Seit ein paar Monaten macht ein neuer Zauberbegriff die Runde: „bring you own device“ (BYOD), manchen auch als „bring your own PC“ oder „user owned device“ bekannt. Es erzeugt keinen Hype oder Wirbel in der Größenordnung, wie es Cloud Computing oder Software as a Service tun, es wird aber, und davon bin ich überzeugt, den Umgang mit IT und insbesondere Equipment in den nächsten Jahren mehr verändern als alles andere zuvor.
Dabei steht eine simple betriebswirtschaftliche Idee dahinter: Geräte, die dem Mitarbeiter gehören, für Unternehmenszwecke zu nutzen. Offensichtlich ist das primäre Interesse klar: keine Anschaffungskosten, keine Wartungskosten, Risiken für fehlendes Backup etc. beim Benutzer, also eine Verlagerung der Kosten der Endgeräte auf den Mitarbeiter. Es handelt sich also dabei nicht nur um die reine Anbindung von Geräten, die dem Mitarbeiter gehören, an die Unternehmens-IT - etwa iPhones, iPads und andere Endgeräte -, sondern um den Ersatz von unternehmenseigenen PCs, Laptops etc. durch Geräte, die dem Benutzer gehören.
Das hört sich im ersten Schritt revolutionär an, und das ist es auch für viele, insbesondere vermeintliche Sicherheitsexperten im Unternehmen, dabei sollte die Anforderung den meisten IT-Abteilungen von Unternehmen gar nicht so neu sein. Zum einen sind da die vielen Leiharbeiter von Consulting-Unternehmen, die oft mit ihrem eigenen Equipment kommen, zum anderen die - gehassten - Anforderungen von Managern, ihr neuestes „smartes“ Spielzeug auch im Unternehmen einsetzen zu wollen, und natürlich die Kunden und Partner, die, wenn auch nur kurzfristig, zumindest Internet-Zugang haben möchten, vielleicht aber auch Dateien austauschen, Projektdaten einsehen oder auch Unternehmensanwendungen benutzen.
Der Gedanke „bring Dein eigenes Equipment mit“, welcher bei diesen Zielgruppen der Normalzustand ist, nun auf Mitarbeiter auszuweiten, ist also nur konsequent. Und aus Sicherheitsgesichtspunkten auf den ersten Blick auch viel einfacher, denn: statt zweier völlig konträrer Sicherheitsstrategien, entsprechender Kosten und häufiger Widersprüche, die in der Praxis häufig zum Unterlaufen der Sicherheitsvorgaben führen, wird nun konsequent vom „Schlimmsten“ ausgegangen. Die beiden genannten Sicherheitsstrategien sind:
- die Klassische: PCs gehören dem Unternehmen, Daten auch, alles wird durch die IT kontrolliert, Remote-Zugriff über VPN, Patchmanagement zentral geregelt etc. etc. und
- die Moderne: nur die Dienste sind unter Kontrolle des Unternehmens, Mitarbeiter können an Endgeräten benutzen, was sie wollen, von wo sie wollen, alleine der Zugriff muss sicher erfolgen.
Der Trend kommt, wie anders zu erwarten, aus den USA. Dort werden in vielen Firmen schon Equipment-Pauschalen an die Mitarbeiter verteilt, in der Größenordnung von USD 2100 (wohl eine magische Grenze aus steuerlichen Gründen), mit denen sich dann die Mitarbeiter PCs, Laptops oder MacBooks kaufen, diese selbst konfigurieren und im Unternehmen, für Unternehmenszwecke verwenden. Dabei stehen so genannte „Productivity“- Anwendungen im Vordergrund, also vor allem E-Mail, Web incl. Sozialer Netzwerke und Twitter, Kommunikationslösungen wie Chat, Skype und Webconferencing, aber auch klassische Anwendungen wie Office. Die meisten Backoffice-Anwendungen, wie etwa SAP, werden über Terminalserver angeboten, so dass keine Software-Installation erforderlich ist. Zudem besteht für den Anwender die Freiheit der Wahl des Betriebssystems, was vielen jungen, IT-affinen Mitarbeitern sowieso entgegen kommt.
Interessant ist an der Zusammenstellung der Anwendungen, dass dort genau die Technologien vermehrt eingesetzt werden, die heutigen IT- Abteilungen Bauchschmerzen bereiten. Daher ist es aus Sicherheitsgründen nicht ungeschickt, diese Anwendungen auf Endgeräten des Mitarbeiters einzusetzen. Dagegen steht das Risiko der Infektion mit Malware und Viren, welche vermeintlich über einen unmanaged PC leichter eingeführt werden können. Aber wie hoch ist das Risiko wirklich? Sicherlich ist es möglich, dass die Wahrscheinlichkeit für einen erfolgreichen Angriff steigt - auch wenn automatische Updates direkt vom Hersteller sicherlich nicht mehr schlechter sind als über eine Softwareverteilung durch die IT -, aber welche Rechner sind den für die Malware dann noch verfügbar? Die Server sollten nicht zugänglich sein außer über authentifizierte Verbindungen, also bleiben die anderen Endgeräte übrig, für die aber wiederum der Mitarbeiter verantwortlich ist.
