BYOD-Experte über mobile Gefahren und Lösungen

"Fehlverhalten muss Konsequenzen haben"

Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Der IT-Security-Experte Paul Luehr plädiert im Interview mit CIO.com dafür, einzelne Mitarbeiter für Nachlässigkeiten zur Verantwortung zu ziehen. Die Sorge über steigende Risiken durch BYOD sei berechtigt. Darum brauche es Vorgaben, die in der Praxis bislang aber nicht gut genug formuliert seien.
Paul Luehr von Stroz Friedberg: "Die Leute gehen laxer mit Daten um, die sie mit nach Hause nehmen."
Paul Luehr von Stroz Friedberg: "Die Leute gehen laxer mit Daten um, die sie mit nach Hause nehmen."
Foto: Strotz Friedberg

Wegen Bring Your Own Device (BYOD) haben es die Anwender mit immer mehr mobilen Endgeräten und Cloud-Speicherplätzen zu tun. Damit gehen eine wachsende Vielfalt an Datentypen und das Risiko von Datendiebstahl zum Beispiel durch verärgerte Mitarbeiter einher – in jedem Fall also eine größere Anfälligkeit gegenüber mobilen Gefahren. Oder wird dieses Thema nur aufgebauscht? Ein klares Nein entgegnet dem Paul Luehr, Managing Director beim Data Risk Management-Spezialisten Stroz Friedberg. „In den vergangenen drei Jahren hat sich die Zahl der Fälle mit mobilen Endgeräten bei uns in etwa verdoppelt", sagt der Experte für Computer-Forensik, dessen Firma auch ein eigenes Cybercrime-Labor betreibt. Unsere amerikanische Schwesterpublikation CIO.com sprach über die mobilen Gefahren durch BYOD mit Luehr, der früher in Diensten der Federal Trade Commission stand. Für die Wettbewerbsbehörde der USA fungieret Luehr als Supervisor für das Programm zur Bekämpfung von Internetbetrug.

Um die Sicherheitsgefahren durch BYOD gibt es viel Tamtam. Sind die Sorgen berechtigt? Oder ist das nur ein Hype?

Paul Luehr: Sowohl als auch. Im Allgemeinen unterteilen wir die Netzwerkbedrohungen in zwei Bereiche. Einmal haben wir die externen Gefahren – also Hacker, die von irgendwoher das Netzwerk penetrieren. Die Angreifen kommen immer noch auf ihren angestammten Pfaden daher, also nicht unbedingt über BYOD. Insofern haben diejenigen recht, die die Bedrohung als überschätzt darstellen.

Aber diese Wahrnehmung blendet eine andere Security-Ebene aus. BYOD-Strategien haben sicherlich das Risiko durch interne Bedrohungen erhöht. Die gefährlichste Person für ein Unternehmen ist mittlerweile wahrscheinlich der Mitarbeiter, der verstimmt das Firmengelände verlässt. Er hat Zugang zum Netzwerk. Dank BYOD stehen ihm zusätzliche Wege offen, sich einzuloggen und Daten zu verschieben. Ich würde sagen, dass diese Gefahr schon jetzt sehr groß ist.

Stellen Sie einen Anstieg beim BYOD-Datenklau fest?

Paul Luehr: Absolut. Vor allem bei unseren Untersuchungen, die um Mitarbeiterfragen kreisen. Für viele dieser Fälle verwenden wir den Spitznamen „böser Abgänger". Jemand ist gegangen – und war sauer. Wechselt ein Mitarbeiter zur Konkurrenz, gibt es ja stets die Sorge, dass er geistiges Eigentum mitnehmen könnte. Wenn wir solche Fälle untersuchen, wird die BYOD-Front immer wichtiger. Das heißt, dass wir nicht nur die ServerServer, Emails und Desktops inspizieren, sondern auch SmartphonesSmartphones sowie iCloud- und Dropbox-Accounts. Oder auch Gmail. Alles zu Server auf CIO.de Alles zu Smartphones auf CIO.de

Social Media verstärkt Risiken

Die meisten Attacken zielen zwar immer noch direkt auf die Server, weil sich dort die wertvollsten und empfindlichsten Daten finden. Aber die mobilen Endgeräte sind immer mehr eine offene Flanke für Datenklau. Aus der Security-Perspektive ist BYOD jedenfalls eine vielfältige Herausforderung. Auch durch Social MediaSocial Media ändern sich Einstellungen und Verhalten. Die Grenze zwischen Büro und Zuhause verschwimmt. Die Leute gehen laxer mit Daten um, die sie mit nach Hause nehmen. Das kann zum Beispiel eine Liste mit Kreditkartennummern von Kunden sein oder ein Quellcode, mit dem sich das Unternehmen von der Konkurrenz abhebt. Mitgebrachte Daten werden auch häufiger auf mehreren Geräten und Ordnern verteilt. Gelegentlich geraten sie Freunden und Familienmitgliedern unter die Augen. Alles zu Social Media auf CIO.de

Manche Firmen reagieren darauf mit rigiden BYOD-Richtlinien. Ist das eine sinnvolle Maßnahme?

