Sicherheitsrisiken und Lösungsmöglichkeiten bei BYOD-Konzepten

	Fallstudienarbeit
Hochschule:	Hochschule für Oekonomie & Management
Standort:	Hamburg
Studiengang:	Bachelor Wirtschaftsinformatik
Veranstaltung:	Fallstudie / Wissenschaftliches Arbeiten
Betreuer:	Prof._Dr._Uwe_Kern
Typ:	Fallstudienarbeit
Themengebiet:	Bring Your Own Device
Autor(en):	Jonas Oemisch, Christoph Dreis
Studienzeitmodell:	Tagesstudium
Semesterbezeichnung:	WS11
Studiensemester:	2
Bearbeitungsstatus:	vergeben
Prüfungstermin:
Abgabetermin:

Aus Winfwiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

1 Einleitung
2 Grundlagen von BYOD
- 2.1 Definition und Funktionsweise
- 2.2 Marktsituation
3 Analyse des Sicherheitsaspekts bei BYOD
4 Fazit
5 Anhang

1 Einleitung

1.1 Thema

Apples iPhone ist so beliebt wie nie zuvor und der Smartphone-Markt wächst rasant. Immer mehr Menschen können sich ein Smartphone oder Tablet leisten und der Umsatz durch den Verkauf dieser Geräte soll laut Prognosen auch im Jahr 2012 weiter ansteigen. ^[1] War es noch vor einigen Jahren nur mit Notebooks möglich, mobil zu arbeiten, reichen heute die meist handgroßen Geräte, um sämtliche wichtige Funktionen im Arbeitsalltag nutzen zu können. Selbst Präsentationen vor Kunden werden häufig nicht mehr vom Laptop gesteuert, sondern bequem per Touchscreen vom Tablet aus bedient.

Gerade im Mittelstand der IT-Branche, wo gut ausgebildete Fachkräfte händeringend gesucht werden, versucht man deshalb, mit kreativen Mitteln, die Experten von der eigenen Firma zu begeistern und Angestellte zufrieden zu stimmen. Dafür reicht oft ein hohes Gehalt nicht mehr aus. Die Arbeitsatmosphäre wird immer mehr zu einem wichtigen Kriterium bei der Auswahl des Arbeitgebers. Darum lassen sich Unternehmer viel einfallen, um potentielle Mitarbeiter für sich zu gewinnen und die Arbeitsumgebung attraktiv zu gestalten. Neben flexiblen Arbeitszeiten, der Möglichkeit von zuhause aus zu arbeiten oder kostenlosen Getränken, ist es für viele Bewerber und Angestellte ein Anreiz, eigene mobile Geräte im Büro für die Arbeit nutzen zu können und zu dürfen. Durch das Zugeständnis, private Endgeräte im Einklang mit der Unternehmensstruktur nutzen zu können, entstehen allerdings Risiken für jedes Unternehmen.

1.2 Ziel der Arbeit

Private Geräte für Firmenzwecke zu nutzen, ist grundsätzlich keine Neuheit. Diese Fallstudie beschäftigt sich mit dem Trend, solche Geräte kontrolliert in die Unternehmen einzubinden, und soll den Gesichtspunkt der Sicherheit bei diesen sogenannten "Bring Your Own Device"-Konzepten (kurz BYOD) beleuchten. Dabei steht nicht nur die Untersuchung der möglichen Probleme und Risiken im Fokus dieser Arbeit, sondern auch exemplarische Lösungsansätze sollen vorgestellt werden.

1.3 Vorgehensweise

Nach einer Einführung in das Thema werden Probleme und Sicherheitsrisiken dargestellt, die auf dem Weg zur Einführung von BYOD im eigenen Unternehmen auftreten könnten. Anschließend werden Lösungsvorschläge aufgezeigt und verdeutlicht, welche Schritte nötig sind, um BYOD sinnvoll im Unternehmen einzuführen. Auch wenn Notebooks ein wichtiger Bestandteil von BYOD sind, wird sich in dieser Arbeit in einigen Artikeln vornehmlich auf Smartphones und Tablets bezogen, da der große Erfolg dieser Geräte für die bedeutendsten Umstellungen in der Sicherheitspolitik des Unternehmens verantwortlich sind.

2 Grundlagen von BYOD

2.1 Definition und Funktionsweise

Abbildung 1: Verschiedene Geräte greifen auf ein Unternehmensnetzwerk zu.

„BYOD“ bezeichnet einen stärker werdenden Trend, der es Mitarbeitern eines Unternehmens erlaubt, private mobile Geräte wie Smartphones, PDAs oder Notebooks im Arbeitsalltag zu nutzen.

Das in den USA schon länger bestehende Konzept findet nun auch in Europa zunehmend Anwendung, was dazu führt, dass sich immer mehr Unternehmen darüber Gedanken machen, ob BYOD auch für die eigene Firma ein Gewinn sein könnte.

Angestellte eines Unternehmens können hierbei selbst wählen, mit welchen Geräten sie arbeiten möchten. Es hat sich herausgestellt, dass Angestellte mit den vertrauten Geräten effizienter als mit dem vom Arbeitgeber zur Verfügung gestellten Equipment arbeiten. Das erhöht in vielen Fällen auch die Arbeitsmoral und Motivation. „Bring your own device“ bietet aber nicht nur dem Arbeitnehmer viele Vorteile. Neben der Motivations- und Qualitätssteigerung kann das Unternehmen viel Geld sparen. Für Mitarbeiter, die mit dem eigenen Mobiltelefon arbeiten, muss beispielsweise nicht zusätzlich in ein Firmentelefon investiert werden. Was zunächst oftmals nur Managern vorbehalten war, wird jetzt in vielen Unternehmen für alle Mitarbeiter Standard.

Eine internationale Umfrage der Citrix Systems GmbH unter über 1100 Geschäftsführern und IT-Managern veranschaulicht die Vorteile mit Zahlen. Demnach sollen die Unternehmen, die bereits auf BYOD setzen, von einer Produktivitätssteigerung von bis zu 30% profitieren. Dies ist vor allem darauf zurückzuführen, dass die Mitarbeiter überall erreichbar sind und von überall aus arbeiten können. Die Studie verdeutlicht aber auch die Probleme und Risiken des Einsatzes mobiler Geräte. So haben 62% der befragten Unternehmen keine Richtlinien für den Einsatz privater Geräte im Berufsalltag. 45% der befragten IT-Manager geben sogar an, keinen Überblick über die genutzten Geräte zu haben. ^[2] Die Umstellung auf die Nutzung privater Endgeräte resultiert für Unternehmen im Verlust von Kontrolle und Übersicht. Gleichzeitig wird es, gerade was die Sicherheit betrifft, vor neue Risiken gestellt. Die kontrollierte Einbindung solcher Geräte durch BYOD ist der Versuch, diesen Kontrollverlust zu kompensieren und gezielt, die Vorteile von BYOD nutzen zu können.

2.2 Marktsituation

Abbildung 2: Verteilung von Smartphone-Betriebssystemen laut IDC-Analyse

Abbildung 3: Nutzung von privaten Endgeräten für Firmenzwecke laut IDC-Analyse

Aktuell gibt es auf dem Markt kaum Sicherheitssoftware, die sowohl auf Smartphones und Tablets als auch auf Notebooks läuft und die Möglichkeiten zur Sicherung der verschiedenen Geräte unterscheiden sich noch in einigen Belangen.

