Keine Angst vor “Bring Your Own Device”: Sicherheit ist jetzt smarter als je zuvor

Stuart Constable

25/07/2019

“Bring Your Own Device” wird zunehmend zur Norm, selbst in stark regulierten Umgebungen. Unternehmen können weder auf die zusätzliche Flexibilität und Produktivität, noch auf die verbesserte Mitarbeitererfahrung verzichten, die damit einhergehen. Und da mobiles Arbeiten zu erheblichen Wettbewerbsvorteilen führen kann, untersuchen wir heute genauer, wie BYOD sich auf die Sicherheit auswirkt und wie die Unternehmenskultur angepasst werden muss, um eine vorrangig mobilgerätebasierte Arbeitsweise zu unterstützen.

Menschen können es einem schwer machen. Je mehr Regeln man aufstellt, desto mehr Schlupflöcher finden sie.

Die wachsende Beliebtheit von „Bring Your Own Device” (BYOD) ist ein klassisches Beispiel. Doch noch interessanter ist die Reaktion von Unternehmen auf diese von den Mitarbeitern ausgehende Technologierevolution, denn hier haben wir es mit einem Lehrstück in effektivem Mitarbeitermanagement zu tun.

BYOD erfordert eine typische Risikoentscheidung. Wie hoch ist das Sicherheitsrisiko durch Menschen, die Privatgeräte für die Arbeit nutzen, im Vergleich zu dem materiellen Unternehmensrisiko, das sich durch eingeschränkte Mobilität ergibt?

Die Vorteile der Mobilität scheinen zu überwiegen, besonders, seit die damit einhergehende Produktivitätssteigerung und die anderen Wettbewerbsvorteile allgemein bekannt sind. Zugleich konnten die Sicherheitstechnologien im Großen und Ganzen mit der erforderlichen Ausweitung von Richtlinien auch auf die entferntesten und mobilsten Endpunkte Schritt halten, was das Risiko reduziert.

Und doch können Menschen es einem schwer machen. Wie bei allen sicherheitsrelevanten Systemen sind die Menschen die Gefahrenquelle, nicht die Geräte. Smartphones und Notebooks verursachen keine Sicherheitsverletzungen, ihre Benutzer mitunter schon.

Darum ist Ihre Unternehmenskultur für die Vermeidung und Einschränkung der Folgen von Cyberangriffen ebenso wichtig wie Ihre Sicherheitsvorkehrungen. Sie können Sicherheitsmaßnahmen für Geräte einführen, aber Nachlässigkeit ist eine Einstellung.

Kai Roer, Mitbegründer und CEO des Forschungsunternehmens CLTRe, definiert Sicherheitskultur als „die Einstellung und Annahmen der Mitarbeiter bezüglich der Sicherheitsprotokolle und -herausforderungen.” Doch die Kultur muss über die Sicherheit hinausgehen und auch die Haltung gegenüber dem Unternehmen und dem Arbeitsplatz im Allgemeinen mit einbeziehen. Wer würde sich die Mühe machen, ein Unternehmen zu schützen, das seine Loyalität nicht gewonnen hat?

BYOD gibt Mitarbeitern mehr Kontrolle über ihren Arbeitsalltag und trägt so zum Aufbau dieser Loyalität bei. Die Mitarbeiter können selbst entscheiden, welche Geräte sie nutzen möchten – und wenn sie mit Geräten und Apps arbeiten, die ihnen gefallen, sind sie produktiver. Außerdem werden sie eher dafür sorgen, dass das Gerät sicher ist, und die Erfahrung am Arbeitsplatz generell mehr wertschätzen.

Dennoch: Sie sind eben auch nur Menschen. Darum müssen neue Ansätze in der Sicherheitstechnologie mehr Faktoren berücksichtigen als je zuvor.

So reicht zum Beispiel Lenovos Ansatz zur Gerätesicherheit über den Zusammenbau der Hardware hinaus und schließt alle Komponenten der Lieferkette mit ein. Der betrügerische Handel mit Computerteilen führt dazu, dass Komponenten möglicherweise Bauteile weniger renommierter Hersteller enthalten, die später zu Einfallstoren für Hacker werden können. Mit der durchgehenden Absicherung der Lieferkette eliminieren wir systematisch das Manipulationsrisiko aus dem Herstellungsprozess.

Das von den Privatgeräten Ihrer Mitarbeiter ausgehende Risiko wird dadurch nicht reduziert, doch das Beispiel zeigt, warum jeder Sicherheitsansatz auf einem umfassenden Verständnis der Bedrohungslage basieren muss.

Um das mit BYOD verbundene Risiko unter Kontrolle zu halten, können Unternehmen sogenannte COPE-Richtlinien für Mobilgeräte einführen: Corporately Owned, Personally Enabled (unternehmenseigene Geräte, für Mitarbeiter eingerichtet). Mitarbeiter erhalten eine Anzahl an Geräten zur Auswahl, auf denen Unternehmensservices containerisiert werden, sodass jegliche private Nutzung kein Risiko für das Unternehmen darstellt. COPE beruht auf einem gewissen gegenseitigen Vertrauen zwischen Arbeitgeber und Mitarbeiter, das zu mehr Mitarbeiterzufriedenheit führt und zugleich das Risiko verringert, das durch BYOD entstehen kann.

BYOD erfordert eine ausgefeiltere Lösung für das Mobilgerätemanagement, da ein direkter Eingriff in die private Welt des Benutzers nötig ist. Auch dabei ist die Trennung zwischen der privaten und der Unternehmensumgebung wichtig – einerseits, um den Benutzern zu versichern, dass ihre privaten Daten bei einem Angriff auf ihren Arbeitgeber nicht gefährdet sind und andererseits, um dem Unternehmen die Möglichkeit zu geben, auf jedem Gerät gesetzeskonforme Sicherheitsmaßnahmen in vollem Umfang anzuwenden.

All diese menschlichen Faktoren von Vertrauen und Loyalität können in eine handfeste Sicherheitspolitik integriert werden, sodass die Sicherheit in der Praxis für eine bessere Erfahrung sorgt, statt die Produktivität einzuschränken. Dieser Ansatz liegt auch Lenovo ThinkShield zugrunde, einer Lösung, die jede Phase des Gerätelebenszyklus berücksichtigt, von der Entwicklung über die Lieferkette und die Nutzung des Geräts bis hin zu einer sicheren Entsorgung.

Dies ist eine Philosophie, die beim Design und bei der Herstellung der neuesten Lenovo ThinkBook Notebooks angewendet wurde, zu deren Features die Verschlüsselung durch ein dediziertes Trusted Platform Module (dTPM), eine physische Kameraabdeckung und ein in den Netzschalter integrierter Fingerabdruckscanner gehören.

Der ewige Konflikt zwischen böswilligen Hackern und IT-Teams wird mit jeder Innovation intensiver, und Neuerungen wie das IoT und künstliche Intelligenz schaffen neue Schlachtfelder. Doch wenn Sie mit aufgeklärten, mitarbeiterfreundlichen Sicherheitsrichtlinien Herz und Verstand Ihrer Mitarbeiter gewinnen können, verfügen Sie über die stärkste Verteidigung gegen jeden Angriff.

 

 

Büro 2020

Was Unternehmen im 21. Jahrhundert wissen müssen