Schöne Zeiten als es noch hip war seine Mitmenschen mit dem neuesten Smartphone zu beeindrucken und die ganze Welt der mobilen Kommunikation überall und an jedem Ort nutzen zu können. NSA und anderer gierige Dienste haben einem die Illusionen einer heilen mobilen eCommunication-World gründlich verdorben. Es nützt nichts diese neue Welt zu verdammen oder in die Lethargie zu verfallen, es wäre sowieso alles egal. Es ist also Zeit unser Verhalten zu der neuen mobilen Kommunikationswelt zu verändern - ganz nüchtern und ganz klar. Klar ist, absolute Sicherheit gibt es nicht; genauso, wie es auch kein absolut sicheres Auto gibt.
Wo liegen denn also die sicherheitskritischen Herausforderungen:
Sicherheitsphilosophie:
- Warum werden Smartphones und Co. eigentlich schwächer verwaltet als jeder beliebige Laptop oder Desktop-PC im Unternehmen? Der Ansatz dem User die Sicherheit seiner Kommunikation zu überlassen, hat letztendlich dazu geführt, dass es so einfach möglich war das Handy von Angela Merkel auszuspähen. Warum werden nicht die gleichen Sicherheitsmaßstäbe an den Umgang mit mobilen Endgeräten angelegt, wie an die sonstige IT im Unternehmen? Kein Unternehmen überlässt es irgendeinen Mitarbeiter für die Sicherheit auf seinem PC zu sorgen. Wenn man tatsächlich ein größtmögliches Maß an Sicherheit haben will, kann die IT-Sicherheit nicht mehr dem Benutzer allein überlassen werden. Letztendlich lautet die Frage: welches Maß an Verantwortung für die Sicherheit der mobilen Geräte ist das Unternehmen bereit zu übernehmen und welchen Anteil hat der Benutzer daran zu tragen?
Management:
- Es ist nicht erstaunlich und es ist wahr, dass Führungskräfte für die Mehrzahl der sicherheitsrelevanten Zwischenfälle verantwortlich sind. Erstaunlich aber ist, dass kein leitender Angestellter in sein Auto ohne Sicherheitsgurt, Airbag, ABS & Co. einsteigt, aber sich über minimale sicherheitskritische Anforderungen hinwegsetzt und trotzdem noch ein Maximum an Verfügbarkeit von Informationen verlangt. Hier muss sich etwas ändern und zwar im Kopf. Die veränderte Sicherheitssituation ist zu akzeptieren. Das Management muss sein Denken und Verhalten und das Verhalten seines Unternehmens gegenüber der mobilen Kommunikation ändern.
IT-Governance:
- Es ist mit Sicherheit hip und es hebt den Status, das neueste und schönste Smartphone zu besitzen. Klar ist, dass bei meinem eigenen Smartphone, die private Nutzung im Vordergrund steht, also auch die Nutzung von mir installierter Apps und Dienste. Die Frage ist dann nur, ordnet sich mein Gerät dann noch der Unternehmensstrategie unter? Es liegt hier in der Verantwortung des Managements sicherzustellen, dass alle mobilen Endgeräte, die für das Unternehmen genutzt werden, sich in die Unternehmensstrategie einfügen. Dazu gehört beispielsweise auch, dass der Einsatz von privaten Smartphones im Unternehmen eindeutig geregelt sein sollte. Umgekehrt sollte auch die private Nutzung von dienstlichen Smartphones geregelt sein. Also, Aufgabe des Management ist es auf Basis gesetzlichen Vorschriften Grundsätze, Verfahren und Maßnahmen festzulegen, die sicherstellen, dass die eingesetzten mobilen Geräte im Sinne des Unternehmens verantwortungsvoll eingesetzt und Risiken der Nutzung angemessen überwacht werden. Dazu ist es notwendig, dass diese Erwartungen der IT bekannt sind und dass die IT in der Lage versetzt wird, diese Erwartungen auch zu erfüllen.
IT-Compliance:
- Es grenzt doch schon an Absurdistan, wenn IT-Infrastrukturen aufgebaut wurden, die mit Firewalls wie Fort Knox gesichert werden und wenn dann gedankenlose User Smartphones mit ungesicherten Schnittstellen, minimalen Zugriffsschutz nutzen und den Datenschutz auf diese Art und Weise konterkarieren. Grundsätzlich gilt, das gesetzlichen Standards, Vertragspflichten sowie selbstgesetzten Standards (eigenen Policies, Nutzungsrichtlinien, Organisationshandbücher, Arbeitsanweisungen etc.) einzuhalten sind. Wenn diese nicht eingehalten werden, sind auch entsprechende Sanktionen durchzusetzen.
Bei aller Polemik lässt sich sagen, dass die Zeit der Naivität vorbei ist. Wir müssen zur Kenntnis nehmen, dass wir in einer Welt leben, wo wir alle mobil vernetzt sind, wo jeder an jedem Ort der Welt mit jedem kommunizieren kann, wo aber auch jeder angreifbar ist. Das erfordert ein neues Sicherheitsdenken. Sicherlich ist der Gesetzgeber mit der Schaffung neuer Rahmenbedingungen für die mobile eWorld gefragt. Darauf zu warten, wäre allerdings ein Fehler. Veränderungen gibt es nur, wenn Individuen und Unternehmen ihre Sicherheitsinteressen selber in die Hand nehmen. Welche das sind, muss individuell und auch für jedes Unternehmen identifiziert werden. Zu diesem Zweck sind die Arbeitsweise und die Bedürfnisse der Mitarbeiter zu identifizieren und zu bewerten. Daraus lassen sich Risiken für den einzelnen und für das Unternehmen ableiten, die pragmatisch adressiert werden können. Kann dem Risiko mit angemessenem Aufwand begegnet werden? Oder sind die Bedürfnisse der Nutzer das Risiko wert? (Beispiel: Muss der Nutzer wirklich WhatsApp nutzen, um mit seinen Kollegen zu kommunizieren oder gibt vielleicht andere Kommunikationswege?)
Viele Risiken können bereits adressiert werden. Prozesse und Werkzeuge existieren oftmals bereits und müssen "nur noch" Anwendung finden.
Ausblick:
In weiteren Artikeln wollen wir Problemfelder im Einzelnen identifizieren und auf potentielle Lösungen zu sprechen kommen. Bleiben Sie dran.