Mobile Device ManagementWildwuchs von Apps vermeiden
Viele Unternehmen wissen nicht, welche Apps sich auf den mobilen Geräten befinden, die ihre Mitarbeiter an den Arbeitsplatz mitbringen. Sie können daher auch den Risiken, die von solchen unkontrollierten Apps ausgehen, nicht wirksam begegnen. „Bring Your Own Device“ (BYOD) gehört zu den wichtigen IT-Trends der letzten Zeit, denn Mitarbeiter bringen immer öfter ihre eigenen Smartphones und Tablets mit an den Arbeitsplatz und verwenden sie dort für berufliche Aufgaben. So kommt etwa eine repräsentative Umfrage unter Arbeitnehmern im Auftrag des Hightech-Verbands BITKOM zum Ergebnis, dass 40 Prozent der Arbeitnehmer ihr eigenes Gerät zumindest gelegentlich für ihre Arbeit einsetzen.
App
Als App (deutsche Kurzform für Applikation) bezeichnet man eine Anwendungssoftware für Geräte wie Smartphones, Tablet- oder auch Desktop-PCs. Apps sollen eine intensivere Kundenbindung ermöglichen.
Je nach Betriebssystem können Apps in so genannten App-Shops wie etwa „Google Play“ (für Android-Geräte), „App Store“ (für Apple-Geräte), „Windows Phone Store“ (für Windows-Geräte) oder „BlackBerry App World“ (für BlackBerry-Geräte) kostenlos oder kostenpflichtig heruntergeladen werden. Ein App-Shop ist ein zentraler Marktplatz für Anwendungen von Drittanbietern, die sich so leicht finden, (relativ) sicher installieren und bezahlen lassen.
War es vor wenigen Jahren noch üblich, dass Unternehmen ihren Mitarbeitern Firmen-Handys und -Notebooks zur Verfügung stellten und diese so Einzug ins private Umfeld der Anwender hielten, ist es heute genau umgekehrt: Mitarbeiter bringen ihre privaten Tablets oder Smartphones mit ins Büro – und damit auch ihre eigenen Applikationen, die sie häufig für geschäftliche Zwecke nutzen.
Apps sollen die Produktivität der Mitarbeiter erhöhen
Unternehmen ist die Nutzung mobiler Applikatonen gar nicht so unrecht, wie die vom IT-Sicherheitsunternehmen Symantec in Auftrag gegebene Studie „State of Mobility 2012“ zeigt. Danach denken fast zwei Drittel der befragten IT-Verantwortlichen darüber nach, ihren Mitarbeitern maßgeschneiderte mobile Applikationen bereitzustellen. Von dieser Strategie versprechen sich die Unternehmen eine Reduzierung der Komplexität und Kosten sowie eine zusätzliche Produktivität ihrer Mitarbeiter. Immerhin: Für 41 Prozent der Befragten stellen mobile Lösungen nicht nur ein großes Produktivitätspotenzial dar, sondern zählen auch zu den drei größten Sicherheitsrisiken.
Denn: Viele Anwendungen können sich schnell als Compliance-Killer erweisen, wenn sie die Sicherheit und Integrität der Unternehmensdaten gefährden. Das gilt schon für vermeintlich simple Apps. Nicht nur das auf jedem Smartphone oder Tablet vorhandene Kontaktverzeichnis, sondern auch ein Terminkalender oder ein Routen-Tracker erlauben das Auslesen der Daten durch Unbefugte. Die können dann Rückschlüsse auf Kundenkontakte oder Vertriebsaktivitäten ziehen.
Beispiele für Sicherheitslücken mobiler Applikationen
Viele Nutzer verwenden beispielsweise anstelle von SMS den Nachrichtendienst WhatsApp. Schon Ende 2012 gab es hier eine Sicherheitslücke, durch die Unbefugte Nutzer-Accounts übernehmen konnten. Damit nicht genug: Der Instant-Messenger fiel in der Folgezeit durch weitere gravierende Sicherheitslücken auf. So konnten beispielsweise auch PayPal- und Google-Konten ausspioniert werden, und Chat-Verläufe von Nutzern des mobilen Apple-Betriebssystems iOS wurden unverschlüsselt in Apples iCloud gespeichert.