Neue Aufgaben für die IT
Was verbleibt an Arbeit für die IT? So ganz kostenlos ist das natürlich nicht, denn es muss weiterhin ein E-Mail-Angebot bestehen, incl. Kalender und evtl. auch Aufgabenverwaltung, es sollte einen Backup-Service geben, um dem Mitarbeiter zu ermöglichen, „seine“ Daten auch regelmäßig zu sichern. Natürlich dürfen zentrale, sichere Ablagemöglichkeiten für Dateien und Projektdaten, etwa Portale oder Content-Management-Systeme, nicht fehlen. Wichtige und besonders vertrauliche Anwendungen sollten über Terminal Services, oder alternativ über bootfähige Partitionen für etwa VirtualBox, idealer Weise mit sicherer Ausführumgebung a la Turaya, angeboten werden, weniger wichtige einfach über ein Web-Interface. So kann man die zentralen Services leichter, und vermutlich kostengünstiger anbieten. Zudem haben sich die großen Software-Anbieter darauf eingelassen und bieten entsprechende Mietmodelle für Anwendungen incl. Office an, was sehr gut zur BYOD-Strategie passt. Letzlich ist idealer Weise auch die Netzwerkinfrastruktur deutlich einfacher zu realisieren, da man kein internes Office-Netz mehr benötigt, ein Internet-Zugang reicht dann völlig aus.
Wie sieht es mit der Vertraulichkeit aus? Es ist zu unterscheiden zwischen dem wohlgesonnenen Mitarbeiter und dem, der beabsichtigt, vertrauliche Informationen weiter zu geben. Interessanter Weise ist durch den Wegfall der scheinbar sicheren Umgebung die Awareness bei den „gutartigen“ Nutzern deutlich höher, was zur Gesamtsicherheit meiner Erfahrung nach deutlich beiträgt. Sichere Web-Ablage, keine vertraulichen Informationen in E-Mails und verschlüsselte Ablage werden die jungen Digital Natives selbst beherrschen, wobei diese allerdings oft ein anderes Verständnis für die Erforderlichkeit von Vertraulichkeit haben, man schaue sich nur die Inhalte in den privaten Netzwerken an. Dieser aus heutiger Sicht sorglose Umgang findet aber auch schon mit heutigen Endgeräten statt. Die älteren unter uns müssen erst im sicheren Umgang mit der Technologie geschult werden, aber das ist - leider - auch für die klassische Endgerätestrategie erforderlich.
Der bösartige Mitarbeiter, Partner oder Kunde hingegen wird sich von den niemals vollständig funktionierenden Data Loss Prevention Lösungen sowieso nicht davon abhalten lassen, Informationen zu klauen - und wenn es eine Fotografie vom Bildschirm ist, die die Daten letztlich abgreift. Gegen diesen Fall hilft leider weder BYOD noch firmengenutztes Equipment. Eventuell könnte man durch die Weitergabe der Verantwortung rechtliche Vorteile mit BYOD erreichen, es stellt sich aber die Frage des forensischen Nachweises eines Informationsklaus.
BYOD hat Zukunft!
Natürlich sind die meisten Infrastrukturelemente auf diese neue Denkweise BYOD nicht vorbereitet, Eine große Bedeutung kommt im BYoD-Umfeld dem Identitätsmanagement zu, das ist aber eher an den damit einher gehenden Cloud-Angeboten festzumachen als an den eigenen Geräten. Dennoch interessant ist daran, dass Geräte-gebundene Infrastrukturen oder SSO-Lösungen auf den PCs damit nicht mehr funktionieren, was wiederum einen standards-basierten Ansatz erforderlich macht, die meisten IDM- Lösungen in der Praxis aber sind nach wie vor auf den PC als Endgerät im Unternehmensnetzwerk angewiesen. Weitere erforderliche Infrastrukturelemente sind: trustedVM mit sicherer Ausführumgebung - bootable USB-Sticks sind nur eine Krücke, da der Mitarbeiter nicht oft seine Arbeitsumgebung wechseln möchte, wenn der Wechsel jeweils mehrere Minuten dauert - und sichere App-Stores, die die Vertrauenswürdigkeit von Apps für den Unternehmensgebrauch auf einem privaten Device sicher stellen, unter anderem durch die Möglichkeit der automatischen Umsetzung einer unternehmensseitig vorgegebenen Policy.
Es gibt übrigens eine Organisationsform, die die BYoD-Strategie seit Jahren umsetzt, und zwar mehr oder weniger gezwungener Maßen: die Hochschulen. In Hochschulen sind die universitätseigenen Geräte die absolute Ausnahme, Professoren und akademische Mitarbeiter verwenden in der Regel ihren eigenen Laptop, und wenn er von der Hochschule finanziert wurde, so haben sie die administrative Sorgfaltspflicht. Zudem müssen Studenten Zugriff auf E-Mail, Web und Lehrmaterialien haben, entsprechend stellen die Hochschulen die Infrastruktur serverseitig zur Verfügung.
Bring Your Own Device ist aus meiner Sicht eine Strategie mit Zukunft: sie löst eine Reihe von Sicherheitsproblemen auf unorthodoxe Weise, und erlaubt der IT, sich auf die Kernkompetenzen zu konzentrieren. Für die Sicherheit gibt es inzwischen erste, wenn auch noch ungewöhnliche, einfache Lösungen. Für das Unternehmen mit hohem Vertraulichkeitsbedarf ist noch einiges zu tun. Dennoch: wer dieses Konzept mal in der Praxis sehen möchte, der wende sich einfach an eine naheliegende Hochschule.