BYOD-Strategien, die sinnvoll sind

Der Trend Mobility ist mittlerweile in den Unternehmen angekommen, das be­stätigen Studien immer wieder. Die Schweiz, das hat eine aktuelle Umfrage von Accenture in 13 Ländern herausgefunden, spielt dabei eine Vorreiterrolle. Nirgendwo sonst wird so viel mit dem Smartphone gearbeitet. Die mit der neuen Mobilität erziel­baren Effizienzgewinne sind ja auch bestechend, besonders für die mobilen Geschäftseinheiten Vertrieb, Marketing und technischer Support. 57 Prozent der SAP-Kunden planen, ihre Enterprise-IT (oder Teile davon) per Smartphones zu «mobilisieren», also den Zugriff auf Kundenstammsätze, Aufträge, Statistiken und Kalender von unterwegs zu ermöglichen. Zu diesem Ergebnis kommt die aktuelle «Investitionsumfrage 2012» der Deutschsprachigen SAP-Anwendergruppe (DSAG) – ein Beispiel unter vielen. Aber muss es gleich jedes beliebige mobile Endgerät im Firmennetz sein? Die junge Generation der Digital Natives verlange das. Sie wollen den aus ihrem Privatleben gewohnten technischen Komfort auch im Beruf zur Hand haben, sagen die Befürworter. Smartphones im Unternehmenseinsatz stellen sehr hohe Anforderungen punkto Sicherheit, Management und Policies, warnen dagegen die Sicherheits­spezialisten. Sie empfehlen, die im Unternehmen genutzten mobilen Devices auf eine, maximal zwei vorgegebene Plattformen zu begrenzen – «choose your own» statt «bring your own».

Aus der Perspektive des Sicherheitsspezialisten sei «Bring Your Own Device» (BYOD) ein Albtraum, betont Christian Funk von Kaspersky. Mobile Gerätetypen und Betriebssysteme sind dabei unterschiedlich grossen Risikopotenzialen ausgesetzt. Android-Devices etwa seien wegen ihres grossen Markterfolgs und hohen Verbreitungsgrads für Malware-Angreifer attraktiv geworden, konstatiert Virenanalyst Funk. Android-Malware zu programmieren, lohnt sich. Das bestätigt auch sein Kollege Candid Wüst von Symantec Schweiz: Android stehe ganz klar im Fokus der Cyberkriminellen. Allein im Januar 2012 hat Symantec 592 neue Malware-Varianten registriert, die es auf Android-Smartphones abgesehen haben. Keine einzige dagegen für BlackBerrys, WinPhone oder Apples iDevices. Lesen Sie auf der nächsten Seite: Android nicht sicher genug

Sicherheitsaspekte waren für die Krankenver­sicherung Helsana entscheidende Gründe, auf Apples iDevices umzustellen. Die alte Lösung bestand aus Nokia-Handys und Microsoft Exchange 2011. Unter anderem wegen Synchronisationsproblemen setzt die Helsana seit April 2011 ausschliesslich auf iPhones und iPads. Eine Versicherung sei besonders sicherheitssensitiv, und die sicherere Lösung sei zurzeit die Apple-Schiene, urteilt Heinz Stucki, Account-Manager beim IT-Dienstleister Getronics, der damals das Mobility-Projekt bei Helsana betreut hat. Zurzeit greifen die Mit­arbeiter mobil auf ihre E-Mails zu, aber weitere, vor allem kundenorientierte Applikationen seien in Arbeit. Bei Verlust, erklärt Stucki, werde das Gerät lokalisiert, gesperrt und die darauf abgespeicherten Daten gelöscht. Alle von den Mitarbeitern genutzten Geräte gehören dem Unternehmen. Die Google-Handys sind für Helsana derzeit keine Option.

