Flexibilität, aber sicher

Für Unternehmen heißt das, sie müssen auf folgende Frage eine Antwort finden: Wie gelingt es, einerseits das Unternehmensnetz und geschäftskritische Informationen zu schützen und andererseits gleichzeitig die Nutzung von mobilen privaten Geräten nicht unnötig einzuschränken? Dazu gibt es fünf Leitlinien, die BYOD im Unternehmen erleichtern, ohne die Sicherheit zu gefährden.

Im ersten Schritt müssen Unternehmen konsistente Policies für alle Geräte durchsetzen, die Zugriff auf Unternehmensressourcen haben – und das unabhängig davon, ob die Geräte dem Unternehmen oder dem Mitarbeiter gehören. Wichtig ist, dass die Policies sowohl Browser-Zugriffe für Desktop-PCs oder Laptops als auch von Apps von mobilen Endgeräten aus berücksichtigen. Denn eine Policy, die Facebook-Uploads vom PC aus blockiert, zielt ins Leere, wenn der Nutzer die Facebook-App auf seinem privaten Smartphone oder Tablet verwendet und so die Policy umgehen kann.

Alle Geräte, mit denen Mitarbeiter auf Unternehmensinformationen zugreifen, müssen jederzeit vor Malware geschützt sein. Das ergab auch die aktuelle Global-Mobility-Studie von IDG: Hier stimmten 50 Prozent der befragten Angestellten und IT-Verantwortlichen überein, dass Unternehmen in der Lage sein müssen, auch die Geräte von Mitarbeitern vor Malware zu schützen.

Es gibt nichts, für das es keine App gibt, angefangen bei sozialen Netzwerken über zahlreiche Medien bis hin zu unzähligen Spieleanbietern. Die große Verbreitung der Apps sorgt dafür, dass diese als potenzielle Angriffspunkte bei einem Sicherheitskonzept berücksichtigt werden müssen. Denn eventuell ist nicht jede von ihnen auf Herz und Nieren geprüft. Einige Sicherheitslösungen erlauben es der IT-Abteilung, die Nutzung bestimmter Apps komplett einzuschränken oder freizugeben, ermöglichen aber keine Kontrolle über die Zugriffe der Apps. Gelingt es dem Unternehmen, diese Lücke zu schließen, etwa mit kontextbezogenen Richtlinien, ist ein großer Schritt auf dem Weg zur sicheren und erfolgreichen Integration von BYOD geschafft.

Die Anforderungen und Erwartungen von Nutzern und IT-Abteilung unterscheiden sich stark voneinander. Deshalb ist eine Policy, die alle Eventualitäten von BYOD berücksichtigt, schlicht und ergreifend nicht realisierbar. Generell akzeptieren Mitarbeiter zwar, dass die IT-Abteilung die Regeln für das Unternehmensnetz festlegt. Die Bereitschaft, diese Regeln auch für ihre eigenen Geräte zu befolgen, ist allerdings sehr viel geringer. Gefragt sind deshalb intelligente Richtlinien, die situationsabhängig – also je nach Nutzer, Aufenthaltsort des Nutzers, verwendetem Gerät und nach genutztem Internet-Zugriffspunkt – greifen.

Um effektiv für Sicherheit zu sorgen und die Einhaltung der Policies zu kontrollieren, muss die IT-Abteilung die Richtlinien regelmäßig auf Basis gesammelter Echtzeit-Daten aller Nutzer und aller Geräte überprüfen. Ein Reporting-Tool ist dabei in mehrfacher Hinsicht nützlich: Erstens hilft es den IT-Verantwortlichen zu verstehen, wie Policies die Nutzung und das Netzwerk beeinflussen. Zweitens können bei Bedarf infizierte Geräte schnell identifiziert und Sicherheitslücken geschlossen werden.

Unternehmen sollten den Sicherheitsaspekt gleich bei der Implementierung einer BYOD-Strategie mitbedenken. Wichtig dabei ist die Balance zwischen nötiger Kontrolle und Verantwortung auf Unternehmensseite sowie notwendigen Zugangsrechten für die Mitarbeiter. Das Motto muss nicht „ganz oder gar nicht“ lauten, im Gegenteil: Es ist sinnvoll, schrittweise vorzugehen, um den Ansprüchen beider Seiten gerecht zu werden.