Relevanz der IT-Consumerisation

Das Bundesamt für Sicherheit und Informationsschutz, kurz BSI, hat ein interessantes Überblickspapier zum Thema Consumerisation und BYOD  herausgegeben, dass ich Ihnen heute empfehlen möchte. Dieses Dokument ist nicht nur “Chefsache”, wie es die Pressemitteilung des BSI wortgewandt umschreibt, sondern es ist durchaus auch eine gute Quelle für alle diejenigen, die sich für IT-Sicherheitsrelevante Aspekte im Kontext BYOD weitergehend sensibilisieren wollen. Einen kleinen Wermutstropfen muss man jedoch beim Lesen dem Papier zunächst noch abgewinnen, denn das BSI versucht in seiner Darstellung eine verbindende Grätsche zwischen der Consumerisation der IT und dem Thema BYOD. Ich gebe zu, dass beide Thematiken sich aus der Erkenntnis begründen, dass die Differenzierung von beruflich und rein privat genutzter IT immer weiter verschwimmt, jedoch sehe ich für die Consumerisation, wie sie im BSI Überblickspapier charakterisiert wird, grundsätzlich andere Fragestellungen als für das BYOD. Auch sehe ich BYOD nur bedingt als Untermenge der Consumerisation von IT, da es nach meiner Definition bei BYOD nicht ausschließlich um die geschäftliche Nutzung von privaten Endgeräten geht. Auch die flexibleren Wahlmöglichkeiten für ein Endgerät oder die Möglichkeit ein präferiertes Endgerät als Leistungsanreiz, beziehungsweise als Incentive, zu bekommen, zählt für mich genauso als konzeptionelle Ausprägung des BYOD. Des Weiteren bin ich grundsätzlich nicht davon überzeugt, dass das Thema Consumerisation der IT eine große Relevanz für Unternehmen besitzt. Sowohl die privat bevorzugten Programme, als auch die im privaten Umfeld genutzten Internet-Dienste lassen sich, alleine schon aus Lizenz-rechtlichen Gründen nur in den seltesten Fällen auch im geschäftlichen Umfeld einsetzen. Somit reduziert sich das Thema auf die Nutzung von privaten Endgeräten, was, wie bereits festgestellt, mit dem Begriff BYOD bereits thematisiert wird.

Schwächen in der Argumentation

Zu den Vorteilen nennt  das BSI unter anderem auch die bessere Erreichbarkeit von Mitarbeitern. Dieses Argument würde ich als Unternehmen jedoch nicht in meine Bewertung mit aufnehmen, da es nach meiner Auffassung weder moralisch noch arbeitsrechtlich möglich sein wird ein zusätzliches Leistungsversprechen mit der Einführung von BYOD zu verknüpfen, die eine erweiterte Erreichbarkeit impliziert. Unbestritten ist die Tatsache, dass es für den Mitarbeiter einfacher wird, auch außerhalb der Arbeitszeiten im Büro auf unternehmensrelevante Informations- und Kommunikationssysteme zuzugreifen. Es ist und es sollte auch so bleiben, dass der Mitarbeiter die Nutzung dieser Mittel und seine Erreichbarkeit durch diese selbstbestimmt, kontrolliert und entscheidet.

Ein wichtiger Punkt, der ebenfalls vom BSI angesprochen wird, allerdings nicht im Detail, ist die Frage der Wirtschaftlichkeit. Hier verweist das BSI lediglich auf die Notwendigkeit einer Wirtschaftlichkeitsbetrachtung und der Annahme, dass “im Allgemeinen auch höhere Kosten für Administrations- und Sicherheitsmaßnahmen” anfallen. Dieser Aspekt kann je nach gewähltem Konzept zur Implementierung von BYOD eine tragende Rolle spielen. Dies trifft vor allen Dingen für diejenigen Konzepte zu, bei denen eine Dezentralisierung von Unternehmensdaten durch die Synchronisierung und/oder Verarbeitung der Daten auf den Endgeräten erfolgt. Für Konzepte, die eine ausschließlich zentralisierte Datenhaltung und -verarbeitung vorsehen und bei denen das Endgerät lediglich eine Darstellung dessen ermöglichen soll, fallen die Kosten für Administrations- und Sicherheitsmaßnahmen signifikant geringer aus. In derselben Ausprägung lassen sich auch die zu betrachtenden Herausforderungen für die Informationssicherheit differenzieren. Je nach dem, ob eine lokale Speicherung und Verarbeitung von Daten erfolgt, ist ein Eingriff auf die Sicherheitskonfiguration des Endgerätes, die Administration der Endgeräte und die Frage der Kosten und Haftungsrisiken zu betrachten. Lediglich die Frage nach der Zugriffssteuerung, also wer darf mit seinem Gerät auf was und wann zugreifen, bleibt in beiden Varianten valide. Zwei weitere Aspekte, die vom BSI genannt werden, beziehen sich zum einem auf die Trennung von privaten und geschäftlichen Informationen und auf den Umgang mit Schwachstellen der auf den Endgeräten installierten Betriebssystemen und Anwendungen. Beide Aspekte stellen für BYOD-Implementierungen mit lokaler Datenhaltung und -verarbeitung große Herausforderungen dar und bedingen aufwendige technische Lösungen. Für den Fall der vollständigen Zentralisierung sind diese fast zu vernachlässigen, da es keine direkten Berührungspunkte zwischen den Daten, den verarbeitenden Systemen und dem Endgerät gibt.