Der aktuelle Smartphone-Markt ist noch sehr vielfältig. Es wird jedoch angenommen, dass Android an Bedeutung und Marktanteil gewinnt. Das vor wenigen Jahren noch stärkste Betriebssystem auf dem Smartphone-Markt, Symbian, verliert weiter an Bedeutung, was sich unter anderem auch darauf zurückführen lässt, dass mehr und mehr Mobilfunkkonzerne, wie zum Beispiel Nokia, auf andere mobile Betriebssysteme umsteigen. Apples iOS und Blackberry haben sich eine stabile Position auf dem Markt gesichert und können dies aller Voraussicht nach auch in den nächsten Jahren halten. Microsoft wird den eigenen Marktanteil voraussichtlich Dank der Umstellung von Windows Mobile auf Windows Phone 7 und der hohen Investitionen in das neue Betriebssystem noch weiter ausbauen können. Dass sich dieser Trend wohl auch bis ins Jahr 2015 fortsetzen wird, zeigt eine Studie der International Data Corporation (IDC). Studien und Vorhersagen anderer großer Institute, zum Beispiel der Gartner, Inc. zeigen ähnliche Ergebnisse. ^[3]

Damit einhergehend wächst auch der Markt für Mobile-Device-Management-Systeme (MDM-Systeme) und Sicherheitssoftware für Tablets und Smartphones. Wie die Abbildungen 2 und 3 aufzeigen, korreliert speziell die Verbreitung mobiler Devices mit der vermehrten Nutzung von privaten Endgeräten für berufliche Zwecke und steigert schlussendlich die Nachfrage nach passenden BYOD-Konzepten.

3 Analyse des Sicherheitsaspekts bei BYOD

3.1 Anforderungen an sichere Nutzung von BYOD

3.1.1 Schutz der Daten vor unbefugten Zugriffen

Das oberste Ziel der Einführung einer BYOD-Lösung in die Unternehmesstruktur ist die Gewährleistung der Datensicherheit. Dazu ist es wichtig, über verschiedene Mechanismen und Richtlinien den Zugriff auf die Geräte so zu limitieren, dass nur befugte Personen genau auf die Daten Zugriff haben, die sie für die Arbeit am und mit dem mobilen Gerät brauchen.

3.1.2 Transparenz der Sicherheitsrichtlinien

Um eine sichere Nutzung von "Bring Your Own Device" zu gewährleisten, soll die Funktionsweise dieses Konzepts jedem Mitarbeiter eines Unternehmens frei zugänglich gemacht werden. Das Bewusstsein über die steigende Mitverantwortung und die Pflichten des einzelnen Angestellten sind von entscheidender Bedeutung bei der Umsetzung eines solchen Projekts. Da die Kontrolle des Unternehmens auf die Nutzung der Geräte grundsätzlich abnimmt, muss sicher gestellt sein, dass die Mitarbeiter das geschenkte Vertrauen nicht ausnutzen und sich im Einklang mit dem Unternehmen auf Sicherheitsrichtlinien einigen.

3.1.3 Geringhaltung von Aufwand und Kosten

Aus unternehmerischer Sicht sollen die Kosten und der Aufwand bei einer BYOD-Lösung möglichst gering gehalten werden. Ein zusätzlicher Support für die privaten Geräte und die damit verbundenen Kosten sollten auf ein Minimum reduziert werden, da die Mitarbeiter mit ihren eigenen Geräten meist besser vertraut sind. Gleichzeitig soll aber eine gewisse Homogenität in der Gerätelandschaft gewährleistet bleiben, um einen eventuellen Support und damit meist einhergehende Ausfallzeiten zu minimieren.

3.2 Sicherheitsrisiken und Probleme

3.2.1 Backups

Backups oder Datensicherungen sind in den meisten Fällen von entscheidender Bedeutung, um Arbeitsstände effektiv zu sichern und sie bei Bedarf auf dem jeweiligen System wiederherzustellen. Im Regelfall werden dadurch Produktivitätsverluste minimal gehalten. Im Zuge von BYOD wird diese ansonsten sinnvolle Technik aber zum echten Sicherheitsrisiko. Unter der Anforderung, sensible Daten vor unbefugten Zugriffen zu schützen, ergibt sich bei Backups das Problem der ungewollten Multiplikation der Daten. Der Kontrollverlust über das wertvolle Firmengut ist hierbei für Unternehmen am spürbarsten. Allerdings sind auch die Arbeitnehmer betroffen, wenn vom Unternehmen Datensicherungen durchgeführt werden und dabei private Daten wie Fotosammlungen oder Mailverläufe in die Hände des Arbeitgebers übergehen. Endet das Arbeitsverhältnis, sind für beide Parteien die Daten in der Regel nicht mehr zugänglich.

Problematisch ist hier hauptsächlich die technische Weiterentwicklung von Backups auf dem Smartphone-Markt. Ist es bei Laptops keine Neuheit, Daten auf externe Festplatten oder USB-Sticks zu sichern, bieten mittlerweile auch alle größeren Smartphone-Hersteller eine Möglichkeit zur Datensicherung an. Unter dem Sicherheitsaspekt von BYOD ist vor allen Dingen kritisch zu betrachten, dass beispielsweise Apples Dienst "iCloud" die Daten online speichert und somit eine weitere Angriffsfläche bietet, um sich unbefugten Zugriff auf sensible Daten zu verschaffen. ^[4]

3.2.2 Öffentliche (WLAN-)Netze

Öffentliche drahtlose Netzwerke sind nicht nur für Besitzer von mobilen Geräten, die auch für den Beruf genutzt werden, gefährlich. Passt man nicht gut genug auf und nutzt man das frei zugängliche WLAN ohne die nötigen Sicherheitsaspekte zu beachten, können Unbefugte, die mit dem gleichen Netz verbunden sind, relativ leicht an private Daten gelangen oder herausfinden, auf welchen Webseiten die anderen Nutzer des öffentlichen WLAN surft. ^[5]

Die Problematik verschärft sich allerdings, wenn auf dem Gerät auch sensible Firmendaten gespeichert sind oder geschäftliche E-Mails abgerufen werden. Hier ist extreme Vorsicht geboten. Falls es sich vermeiden lässt, empfiehlt es sich, öffentliche WLAN zu meiden oder zumindest zu prüfen, ob diese sicher sind. Auch beim privaten Surfen Im Internet ist Vorsicht geboten, da auch hierdurch, zum Beispiel durch das automatische Aktualisieren der E-Mails, unbeabsichtigt geschäftliche Daten von Unbefugten abgefangen werden können.

3.2.3 Diebstahl oder Verlust des Geräts

Neben Sicherheitsrisiken wie dem Befall von Viren oder anderer Schadsoftware oder dem unerlaubten Eindringen über ein ungesichertes WLAN kann aber auch der Fall eintreten, dass ein Smartphone oder Notebook verloren oder gestohlen wird. Laut einer Forsa-Studie im Auftrag des BITKOM ist schon über 10 Millionen Deutschen ein Handy durch Verlust oder Diebstahl abhanden gekommen. ^[6] Durch den Verlust des Geräts gehen nicht nur für den Besitzer Daten verloren. Sind Smartphones, Notebooks oder Tablets nicht ausreichend gesichert, kann vielmehr auch von Unbefugten relativ einfach auf sensible Daten zugegriffen werden, falls das Gerät gestohlen oder verloren wird. Das betrifft nicht nur Fotos oder die eigene Musiksammlung, sondern nun auch Passwörter, Firmeninternas und Zugang zum geschäftlichen E-Mail-Konto. ^[7]

Umso wichtiger ist es, dass mobile Geräte, die neben dem privaten Gebrauch auch für die Arbeit eingesetzt werden, ausreichend geschützt sind.

3.2.4 Wartung des Geräts

Um dem aktuellen Sicherheitsstandard zu entsprechen, ist es nötig, auch die Software der Geräte immer auf aktuellem Stand zu halten. Updates des Betriebssystems genauso wie Aktualisierungen der Software müssen dazu zeitnah installiert werden. Zudem ist es wichtig, dass System- und Hardwarefehler schnell korrigiert werden.

Mit der Einführung von BYOD liegt die Zuständigkeit der Wartung der Geräte und derer Betriebssysteme jedoch nicht mehr in den Händen der IT-Administratoren der Firma, sondern der Besitzer des Geräts selbst entscheidet, wann Softwareupdates oder Reparaturen nötig sind. Diese Verlagerung der Verantwortung birgt jedoch ein hohes Risiko für die Firma. Das Unternehmen kann so nie sicher sein, ob, wann oder wie die Geräte gewartet werden. Dadurch kann die Kontrolle und der Überblick über die verschiedenen Geräte und Systeme verloren gehen oder - was noch schlimmer ist - eine Sicherheitslücke auf nicht rechtzeitig oder nicht richtig gewarteten Systemen entstehen.