Android sei zwar nicht per se unsicherer, aber das Verbreitungssystem (der Android-App-Store) sei offener und dadurch anfälliger für Malware, erklärt Kaspersky-Experte Christian Funk. Sy­mantecs Virenspezialist Candid Wüst erläutert, warum das so ist. Zwar sei eine Direkt­infizierung der Android-Apps nicht möglich, weil dann die App-Signatur nicht mehr funktioniere. Angreifer können diese Hürde aber leicht umgehen. Sie laden eine App herunter, infizieren sie mit Malware – in 80 Prozent aller Fälle Trojaner – und laden die Applikation dann erneut in den App-Store hoch. Android-Geräte seien derzeit gefährdeter, das müsse in die unternehmerische Risikoanalyse einfliessen, unterstreicht Wüst. Die ehemaligen McAfee-Manager George Kurtz und Dimitri Alperovitch zeigten auf der gerade zu Ende gegangenen Sicherheitskonferenz RSA 2012, wie man ein Android-Smartphone per Drive-In infiziert. Als Einfallschleuse diente ein bisher nicht gepatchter Bug im Android-Browser WebKit. Der Angelhaken der Attacke war eine vermeintlich vom Provider stammende SMS, die einen Link enthielt, verbunden mit der Bitte, ein wichtiges Update herunterzuladen. Ein Klick auf den Link genügte, um das Android-Gerät zu infizieren. Die Drive-By-Infektion ist eine fort­geschrittene Angriffstechnik – beunruhigend, dass sie schon bei Smartphones angewendet wird. Zum Hintergrund: Um Betriebssystem-Updates müssen sich Android-Nutzer, im Gegensatz zu anderen Plattformen, selbst kümmern. Lesen Sie auf der nächsten Seite: Beispiel KPMG

Auch das Wirtschaftsprüfungs- und Beratungsunternehmen KPMG Schweiz lässt daher von Android-Devices die Finger und setzt auf einen Gerätemix aus Apple und BlackBerrys. Bei den Neubestellungen liege das Verhältnis BlackBerry zu Apple etwa bei 50 zu 50, sagt Magnus Rimvall, CIO bei der KPMG. Ältere Mitarbeiter arbeiten mobil lieber mit dem BlackBerry und greifen damit vor allem auf ihre E-Mails und ihren Kalender zu. Diese Mitarbeiter seien mit ihren BlackBerrys sehr zufrieden, sagt Rimvall. Jüngere dagegen wünschen sich Apples iDevices – punkto Apps seien die iDevices klar im Vorteil. Für die KPMG sind dabei vor allem Produktivitäts-Apps zur Kollaboration und Zeit­erfassung von Interesse. Rimvall selbst benutzt privat ein iPhone, beruflich einen BlackBerry. «Wenn ich mich aber beruflich für ein einziges Device entscheiden müsste, würde ich wohl ein Apple-Gerät wählen», gibt er zu. Apple sorgt in erster Linie durch rigide Sicherheitskontrollen in seinem App Store für saubere, Malware-freie Applikationen. Ausserdem verschlüsseln iPhones den gesamten Speicherbereich auf dem Gerät selbst und erschweren dadurch den Datenklau. Sicherheits-Software gibt es für Apple-Geräte jedoch nicht. Das sei von Apple auch gar nicht gewünscht, sagt Symantecs Candid Wüst. Jede Apple-App darf nur ihren eigenen Speicherbereich scannen. Ein Virenscanner, wie ihn viele Software-Häuser für Android anbieten, würde auf einem iDevice wegen dieser Einschränkung gar nicht funktionieren. Apple setzt auf die eigenen Sicherheits-Checks und ein geschlossenes App-Vertriebssystem.

Apple, BlackBerry und Nokia: So sieht zurzeit die mobile IT in vielen Schweizer Unternehmen aus. Was aber bringt die Zukunft? Gegenwärtig setzt Helsana auf Apple. Sollte man sich im Mobile Device Management für eine Multivendor-Strategie entscheiden, dürfte Windows 8 wohl als möglicher Kandidat in Betracht gezogen werden, mutmasst Heinz Stucki von Getronics. Für Windows spreche, dass die Applikationen auf Tablets und Desktops die gleichen Funktionalitäten aufweisen. Die Verkaufszahlen von Apple würden im Business-Markt abnehmen; Windows 8 werde im Business die grösseren Erfolge feiern als Apple oder Android, glaubt Stucki. Aber auch für Android ist das Rennen um die Pfründe im Business-Markt noch nicht verloren. Denn das grösste Sicherheitsrisiko ist gar nicht das Betriebssystem, sondern der Nutzer selbst. Den meisten Android-Usern sei das Risiko gar nicht bewusst, sie agieren leichtsinnig und das sei nur schwer wegzutrainieren, beobachtet Virenexperte Candid Wüst. Aber auch für das menschliche Risiko gibt es eine Lösung: Die grösste Gefahr geht von den freien Android-Download-Portalen aus. Ein erster Schritt bestünde deshalb darin, den Download auf den offiziellen Google-App-Store einzuschränken. Der zweite Schritt: Unternehmen könnten die Sicherheit ihrer Android-Devices weiter erhöhen, indem sie einen internen App-Store einrichten, auf dem lediglich überprüfte Apps angeboten werden. Der Charme der Offenheit, auf den die Android-Gemeinde so viel Wert legt, geht dadurch natürlich verloren.