Firmen geben mangelhaften Schutz zu

Mobiles Arbeiten ist in allen Vorhersagen für das jeweils nächste Jahr ein verlässlicher Megatrend. Das war 2010 und 2011 so und ist auch 2012 nicht anders. "Erfolgreiche Unternehmen", heißt es in der neuen Studie von Symantec und IDG Research, "erkennen den Nutzen davon, ihren Mitarbeitern das Arbeiten von überall und zu jeder Zeit zu ermöglichen." Unternehmen profitierten dabei von motivierteren und produktiveren Mitarbeitern, die sich direkt in Innovationen und Wettbewerbsvorteile umrechnen lässt.

Um ihre derart durch Raum und Zeit vagabundierenden Einsatzkräfte mit der nötigen Technik zu unterstützen, brauchen die IT-Abteilungen flexible IT-Architekturen, die mobile Geräte wie Laptops, Tablets und Smartphones unterstützt. Zudem muss die Infrastruktur auch den mobilen Fernzugriff auf Firmendaten erlauben, der so schnell ist, wie es die Mitarbeiter aus dem Büro gewohnt sind.

Klingt alles prima, ist aber nicht ohne Risiko: "Unternehmen", heißt es in der Studie, "setzen sich damit auch einer gewissen Anzahl von Gefahren aus."

Viele Unternehmen seien in den aktuellen Mobilitätswahn mehr oder weniger reingeraten, meinen die Studienautoren. Dabei seien die Sicherheitsprobleme nie so richtig thematisiert worden, die entstehen, wenn Computer das Unternehmen verlassen und Unternehmensdaten aus der Ferne bearbeitet werden. Dazu komme, dass bislang ausreichende Vorschriften und Policies für das mobile Arbeiten nicht mehr taugen, weil sie aktuelle Bedrohungen durch unautorisierten Datenzugriff, Malware-Infektionen und Datenklau nicht behandelten.

Das Ergebnis ist dann oft genug eine mobile Truppe, die völlig unvorbereitet auf Angreifer jenseits der Firewall ihres Unternehmens stößt. Immerhin seien diese Probleme nicht der mangelnden Aufmerksamkeit geschuldet, die IT-Abteilungen und -Verantwortliche diesem Thema zukommen ließen, gestehen die Autoren der Studie zu.

Bei der Befragung von 115 IT-Sicherheitsverantwortlichen gaben 94 Prozent zu Protokoll, dass durch die Zunahme mobiler Arbeitskräfte die Gefahr für Firmennetze und -daten wenigstens moderat wachse. Zu den Risiken zählen die Fachleute unautorisierte Datenzugriffe, Datenverlust bei Geräteverlust und das Eindringen von Viren und Malware in Firmennetze. Dass diese Risiken nicht nur theoretisch existieren, zeigt die Umfrage auch: Mehr als die Hälfte der Befragten (52 Prozent) gibt an, es sei "sehr wahrscheinlich, dass sich vertrauliche Firmeninformationen auf den mobilen Geräten der Mitarbeiter befinden".

Die meisten Unternehmen sind heutzutage schlicht nicht adäquat ausgerüstet, um solchen Gefahren angemessen begegnen zu können: 59 Prozent gaben an, beim Umgang mit den Risiken nur mäßig bis gar nicht erfolgreich zu sein.

Trotz der aktuellen Belastungen des IT-Budgets haben die meisten Unternehmen eingesehen, dass sie eine Strategie brauchen, um die Risiken für ihre mobilen Einsatzkräfte zu mildern. "Das Hauptproblem ist, dass Unternehmen nicht dasselbe Maß an Sicherheit für den Fall garantieren können, dass Geräte das gesicherte Netzwerk verlassen", kommentiert Ronald Poserina von Symantec die Umfrage.

Aus dem Office, aus dem Sinn

Mobility kommt in vielen Formen vor, heißt es in der Studie. Zwei Trends aber seien dabei besonders bemerkenswert: die Konsumerisierung der IT und der Eintritt der Millenials oder Digital Natives in die Arbeitswelt. Beide Phänomene sorgten für einen stetig wachsenden Strom von Laptops, Smartphones und Tablets auf Unternehmensfluren. Die IT-Abteilungen haben das mittlerweile akzeptiert, wenn auch nicht forciert, und erlauben den Mitarbeitern immer häufiger den Zugriff von diesen Geräten auf Firmendaten.

"Die Fähigkeit, mobile Geräte zu sichern, ist immer eine Herausforderung", meint Lee Rothman von Symantec. "Aber sie hat sich durch die Konsumerisierung weiter verschärft."