3.2.5 Rechteverwaltung

Die Kontrollierbarkeit und Übersicht stellt noch in einem weiteren Zusammenhang ein Problem dar. Da die Geräte nun nicht mehr ausschließlich für geschäftliche, sondern auch private Zwecke genutzt werden, entstehen neue Probleme und Risiken durch den privaten Zugriff verschiedener Personen auf das auch geschäftlich genutzte Gerät.

Wohlmöglich nutzt nicht nur der Besitzer selbst sein Smartphone oder Notebook, um private E-Mails abzurufen, sondern auch die Ehefrau für Online-Einkäufe oder die Kinder zum Spielen. Hat das Gerät auch uneingeschränkten Zugriff auf firmeninterne Daten, kann es schnell zu absichtlichen oder unabsichtlichen Aufrufen, Änderungen oder sogar Löschungen der Daten kommen. Damit verbunden sind auch rechtliche Probleme und vor allem die Frage der Haftung bei solchen Fällen. Deshalb ist es wichtig, eine umfangreiche Rechteverwaltungsstruktur aufzubauen, die es erlaubt, Zugriffsrechte für Mitatrbeiter individuell zu konfigurieren.

3.2.6 Kosten- und Organisationsaufwand

Durch die Einführung von BYOD können an einigen Stellen Kosten gespart werden. Firmenhandys zum Beispiel, müssen nicht mehr vom Unternehmen bezahlt und zur Verfügung gestellt werden, sondern werden vom Besitzer selbst finanziert. Auch die Kosten für den IT-Support sinken, da die Anwender tendenziell weniger Hilfe beim Umgang mit dem eigenen Gerät brauchen und Fehlbedienung wird seltener. Auf der anderen Seite muss allerdings, gerade während der Einführungsphase, mit höheren Kosten gerechnet werden. Die Umstellung auf BYOD erfordert eine zeit- und damit kostenaufwändige Planung. Software zur Virtualisierung von Desktops, für den etwaigen Fernzugriff auf die mobilen Geräte sowie Sicherheitsprogramme und Applikationen müssen angeschafft und die aktuelle Infrastruktur und Netzwerktechnik an die neue Nutzung angepasst werden.

Ein großes Problem dabei ist die durch BYOD heterogener werdende Gerätelandschaft. Spezielle Software, die verschiedene Plattformen bedient, sind meist auf das Unternehmen abgestimmt und kosten dementsprechend viel. Da durch neue Mitarbeiter aber auch die Gefahr besteht, dass neue Geräte in die Unternehmensstruktur eingebunden werden, kann eine ständige Anpassung an die Software nötig sein, was die Kosten schnell in die Höhe treibt. Da Ausfallzeiten minimal gehalten werden sollen, muss trotz des besseren Umgangs mit den eigenen Geräten außerdem ein bestehender Support eingerichtet werden, der den betroffenen Mitarbeitern bei Fragen und Problemen kompetent weiterhelfen kann. Je nach Größe des Unternehmens und damit entsprechender Skalierung der Heterogenität, sind dafür kostenintensive Schulungen durchzuführen. Zu berücksichtigen ist zudem, wer die laufenden Kosten für die Wartung oder Reparatur der Geräte tragen muss und ob Neuanschaffungen von mobilen Geräten, die auch für die Arbeit genutzt werden, vom Unternehmen bezuschusst werden. Auch dadurch entstehen Kosten, die nicht zu vernachlässigen sind. ^[8] ^[9]

Darüber hinaus müssen nicht nur rechtliche und steuerliche Fragen geklärt und geprüft werden, sondern auch die Einrichtung der erforderlichen geplanten Sicherheitsvorkehrungen benötigt Vorbereitung, Zeit und Fachwissen. Ist dieses Fachwissen innerhalb der Firma nicht vorhanden, müssen meist Sachverständige und Expertenteams von außerhalb mit der Konzeption beauftragt werden. All dies steigert den Kosten- und Organisationsaufwand. Unternehmer sollten deshalb gut abwägen, ob sich die Systemumstellung langfristig für die eigene Firma lohnt.

3.2.7 Risiken aus Arbeitnehmersicht

Neben den technischen, rechtlichen und wirtschaftlichen Sicherheitsrisiken entstehen aber auch Risiken für den einzelnen Mitarbeiter, der in ein BYOD-Konzept eingebunden ist. Durch die zunehmende Mobilität und den von nahezu überall möglichen Zugriff auf das Firmengeschehen verwischen die Grenzen zwischen Berufs- und Privatleben zunehmend. Werden Arbeiten oder Aufträge nicht fertig, kann ja noch von zuhause aus gearbeitet werden, um termingerecht liefern zu können. Dabei besteht die Gefahr, dass das Pensum an Arbeitszeit weit über normale Überstunden hinaus geht.

Nach einer Studie der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) nehmen aber bei steigender Arbeitsdauer nicht nur physische Beschwerden wie Rückenschmerzen, Schlafstörungen oder Herz-Kreislauf-Erkrankungen, sondern auch psychische Beeinträchtigungen signifikant zu. Obgleich durch BYOD-Konzepte im Regelfall die Motivation und damit auch die Produktivität der einzelnen Mitarbeiter steigt, besteht die Gefahr der Überarbeitung. Fehlende Erholungsphasen können die Produktivität eines Mitarbeiters schlussendlich stark beeinträchtigen und beeinflussen somit auch die Gesamtproduktivität des Unternehmens.

3.3 Lösungsansätze

3.3.1 Genaue Planung der Einführung von BYOD

Zunächst muss jedoch abgeklärt werden, ob sich eine Umstellung für das Unternehmen lohnt. Dafür empfiehlt es sich, einen Business Case zu erstellen, über den verschiedene Varianten, vornehmlich die aktuelle Situation mit der Einführung von BYOD verglichen werden. Hier werden sowohl Kosten für Hardware, Software, Training und Support als auch nicht-monetäre Nachteile den erwarteten Kostenersparnissen, psychologischen Vorteilen und sonstigen angepeilten Boni gegenübergestellt. Ein ausführlicher Business Case macht es wesentlich einfacher, den Erfolg, aber auch nötige Investitionen, im Voraus zu erkennen und daraufhin die Systemumstellung zu planen und durchführen zu können.

Abbildung 4: Planung der Einführung von BYOD, Quelle: Bradford Networks

Über den Business Case lässt sich damit auch herausfinden, welche technischen und organisatorischen Anforderungen das Unternehmen erfüllen muss, um BYOD firmenweit einzuführen. ^[10]

Hieraus ergeben sich dann auch Anforderungen an die vom Unternehmen unterstützen mobilen Geräte. Grundsätzlich muss zunächst festgelegt werden, für welche Geräte das System ausgelegt sein soll. Dürfen neben Smartphones auch private Tablets, Netbooks oder Notebooks verwendet werden? Wie verhält es sich mit dem Desktop-Rechner zuhause? Nachdem dies geklärt ist, kann man mit der Untersuchung eine Ebene tiefer gehen und sich um die großen Unterschiede zwischen den verschiedenen mobilen Betriebssystemen wie iOS, Android oder Windows Phone kümmern. Anschließend müssen Sicherheitsstandards festgelegt und verschiedene Geräte und Betriebssysteme auf die Kompatibilität mit der firmeninternen Netzwerk-, Hardware- und Softwarestruktur untersucht werden.

Doch auch damit ist die Planung noch nicht abgeschlossen. Sobald Smartphones oder Notebooks nicht nur privat, sondern auch für den Beruf genutzt werden, ergeben sich auch rechtliche sowie steuerliche Unklarheiten.

