Mein Gerät, dein Gerät
„Bring Your Own Device“ ohne Reue
Als die Anwender mit dem zufrieden sein mussten, was die IT-Abteilung ihnen gab, war die Welt noch einfach. Als aber die privat gekauften iPads plötzlich auch SAP-Zugriff bekommen sollten, wurde es komplex. Und die Sicherheit blieb oft auf der Strecke.
Auf die Frage, was private Smartphones oder Tablets im Firmeneinsatz heikel macht, gibt es eine ganze Reihe von Antworten auf unterschiedlichen Ebenen.
Da wäre zum einen die technische. Ein System wie der BlackBerry mit der Kommunikation über die Server von Research in Motion ist von Haus aus auf Sicherheit angelegt. Um den Preis der Geschlossenheit. Doch schon das iPhone zeigte sich wesentlich offener, und erst nach drei Jahren kam die Apple Data Protection zum Schutz vertraulicher Daten auf dem Gerät. Vorausgesetzt, man hat iOS 4 oder höher und ein iPhone-Modell mit AES-Chip.
Endgültig in der Welt der „offenen Systeme“ angekommen ist man mit einem Android-Handy. Eine in Hardware gegossene Geräteverschlüsselung fehlt allein schon deswegen, weil es nicht „das“ Android-Gerät gibt – an der Vielfalt der Hardware verzweifeln gelegentlich nicht nur Programmierer, sondern auch Sicherheitsexperten. Immerhin haben Hersteller wie Samsung das Problem erkannt, die Koreaner haben auf dem Mobile World Congress in Barcelona angekündigt, ihre Android-Smartphones und -Tablets mit einer Hardware-Verschlüsselung auszustatten.
Immer wieder der Faktor Mensch
Zwei weitere Probleme von Android: Die im Market angebotenen Apps werden von Google nicht geprüft, und die bei der Installation von neuen Anwendungen abgefragten Privilegien verführen dazu, ohne weiteres Nachdenken der neuen App viel zu viele Rechte einzuräumen.
Womit eine weitere Ebene angesprochen wäre: Der Faktor Mensch. Wegen der fehlenden Hardwareverschlüsselung kann ein im Zug vergessenes Handy den Daten-GAU auslösen. Oder das leichtfertig vergebene Recht zur Anwahl beliebiger Telefonnummern zur Kostenexplosion führen.
Fragen Sie den Anwalt
Was über die Frage, wer das dann bezahlen soll und wer für den Verlust wichtiger Daten haftet, zur dritten Ebene der schönen neuen BYOD-Welt führt. Zur juristischen nämlich, deren Dimension hier nur angerissen werden kann.
Zu klären wäre etwa, wie man private und geschäftliche Daten sauber voneinander trennt. Erstere unterliegen dem Fernmeldegeheimnis, der Arbeitgeber darf also keinen Zugriff darauf bekommen, geschweige denn sie löschen. Firmendaten unterliegen wiederum der Verschwiegenheitspflicht der Arbeitnehmer. Sollte es um Kundendaten gehen, die via Privathandy in die falschen Hände gelangen, greift das Bundesdatenschutzgesetz. Mit Bußgeldern in fünf- bis sechsstelliger Höhe und Informationspflichten gegenüber den Geschädigten, also den betroffenen Kunden.
Zudem mutiert durch die explizite Erlaubnis der Nutzung privater Smartphones der Arbeitgeber schnell zum Diensteanbieter nach Telekommunikations- und Telemediengesetz. Und so fort.
Wer sich dennoch nicht von BYOD abbringen lassen will, sollte auf jeden Fall auf klare, vertragliche Vereinbarungen mit den betroffenen Mitarbeitern setzen. Zudem ist eine nachvollziehbare, systematische Administration und Wartung der Geräte nötig, egal, ob sie sich im Besitz der Firma oder der einzelnen Angestellten befinden.
Management muss sein
Womit wieder der Bogen zur technischen Ebene geschlagen wäre. Mobile Device Management (MDM) ist das Stichwort, ein System also, das sich von der automatisierten Erst-Konfiguration über das Einspielen aktueller Patches und Anwendungen bis zur Überwachung der aufgespielten Daten nebst „Remote Wiping“ beim unautorisierten Besitzerwechsel um alle Phasen des Smartphone-Lebens fürsorglich kümmert.
Für Windows Mobile, um auch die Redmonder nicht unerwähnt zu lassen, erledigte das einmal recht weitgehend Microsoft Exchange. Mit Windows Phone 7 hat Microsoft aber viele der zur Fernadministration nötigen Schnittstellen aufgegeben. Für Apples iOS gibt es zum Einstieg eine hauseigene Software, die sogar unter Windows läuft.
Wer mehr will, sollte die CeBIT nutzen, sich mit dem Thema Mobile Device Management zu befassen. Viele Anbieter sind direkt oder durch Partner vertreten (siehe Linkliste). Zudem haben sich natürlich die bekannten Firmen der Anti-Viren- und sonstigen Sicherheitsszene des Themas angenommen – ein Rundgang durch Halle 12 dürfte sich lohnen.
(js)
