Wer blickt denn da noch durch?
Die jüngste Abkürzung in der an Akronymen nicht gerade armen IT-Welt lautet: „BYOD“. Sie steht für „Bring Your Own Device” und beschreibt den aktuellen Trend zur Verwendung privat erworbener Mobilgeräte in der Firma. Nicht, dass BYOD wirklich neu wäre: Die Mitarbeiter haben schon immer ihre Handys zur Arbeit mitgebracht und oft auch für den Zugriff auf sensible geschäftliche Informationen und Anwendungen verwendet, teils mit der ausdrücklichen (oder zumindest stillschweigenden) Duldung der IT-Abteilung. Doch mit dem Siegeszug der iPhones, iPads, Tablets und all der anderen mobilen Endgeräte beginnen sich ITler richtig Sorgen zu machen, nach dem Motto: Die Geister die ich rief, ich wird sie nicht mehr los!
Natürlich verwenden viele Mitarbeiterschon seit Jahren beruflich ihre privaten Endgeräte, und zwar spätestens seitdem Laptops als vollwertigen Ersatz für stationäre Desktop-Computer gelten. Und genauso lange beschweren sich IT-Abteilungen darüber, dass sie in Gefahr sind, die Kontrolle zu verlieren. In Wirklichkeit haben sie sich als durchaus geschickt darin erwiesen, ihre IT-Umgebungen im Griff zu halten, trotz der vermeintlichen Anarchie der Endgeräte. Die Reaktionen reichen von einer Blockadehaltung, die jeden Zugriff mit privaten Geräten zu unterbinden sucht, bis hin zur zur einfachsten Lösung von allen: ignorieren…
Das beginnt sich aber nun zu ändern. „Laptops sind die neuen Desktops, und Smartphones und Tablets sind die neuen Laptops“, sagte mir kürzlich ein Sicherheitsexperte, der auf die neue Situation hinwies: Weder hat IT in der Regel die Verwendung der neuen Geräte legitimiert, noch weiß sie oft überhaupt, welche Geräte aktuell verwendet werden. Und sie werden verwendet, und zwar für alles von Geschäfts-Mails bis zum Zugang von unterwegs auf Kern-Geschäftssysteme und kritische Unternehmensinformationen. Die IT ist aber allenfalls auf wenige Geräte wie Desktop-Computer und Notebooks unter Windows-Betriebssystemen und vielleicht noch den Blackberry vorbereitet – wenn überhaupt.
Dieser Trend ist nicht zu stoppen, und das wissen auch viele Unternehmen, die mehr oder weniger zähneknirschend sich in ihr Schicksal fügen und den Mitarbeitern die Verwendung privat erworbener Endgeräte für Firmenzwecke gestatten. Und wie so oft geht auch diese Entwicklung von Amerika aus, wo inzwischen auch die Steuergesetze den Einsatz privater Smartphones und Tablet-PCs begünstigen. Unternehmen bieten ihren Mitarbeitern deshalb immer häufiger Zuschüsse an, wenn sie sich ein entsprechendes Gerät zulegen.
Nicht, dass es diese Entwicklung nicht auch in Europa geben würde. IT-Verantwortliche diesseits des Atlantiks fragen sich deshalb immer häufiger, was sie tun können, um nicht die Kontrolle über ihre IT-Systeme zu verlieren. Leider gibt es auf diese Frage keine wirklich überzeugenden Antworten.
Das Überwachen und der Support einer Vielzahl verschiedener Endgeräte ist aus technischer Sicht keine triviale Aufgabe, ob sie nun von zu Hause mitgebracht oder von der Firma zur Verfügung gestellt worden sind. Allerdings sorgen privat erworbene Geräte für die größten Kopfschmerzen, da den Unternehmen nur sehr begrenzte Eingriffs- und Kontrollmöglichkeiten zur Verfügung stehen.
Es gibt aber auch gute Nachrichten. Voraussetzung dafür ist allerdings, dass die IT-Abteilung anfängt, die richtigen Fragen zu stellen und sich darauf besinnt, dass es in der IT eigentlich immer zu allererst um’s „I“ und weniger um das „T“ geht – also um Information und nicht um Technik.
Die IT sollte sich deshalb darauf konzentrieren, wichtige Informationen im Unternehmen wirkungsvoll zu schützen und sicherzustellen, dass sie nicht abfließen können. Die Werkzeuge, die sie dafür benötigt, heißen: Authentifizierung, Verschlüsselung und Virtualisierung.
ITler müssen der Tatsache ins Auge blicken, dass sie keine echte Kontrolle mehr über die mobilen Geräte der Mitarbeiter haben oder diese, wenn sie sie noch haben, demnächst endgültig verlieren werden. Was sie tun können, und was sie in der Regel auch gut können, ist zu kontrollieren, wer und unter welchen Umständen auf Informationen in ihren Systemen zugreifen darf, und welche Art von Endgerät sie dazu benützen dürfen.
Kontext ist heute der Schlüssel zur Informationssicherheit, und zum Glück gibt es immer mehr und bessere Werkzeuge, um diesen Kontext während der Anmeldung und dem Zugriff auf Firmendaten zu überwachen und zu kontrollieren.
Dagegen gibt es kaum noch Hoffnung für die IT, die Kontrolle über die Endgeräte selber zu behalten, und noch weniger Hoffnung, den BYOD-Trend aufhalten zu können. Der Grund ist einfach: Der Chef möchte so ein schniekes Teil wie ein iPhone oder iPad haben, und wehe dem armen IT-Admin der versucht, ihm sein schönes Spielzeug wieder wegzunehmen. Hinzu kommt die hohe Innovationsgeschwindigkeit und Vielfalt in diesem Markt: Wer weiß schon, welches Gerät mit welchem Betriebssystem nächstes Jahr der Hype ist?
Das bedeutet aber auch, dass jeder Versuch, die Endgeräte der Mitarbeiter sicher zu machen, reine Geldverschwendung ist. Stattdessen sollten sich Investitionen darauf konzentrieren, die Informationen selbst zu schützen. Strategisch gesehen bringt das eine ganze Reihe von Vorteilen, zum Beispiel das Ende der Notwendigkeit, Geld für Punktlösungen auszugeben, was sowieso meistens in die Sackgasse führt. Informationssicherheit, egal auf welchem Weg und mit welchem Gerät die Mitarbeiter darauf zugreifen wollen, ist die wahre Antwort auf das BYOD-Dilemma.
Mein Kollege Martin Kuppinger und ich haben dazu übrigens ein Advisory Note geschrieben, in dem ausführlich mögliche Strategien und Maßnahmen disktuiert werden, um der sich die abzeichnende Plage von Smartphones & Co. eventuell doch in den Griff bekommen lässt. Besuchen Sie einfach die Homepage von KuppingerCole.