Im Voraus sollten zum Beispiel folgende Fragen geklärt werden, da sie oft rechtliche oder steuerrechtliche Konsequenzen haben:

„Wer haftet im Fall des Verlusts von Gerät oder Daten?“
„Wer trägt die Verantwortung für die Aktualisierung und Installation des Geräts?“
„Wer bezahlt die private Internetverbindung in der Wohnung des Arbeitnehmers?“

Nicht selten müssen auch Lizenzverträge, zum Beispiel von Software, geprüft werden. Abgeklärt werden muss so auch, ob Softwareeinheiten pro Installation, pro Anwender oder pro Gerät abgerechnet werden, da ansonsten möglicherweise gegen Bestimmungen von Exklusivverträgen verstoßen wird oder Mengenrabatt verloren geht. ^[11] Um diese Fragen sicher zu klären, sollten sich Fachleute aus den Bereichen Legal, Human Resources und IT-Administration zusammensetzen und gemeinsam eine rechtlich abgesicherte Richtlinie entwickeln, die letztendlich zu möglichst wenig Komplikationen führt.

Zudem ist es wichtig, eine stabile und sinnvolle Rechteverwaltung aufzubauen. Dadurch wird geklärt, wie viele Möglichkeiten der Anwender mit seinem Gerät hat und es können Möglichkeiten geboten werden, den Zugriff auf firmeninterne Daten vom mobilen Gerät aus frei zu konfigurieren.

Hierfür gibt es verschiedene Software, die die Rechteverwaltung der Geräte konfigurieren lässt. In den meisten Mobile-Device-Management-Lösungen ist eine Rechteverwaltung enthalten. So zum Beispiel auch in Cortados „Coorporate Server“, einem Softwarepaket zur Verwaltung und Integration von mobilen Geräten in das Firmennetzwerk. Hierüber kann zum Beispiel eingestellt werden, auf welche Dateien ein Anwender oder eine Anwendergruppe vom mobilen Gerät aus zugreifen darf, ob Dateien gelöscht werden dürfen oder ob der Zugriff auf den Drucker direkt vom Smartphone oder Tablet erlaubt ist. ^[12]

Da auch eine gute Vorbereitung und Planung nicht gewährleisten kann, dass die Einführung von BYOD die gewünschten Vorteile bringt, kann ein Test in Form eines Pilotprojekts helfen, Erfahrungen zu sammeln. Da nicht alle Mitarbeiter gleichsam dafür geeignet sind, sollte hierfür die Zielgruppe gut ausgewählt werden. Junge Mitarbeiter sind meist aufgeschlossener als alte und eine gute Testgruppe könnte sich zum Beispiel aus einer Kombination von Sales- und Marketing-Mitarbeitern in Kombination mit IT-Administratoren und Softwareenwicklern zusammenstellen. Somit ist sichergestellt, dass sich sowohl Fachleute im Testteam befinden, die sich mit der dahinterliegenden Technik auskennen, als auch Anwender, die mobil häufig auf Unternehmensdaten zugreifen müssen. Softwareentwickler, die in der Regel auf große Datenmengen zugreifen müssen, ergänzen das Team ideal. ^[13]

3.3.2 Kommunikation von Sicherheitsrichtlinien

Abbildung 5: Artikel "überwachen" in Confluence

Selbst wenn von geschäftsführender Seite ein genauer Plan aufgestellt wurde und interne Richtlinien für die Nutzung von privaten Endgeräten festgelegt wurden, müssen diese Bestimmungen auch den betroffenen Mitarbeitern zugänglich gemacht werden. Die besten Richtlinien helfen nicht, wenn sie nur von den Verantwortlichen wahrgenommen werden können. Deshalb ist es notwendig, diese formulierten Richtlinien auszuarbeiten und frei zugänglich für die betroffenen Angestellten zur Verfügung zu stellen. Eine mögliche Lösung hierfür wäre ein firmeninternes Wiki-Portal wie Confluence. ^[14] Da BYOD die Eigenverantwortung des einzelnen Mitarbeiters steigert, ist es außerdem notwendig, nicht nur die Rechte der betroffenen Personen, sondern vor allen Dingen die Pflichten im Umgang mit den privaten Endgeräten im Unternehmen auszuformulieren. Unter Umständen ist es darüber hinaus ratsam, ein regelmäßiges Gegenzeichnen einer solchen Nutzungsvereinbarung vorzunehmen.

Die jeweilige Ausarbeitung der Sicherheitsrichtlinien ist stark von den Anforderungen des Unternehmens abhängig. Grundsätzlich gilt jedoch, dass die betroffenen Mitarbeiter bei Änderungen dieses Richtlinienkatalogs direkt informiert werden müssen. Auch dies lässt sich beispielsweise durch Confluence regeln. Die in Abbildung 4 gezeigte "Überwachen"-Funktion verschickt an jeden Überwacher eine E-Mail, sobald sich etwas an dem betreffenden Artikel ändert.

Die einzelnen Bestimmungen können sich von Endgerät zu Endgerät unterscheiden. Für Smartphones oder Tablets empfiehlt es sich, eine Liste erlaubter respektive unerlaubter Apps zu erstellen, um eine sichere Nutzung zu gewährleisten. Bei privaten Laptops ist es notwendig, eine genaue Richtlinie über die Sicherheit von Viren, Malware oder anderen Schädlingen aufzustellen. Aufgrund der Ansammlung privater und geschäftlicher Daten auf einem Gerät muss außerdem geklärt sein, wie sich die beiden Parteien im Umgang mit den Dateien der jeweils anderen Partei zu verhalten haben.

Obgleich die Verantwortung der Mitarbeiter durch BYOD wächst und die eigenen Geräte meist pflichtbewusster genutzt werden, kann es zu Verstößen der aufgestellten Richtlinien kommen (z.B. Verlust des Gerätes). Wichtig bei der Kommunikation der Sicherheitsrichtlinien ist, hierbei nicht nur die Kommunikation über eben jene, sondern auch die Kommunikation über ein mögliches Fehlverhalten hinsichtlich der Richtlinien. Je schneller die Verantwortlichen in Kenntnis gesetzt werden, desto schneller kann auf ein solches Ereignis reagiert und gegebenenfalls Änderungen am Richtlinienkatalog vorgenommen werden, um ähnliche Sicherheitslücken zukünftig zu schließen.

3.3.3 Trennung von Firmendaten und privaten Daten

Durch BYOD kommt es zur Vermischung der privaten Daten des Angestellten und der Daten des Unternehmens. Die Trennung dieser zwei Bereiche ist für den sicheren und stabilen Betrieb einer BYOD-Lösung von großer Bedeutung. Eine Sensibilisierung und gegebenenfalls Schulungen über den Zugriff auf die Daten des Unternehmens müssen dabei nicht nur aus Sicht der Angestellten stattfinden, sondern auch von Seiten des Unternehmens muss ein vertraulicher Umgang mit den privaten Daten seiner Mitarbeiter sichergestellt werden. Unter Umständen sind hier unternehmensabhängig erforderliche Vereinbarungen mit den Arbeitnehmervertretern zu treffen.

Abbildung 6: Laufwerks-Übersicht in TrueCrypt

Grundsätzlich sollte in einem solchen Konzept unabhängig von privater oder geschäftlicher Nutzung die Verschlüsselung aller Daten auf dem Device stattfinden, um bei einem Diebstahl des Gerätes die Nutzung der darauf befindlichen Informationen durch unbekannte Dritte zu erschweren. Ein kostenfreies und gutes Tool, das eine solche Verschlüsselungsmöglichkeit bietet, ist TrueCrypt. Hiermit ist es nicht nur möglich, die komplette Festplatte durch verschiedene Algorithmen zu verschlüsseln, sondern auch gezielt einzelne Partitionen zu schützen. Ein Anwendungsfall hinsichtlich BYOD wäre es beispielsweise, Daten und Programme je nach Anwendungszweck auf separaten Partitionen zu speichern, die wiederum mit TrueCrypt durch verschiedene Passwörter gesichert werden können.

