Etwas Offtoppic, aber dennoch im Kontext zu sehen ist das Thema Überwachung durch den Staat mittels Smartphone Ortung und das Mitlesen von E-Mails, dem Browserverlauf und einem Vieotelefonat mittels Skype, Facetime oder Hangout. Was in der TV-Serie Navi CSI, CSY New York & Co Alltag war, haben viele bisher nur für eine Hollywood Show gehalten. "Dank" der Enthüllungen von Edward Snowden sind diese offensichtlich jedoch Realität geworden

Der Cartoon von Videokünstler manniacs über den sogenannten Überwachungsstaat veranschaulicht auf recht einfach und übersichtlich, weshalb sich die Totalüberwachung der Bürger via PRISM (USA) und TEMPORA (UK) nicht einfach mit dem Rückgriff auf den Schutz der Bürger vor Kriminalität und Terrorismus relativieren lassen. Eine lückenlose und kontinuierliche andachtslose staatliche Überwachung stellt das Verhältnis von Bürger und Staat auf den Kopf, indem es den Bürger unter Generalverdacht stellt, die Handlungen staatlicher Akteure und deren Motive indes nicht hinterfragt. Totalüberwachung ist teuer und birgt ein riesiges Missbrauchspotential. Nicht der Terrorismus, sondern der mündige Bürger wird bekämpft. Wer also verstehen will, warum immer mehr Menschen sich über PRISM, Tempora, die Geheimdienste etc. ärgern, schaue sich dieses Video von manniac:

Doch gilt es bei der Einführung von Bring your own Device nicht nur gesetzliche Vorschriften zu beachten, sondern auch unternehmensinterne Regelungen zu definieren.

Schon vor der Einführung sollte, sofern vorhanden, der Betriebsrat in das Bring your own Device Projekt eingebunden werden. Nach der Zustimmung von diesem gilt es eine Betriebsvereinbarung zu verabschieden. In diesem sollten Aspekte bezüglich der Trennung von unternehmensinternen und privaten Daten, den Eigentumsverhältnissen und  Richtlinien für den Verlust von Endgeräten beinhalten.

In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:

In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.

Gerade im Hinblick auf die compliancerelevante Informationssicherheit müssen Unternehmen große Sorgfalt wallten lassen. Firmen müssen die Verfügbarkeit, Vertraulichkeit und Integrität ihrer Daten jederzeit nicht nur auf Grund gesetzlicher Vorgaben sicherstellen. Dies kommt insbesondere bei Initiativen wie dem Bring your own Device (BYOD) zum tragen, wenn Unternehmen der Zugriff auf die Daten teilweise aus der Hand genommen wird.

Dabei spielt es prinzipiell kaum eine Rolle, welche Smartphones für den Unternehmenszweck ausgewählt werden oder welche Smartphones Mitarbeiter mit ins Unternehmen bringen und ins Netzwerk schleusen. Gefährdet sind alle Geräte, unabhängig vom laufenden Betriebssystem. Ein Lieblingsangriffsziel der Datendiebe hat sich jedoch heraus kristallisiert: Smartphones mit Googles Betriebssystem Android.Was man bisher nur von stationären PCs und Noteboks kannte, Viren, Würmer, Trojaner (Malware allgemein) wird zunehmend auch für Smartphone-Besitzer zum Problem. Besonders beim Unternehmenseinsatz mobiler Geräte stellt dies die hiesigen IT vor völlig neue Herausforderungen. Nicht nur das Mobile Device Management verlangt eine eingehende Auseinandersetzung mit dem Thema, auch die Gewährleistung der Datensicherheit mit möglichst geringer Benutzereinschränkung auf den privaten Geräten muss hierbei das Ziel sein. Richteten sich frühere Malware-Angriffe vorzugsweise per SMS oder Bluetooth primär auf eine Sabotage des mobilen Systems durch Blockieren oder Abstürzen, liegt der heutige Fokus der Malware-Programmierer auf dem Ausspähen von Daten und dem Entwenden von (Betriebs)Geheimnissen.

Der im Volksmund oft zitierte Spruch "Der Fisch stinkt vom Kopfe her", lässt sich sehr stark auch im Bereich des Trends "Bring Your Own Device (BYOD)" beobachten. Viele aktuelle Studien nennen immer wieder die (jüngeren) Mitarbeiter im Unternehmen als Treiber der BYOD-Initiativen heraus. Die Generation facebook oder auch als die Digital Natives Bezeichneten wollen und brauchen angeblich Ihre eigenen elektronischen Geräte (Devices), wie Smartphone oder auch das Tablet,  um produktiv und mit Leidenschaft bei der Arbeit zu sein. Da sie die digitale Ubiquität gewohnt sind, möchten sie dies auch im dienstlichen Umfeld nicht missen. Die primär auf Homogenität und Sicherheit ausgerichtete Firmen-IT kann diesen Wunsch angeblich nicht erfüllen.

Dennoch lässt sich immer öfter beobachten, dass BYOD eher bei dem höheren Management beginnt, die eben "gleicher als die Gleichen" sind und für sich immer Sonderfälle in Anspruch nehmen. So möchte gerade die Führungsmanschaft mit dem schicke (private) iPhone oder iPad auf das Firmennetz zugreifen können und E-Mails und Kalendereinträge bearbeiten. Diesem Wunsch wird dann auf Grund der dienstlichen Position von der IT oftmals als Sonderlösung nachgekommen, da man denen „von da Oben“ das nicht verwehren kann. Mit solchen