«BYOD» – Chancen, Risiken und LösungsansätzeDominique C. Brack Senior Security Consultant bei United Security Providers.BY...
2.0 und Social Media betreffen. Das Web 2.0 teilt mit dem gesamten Web die technischeGrundlage und damit zwangsläufig auch...
gehören zum einen die diversen Netzwerkanbindungen über EDGE, UMTS, DSL, WLANoder weitere Techniken. Ein wichtiger Aspekt ...
Das weitere VorgehenFolgende Punkte können Sie in ihrem weiteren Vorgehen unterstützen.Strategisch:• Thema in Agenda/ Rada...
Nächste SlideShare
Wird geladen in …5
×

«BYOD» – Chancen, Risiken und Lösungsansätze

2.281 Aufrufe

Veröffentlicht am

«Bring Your Own Device» steht auf der Wunschliste vieler Mitarbeiter und damit auch auf der Agenda vieler CIOs. Eine Gesamtbetrachtung der Chancen, Risiken und Lösungsansätze bringt Transparenz in dieses Trendthema.

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.281
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
11
Aktionen
Geteilt
0
Downloads
27
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

«BYOD» – Chancen, Risiken und Lösungsansätze

  1. 1. «BYOD» – Chancen, Risiken und LösungsansätzeDominique C. Brack Senior Security Consultant bei United Security Providers.BYOD – mehr dazu am www.security-podium.ch vom 3. April im Schloss Au«Bring Your Own Device» steht auf der Wunschliste vieler Mitarbeiter und damit auch aufder Agenda vieler CIOs. Eine Gesamtbetrachtung der Chancen, Risiken und Lösungsansätzebringt Transparenz in dieses Trendthema.Bring Your Own Device (BYOD) ist ein simples Konzept: Die Mitarbeiter bringen ihreeigenen Geräte mit zur Arbeit und erhalten die nötigen Zugriffe auf die entsprechendenRessourcen. Die IT-Abteilung wird von der Verwaltung und Fehlerbehebung von Endgerätenbefreit. Sie kann sich auf andere Aufgaben und strategische Initiativen fokussieren. Wem istes nicht schon so ergangen? Im privaten Bereich geht Kommunikation undInformationsaustausch so leicht von Händen, aber im Büro plagt man sich mit nichtperformanter Hardware oder veralteter Software rum. Wer verzichtet schon gerne bis nachArbeitsschluss auf die vielen Funktionalitäten seines Smartphones oder Tablett-PC‘s? DerTechnology- und Produktivitäts- Graben zwischen privaten Endgeräten und der IT-Infrastruktur in der Firma ist allgegenwärtig. Keiner verzichtet bis nach Arbeitsschluss gerneauf die vielen Funktionalitäten seines Smartphones oder Tablet-PCs. Denn was im PrivatlebenVorteile bringt, soll auch im Geschäft Nutzen stiften. Die Forderung nach der Nutzung dereigenen Geräte für Geschäftszwecke wird daher immer lauter beim Namen gerufen: BringYour Own Device, kurz BYOD. Eine BYOD-Strategie kann helfen, diesen Graben zuschliessen. Sie kommt den Bedürfnissen der Mitarbeiter nach und ermöglicht gleichzeitig eineverbesserte Mobilität und höhere Produktivität. Diese Faktoren erhöhen dieMitarbeiterzufriedenheit. Moderne Unternehmen versuchen stetig, Ihren Mitarbeitenden einnoch motivierenderes und attraktiveres Arbeitsumfeld zu bieten. Für die heranwachsendenGenerationen ist eine hohe Mobilität und Flexibilität Standard.Vorteile, Chancen und RisikenEine BYOD-Strategie hat für beide Seiten Vorteile: Die Mitarbeitenden geniessen mehrArbeitskomfort, erhöhte Mobilität und Flexibilität. Auf der IT-Seite entfallenAnschaffungskosten für Hardware, die durch wesentlich tiefere und gut kalkulierbarejährliche Equipment-Pauschalen an die Mitarbeitenden abgelöst werden. Auch die Kosten fürWartung und Support sinken massiv. Ausserdem kann die IT so Schritt für Schritt stabileStrukturen für die Zukunft schaffen.Die Risiken des MitmachensDennoch stellt sich hier die Frage nach den Risiken, die für die Unternehmen durch ihreEinbindung ins Web 2.0, durch die Nutzung von Facebook und Twitter, von YouTube undXing, entstehen. Schliesslich ist die Welt nicht besser geworden, nur weil es Web 2.0 gibt;auch wenn es manchem Protagonisten so erscheint. Technische und "soziale" Gefahren lauernauch im Web 2.0 an jeder Ecke. Dabei ist ein grundlegender Aspekt wichtig: Das Web 2.0 istkeine Technologie, sondern eine andere Art, die bekannten Technologien zu nutzen. Die zuGrunde liegenden Techniken sind seit langem bekannt und werden nur neu kombiniert undanders eingesetzt. Die für das Web 2.0 typische Technik, die die unerlässliche Interaktivitätermöglicht, wird daher auch in ganz anderen Anwendungen verwendet. In rein technischerHinsicht gibt es für Unternehmensnetze deshalb keine Gefahren, die ausschliesslich das Web