Im Moment sind es noch die firmeneigenen Notebooks, die am meisten für das mobile Arbeiten stehen und daher auch in Sicherheitsfragen die meiste Aufmerksamkeit genießen sollten. Sie geben den Anwendern nicht nur Zugriff auf Firmendaten, sondern speichern in der Regel auch zahlreiche (vertrauliche) Dokumente. Sobald diese Geräte die Firmenmauern hinter sich gelassen haben, werden sie zum potenziellen Ziel für Datenklau oder -verlust.

Aber es ist nicht nur so, dass mobile Geräte größeren Gefahren ausgesetzt sind als die Computer im Büro. Auch die Mitarbeiter selber verhalten sich außerhalb der Büros so, dass sie verwundbarer sind. So verletzten mobile Mitarbeiter mit einer Wahrscheinlichkeit von 35 Prozent draußen die Firmenregeln für das Surfen im Internet.

Einer von drei außer Haus tätigen Kollegen wird also verbotenerweise bei der Arbeit zum Online-Shopping, zu Downloads, Streaming-Media und sozialen Netzwerken gehen, so die Studie. Das Risiko von Verstößen gegen interne Regeln ist insgesamt um den Faktor 5 höher, wenn die Mitarbeiter außerhalb des Büros sind, heißt es dort. Dabei geht es vorrangig nicht um den bloßen Regelverstoß. Aber in der Konsequenz steigen damit auch die Gefahren für Infektionen durch Malware.

Guidelines für mobiles Arbeiten sind unzureichend

Das Verhalten der Anwender außerhalb des Büros sei auch deshalb oft gefährlich, weil die meisten Unternehmen ihre Sicherheitsbestimmungen nicht an das mobile Arbeiten angepasst hätten, heißt es in dem Bericht. Für die Arbeit im Büro gebe es durchaus geeignete Handlungsanweisungen; mobile Mitarbeiter würden über richtige Verhaltensweisen aber oft genug im Unklaren gelassen und seien sich daher meist gar nicht dessen bewusst, dass sie mit ihrem Verhalten gegen Firmenregeln verstoßen.

Noch größere Probleme als durch Mitarbeiter, die gegen Policies verstoßen, gibt es durch das Nichtbeachten von Vorschriften, so die Studie. Mehr als die Hälfte der Befragten (55 Prozent) berichtet, ihr Unternehmen könne derzeit nicht sicherstellen, dass mobile Mitarbeiter sich gesetzeskonform verhalten.

Mangelnde Budgets und Ressourcen müssen oft als Grund dafür herhalten, dass Unternehmen bei der Compliance für mobile Arbeitskräfte schlampen. Dabei übersehen die Unternehmen, dass die Kosten für Verstöße gegen Vorschriften und Angriffe leicht ein Vielfaches der Investitionskosten betragen können. Das Ponemon-Institut setzt für jeden geklauten Datensatz Kosten in Höhe von 155 Euro an und beziffert den durchschnittlichen Schaden pro Einbruch mit rund 5,5 Millionen Euro.

Wer mobilen Mitarbeitern die Freiheit zum Arbeiten von überall her gibt, muss also gleichzeitig dafür sorgen, dass das Unternehmen die Kontrolle über das behält, was der Mitarbeiter draußen macht. IT-Manager benötigen dafür Lösungen, die überall und jederzeit den Schutz externer Geräte garantieren können. Die IT-Abteilungen müssen zudem dafür sorgen, dass Policies auf dem neusten Stand sind und eingehalten werden.

Sperrige Sicherheitslösungen funktionieren nicht

Aber obwohl der Schutz von Firmendaten aus rechtlichen und Wettbewerbsgründen ein Muss ist, darf er weder die neu gewonnene Produktivität der Mitarbeiter behindern, noch die IT-Abteilung zu sehr belasten. Sicherheitslösungen, die sperrig und schwer zu bedienen sind oder nur für Inhouse-Aufgaben taugen, eignen sich dafür nicht.

Die Studienautoren halten daher Cloud-basierte Dienste für bedenkenswerte Alternativen, weil sie prinzipiell in der Lage seien, die erhöhten Sicherheitsanforderungen zu erfüllen, ohne nach nennenswerten Investitionen zu verlangen. Mithin sorgten solche Angebote also für Datensicherheit bei mobilen Mitarbeitern in einer Weise, die knappe IT-Budgets und enge Firmennetze nicht weiter belasteten. Zudem ließen sie sich schnell implementieren und mit der wachsenden Zahl der mobilen Einsatzkräfte auch beliebig skalieren. Unterm Strich verbinden sich so gleich zwei Megatrends: der zu Mobilität mit dem zu mehr Cloud. Es scheint, dass es sich dabei um eine gute Verbindung handeln könnte.