Ein weiteres Beispiel: Smartphones von BlackBerry. Anfang 2014 versagte hier eine Sicherheits-Policy, die geschäftliche Kontakte vor Zugriffen durch persönliche Apps schützen soll. Durch die Schwachstelle wurden den persönlichen Apps des Betriebssystems Android Namen und Telefonnummern zugänglich gemacht, was BlackBerry eigentlich verhindern wollte.
Konsistentes Device Management ist unverzichtbar
Unternehmen kommen deshalb nicht umhin, ein umfassendes Management aller mobilen Geräte (Mobile Device Management) einzuführen, um einen Wildwuchs mobiler Applikationen zu verhindern. Denn: Die traditionelle Verwaltung von Endgeräten funktioniert nicht mehr, wenn Mitarbeiter immer häufiger eigene Hardware ins Firmennetz einbringen. Das Management mobiler Geräte wie Smartphones oder Tablets umfasst folgende Maßnahmen:
- Erfassen aller Geräte
- Gewährleistung der Aktualität von Software und Daten auf den Geräten
- Schutz der Unternehmensdaten auf den Geräten
Potenzielle Risiken, die von Apps ausgehen, können also erst dann beurteilt werden, wenn Unternehmen die beruflich genutzen Apps ihrer Mitarbeiter kennen. Voraussetzung ist deshalb ein umfassendes Assessment von Geräten und Apps. Nur so lässt sich ein konsistentes Mobile Device Management durchführen und entscheiden, welche Apps harmlos, welche riskant und welche gefährlich sind. Die Realität sieht in vielen Unternehmen jedoch anders aus, wie eine Studie von Absolute Software, einem Anbieter von Lösungen zur Verwaltung und zum Schutz von Computern und mobilen Geräten unter 300 CIOs, IT-Direktoren und IT-Managern ergeben hat. Danach wissen die meisten Unternehmen nicht, welche Apps überhaupt in Gebrauch sind.
Mobile Device Management
Mobile Device Management (MDM) oder auch Mobilgeräteverwaltung bedeutet die zentrale Verwaltung von Mobilgeräten wie Smartphones, Sub-Notebooks, PDAs oder Tablet-Computern. Die Verwaltung erfolgt durch eine Software, die folgende Aufgaben erledigt:
- Inventarisierung der Hardware
- Software- und Datenverteilung
- Schutz der Daten
Qualitätssiegel sollen Abhilfe schaffen
Erst wenn bekannt ist, welche Apps überhaupt für Unternehmenszwecke eingesetzt werden, lässt sich eine Beurteilung der Sicherheitsrisiken vornehmen. Doch wie können Unternehmen wissen, welche Apps unbedenklich genutzt werden können und welche nicht? Eine Möglichkeit sind Prüfsiegel. Diese Zertifikate werden mittlerweile von der Stiftung Wartentest, mehrerer TüV-Gesellschaften oder dem Unternehmen Media Test Digital vergeben. Letzteres vergibt das Prüfsiegel „Trusted App“. Um diese Zertifikate ausstellen zu können, werden die Apps umfangreichen Sicherheitstests unterzogen. Diese können folgende Bereiche abdecken:
- Selbstauskunft des Herstellers
- Übereinstimmung der Datenverarbeitung mit den Normen des Bundesdatenschutzgesetzes (BDSG)
- Funktionalität und Benutzerfreundlichkeit
- Verschlüsselung sensibler Daten
- Unnötig erhöhter Umfang der zu versendenden Informationen
Nach Angaben von Media Test Digital verschärft sich die Zahl der Sicherheitsprobleme in Apps für Smartphones und Tablets deutlich. Bei gut der Hälfte aller getesteten Apps – unabhängig vom Betriebssystem – seien Sicherheitsrisiken aufgedeckt worden. „Insgesamt verzeichnen wir momentan einen deutlichen Anstieg problematischer und schadhafter Apps über alle mobilen Betriebssysteme hinweg“, erläutert Wulf Bolte, technischer Leiter von Media Test Digital, in einer Presseinformation.
