaubt beispielsweise erst ab Version 4 eine Komplettsicherung aller Daten.

Geräte-Zoo und Tethering

Überhaupt erschwert der Zoo an Geräten die Wahl eines sinnvollen Weges. Mit BYOD nutzen Anwender beliebige Geräte bei unterschiedlichstem Softwarestand und Patchlevel – nicht ganz freiwillig zwar, aber doch unvermeidbar [6]. Ob Android 2.3, 4.0, 4.03 oder 4.1: Alle funktionieren unterschiedlich und benötigen möglicherweise spezifische Anpassungen, wenn eine native Unterstützung durch lokale Apps gewünscht ist.

Ganz andere Probleme treten auf, wenn der Mitarbeiter sein Smartphone ohne Wissen der IT-Administration in den Tethering-Modus versetzt und seinen UMTS-Zugang als WLAN-Accesspoint bereitstellt (Abbildung 3). Viele Anwender nutzen diese Funktion, um ihre Smartphone-Datenflat auch am Laptop zu nutzen.

Abbildung 3: Das Smartphone dient als Einfallstor für Viren, Malware und Angreifer. Wenn der unvorsichtige Mitarbeiter es als UMTS-Hotspot nutzt und seinen Laptop oder die seiner Kollegen darüber mit dem Internet verbindet, sind alle Schutzmechanismen der IT-Abteilung ausgehebelt.

Beim Firewall-Administrator sorgt diese Vorstellung für blankes Entsetzen: Nun können weitere Systeme des Unternehmens direkt aufs Web zugreifen, ohne dass die teure und gut gepflegte Firmen-Firewall schützend eingreift. Auch die zentralen IPS- und Antimalware-Systeme sind hier blind.

Goldene Mitte: Die Firma sponsert die Hardware

Normalerweise stellen Unternehmen den Mitarbeitern notwendige Betriebsmittel kostenfrei zur Verfügung. Doch BYOD kehrt dies um, der Mitarbeiter stellt das Betriebsmittel dem Unternehmen zur Verfügung. Manche Unternehmen bezuschussen sogar die Geräte, IBM testet in einigen Ländern ein “Geld statt Device”-Modell für Smartphones, Tablets und Notebooks.

In solchen Fällen muss der Mitarbeiter aufpassen und gegebenenfalls seinen Steuerberater konsultieren (Stichwort: geldwerter Vorteil). Und bei einem Verlust oder Schaden ist auch nur er in der Verantwortung. Er hat sich um Wartung und Reparatur zu kümmern und für ein eventuell notwendiges Leihgerät während einer Reparatur zu sorgen. Die Lösung für viele dieser Fragen wäre: BYOD verbieten – nur dies gegen den Widerstand der Mitarbeiter und der Geschäftsleitung durchzusetzen wird der IT-Abteilung nicht gelingen.

BYOD lässt sich nicht mehr verbieten

Eher wahrscheinlich scheint, dass sich auf dem derzeit boomenden Markt der Software-Anbieter für das BYOD-Problem Lösungen für jede Kragenweite finden. Das reicht vom zentralen Management über die lokale Malware Protection bis hin zu ausgefuchsten Zugriffsbeschränkungen und Identifikationsmodellen. Zu jedem dieser Themen findet sich ein Artikel auf den folgenden Seiten.

Einen beachtlichen Teil der Probleme verursacht das Speichern von Unternehmensdaten auf den privaten Geräten. Wer darauf verzichten kann oder will, setzt auf Web-basierte oder Remote-Desktop-Verfahren (siehe Artikel in diesem Schwerpunkt). Erfolgt der Zugriff mit Hilfe von Browsern und Webapplikationen, werden die Daten vielleicht noch lokal gecacht, aber nicht dauerhaft gespeichert. Als positiven Nebeneffekt gibt es eine identische Benutzerschnittstelle für alle Anwender, unabhängig vom Device.

Web-basierte Ansätze sind zukunftssicher

Der Markt für BYOD-Sicherheitslösungen wird in den nächsten Jahren stark expandieren. Rechtlich und organisatorisch wird es dabei immer ein Problem bleiben, die privaten Endgeräte der Mitarbeiter ausreichend zu kontrollieren und zu überwachen. Der allgemeine Tenor der Empfehlungen für größere Unternehmen lautet daher: “Unterstützen Sie nicht BYOD, sondern schaffen Sie die Geräte für Ihre Mitarbeiter selbst an. Das Risiko ist die Ersparnis von einigen Hundert Euro je Mitarbeiter nicht Wert”, wie es Branchengrößen (hier IBM) empfehlen. Das jedoch ist bei den Mitarbeitern nicht sonderlich beliebt.

Gartner geht davon aus, dass BYOD ein nicht abwendbarer Trend ist und die Unternehmen ihn in Zukunft unterstützen müssen [4]. Hierbei sind ein frühzeitiger Wechsel auf Web-basierte Schnittstellen und eine Desktop-Virtualisierung vorteilhaft. Doch nicht für alle Einsatzzwecke eignen sich die Browser-Frontends. Wer alte, vielleicht von lokalen Dienstleistern entwickelte Branchensoftware im Einsatz hat, kann ein Lied davon singen. Das größte Potenzial für eine dauerhafte Lösung hat sicherlich der Umstieg auf Web-basierte Lösungen.

Anlass zur Hoffnung bietet auch eine weitere Entwicklung, nämlich die Konsolidierung der typischen BYOD-Geräte. Aktuell wünschen die meisten Anwender lediglich Android- oder I-OS-basierte Geräte. Symbian, Blackberry und Web OS haben ihre Popularität eingebüßt, ob Windows 8, Firefox OS [9], Tizen [10], Plasma Active [11] oder Jolla [12] in die Lücke stoßen, ist nicht ausgemacht. Windows 8 kann immerhin erstmals das Gerät komplett verschlüsseln, sodass der Datenschützer ruhiger schlafen kann.