Paul Luehr: In einem zeitgemäßen BYOD-Umfeld braucht es sicherlich vernünftige und umfassende Regelungen und Prozeduren. Aber für sich betrachtet sind sie oft nicht gut genug. Die meisten Regelwerke benötigen ein Update. Sie müssen drei Dinge berücksichtigen: erstens die verschiedenen Orte, an denen Mitarbeiter ihre Geräte benutzten – zum Beispiel daheim; zweitens die Wege, über die Daten wandern können; drittens die diversen neuen Kommunikationstypen wie FacebookFacebook, Twitter und Textnachrichten. Die Richtlinien sollten auch durch hochwertige Schulungen und Übungen gestützt werden. Alles zu Facebook auf CIO.de

Kürzlich haben mein Laborchef und ich auf der Basis der von uns beobachteten Datendiebstähle die zehn wichtigsten Sicherheitsfragen zusammengestellt. Dazu zählt, dass es auf individueller Ebene überhaupt keine Konsequenzen für Fehlverhalten bei der SecuritySecurity gibt. Unserer Meinung nach wäre es sinnvoll, IT-Sicherheit nicht zu einem abstrakten Gegenstand der Personalpolitik zu machen, sondern sie auch in den Katalog zur jährlichen Leistungsmessung aufzunehmen. Alles zu Security auf CIO.de

Ein vergrätzter Ex-Mitarbeiter würde trotzdem Chaos stiften. Ist das eher eine Baustelle für die Personalabteilung als für die IT?

Paul Luehr: Gute Richtlinien kommen von oben und über die HR-Abteilung. Es sollte Folgen für gutes und schlechtes Verhalten geben. Das ist die menschliche Seite der Medaille. Aber darum alleine geht es nicht. Man benötigt auch eine ganze Reihe von Netzwerk-Kontrollen. Weder kann die HR alles auf die IT abwälzen noch umgekehrt. Im Grunde bewerten wir als gravierendstes Problem, das IT-Sicherheit in den Führungsetagen der Firmen nicht ernst genug genommen wird.

Entstehen durch BYOD versteckte rechtliche Kosten?

Paul Luehr: Ja. Im Falle problematischer Mitarbeiterabgänge geschieht durch den zusätzlichen Sammel- und Kontrollaufwand, der durch die Anzahl an mobilen Endgeräten entsteht. Es gibt immer mehr Daten, Datentypen, Geräte, Speicherorte. Statt einer einzigen forensischen Abbildung für Laptop oder Desktop sind jetzt vier oder fünf Stück nötig. Ist die Unordnung besonders groß, muss man in einer Datenwirrwarr auf Heimrechnern und in privaten Email- und Cloud-Accounts eintauchen.

Aber die Kosten für das Sammeln der Daten sind es nicht alleine. Bevor sich Staatsanwälte diese Informationen überhaupt ansehen, sind zusätzliche Gatekeeping-Schritte erforderlich. Viele Mitarbeiter verlangen, dass ihre persönlichen Daten strikt von den Firmendaten getrennt werden, die Gegenstand des Rechtsstreites sind. Die Firmen müssen dann forensische Labore wie unseres anheuern, um die Spreu vom Weizen zu trennen.

Inwiefern führt BYOD zu Sicherheitslücken?

Paul Luehr: Vor allem durch so genannte Cross-Pollination von Passwörtern. Mitarbeiter benutzen wahrscheinlich die gleichen oder ähnliche Passwörter für die Arbeit wie am heimischen Rechner. Wir hatten dazu vor kurzem ein Telefonat mit dem FBI. Im einem der größten und prominentesten Fälle von Datendiebstahl inspizierte das FBI eine Liste mit veröffentlichten Kundennamen, Adressen und Passwörtern.

IT-Promi im FBI-Visier

Die Ermittler kannte einen der Namen: einen hochangesehenen IT-Manager einer wichtigen Technologiefirma. Das FBI rief dort an und teilte mit, dass der private Email-Account des Mannes gehackt worden sei. Möglicherweise lohne sich ein Check, ob das auch das Unternehmen betreffen könnte. Tatsächlich loggte sich die Führungskraft mit denselben Daten von Daheim ins Firmennetzwerk ein. Zum Glück hatte es noch keine Attacke gegeben und das Leck konnte geschlossen werden – aber nur dank Zufall, Glück und der Aufmerksamkeit eines Ermittlers. Cross-Pollination geschieht häufig, wenn Arbeitsgeräte wie persönliche Devices behandelt werden und umgekehrt.