Durch die private und damit schlussendlich vermehrte Nutzung der einzelnen Geräte wird das Risiko eines Befalls durch einen Virus oder einen Wurm größer. Da allerdings jetzt nicht mehr nur private Daten verloren oder geklaut werden können, sondern im schlimmsten Fall wirtschaftliche Konsequenzen aus einem solchen Befall erwachsen können, ist nach den Anforderungen an ein BYOD-Konzept ein guter Virenschutz zu gewährleisten. Neben den Angestellten ist auch das Unternehmen in der Pflicht, einen solchen Schutz zu bieten. Unterstützend zu den lokalen Virenscannern kann vom Unternehmen die NAC-Technologie eingesetzt werden. Diese sogenannte „Network-Admission-Control“ prüft dabei bei der Anmeldung im Netzwerk, ob der Virenscanner des Endgerätes aktuell ist oder sicherheitsrelevante Patches für das jeweilige Betriebssystem installiert wurden. Ist dies nicht der Fall, werden die betroffenen Geräte solange unter Quarantäne gestellt bis sie den Vorgaben genügen.

Eine weitere Möglichkeit der Trennung von Unternehmensdaten und dem privaten Endgerät wäre die Implementierung einer WebDAV-Lösung, bei dem die Daten auf einer Art Online-Festplatte gespeichert werden. Da hiermit nicht nur der Benutzerzugriff gesteuert werden kann, sondern auch durch die Nutzung eines einzigen Ports kein weiterer Administrationsaufwand der Firewalls entsteht, bietet der offene WebDAV-Standard eine echte Alternative zu kostenpflichtigen Virtual Desktop Lösungen. Ein weiterer Vorteil ist die Implementierung auf zahlreichen Plattformen, die mittlerweile auch Smartphone-Betriebssysteme unterstützt.

Die jeweilige Lösung ist auch hier wieder von den Anforderungen eines jeden Unternehmens abhängig. Soll beispielsweise die lokale Speicherung von Unternehmensdaten komplett untersagt werden, wird es notwendig, die Daten anderweitig und in virtualisierter Form bereitzustellen.

3.3.4 Einrichtung einer Möglichkeit des Fernzugriffs

Abbildung 7: Die Applikation "Theft Aware" ermöglicht, Smartphones aus der Ferne zu sperren, orten oder löschen.

Obgleich das Unternehmen keinen direkten Zugriff mehr auf die Geräte hat, muss eine Möglichkeit vorhanden sein, im Falle eines Diebstahls oder Verlust des Gerätes auf solche Ereignisse reagieren zu können. Ein Standard wurde hier noch nicht festgelegt, was eine breitere Sicherheitsabdeckung nötig macht. Die größten mobilen Betriebssysteme für Smartphones und Tablets bieten aber Optionen, die Geräte aus der Ferne zu löschen, sperren oder zu orten. Im Falle eines Verlusts oder Diebstahls kann so schnell reagiert und die sensiblen Daten vor unbefugten Zugriffen geschützt werden. In Apples iOS muss dafür nur der hauseigene Dienst „iCloud“ aktiviert werden, der neben der Ortungsfunktion auch diese Funktionen zum besseren Schutz von Daten zur Verfügung stellt. Die gleichen Funktionen im Bezug auf Diebstahlsicherung bietet zum Beispiel die Applikation „Theft Aware“ der Firma „F-Secure“. Auch hiermit kann das eigene Gerät per SMS oder Webinterface geortet, gesperrt oder gelöscht werden. „Theft Aware“ ist mit Android, Windows Mobile 5 und 6, sowie Symbian kompatibel, nicht jedoch mit Windows Phone 7 und iOS. ^[15] Die MDM-Lösung von ubitexx bietet ebenfalls diese Technik des "Remote Wipes" für verschiedene Plattformen an bei dem die Daten vom Gerät gelöscht werden. Microsoft Windows Phone 7 stellt ebenso eine eigene Funktion zur Verfügung, die Geräte mit dem Windows-Betriebssystem vor unberechtigten Zugriffen schützt und auch für Blackberry stehen Applikationen zur Verfügung, die diese Funktionen freigeben. ^[16]

Es empfiehlt sich außerdem nach einer bestimmten Anzahl von Fehlversuchen bei der Anmeldung, das Gerät komplett zu sperren oder auf Werkseinstellung zurückzusetzen. iOS bietet hier nur die Sperrung an, während Geräte auf Android Basis beispielsweise die Zurücksetzen-Funktion mitliefern. Da allerdings bei keinem der Systeme die Funktionen direkt in den Werkseinstellungen aktiviert sind, sollten sie vor der Nutzung der mobilen Geräte in der Firma eingerichtet und konfiguriert werden. Zudem empfiehlt es sich, die Funktionsweise der Dienste oder Applikationen zu dokumentieren und die Fernwartungssysteme zu testen, um im Falle des Verlusts oder Diebstahl schnell eingreifen zu können.

Vor allen Dingen die Möglichkeit einer Ortung bietet hierbei aber nicht nur Vorteile im Falle des Verlusts eines Gerätes. Sie bietet dem Unternehmen vielmehr eine ständige Kontrollmöglichkeit über den jeweiligen Mitarbeiter, die stark in die Privatsphäre des Einzelnen eingreift. Da die Grenzen zwischen Privatem und Beruflichem aber bereits verschwimmen, ist besonders diese Funktion unter dem Aspekt des Arbeitnehmerschutzes als kritisch anzusehen.

3.3.5 "Virtual Desktop"-Lösungen

Für viele Unternehmen könnte auch die Virtualisierung der Arbeitsumgebung auf dem Smartphone, Tablet oder Notebook eine Alternative zur direkten Nutzung der Geräte sein. Bei dieser Variante wird auf eine virtualisierte Form des festen Rechners über das mobile Gerät zugegriffen. Somit kann auf viele Anwendungen auch über die Ferne zugegriffen werden, ohne die installierten Sicherheitsstandards des Unternehmens zu umgehen. Private und berufliche Daten können so optimal getrennt werden. Ein weiterer Vorteil ist die hohe Flexibilität dieser Lösung. Ein virtueller Desktop ist weitgehend geräte- und betriebssystemunabhängig nutzbar. Im Voraus geklärt werden muss jedoch, ob alle benötigten Bestandteile der Arbeitsumgebung virtualisiert werden können. Ein großer Nachteil ist aber, dass eine dauerhafte Verbindung zum Internet nötig ist; „offline“ arbeiten ist hiermit nur schwierig möglich. Zudem kann die Fernbedienung des Büro-Rechners, gerade auf Touchscreen-Geräten mühselig sein. So findet die Virtualisierung auf Smartphones und Tablets nur langsam Gebrauch. Auf Note- und Netbooks fallen die Bedienungsprobleme jedoch nur minimal aus.

Abbildung 8: Desktop-Virtualisierung - Schema

Die Technik hinter diesem System ist relativ simpel. Betriebssystem und die komplette Anwendungssystematik werden in den meisten Varianten auf einen Server ausgelagert. Darauf kann dann mittels verschiedener Clients, wie zum Beispiel Notebooks, Tablets oder Smartphones zugegriffen werden. Die Clients senden dann nur noch Benutzereingaben an den Server, die tatsächliche Verarbeitung und Speicherung der Daten findet ausschließlich auf dem Server statt. Durch diese Technik entsteht ein weiterer Vorteil. Da auf das Serversystem nur ausgewählte IT-Administratoren Zugriff haben, ist das System vor Fehlgriffen weitgehend geschützt. Die Mitarbeiter können nicht mehr am eigenen System herumschrauben und dadurch eventuell wichtige Einstellungen zerstören. Auch der Ausfall oder Verlust eines Notebooks oder Smartphones ist mit dieser Lösung zumindest aus der Perspektive des Datenschutzes unbedenklich, da alle Daten zentral auf der Festplatte des Servers gespeichert werden und diese durch Backups und sonstige Notfallsysteme mehrfach gesichert sind. ^[17]

Große Anbieter von "Virtual Desktop"-Software sind zum Beispiel Citrix oder VMware.

