Problem Privat-IT
iPhones in die Security-Strategie einbinden
Dr. Gerald Spiegel ist Leiter Information Security Solutions bei Sopra Steria Consulting und befasst sich im Schwerpunkt mit den Themen IT-Sicherheit, Cybercrime und Security Information and Event Management (SIEM).
Und nach den Smartphones, die immer mehr können, treten als nächstes die Tablet Computer ihren Weg in die Geschäftswelt an. In den meisten IT-Abteilungen gibt es aktuell kein genaues Bild darüber, welche Geräte im Unternehmen existieren, wie die Smartphones und Pocketcomputer konfiguriert sind, welche Sicherheitslücken die einzelnen Geräte aufweisen sowie welche Schutzmaßnahmen auf den Geräten installiert sind und gepflegt werden.
Diffuse Sicherheitslage wegen privater Smartphones kaum zu ändern
Diese diffuse Sicherheitslage lässt sich schwer ändern: Denn die geschäftliche und private Nutzung der mobilen IT verschwimmt. Anders als bei der Ausstattung mit Büro-PCs kauft sich der Mitarbeiter das Gerät oft selbst und nutzt es sowohl privat und geschäftlich. Das ist von vielen Unternehmen auch so akzeptiert. Fast jeder zweite Smartphone-Besitzer nutzt das eigene Gerät nicht nur privat, sondern auch für geschäftliche Zwecke. 2015 werden acht von zehn Geräten, die geschäftlich genutzt werden, privat angeschafft und nicht vom Arbeitgeber zur Verfügung gestellt, prognostiziert der Marktforscher Gartner. Und die Kaufentscheidung ist vielfach von der Marke des Herstellers und weniger von der Funktionalität und der möglichen Anfälligkeit für Cyberattacken geprägt.
Das erschwert das IT-Sicherheitsmanagement erheblich. Denn die IT-Sicherheitskräfte haben es mit einem ganzen Sammelsurium an Endgeräten und Betriebssystemen zu tun. Alle haben ihre ganz individuellen Sicherheitslücken, gegen die sich die Unternehmen schützen müssen. Gleichzeitig behindert die Mischung aus geschäftlicher und privater Nutzung das Durchführen von Sicherheitsmaßnahmen. Wenn Mitarbeiter beispielsweise private Applikationen auf ihr Geschäftshandy herunterladen oder auf Geschäftsreisen mit dem Handy privat fotografieren, wird es für die IT-Sicherheit zum Problem.
Im Falle einer Virenattacke können sie nicht einfach eine Standardkonfiguration wiederherstellen, um so das Gerät von Schadsoftware zu säubern. Denn dadurch werden gleichzeitig private Anwendungen und Daten unter Umständen gelöscht. Konflikte mit den Mitarbeitern sind programmiert, was zu Lasten der Akzeptanz von IT-Sicherheitsmaßnahmen geht.
Erhöhte Wachsamkeit und schnelle Prozesse sind gefragt
Die reduzierte Einflussnahme der Unternehmen auf die Auswahl der mobilen Endgeräte ihres Personals sowie die technische Dynamik zwingen die Unternehmen damit zu verstärkter Wachsamkeit und schnellem Reagieren. Die zuständigen IT-Mitarbeiter müssen sich rasch auf neueste Entwicklungen einstellen. Denn mobile Technik entwickelt sich in viel engeren Zeitfenstern weiter als stationäre IT.