In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:
In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.
Eine aktuelle, von der IT-Sicherheitsfirma Webroot durchgeführte, Untersuchung zum Themenkomplex Sicherheit beim BYOD-Einsatz beschreibt die Sicherheitssicht der Verbraucher, die ihre privaten mobilen Geräte im beruflichen Kontext nutzen. Die Studie zeigt deutlich, dass viele Mitarbeiter nicht die erforderlichen Vorkehrungen treffen um die kritischen Unternehmenswerte zu schützen und den gesetzlichen und regulatorischen Anforderungen nachzukommen. Diese Schwäche kann zu einer kritischen und kostenintensiven Sicherheitsstörung für das Unternehmen werden. Daneben liefert die Studie auch BYOD-Richtlinie, die die Lücke zwischen den Wünschen der Mitarbeiter und den Sicherheitsanforderungen der Organisationen überbrücken soll.
Die wichtigsten Erkenntnisse der BYOD Mobile-Studie sind:
Die Ergebnisse der Untersuchung basierend auf den Aussagen von mehr als 2.000 Berufstätigen in den USA, die strukturiert befragt wurden. Während der Einsatz von mobilen (privaten) Endgeräten auf der einen Seite für die Organisation einen echten Geschäftsvorteil bietet, stehen auf der anderen Seite den erhöhten Risiken, wenn solche Geräte ungeschützt auf Unternehmensdaten zugreifen, gegenüber. Hauptrisiken werden in Sicherheitsbedrohungen durch Phishing-Attacken, Malware, und Browser-Hijacking gesehen. Das Ergebnis wurde in der folgenden Infografik anschaulich zusammengefasst:
Lange Zeit galt in der Firmen-IT das Thema BYOD “Bring your own Device” als das neue Problem. Zunehmend wird jedoch das "devicelose"-Trendthema BYOA “Bring your own Apps” zu einem ernstzunehmenden Problem für die Sicherheit der Unternehmens-IT. Eine von der IT-Sicherheitsfirma McAfee durchgeführten Studie unter rund 600 IT-Verantwortlichen und Führungskräften hat ergeben, dass mehr als 80 Prozent der Befragten unerlaubt private Anwendungen (Apps) für berufliche Zwecke nutzen. Neben dem Trend zu “Bring your own Device” geht die Entwicklung inzwischen also auch immer stärker zu “Bring your own Apps”.
Durch diese sogenannte „Schatten-IT“ werden unkalkullierbare Sicherheitslücken geschaffen, um die insbesondere IT-Verantwortliche eigentlich im besonderen Bescheid wissen müssten. Trotzdem nutzen vor allem gerade IT-Spezialisten private Anwendungen an bestehenden Richtlinien und Firmen-Policies vorbei, weil sie sich laut Studie von diesen Vorgaben zu sehr eingeschränkt und inflexibel fühlen.
Ausgehend von der Literaturanalyse und den Ergebnissen der empirischen Untersuchung habe ich im letzten Teil meiner Masterthesis eine Handlungsempfehlung für kleine und mittlere Unternehmen für die Einführung von Bring your own Device gegeben. Ziel Empfehlung sind erste Schritte unter besonderer Beachtung der Anforderungen und Voraussetzungen.
Viele Mitarbeiter, gerade die jungen, haben den Wunsch nach neuer bzw. aktueller Hard- und Software. Dies ist eine Herausforderung für die Unternehmen, da nicht jeder Mitarbeiter auf Anhieb mit neuer Technik klar kommt. Daher würde es sich für Unternehmen anbieten, dass sie es akzeptieren, wenn die jüngeren Mitarbeiter ihre eigenen Endgeräte mitbringen. Dies ist jedoch, wie bereits beschrieben, aus rechtlicher und IT Sicherheitssicht ein größeres Problem. Daher sollten die Unternehmen einen geeigneten Mittelweg finden, um die Mitarbeiterzufriedenheit zu steigern, und sich aber auf der anderen Seite nur mit geringen rechtlichen / sicherheitstechnischen Anforderungen auseinander setzen zu müssen.
Gerade im Hinblick auf die auch gesetzlich verankerte Informationssicherheit, sind Unternehmen ebenso aus wettbewerbs und wirtschaftlichen Interessen daran gehalten die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten jederzeit sicherzustellen. Wie bereits im Blog Eintrag „Datensicherheit und ByoD“ dargestellt ist dieses Thema im Besonderen bei aktuellen Bring your own Device initiative nur mit einigen Hürden umsetzbar. Vor den aktuellen Überwachungsskandalen PRISM (und weiterer) der NSA hat eine Google-Sprecherin gegenüber der Nachrichtenagentur Bloomberg jetzt bestätigte, dass das Unternehmen der Implementierung von umfangreichen Programmbestandteilen, die von Programmieren der NSA stammen, vorbehaltslos zugestimmt habe. Der vollständige Code für das mobile Betriebssystem und Listen von weiteren Entwicklern seien jederzeit unter source.android.com öffentlich und könnten von jedem jederzeit eingesehen werden.
Dies ist insbesondere vor der kontinuierlichen Verbreitung von Smartphones und Tablets mit dem Android Betriebssystem bedenklich (Link). Moderne Smartphones wissen somit jederzeit, wo der Besitzer sich aufhält, mit wem er sich unterhält (telefonisch, per Messenger oder E-Mail) und welche sonstigen Interessen (Internet und Apps) er hat (Link). Google hat angeblich der Eingliederung von NSA-Code in sein Open-Source Android-Projekt bereits im Jahr 2011 zugestimmt. und zugesichert den von der NSA erstellten Code auch in zukünftige Versionen des Betriebssystems zu integrieren. Nach Angaben einer NSA-Sprecherin handelt es sich bei den von Geheimdienstmitarbeitern erstellten Programmteilen jedoch lediglich um „Sicherheitsverbesserungen“ von Android. Wem diese Sicherheit letztlich nützt, den Nutzern der Smartphones oder der NSA beim Zugriff auf diese, wurde nicht gesagt.