Citrix liefert mit der Lösung "XenDesktop" genau diese Technologien. Das zugehörige Client-Programm Citrix Receiver™ kann sowohl auf Notebooks und PCs als auch auf Tablets und Smartphones installiert werden. Es unterstützt die größeren mobilen Betriebssysteme wie iOS, Android, Blackberry oder Windows Phone 7. Abhängig von Standort, Gerät oder Netzwerk des Nutzers können die Zugriffsrechte auf dem Server konfiguriert werden. XenDesktop bietet verschiedene Lösungen zur Virtualisierung, die je nach Anwendungsszenario mit verschiedenen Vorteilen überzeugen können.

Gehostete Shared Desktops

Diese Variante eignet sich vor allem dann, wenn einheitliche Systeme für alle Anwender zur Verfügung gestellt werden sollen, wie es zum Beispiel bei Verkäufern oder in Krankenhäusern der Fall ist. Hier müssen mehrere Personen auf die gleichen Daten und Anwendungen zugreifen können. Technisch wird auf die Microsoft Remote Desktop Services zurückgegriffen, die bis zu 500 Betriebssysteme auf einem Server zur Verfügung stellen, auf die aus der Ferne zugegriffen werden kann. Gehostete Shared Desktops sorgen für eine standardisierte Benutzerumgebung und ermöglichen gleichzeitig eine zentrale Verwaltung der virtuellen Systeme.

Gehostete Virtual Machine(VM)-basierte Desktops

VM-basierte Desktops eignen sich dagegen für Anwender, denen ein eigenes personalisiertes System zur Verfügung gestellt werden soll. Das auch als Virtual Desktop Infrastrucutre (VDI) bezeichnete System ermöglicht es, Virtual Machines zu definieren, die je nach Anwenderwünschen und Bedarf individuell konfiguriert werden können. Bis zu 75 dieser virtuellen Maschinen kann ein physischer Server beherbergen.

Gehostete Blade PCs

Dieses System ist für Poweruser gedacht, die hohe Peformance-Ansprüche haben und zum Beispiel an der Börse oder mit CAD/CAM-Software arbeiten, ohne die benötigten Daten auf das Client-Gerät übertragen zu müssen. Anders als bei den Virtal Machines ist hier der Zugriff auf die kompletten Systemressourcen eines Blades (Einschubkarten für Serverracks) möglich.

Lokale VM-basierte Desktops (Citrix XenClient)

Für BYOC (Bring your own computer) ist diese Lösung eine gute und oft verwendete Variante. Virtuelle Maschinen laufen hier nicht auf einem Server, sondern direkt auf dem Notebook oder PC. Dabei ist dies nicht auf ein virtuelles System beschränkt, sondern mehrere virtuelle Systeme können parallel auf dem Rechner installiert werden. So können private und geschäftliche Daten optimal voneinander getrennt werden. Geschäftliche Daten werden bei einer Verbindung zum Netzwerk automatisch in das Rechenzentrum übertragen. Möglich ist hier allerdings auch der Offline-Betrieb. Hier werden die Daten solange im virtuellen System gespeichert, bis eine Verbindung zum Netzwerk hergestellt wird und dann an das Rechenzentrum gesendet. Besonders geeignet ist diese Variante, um verschiedene Betriebssysteme oder Sprachversionen auf einem Rechner parallel nutzen zu können oder um temporären Mitarbeitern, zum Beispiel Consultants schnell ein Betriebssystem auf das Notebook zu installieren, ohne dass dieser den Zugriff auf das eigene gewohnte System verliert.

Die Virtualisierung kann vor allem für die Unternehmen eine gute Lösung sein, die mit verschiedenen Smartphones und Betriebssystemen arbeiten und dennoch hohen Wert darauf legen, private und geschäftliche Daten auf den mobilen Geräten voneinander zu trennen und zu schützen.

3.4 Sicherheit unterschiedlicher Betriebssysteme

Bei PCs und Notebooks sind Antivirenprogramme, Firewalls und Malware-Filter in vielen Fällen Standard und gerade bei Firmengeräten wird meist sehr stark darauf geachtet, aktuelle Sicherheitsstandards einzuhalten.

Anders sieht es jedoch bei Smartphones und Tablets aus. Über Sicherheitsrisiken und den Schutz vor Schadsoftware und anderen Gefahren machen sich Nutzer nur selten Gedanken. Doch durch die rasant anwachsende Verbreitung internetfähiger mobiler Geräte, geraten diese auch immer mehr ins Visier von Hackern und werden Opfer von Viren oder anderer Schadsoftware. Smartphones empfangen E-Mails, werden für Online-Banking genutzt oder sogar zur Zahlungsabwicklung von Online-Käufen verwendet.

Vergleich von iOS und Android

Einige Sicherheitsvorkehrungen bringen die großen Betriebssysteme von Haus aus mit. Die beiden größten Betriebssysteme Android und Apple iOS bieten beide einen klassischen Passwortschutz, der den Zugriff des gesamten Geräts regelt.

Abbildung 9: iOS; Abfrage, ob auf Ortungsfunktion zugegriffen werden darf.

Auch in beiden Systemen kann konfiguriert werden, wie viel Zugriff die Applikationen auf die Daten und Funktionen des Geräts haben dürfen. So kann zum Beispiel der Zugriff auf den aktuellen Ort des Smartphones verweigert werden. Die Funktion des Zugriffsschutzes ist jedoch bei den beiden Systemen unterschiedlich. Android zeigt dem Nutzer direkt bei der Installation eine Liste aller Daten und Systemzugriffe, die die Applikation anfordert. Sobald eine iOS-App Zugriff auf Systemdaten benötigt, poppt ein Info-Fenster auf, über das der Zugriff gestattet oder verweigert werden kann.

Ebenso bieten sowohl Android als auch Apples iOS softwaretechnischen Basisschutz vor ungewollten Internetangriffen.

Ein Unterschied in der Sicherheit der beiden Betriebssysteme liegt in der Distribution der Applikationen. iOS-Apps können nur über den offiziellen App-Store heruntergeladen werden, während Android verschiedene Appstores und auch „Over the air“-Käufe von Apps erlaubt. Apples iOS bietet außerdem eine Ortungsfunktion, über die der Standort des Geräts angezeigt werden kann. Verlorene Geräte können somit bei vorhandener Internetverbindung des Geräts lokalisiert werden. Auch eine Funktion zum automatischen Löschen von Daten bietet Apples Betriebssystem. Über die Einstellungen des Geräts kann konfiguriert werden, dass alle Daten, inklusive der Applikationen, nach zehn fehlgeschlagenen Passworteingabeversuchen komplett vom Gerät gelöscht werden. Nach Verbindung mit dem Synchronisationsprogramm iTunes können die Daten später über ein Backup wiederhergestellt werden.

Die beiden Systeme haben allerdings auch Schwächen. Bei Android suchen manche Geräte zum Beispiel nicht automatisch nach Updates. Zudem kann es auch vorkommen, dass die Geräte, je nach Vertrag und Anbieter, erst Wochen oder sogar Monate verspätet an wichtige Betriebssystemupdates gelangen. Zur Freude vieler Entwickler ist der Android Marketplace um Einiges offener als Apples Appstore. Dies führt allerdings auch dazu, dass der Anteil schädlicher Apps im Android Store höher als im iOS-Appstore ist. Aber auch das iOS hat Schwachstellen. Erst mit Version 4.3.4 (Aktuelle Version ist 5.0.1) wurde ein Fehler bei der Überprüfung von SSL-Zertifikaten behoben, der es Hackern erlaubte, Zertifikate zu manipulieren oder zu fälschen. Da manche älteren Apple-Geräte ihr Betriebssystem nicht auf die aktuelle Version, die die Behebung dieser Sicherheitslücke beinhaltet, aktualisieren dürfen, besteht das Problem weiterhin auf vielen iPhones. ^[18] Am einfachsten haben es Hacker jedoch, wenn ein sogenannter „Jailbreaks“ auf dem Smartphone oder Tablet installiert ist. Jailbreaks hebeln die Systemsperren auf, um mehr Funktionen für das Gerät freizuschalten. Dadurch werden allerdings auch die Sicherheitsfunktionen des Geräts beeinträchtigt. ^[19]

Windows Phone 7

Das mobile Betriebssystem Windows Phone 7 des Entwicklers Microsoft ist eine Weiterentwicklung von Windows Mobile und Microsofts aktuellstes mobiles Betriebssystem. Im Vergleich zu Windows Mobile legte Microsoft bei der Entwicklung von Windows Phone 7 deutlich höheren Wert auf die Systemsicherheit.