Lösungsansätze

Das BSI beschreibt im Zuge seines Überblickspapiers drei mögliche Lösungsansätze.

  • Einführung einer Mobile Device Management (MDM) -Lösung, mittels der die Endgeräte verwaltet und gesichert werden können und die Datenbereitstellung am Endgerät zentral gesteuert werden kann.
  • Einsatz einer Virtualisierungstechnologie auf dem Endgerät, zur Trennung der privaten und geschäftlichen Daten und Anwendungen.
  • Zentralisierung der Datenhaltung und Verarbeitung der Daten.

Wie bereits aufgezeigt, ist die Relevanz und die konzeptionelle Umsetzung der genannten Aspekte zur Informations- und Datensicherheit bei den beiden ersten Lösungsvarianten wesentlich höher und komplexer, da Unternehmensdaten auf dem Endgerät bereitgestellt, gespeichert und verarbeitet werden. Bei einer vollständig zentralisierten Lösung ist das Endgerät in der Sicherheitsbetrachtung nahezu außen vor und es gelten primär und fast ausschließlich die Spielregeln der Sicherheit in Rechenzentren sowie die Sicherungsmechanismen für den externen Netzwerkzugriff.

Was ist dein Use Case?

Leider findet in dieser Diskussion oftmals der Blickwinkel des Anwenders zu kurz oder gar keine Beachtung. Der zentralisierte Lösungsansatz ist sicherlich der einfachste und möglicherweise der beste Weg aus der Brille der IT-Sicherheit, da dieser von vorne herein viele der sicherheitsrelevanten Herausforderungen ausschließt. Dem als Kontrast gegenüber steht jedoch der Anwenderwunsch nach Komfort und einer einfachen Anwendung. Gerade wenn es zum berühmten “offline”-Anwendungsfall kommt, zieht der zentralisierte Lösungsansatz immer den Kürzeren. Da der Lösungsansatz keine lokale Datenverfügbarkeit vorsieht, ist der Anwender ohne eine bestehende und mindestens ausreichende Netzwerkverbindung von der Unternehmenswelt abgeschnitten. Auch wenn dies jetzt ziemlich hart klingt und Kritiker der zentralisierten Lösung dies als K.O.-Argument sehen, bemesse ich diesem Aspekt für die Realität nur eine bedingte Relevanz zu. Unbestritten bleibt die Validität der Kritik, jedoch ausgehend von den jeweils praktischen Anwendungsfällen im geschäftlichen Alltag, relativiert sich dieser Kritikpunkt oftmals durch die Beantwortung folgender Fragen:

  • Welche Client-/Serveranwendungen sind ohne Netzwerk nicht nutzbar (offline-fähig)?
  • Kommunikationsfunktionen sind ohne Netzwerk für den Anwender noch brauchbar?.
  • Welche Daten und Informationen benötigt ein Mitarbeiter für die Ausführung seiner beruflichen Tätigkeiten außerhalb des Büros.
  • Wie häufig und für welche Mitarbeiter tritt der “Offline”-Fall ein? Welche geschäftsrelevanten Auswirkungen hätte der nicht vorhandene Datenzugriff? Welche Tätigkeiten könnte der Mitarbeiter in diesem Fall nicht ausführen?
  • Wie hoch sind die Opportunitätskosten im Vergleich zur technischen Komplexität und der Sicherheitsrisiken

Zusammenfassend lässt sich wohl festhalten, dass die Wahl der Lösung ultimativ auf Basis des Anwendungsfalls zu entscheiden ist. Aus der Sicht der IT-Sicherheit sprechen viele gute Gründe für eine zentralisierte Lösung, dennoch muss diese dann auch in der Lage sein, den Anwender in seiner geschäftlichen Tätigkeit vollständig zu unterstützen und zwar mindestens mit der gleichen Qualität, wie es auch auf einem Unternehmenseigenen Endgerät möglich wäre. Sollte BYOD nur eine Ergänzung zur unternehmenseigenen Infrastruktur sein, kann dies sicherlich noch einmal unter einem anderen Licht betrachtet werden. Dann könnte sich jedoch die Frage nach dem angestrebten Mehrwert von BYOD stellen.

Getagged mit
 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Set your Twitter account name in your settings to use the TwitterBar Section.