  2. 2. 2.0 und Social Media betreffen. Das Web 2.0 teilt mit dem gesamten Web die technischeGrundlage und damit zwangsläufig auch die technischen Risiken. Wer also Unternehmen überseine Web-2.0-Auftritte angreifen will, was heute überwiegend in kommerzieller Absichtgeschieht – die Zeit der Spass- und Profil-Hacker ist vorbei – der wird sich der bekannten undhäufig angetroffenen Sicher-heitslücken der Web-Applikationen bedienen. Er wird also zumBeispiel Schwachstellen wie DoS (Denial of Service), Cross Site Scripting (XSS), lückenhafteFehlerbehandlung oder Pufferüberlauf nutzen, um sich Zu-gang zu einem System zuverschaffen. Wer umgekehrt seine Hausaufga-ben in Sachen Web-Sicherheit gemacht hat, dermuss sich auch wegen Web 2.0 keine Sorgen machen.«BYOD wird sich auf die eine oder andere Art durchsetzen. Die IT muss lernen, mitsolchen Veränderungen umzugehen»Dazu gehört etwa der Aufbau eines optimalen Netzwerk-Zonen-Konzepts, ein zuverlässigesIdentitätsmanagement und eine flächendeckende Port-Security im Access-Bereich. AusUnternehmersicht ist BYOD ein attraktives Thema, weil die Effizienz der Mitarbeitendensteigt und die Aufwände der IT – langfristig gesehen – stark sinken. Beides wirkt sich positivauf die Erfolgsrechnung des Unternehmens aus. Kein Zweifel, BYOD birgt auch Risiken. DieNutzung der Firmeninfrastruktur mit privaten Geräten wirft traditionelle Sicherheitskonzepteüber den Haufen und erzwingt eine Anpassung der IT-Sicherheitsstrategie und derDatenschutzrichtlinien an heutige wie zukünftige Anforderungen. Im Normalfall sind dieMitarbeitenden auch nicht genügend für die Sicherheitsthematik sensibilisiert. FehlendeBackups oder die Infektion der Geräte mit Malware und Viren können das Firmennetzgefährden, und vertrauliche Informationen in E-Mails schneller in falsche Hände geratenlassen.Strategie zur UmsetzungDas Thema BYOD muss aus mehreren Perspektiven angegangen werden. Dazu bietet sich dieGliederung in Strategie, Organisation und Technik an. Dank der Aufteilung in diese dreiBereiche lässt sich die Umsetzung leichter überblicken und – idealerweise im Rahmen einerBYOD-Task-Force – auf mehrere Schultern im Unternehmen verteilen. Im Bereich Strategiesteht die Aufnahme des Themas in die Agenda des Unternehmens an erster Stelle. ZurDarstellung und Abwägung der finanziellen und nicht-finanziellen betriebswirtschaftlichenKonsequenzen drängt sich die Erstellung eines Business Cases auf. Eine Kosten-Nutzen-Analyse liefert die Antwort auf potenzielle Ersparnisse. Auch rechtliche Aspekte müssenfrühzeitig geprüft werden. In die Disziplin Organisation fällt die Prüfung und Anpassung vonRichtlinien und Reglementen. Zunächst sollte eine fundierte Bedarfsanalyse den Sinn desBYOD-Vorhabens stützen. Anschliessend kann ein Proof of Concept mit IT-affinenMitarbeitenden gestartet werden.Technische VoraussetzungenDie technische Dimension ist für die erfolgreiche Umsetzung einer BYOD-Strategie zentral.Die effektive technische Umsetzung sollte aber erst angegangen werden, wenn ausorganisatorischer Sicht die Voraussetzungen erfüllt sind, ein einheitliches Verständnis fürBYOD besteht und im Unternehmen eine klare Strategie vorliegt. Nur so können am Ende diebevorstehenden Herausforderungen bezüglich Komptabilität, Konnektivität, aber auch punktoSicherheit gemeistert werden. Aus einer Vielzahl von Lösungsansätzen gilt es, den für daseigene Unternehmen passendsten auszuwählen. Dieser wird sich in den allermeisten Fällenaus einer Kombination mehrerer sich ergänzender Komponenten zusammensetzen. Dazu
