"Man kann Software nicht mit Software schützen"

Sicherheitsdienstleister Websense lud gestern zum Speakup Schweiz ins Alpenrockhouse am Zürcher Flughafen. An der interaktiven Veranstaltung drehte sich alles um das Thema "Bring your own Device – Mobile Endgeräte sind auf dem Vormarsch!"

Warum eigentlich BYOD?

Durch den Abend leitete Peter Moebius, Vice President International Development bei Orange Communications. Michael Meli, Head of Security bei Swisscom IT Services, gab in einem Referat über Consumerisation und die Möglichkeiten von Mobile Device Management (MDM) Impulse für die spätere Podiumsdiskussion.

Doch zuerst führte er aus, warum Arbeitnehmer immer häufiger ihre eigenen Geräte auch am Arbeitsplatz verwenden oder verwenden wollen. So ermöglichen private Geräte unter anderem auf sozialen Netzwerken und anderen Kanälen zu kommunizieren, was mit den Firmengeräten vielleicht nicht möglich wäre. Auch die Individualität kann ein Grund sein, das Privatgerät zu benutzen. Ein weiterer Faktor sei, dass sich das Angebot der IT-Abteilung nicht mit den Erwartungen der Arbeitnehmer bezüglich der Geräte decke. Oftmals sei es aber auch einfach der Wunsch, nur ein Gerät mit sich herumtragen zu müssen.

Private Geräte sind Realität

Mit einigen Zahlen zeigte Meli auf, dass die Erwartungen der Arbeitnehmer an die Geräte im Wandel sind: 77 Prozent der Arbeitgeber bestimmen die zu benutzenden Smartphones, gegenüber 23 Prozent der Arbeitgeber, die ihren Mitarbeitern wählen lassen.

Wenn die Firma wählt, fällt die Wahl in 42 Prozent auf ein Blackberry-Gerät, in 22 Prozent auf Apple und in 26 Prozent auf ein Androidgerät. Wählen die Arbeitnehmer selber, wird es in 59 Prozent der Fälle ein Apple- oder Androidgerät. Nur noch 23 Prozent der Arbeitnehmer, die selber wählen können, beschaffen sich ein Blackberry-Smartphone.

Meli geht davon aus, dass private Geräte im Beruf längst Realität sind und man sich als Firma darauf einstellen müsse, dass Arbeitnehmer auch sehr kreativ darin seien, Hindernisse zu umgehen. So könne eine Mailanhang-Beschränkung beispielsweise mit dem Clouddienst Dropbox umgangen werden.

Rechte von Arbeitnehmern und Arbeitgebern

Das Problem von "Bring your own device" (BYOD) in der Schweiz sei zurzeit, dass keine Gesetzgebung explizit den Umgang mit privaten Geräten am Arbeitsplatz regle. Obwohl Unternehmensinformationen Eigentum des Unternehmens seien, habe ein Arbeitgeber kein Recht auf Kontrolle des privaten Geräts eines Arbeitnehmers. Es können zwar Vertraulichkeitsvereinbarungen geschlossen werden, technische Massnahmen zur Überwachungen seien dagegen nicht legal. Das heisst, der Arbeitgeber muss sich auf das Wohlwollen des Arbeitnehmers verlassen können. Ohne Zustimmung kein Zugriff, ohne Zugriff keine Kontrolle, was mit sensiblen Firmendaten auf privaten Geräten angestellt wird.

In einem weiteren Teil seines Referats ging Meli auf die Möglichkeiten des Mobile Device Management ein. Er zeigte auf, dass MDM zwar eine Lösung für alle möglichen Gefahren sein kann, die einem Mobilen Gerät drohen. Darunter fallen beispielsweise der Verlust oder der Diebstahl des Geräts, arglistiges Verhalten, Lauschangriffe über das Netzwerk, unbeabsichtigte Datenlecks oder Malware. MDM biete für fast alle diese Problem Lösungen, die sich allerdings mit der fortschreitenden Consumerisation nicht vertragen.

Grenzen von MDM

Gegen den Verlust oder den Diebstahl könne man mit MDM auf privaten Geräten noch beikommen. Einen PIN, die Verschlüsselung des Geräts oder die (selektive) Löschung aller Daten bei einem sicherheitsbedenklichen Fall könne man mit BYOD-Geräten noch vereinbaren. Mit anderen Massnahmen von MDM wie beispielsweise das Forcieren eines Virtual Private Networks (VPN) oder das Abschalten von automatischen Cloudsynchronisationen könnten sich aber die wenigsten Arbeitnehmer einverstanden erklären, wenn es um ihre eigenen Geräte gehe. Mobile Device Management stehe also im Konflikt mit der fortschreitenden Consumerisation.