Gibt es bei der mobilen Sicherheit einen blinden Fleck?

Paul Luehr: Textnachrichten stehen neuerdings im Fokus, und zwar auf bisher unbekannte Weise. Früher musste man sich nur um Emails und elektronische Dokumente wie PowerPoint-Präsentationen, Word-Dateien und Excel-Spreadsheets Gedanken machen. Man chmal auch um technische Zeichnungen. Es genügte, die File-Server und die Email-Server zu durchleuchten, dazu noch den Arbeitsplatz des Mitarbeiters. Mobile Endgeräte verändern das Szenario. Kurznachrichten erscheinen nur auf den Mobiltelefonen und sonst nirgends im Firmennetzwerk. Die Service-Provider können auf Nachfrage nur Verbindungszeiten und Nummer nennen, eventuell noch das Datenvolumen. Aber sie speichern die Inhalte von einzelnen SMSen nicht.

Blinder Fleck SMS

Abtrünnige Mitarbeiter tauschen sich mit ihren neuen Arbeitgebern deshalb immer häufiger via SMS aus anstatt über private Email-Accounts. Wertvolle Daten können besser denn je versteckt werden. Wer besonders ruchlos vorgeht, gestaltet die Nachrichten auf Systemen wie Snapchat so, dass sie automatisch wieder vom Handy verschwinden.

Könnten die mobilen Gefahren den BYOD-Siegezug stoppen?

Paul Luehr: Wenn Firmen vor mobilen Geräten ihre Augen verschließen, infiltrieren sie die Arbeitsplätze sowieso. Schlauer ist es, die Wirklichkeit zu akzeptieren und mobile Endgeräte und BYOD als Teil der Zukunft anzuerkennen. Darauf lassen sich vernünftige Regeln und Praktiken aufbauen. Man kann nicht alle Aktivitäten kontrollieren. Aber man sollte sie erahnen und Konsequenzen so weit es geht regeln.

BYOD: Gekommen, um zu bleiben

Bring Your Own Device (BYOD) wird für die Unternehmen eine Dauerbaustelle bleiben – oder es den CIOs passt oder nicht. So interpretiert jedenfalls Ovum die Lage. Die Analysten gehen noch einen Schritt: Das eigentliche Phänomen sei „Bring Your Own Everything“ (BYOX), weil die Mitarbeiter neben privaten Endgeräten auch immer mehr eigene Apps für die Arbeit nutzen. Neben Email- und Kalender-Funktionen werden demnach neue Cloud-Productivity-Apps wie Enterprise Social Networking, File Sync & Share und Instant Messaging/Voice over IP immer beliebter – auf Firmen und Privatgeräten. Wie Ovum bedauert, nutzen die Mitarbeiter diese Apps häufig auf eigene Faust. Jede vierte bis jede dritte Anwendungen sei nicht über gemanagte Unternehmenskanäle auf die Smartphones und Tablets der Mitarbeiter gekommen, hat Ovum in einer neuen Studie herausgefunden. „Die IT-Abteilungen halten offenbar nicht Schritt mit den veränderten Bedürfnissen und Verhaltensmustern der neuen und konsumerisierten Belegschaften“, sagt Ovum-Analyst Richard Absalom. „Wenn Mitarbeiter zur Erledigung ihrer Jobs selbst nach Apps suchen, liefert die IT nicht die richtigen Tools oder kein Nutzererlebnis, das gut genug ist.“

In jedem Fall sei BYOD kein vorübergehendes, sondern ein dauerhaftes Phänomen. 70 Prozent der Mitarbeiter, die ein eigenes Smartphone oder Tablet haben, nutzen dieses laut Ovum auch für berufliche Zwecke und rufen Unternehmensdaten damit ab. 15 Prozent tun das ohne Wissen der IT-Abteilung, 21 Prozent trotzt expliziter BYOD-Verbot ihrer Arbeitgeber. Weil die Tablet-Verkäufe laut Ovum weiterhin rasant steigen, verstärkt sich auch der BYOD-Trend weiter. Die Aktivitäten der Mitarbeiter werden nach Einschätzung Absaloms bleiben – egal, was der CIO davon hält. Deshalb sollten die IT-Chefs jetzt klare strategische Antworten finden, anstatt sich von den Entwicklungen überrollen zu lassen. „Sich der konsumerisierten Mobilität in den Weg stellen zu wollen, ist ein nutzloses und schädliches Unterfangen“, befindet Ovum-Mann Absalom. „Den Unternehmen wäre mehr damit gedient, wenn sie BYOD als Instrument für eine gesteigerte Motivation und Produktivität der Mitarbeiter betrachteten und Enterprise Mobility vorantrieben.“