  3. 3. gehören zum einen die diversen Netzwerkanbindungen über EDGE, UMTS, DSL, WLANoder weitere Techniken. Ein wichtiger Aspekt ist die Auswahl der geeignetenAuthentifizierungsmethoden, etwa eine tokenbasierte Zwei-Faktoren-Authentifizierung fürexterne Zugriffe. Die Datenübertragung kann beispielsweise über integrierte VPN-Protokolleund SSL/TLS abgesichert werden. In vielen Fällen kann der Einsatz von Terminal Servicesoder der Aufbau einer Virtual-Desktop- Infrastruktur (VDI) sinnvoll sein. Bestehendevirtuelle Desktops können auch offline genutzt werden, indem das Image lokal gespeichertund ausgecheckt wird. Die Daten werden dann bei der nächsten Verbindung mit derUnternehmensinfrastruktur synchronisiert. Ohne Verbindung zum Server wird ein Offline-Desktop nach einer vordefinierten Zeit inaktiv. Auch kann die Evaluation einer Network-Access-Control-Lösung (NAC) am Anfang stehen. Ein ausgereiftes NAC kann mit seinenFunktionalitäten dabei helfen, die Herausforderungen punkto Sicherheit bei BYOD zubewältigen.Compliance und Rechtliche Aspekte (Wo ist der Hacken?)Hier ist der Haken. Der Prüfungsausschuss, die C-Suite, und gleichermassen die Mitgliederdes Audit Komitees – während sie selbst fröhlich auf ihren iPads E-Mail bearbeiten – stellenfest, dass wenn die Mitarbeiter ihre eigenen Geräte benutzen, um aufUnternehmensressourcen zuzugreifen, dies ein erhebliches Sicherheits- und ComplianceRisiko darstellt. Was, wenn kein Passwort aktiviert ist oder das Gerät beim nächsten BusinessLunch liegen gelassen wird? Was ist, wenn nicht-öffentliche Daten über Dropboxsynchronisiert werden? Was ist, wenn ein unsicheres WLAN am Flughafen genutzt wird?Dies sind nur einige der Aktivitäten, die vertrauliche Daten gefährden können und die dasUnternehmen und die Compliance gefährden. Das grösste Problem stellt die nicht„Nachvollziehbarkeit“ dar. Wer sich mit den rechtlichen Aspekten und Complianceauseinandersetzt, wird nicht darum herumkommen, sich mit Mobile Device ManagementSoftware (MDM) vertraut zu machen. MDM hilft bei den folgenden Tasks:• Software Distribution - Die Fähigkeit zur Verwaltung und Unterstützung von mobilenAnwendungen bereitstellen, installieren, aktualisieren, löschen oder sperren.• Policy Management – Entwicklung, Steuerung und Betrieb der Enterprise Policy.• Inventory Management - Neben grundlegenden Bestandsführung, Provisionierung undSupport.• Security Management - Die Durchsetzung von Standard-Device-Sicherheit, Authentisierungund Verschlüsselung.Nebst den technischen Herausforderungen gilt es folgende rechtliche Aspekte zuberücksichtigen:• Arbeitgeber und Arbeitnehmer können sich problemlos einigen, dass der Mitarbeiter dieGeräte selber zur Verfügung stellt.• Der Arbeitgeber muss dem Arbeitnehmer eine angemessene Entschädigung bezahlen.• Wer übernimmt die Amortisationskosten?• Für die Privatnutzung anteilmässige Aufteilung der Kosten für das Gerät zwischen demArbeitgeber und dem Arbeitnehmer.• Wer Personendaten bearbeitet, ist verpflichtet, die Bestimmungen des Datenschutzgesetzeseinzuhalten.• Es sind technische und organisatorische Massnahmen zu ergreifen, damit die Personendatenvor unbefugtem Zugriff geschützt sind.• Den Arbeitnehmer verpflichten, alle geschäftlichen Daten bei Beendigung desArbeitsverhältnisses zu löschen.
  4. 4. Das weitere VorgehenFolgende Punkte können Sie in ihrem weiteren Vorgehen unterstützen.Strategisch:• Thema in Agenda/ Radar aufnehmen• Rechtliche Aspekte klären• Business Case definieren• Potential Kostenersparnis• Kosten/Nutzen (ROI)Organisatorisch:• Richtlinien prüfen/erstellen• Proof of Concept umsetzen• Bedarfsanalyse erstellen• Inventarisierung• IT-affine Mitarbeiter/InnenTechnisch:• Network Access Control(NAC) evaluieren und einführen• Mobile Device Management evaluieren und einführen• Dynamic VLAN Routing• Remote Wiping• Device Encryption• Zertifikate• Endgeräte Inventarisierung (mittels NAC)Fazit: Herausforderung annehmenEin strukturiertes Vorgehen, unter Beachtung der beschriebenen Massnahmen, versprichteinen hohen Projekterfolg. Auf diese Weise können auch existierende Information-Security-Management-Systeme (ISMS, z.B. ISO27002) erfolgreich integriert werden. CIOs undSicherheitsverantwortliche werden sich so oder so der Herausforderung der «privaten»mobilen Endgeräte im Business-Umfeld stellen müssen. Der Einbezug eines externen Partnerserhöht die Erfolgschancen. Der Dienstleister kann das Unternehmen auf strategischer,organisatorischer und technischer Ebene beraten und durch eine Fülle von Erfahrungen ausProjekten bei anderen Unternehmen unterstützen.

×