Eine Besonderheit weißt das Sicherheitskonzept des Windows Phone 7 von Microsoft auf. Um sich vor Angriffen bösartiger Applikationen zu schützen, hat Microsoft ein Vier-Kammer-System entwickelt, dass die Zugriffsrechte von Applikationen regelt. Die erste Kammer ist die "Trusted Computing Base (TCB)". Dieser Kammer gehört nur der Kernel, sowie einige Treiber an, da hier Applikationen fast uneingeschränkten Zugriff auf die Systemressourcen haben. Auch die zweite Kammer, die "Elevated Rights Chamber (ERC)" ist für Systemfunktionen reserviert. Hier wird Zugriff auf alle Systemressourcen außer auf das Sicherheitsmodell gestattet. Kammer drei, die "Standard Rights Chamber (SRC)" bietet allen Applikationen Platz, die direkt von Microsoft zur Verfügung gestellt werden. Die vierte Kammer, die sich "Least Privileged Chamber (LPC)" nennt, regelt letztendlich die Zugriffe der Applikationen von Drittanbietern, die über den Windows Phone Marketplace heruntergeladen werden können. Die Zugriffsberechtigungen dieser Kammer sind nicht fest voreingestellt, sondern richten sich nach den Anforderungen, die Entwickler ihrer App mitgeben, bevor diese in den Marketplace gestellt und von Microsoft-Mitarbeitern geprüft wird. Hierfür gibt es eine Reihe an möglichen Zugriffsrechten, wie den Zugriff auf das Mikrofon, die Kamera oder Geo-Daten, die vom Entwickler aus einer Liste ausgewählt werden können. Zudem können Applikationen nicht direkt untereinander Daten austauschen. Dies ist nur über die Cloud möglich. ^[20]

Blackberry

Blackberry-Mobiltelefone sind gerade wegen ihrem hohen Sicherheitsstandard als Firmenhandy sehr beliebt und sind eine sehr gute Empfehlung für alle, die die höchstmögliche Sicherheit aus einem Smartphone herausholen möchten. Besonders Hacker haben es bei dem Blackberry äußerst schwer, was wohl dem Entwickler RIM zu verdanken ist. Über Aufbau, Verarbeitung und Hardware der Blackberry-Smartphones ist so gut wie nichts bekannt. ^[21] Im November 2011 erhielten die BlackBerry-OS7-Smartphones sogar das EAL4+-Zertifikat für den höchstmöglichen Sicherheitsstandard. ^[22]

Trotz diverser Mängel sind die mobilen Betriebssysteme aktuell bei Weitem sicherer als deren große Brüder auf PCs und Notebooks.

4 Fazit

"Bring Your Own Device" ist ein Konzept für die Integration privater Endgeräte in die Unternehmensstruktur, das sich durch den starken Trend zur Mobilität und der steigenden Verbreitung von Smartphones immer weiter auch in europäischen Unternehmen durchsetzen wird. Da die meisten Firmen private Endgeräte bereits erlauben oder dulden, bestehen viele Sicherheitsrisiken schon, bleiben allerdings oft unbeachtet. Vielen Verantwortlichen fehlt es lediglich an einem guten Konzept im Umgang mit den privaten Geräten. Die Chance sich der bestehenden Risiken wie der ungewollten Multiplikation von Daten anzunehmen, wird einen Wandel in den Unternehmen hervorrufen bei dem BYOD eine entscheidende Rolle spielen kann. Durch die große Nachfrage nach passenden BYOD-Konzepten werden vor allen Dingen die bekannten technischen Probleme immer weiter minimiert werden.

Eine komplette Beseitigung aller Risiken scheint allerdings ausgeschlossen, da der bedienende Mensch hinter dem Gerät eine zu große Unbekannte darstellt. Das zunehmende Verschwimmen beruflicher und privater Grenzen erschwert Firmen, die Kontrolle und den Überblick über sensible Firmeninterna zu behalten. Die Verlagerung der Verantwortung auf den einzelnen Mitarbeiter birgt Probleme, die dem Unternehmen bei der Umsetzung eines solchen Konzepts bewusst sein müssen. Darüber hinaus dürfen auch die Gefahren für den einzelnen Arbeitnehmer wie Überarbeitung nicht unterschätzt werden. Durch genaue Planung und Abwägen der Chancen und Risiken, am besten durch die Erstellung eines Business Case, können BYOD-Systeme allerdings auch in größeren Unternehmen erfolgreich eingeführt werden.

Zukünftig werden durch technische Innovationen Smartphones und Tablets noch leistungsstärker und werden einen noch größeren Funktionsumfang bieten. Inwiefern dieser Funktionsumfang allerdings die Sicherheit von BYOD-Konzepten beeinflussen wird, lässt sich zu diesem Zeitpunkt nur vermuten. Bisher ist die Zahl der "Hacks" oder Angriffe auf solche Geräte im Vergleich zu Laptops noch sehr gering und die technischen Risiken sehr gut im Griff zu halten. Sollte hier aber eine Verlagerung stattfinden, müssen neue Lösungen erarbeitet werden, die unter Umständen den Trend zu privaten Endgeräten im Unternehmen rückläufig werden lassen.

5 Anhang

5.1 Fußnoten

↑ vgl.: Heise.de Smartphone-Absatz - Prognose für 2012
↑ vgl.: Citrix-Studie unter IT-Managern
↑ vgl.: IDC-Studie zur Betriebssystemverteilung auf heise.de
↑ vgl.: Entrepreneur.com
↑ vgl.: PC-Welt.de
↑ vgl.: BITKOM
↑ vgl.: Forsa-Umfrage im Auftrag von Bitkom
↑ vgl.: Cio.de
↑ vgl.: Thomas Krampe, Seite 6,7
↑ vgl.: Techchannel
↑ vgl.: Capgemini
↑ vgl.: Cortado
↑ vgl.: Computerwoche.at
↑ vgl.: Confluence
↑ vgl.: Techchannel
↑ vgl.: Techchannel
↑ vgl.: Chip.de
↑ vgl.: Threatpost.com
↑ vgl.: Weblogit
↑ vgl.: Searchsecurity
↑ vgl.: VERIVOX.de
↑ vgl.: Macberry.de

5.2 Abkürzungsverzeichnis

Abkürzung	Bedeutung
App	Applikation - Programm, das über sogenannte App-Stores heruntergeladen und auf Smartphones oder Tablets installiert werden kann.
BITKOM	Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
BYOC	Bring your own computer – Bring deinen eigenen Computer mit; in Anlehnung an BYOD
BYOD	Bring your own device – aus US-amerikanischem Sprachgebrauch für verschiedene Einsatzgebiete hier im Sinne von „Bring dein eigenes Gerät mit“
iOS	Apples mobiles Betriebssystem für iPod Touch, iPhone und iPad
IT	Informationstechnologie
LAN	Local Area Network
PC	Personal Computer
WLAN	Wireless Local area Network – kabelloser Zugang zum Internet über Hotspot oder Router

5.3 Abbildungsverzeichnis

Abbildungsnummer	Abbildung
1	Verschiedene Geräte greifen auf ein Unternehmensnetzwerk zu, Quelle: http://pioneeringsolutions.com/news/software/cloud-computing/the-answer-to-the-byod-question-is-virtualization/
2	Verteilung von Smartphone-Betriebssystemen laut IDC-Analyse
3	Nutzung von privaten Endgeräten für Firmenzwecke laut IDC-Analyse, Quelle: http://jboye.com/blogpost/5-intranet-trends-for-2011/
4	Planung der Einührung von BYOD, Quelle: Bradford Networks
5	Screenshot: Artikel "überwachen" in Confluence
6	Screenshot: Laufwerks-Übersicht in TrueCrypt
7	Screenshot: Applikation "Theft Aware"
8	Desktop-Virtualisierung - Schema, Quelle: http://www.ada.de/Portfolio/DataCenter/Seiten/Virtualisierung/Desktop-Virtualisierung.aspx
9	Screenshot: iOS-Ortungszugriffsanfrage