Risiken durch ein Management von Apps vorbeugen
Trotz der Bemühungen vereinzelter App-Entwickler zu mehr Datenschutz und Datensicherheit fehlt Apps häufig die Transparenz, was den Umgang mit personenbezogenen Daten und erhobenem Nutzungsverhalten angeht. Zudem wird Datensammlern die Arbeit durch ein fehlendes Bewusstsein der Smartphone-Nutzer zum Wert und der Sensibilität ihrer Daten erleichtert. Werden Apps nicht zentral überwacht, führt das Herunterladen aus den entsprechenden Stores unweigerlich zu potenziellen Angriffen auf sensible Unternehmensdaten. Eine Überwachung beziehungsweise ein App-Management sollte aus folgenden Komponenten bestehen:
- Prüfung der Applikationen auf schädliche Codes
- Begrenzung der Rechteeinräumung durch die Nutzer
- Regelung der Zertifizierungs- und Authentifizierungsprozesse im mobilen Systemumfeld
- Löschungsmöglichkeit der Daten, auf die ein Endgerät zugreift
Moderne Managementsysteme gewährleisten zum Beispiel die administrative Trennung geschäftlicher und privater E-Mail-Konten. Scheidet ein Mitarbeiter aus dem Unternehmen aus, wird der geschäftliche Account gelöscht, während die privaten Accounts unberührt bleiben.
Fazit
Ein zentrales Management aller mobilen Geräte im Unternehmen ist unabdingbar, um Sicherheitsrisiken wie etwa „Jailbreaking“ – das nicht-autorisierte Entfernen von Nutzungsbeschränkungen – bei iOS-Geräten oder „Geräte-Rooting“ bei Android-Systemen zu vermeiden. Doch die Verwaltung der mobilen Geräte muss die Nutzerfreundlichkeit im Blick haben. Das heißt: Strenge administrative Maßnahmen dürfen die Nutzung von Smartphone und Tablet nicht derart einschränken, dass am Ende frustrierte Mitarbeiter übrig bleiben, die in der Nutzung der mobilen Geräte keinen Sinn mehr sehen.
Interview
Wie mit Apps in Unternehmen umgehen?
Im Interview: Margreet Fortuné, Regional Manager Benelux, DACH & Eastern Europe der Absolute Software Corporation
Frau Fortuné, worauf kommt es Ihrer Ansicht nach bei einer zentralen Verwaltung mobiler Geräte an?
Um eine zentrale Mobile-Device-Management-Strategie (MDM-Strategie) umsetzen zu können, muss die Sicht der mobilen Mitarbeiter im Vordergrund stehen. Sie müssen die Sicherheitsregeln für mobile Endgeräte befolgen und profitieren dann davon, dass ihre Geräte zentral verwaltet werden.
Mittlerweile gibt es Unternehmen, die Sicherheitstests an Apps durchführen und Prüfsiegel vergeben. Sind solche Sicherheitsprüfungen für die Zukunft unabdingbar und wenn ja, warum?
Das ist meiner Meinung nach abhängig von der Art und Herkunft der Apps. Apple beispielsweise kontrolliert lückenlos, welche Apps im App Store aufgenommen werden. Wenn man sie nicht für sicher hält oder sie den hohen Anforderungen nicht genügen, werden sie nicht aufgenommen. In anderen App Stores gelten weniger strenge Regeln. Letztlich ist das eine individuelle Entscheidung.
Prüfsiegel sind nur dann eine gute Sache, wenn sie von einer unabhängigen Organisation und vollständig transparent für den App-Entwickler vergeben werden. Darüber hinaus empfehle ich auch intensive Sicherheitstests von Apps für den internen Gebrauch. Solche Apps mussten sich keinem App-Store-Test unterziehen und wurden oft von externen Entwicklern erstellt.
Lassen sich Apps überhaupt schützen, so dass sie für die Nutzer und das Unternehmen keine Gefahr darstellen?
In Anbetracht der auf dem Markt verfügbaren Menge von Apps gibt es keinen hundertprozentigen Schutz. Es ist aber auch nicht sinnvoll alles reglementieren zu wollen, denn dann akzeptieren die Mitarbeiter die MDM-Policy einfach nicht. Eine proaktive Mobile-App-Management-Strategie kann hier sehr viel bewirken. Die IT kann Mitarbeitern bedarfsabhängig freigegebene Apps bereitstellen, beispielsweise File Sharing, Messaging, Note Taking, Task Manager, Office Apps oder Spiele.