Meli kam zum Schluss, dass man an Lösungen neben MDM arbeiten müsse, die sich mit der Consumerisation besser vertragen würden. Nur gäbe es diese optimalen Lösungen noch nicht. Dennoch könne man bereits einiges gegen mögliche Angriffe tun die BYOD-Geräten drohen. Wenn die Daten im Data Center belassen werden, gäbe es keine Unternehmensinformationen auf den Geräten. Im Falle eines Hacks oder eines Verlusts könne das Unternehmen so auch nicht kompromittiert werden. Eine Verschlüsselung der Daten sei mit Active Sync oder mit Information Rights Management (IRM) sei gerade in Windows-Umgebungen möglich. Zudem schlägt Meli eine starke Authentifizierung auf unabhängigen Kanälen vor. Zuletzt sei es natürlich auch wichtig, die Benutzer zu sensibilisieren, um den Gefahren zu begegnen, die BYOD mit sich bringen.

Interaktive Podiumsdiskussion

In der anschliessenden Diskussionrunde standen fünf Experten dem Publikum Rede und Antwort. Die Expertenrunde bestand neben Meli aus José Dani Romay, National Security Officer and Head of Forensic Technology bei KPMG Schweiz, Thomas Meier, CEO von Infoguard, Ivan Bütler, CEO von Compass Security und Michael Rudrich, Regional Director Central Europa von Websense.

Die Podiumsdiskussion wurde durch das Airvote-System interaktiv aufgelockert. Alle Teilnehmer konnten zu verschiedenen eingeblendeten Fragen per Knopfdruck ihre Antwort geben, was die Diskussion anregte. So antworteten beispielsweise 28 Prozent der Teilnehmer, es sei ihr Ziel mit mobilen Endgeräten, den Nutzern Zugang zu Emails, Dateidiensten und Apps zu gewähren. Nur fünf Prozent erklärten, sie hätten sich im Vorfeld der Veranstaltung keine weiteren Gedanken über ihre Ziele gemacht.

KPMG-Spezialist Romay erklärte zu Beginn der Diskussion, dass die Schwierigkeit bei BYOD bereits damit beginne, wie man "Device" überhaupt definiere. Die weiteste Definition behandle beispielsweise auch einen USB-Stick als eigenes Device, was oft vergessen gehe. Er habe festgestellt, dass die meisten Leute mit BYOD-Devices Smartphones und Tablet-PCs assoziieren.

Ivan Bütler stellte die provokante These auf, dass man als Arbeitgeber nicht jedem Trend folgen sollte. Ein Grundgesetz laute: "Man kann Software nicht mit Software schützen". Selbst die von einer Publikumsstimme vorgeschlagene Herangehensweise, eine Sandbox einzurichten, garantiere keine optimale Sicherheit. Die Sandbox mache es zwar schwieriger, auf sensible Daten zuzugreifen, aber letztlich sei es nicht unmöglich.

Legale Implikationen bei BYOD-Geräten

Die Diskussion brachte auch die rechtlichen Aspekte, die BYOD mit sich bringen, zur Sprache. So stellte ein Teilnehmer fest, dass es in anderen Ländern andere Gesetzgebungen gäbe, die man beachten müsse. So müssten beispielsweise Verschlüsselungen bei der Einreise nach Frankreich theoretisch preisgegeben werden. Falls die Verschlüsselungen aber auch private Daten auf dem Gerät des Arbeitnehmers betreffen, gibt man vielleicht private Daten frei. Dies wiederum werfe die Frage auf, ob das überhaupt zulässig sei. Zudem stellt BYOD die Frage, ob es überhaupt legal ist, Geschäftsdaten ins Ausland zu befördern. Oder ob es rechtlich in Ordnung sei, wenn bei einem Secure Wipe auch private Daten des Arbeitnehmers gelöscht werden.

Eine Stimme aus dem Publikum wies darauf hin, dass es die angesprochene Thematik auch bereits vor dem BYOD-Trend gegeben habe. Er stellte die Frage, wer seinen geschäftlichen Laptop noch nicht in die Ferien mitgenommen habe, und dort beispielsweise auf das WLAN eines Cafés zugegriffen habe? Neu an BYOD sei vor allem die Frage nach Eigentumsrecht und Privatsphäre, nicht so sehr die Geräte selber.

Auch arbeitsrechtliche Themen stiessen auf Interesse. Gerade die Probleme mit BYOD-Geräten bezüglich Support kamen zur Sprache. Ist es für IT-Abteilungen möglich, für eine Vielzahl von Systemen Support anzubieten? Welchen Arbeitgebern kann man den Support am ehesten selbst zuweisen, welchen eher nicht? Wer ist für die Reparatur verantwortlich und wer bezahlt sie? Was passiert, wenn ein Gerät kaputt geht, und der Arbeitnehmer so eine Zeit lang nicht am Gerät arbeiten kann. Zieht man die Zeit als Ferien von der Arbeitszeit ab?

Faktor Mensch

Ein abschliessendes Votum aus dem Publikum erinnerte daran, dass der wichtigste Faktor bei einer zu stark technisch geführten Diskussion verloren gehe: "Das Problem sind weniger die Geräte als viel mehr die Menschen", führte eine Consulting-Spezialistin aus. Sie schilderte, wie Kunden ständig sensible Daten an ihre Privatadresse senden würden, obwohl sie sie darauf hinweise, diese doch an andere Stellen zu schicken.

Fazit des Abends: Am Thema Awareness müsse noch viel stärker gearbeitet werden, als an BYOD.