5.4 Quellenverzeichnis

Internet-Quellen
CIO.de (2011)	BYOD-Kalkül geht oft nicht auf, 2011 http://www.cio.de/knowledgecenter/mobile_it/2292758 (9.1.2012, 22:54 Uhr)
Threatpost (2011)	Apple Fixes SSL Man-in-the-Middle Bug in iOS 4.3.5 http://threatpost.com/en_us/blogs/apple-fixes-ssl-man-middle-bug-ios-435-072511 (9.1.2012, 19:27 Uhr)
ZDNet (2011)	Bring-your-own-device becoming accepted business practice (2011) http://www.zdnet.com/blog/btl/bring-your-own-device-becoming-accepted-business-practice-survey/63811 (1.1.2012, 0:26 Uhr)
Capgemini (2011)	Bring Your Own Device: Fragen über Fragen (2011) http://www.de.capgemini.com/it-trends-blog/2011/11/bring-device-fragen-ber-fragen/ (11.1.2012, 0:29 Uhr)
Computerwoche (2011)	Was bei "Bring Your Own Device" wichtig ist (2011) http://www.computerwoche.de/management/it-strategie/2369063/index3.html (10.1.2012, 20:11 Uhr)
Tec Channel (2011)	ByoD - Private Hardware in der Firma nutzen (2011) http://www.tecchannel.de/netzwerk/management/2033617/byopc_private_hardware_in_der_firma_nutzen/index4.html (10.1.2012, 20:00 Uhr)
dynamicCIO (2012)	BYOD: Handling Security Concerns (2012) http://www.dynamiccio.com/2012/01/byod-business-case-and-security-concerns.html (10.1.2012, 20:14 Uhr)
Critix Systems GmbH (2011)	Bring-Your-Own-Programm: Citrix reduziert Kosten für die IT um 20 Prozent innerhalb von drei Jahren (2011) http://www.citrix.de/unternehmen/presse/pressemeldungen/2011/12/22_12/ (9.1.2012, 23:01 Uhr)
Cortado	Cortado Corporate Server http://www.cortado.com/eude/de/Produkte/CortadoCorporateServer/Überblick.aspx (10.1.2012, 19:35 Uhr)
BITKOM (2011)	Handy-Diebstahl weit verbreitet (2011) http://www.bitkom.org/65510_64952.aspx (10.1.2012, 20:28 Uhr)
PCWELT (2011)	So surfen Sie sicher in öffentlichen Wlan-Netzen (2011) http://www.pcwelt.de/ratgeber/Achten-Sie-auf-SSL-Verbindungen-Hotspots-sicher-nutzen-351614.html (9.1.2012, 22:44 Uhr)
Weblogit (2012)	iOS vs. Android: Wie sicher ist mein Smartphone-Betriebssystem? (2012) http://weblogit.net/2012/01/09/ios-vs-android-wie-sicher-ist-mein-smartphone-betriebssystem-vergleich-infografik-35956/ (9.1.2012, 19:06 Uhr)
Cortado (2011)	Jetzt erhältlich: Der neue Cortado Corporate Server 5.2 erlaubt die Kombination verschiedener Geräte eines Benutzers und integriert sie auf Basis eines vollständigen Sicherheitskonzeptes in die IT. (2012) http://www.cortado.com/TopMenu/ArtikelDetails/tabid/403/articleType/ArticleView/articleId/463/Default.aspx (9.1.2012, 19:06 Uhr)
PC.de (2011)	Mobile Betriebssysteme – So sicher sind iOS, Android und Co. wirklich (2011) http://pc.de/dies-und-das/mobile-betriebssysteme-ios-3064 (9.1.2012, 19:37 Uhr)
Searchsecurity.de (2011)	Sicherheitskonzept von Windows Phone 7 minimiert Smartphone-Risiken (2011) http://www.searchsecurity.de/themenbereiche/applikationssicherheit/kommunikations-sicherheit/articles/314739/ (11.1.2012, 0:05 Uhr)
Bradford Networks (2011)	Use Case – Network Access Control (NAC), BYOD (2011) http://www.bradfordnetworks.com/use_case (11.1.2012, 18:56 Uhr)
Heise.de (2012)	Prognose: Umsatz mit Unterhaltungselektronik steigt 2012 auf über 1 Billion Dollar (2012) http://www.heise.de/newsticker/meldung/Prognose-Umsatz-mit-Unterhaltungselektronik-steigt-2012-auf-ueber-1-Billion-Dollar-1405449.html (11.1.2012, 20:49 Uhr)
Heise.de (2011)	IDC erwartet fast 1 Milliarde Smartphones bis 2015 (2011) http://www.heise.de/mobil/meldung/IDC-erwartet-fast-1-Milliarde-Smartphones-bis-2015-1258771.html (11.1.2012, 21:08 Uhr)
Thomas Krampe (2011)	Bring Your Own Device (2011) https://www.thomas-krampe.com/BringYourOwnDevice.html?file=tl_files/documents/BYOD/Bring_Your_Own_Device.pdf (11.1.2012, 21:24 Uhr)
Computerwoche (2011)	Zehn Schritte zum erfolgreichen BYOD-Konzept (2011) http://www.computerwelt.at/detailArticle.asp?a=137789&n=2 (11.1.2012, 23:10 Uhr)
Techchannel (2011)	Sicherheitsratgeber: Smartphones fernlöschen, orten und sperren (2011) http://www.tecchannel.de/kommunikation/handy_pda/2036926/apps_tipps_tools_sicherheitsratgeber_smartphones_fernloeschen_orten_und_sperren/index6.html (11.1.2012, 23:43 Uhr)
Chip.de (2011)	Desktop-Virtualisierung – IT-Sparbüchse oder Fass ohne Boden? (2011) http://business.chip.de/artikel/Desktop-Virtualisierung-_-IT-Sparbuechse-oder-Fass-ohne-Boden-2_51096576.html (12.1.2012, 0:04 Uhr)
Verivox (2011)	BlackBerry bleibt in Sachen Sicherheit die Nummer eins (2011) http://www.verivox.de/nachrichten/blackberry-bleibt-in-sachen-sicherheit-die-nummer-eins-72131.aspx (12.1.2012, 20:00 Uhr)
Macberry (2011)	BlackBerry OS7 Smartphones erhalten das EAL4+ Zertifikat – Bestätigung eines hohen Sicherheitsstandard (2011) http://macberry.de/blackberry/blackberry-os7-smartphones-erhalten-das-eal4-zertifikat-bestatigung-eines-hohen-sicherheitsstandard/ (12.1.2012, 20:09 Uhr)
N24 (2009)	Überstunden machen krank (2009) http://www.n24.de/news/newsitem_5029619.html (13.1.2012, 12:13 Uhr)

[0] vgl.: Heise.de Smartphone-Absatz - Prognose für 2012

[1] vgl.: Citrix-Studie unter IT-Managern

[2] vgl.: IDC-Studie zur Betriebssystemverteilung auf heise.de

[3] vgl.: Entrepreneur.com

[4] vgl.: PC-Welt.de

[5] vgl.: BITKOM

[6] vgl.: Forsa-Umfrage im Auftrag von Bitkom

[7] vgl.: Cio.de

[8] vgl.: Thomas Krampe, Seite 6,7

[9] vgl.: Techchannel

[10] vgl.: Capgemini

[11] vgl.: Cortado

[12] vgl.: Computerwoche.at

[13] vgl.: Confluence

[14] vgl.: Techchannel

[15] vgl.: Techchannel

[16] vgl.: Chip.de

[17] vgl.: Threatpost.com

[18] vgl.: Weblogit

[19] vgl.: Searchsecurity

[20] vgl.: VERIVOX.de

[21] vgl.: Macberry.de

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]