Unternehmen sollten jedoch genau hinsehen, welche Apps heruntergeladen werden. Kostenlose Apps oder Spiele etwa können Benutzerdaten aufzeichnen, auf Kontaktdaten, Kalender und Geolokationsdaten zugreifen. Auch Apps, die eine Anmeldung mit Social-Media- oder cloudbasierte Mail-Accounts ermöglichen, sollten genau beobachtet werden. Die vollständige Bestandsaufnahme mobiler Apps bietet einen Überblick, welche Apps die Mitarbeiter nutzen. Zudem ermöglicht sie eine Risikoeinschätzung. Benötigt werden daher leicht anpassungsfähige Sicherheitsrichtlinien, die den von Mitarbeitern installierten riskanten Apps den Zugang zu Unternehmensressourcen verwehren.
Heute gibt es zahlreiche App Audit Services oder Apps, mit denen sich der Zugriff anderer Apps auf die Kontakt-, Geolokations- oder Identitätsdaten beziehungsweise die Aktivitäten von Malware auf Smart Devices analysieren lässt.
Strenge Regeln für die Nutzung mobiler Geräte bergen die Gefahr der Nutzerunfreundlichkeit. Vom erwarteten Produktivitätsgewinn bleibt dann nicht mehr viel übrig. Wie kann das verhindert werden?
Da gebe ich Ihnen vollkommen Recht. Einer der Gründe, warum Mitarbeiter lieber ihre privaten Geräte am Arbeitsplatz verwenden, ist: Die Geräte sind viel benutzerfreundlicher und sie sind damit produktiver. Wenn die Reaktion der IT-Abteilung dann darin besteht, den Zugang zu den unternehmenseigenen Applikationen zu verhindern oder einzuschränken, können Unternehmen nicht von einer BYOD- oder MDM-Strategie profitieren.
Daher ist es wichtig, sich auf die Benutzer und ihre Anforderungen zu konzentrieren. Bevor Unternehmen eine MDM-Strategie implementieren, müssen sie ihre Ziele festlegen: Geht es um Kostenreduktion, eine höhere Produktivität der Mitarbeiter oder soll das Unternehmen einfach cool und innovativ werden? Dann geht es um die Frage, warum Mitarbeiter mobile Endgeräte nutzen: Wegen des Internetzugangs und der E-Mails, oder ist das mobile Endgerät ein Produktivitäts-Tool, mit dem sie ihren Job mit mehr Freude, schneller und effizienter ausüben? Unternehmen sollten herausfinden, welcher Bedarf besteht: Benötigen Mitarbeiter File-Sharing-Funktionen, während der Einsatz von Consumer-Tools zu riskant ist? Dann müssen sie sich nach Alternativen umsehen, die den Sicherheits- und Datenschutzstandards genügen.
Wie beurteilen Sie die komplette Trennung von geschäftlichen und privaten Mobil-Geräten?
Die Grenzen zwischen Arbeit und Privatleben verschwimmen zunehmend. Immer mehr Mitarbeiter wollen flexibel entscheiden, wann und wo sie welches Gerät nutzen, das am besten für eine bestimmte Aufgabe zu einem konkreten Zeitpunkt geeignet ist. Ich zum Beispiel möchte nicht länger ein Smartphone für die Arbeit und ein anderes für den Privatgebrauch oder gar zwei Tablets mit mir herumtragen. Da bin ich keine Ausnahme. Mitarbeiter erwarten, dass sie sich ihr Arbeitsgerät sowie die Apps aussuchen können.
Bleibt die Frage, wem das Gerät gehört: „Bring Your Own Device“ oder „Corporate Owned Personally Enabled“ (COPE)? In vielen Unternehmen sehen wir einen Mix an Eigentumsmodellen, abhängig vom Benutzerprofil oder der Plattform. Der Benutzer bleibt immer das schwächste Glied. Zu den Grundvoraussetzungen für ein erfolgreiches MDM zählen eine effiziente, benutzerzentrierte MDM-Strategie sowie IT-Servicedesk-Workflows einschließlich Self-Service-Funktionen, die eine wachsende Zahl mobiler Endgeräte umfassen. Dazu kommt eine permanente Sensibilisierung der Anwender.
Noch ein weiterer Aspekt ist wichtig: Was sind eigentlich mobile Endgeräte? Nur Smartphones und Tablets oder auch Ultrabooks? Erst wenige Unternehmen haben begonnen, das Mobile Device Management und die Sicherheitsanforderungen mit dem Client-Management und der IT-Sicherheitsstrategie zu verbinden.
Frau Fortuné, wir danken Ihnen für das Gespräch.
Mit Margreet Fortuné sprach business-wissen.de-Redakteur David Wolf.