Österreich



BYOD – private Geräte im Unternehmen sicher nutzen

 

Kommentar von Univ.-Assistentin und CIS-Auditorin Dr. techn. Margareth Stoll

 

Das Marktforschungsunternehmen Gartner erwartet, dass "Bring Your Own Device" (BYOD) das Client-Computing in Unternehmen genauso revolutionär verändern wird, wie die Einführung der PCs. Wie trotzdem ein hohes Sicherheitsniveau mit Informationssicherheitsmanagement nach ISO 27001 gewährleistet werden kann, beleuchtet Margareth Stoll in diesem Beitrag.


03_stoll(Dez 2012) - Während Unternehmen ihre IT-Kosten immer kritischer prüfen, investieren private Nutzer zunehmend in Smartphones, Tablets und Notebooks. Damit tauschen sie über Apps und soziale Netzwerke Informationen aus, greifen durch Cloud-Dienste auf ihre Daten zu und bearbeiten Emails rund um die Uhr. Genauso möchten natürlich insbesondere Führungskärfte und junge Mitarbeiter auch im Beruf einfach und effizient arbeiten. Laut einer „British Telecommunications“-Studie erledigen 42% der befragten Mitarbeiter mit privaten Geräten ihre geschäftlichen Aufgaben produktiver. Der Außendienst gibt direkt vor Ort Informationen ein und nutzt Reisezeiten effizient. Führt der Bereitschaftsdienst Eingriffe von zuhause aus durch, entfallen Wegzeiten und Probleme sind schneller gelöst. So verteilen laut Gartner bereits 90% der Unternehmen Smartphones an ihre Mitarbeiter. 86% planen dasselbe für Tablets. Allerdings gibt es dazu größere Sicherheitsbedenken.
 

Verbieten oder reglementieren?
Sollen Unternehmen die Nutzung privater Geräte bzw. die Nutzung mobiler Betriebsgeräte für Privatzwecke strikt verbieten? Steckt damit das Informationssicherheits-Management nur den Kopf in den Sand? Denken wir etwa an die USB-Sticks. Trotz Verbots wurden sie verwendet, um zuhause dringende Arbeiten termingerecht zu erledigen. Nachdem laut wissenschaftlichen Studien die Effizienz ganz wesentlich die Einhaltung von Verboten beeinflusst, wird der Druck auf die IT und Informationssicherheit weiter steigen.
 

Als Mehrwert nutzen03_smartphone
Wie können Unternehmen diese Veränderungen proaktiv als Mehrwert nutzen? Klarerweise müssen sie vertrauliche Daten und geistiges Eigentum schützen und die Verfügbarkeit und Integrität der Geschäftstätigkeit sichern. Was ist zu beachten, um effizientes, flexibles Arbeiten bei hinreichender Sicherheit zu fördern? Dazu zählen technische Herausforderungen wie die Vielfalt der Endgeräte und Betriebssysteme, die Aktualität der Sicherheitsupdates, die Vermischung geschäftlicher und privater Daten, die nötige Virtualisierung, Vereinheitlichung, Verschlüsselung, Anpassung der Sicherheitsarchitektur und Applikationen u.a.. Auch organisatorische Fragen sind zu klären, wie Informationsmanagement, Datenklassifizierung, Prozessoptimierungen, flexible Arbeitsmodelle, Verteilung und Wartung der mobilen Geräte, Nutzerbetreuung u.a.. Weiters sind rechtliche, regulatorische, steuerliche und betriebswirtschaftliche Aspekte zu berücksichtigen. Zudem erfordert der Einsatz mobiler/privater Geräte ein höheres Sicherheitsbewusstsein der Mitarbeiter, technische Kompetenzen sowie eine vertrauensbasierte und ergebnisorientierte Mitarbeiterführung.


Informationssicherheit mit ISO 27001 steuern
Folglich wird ein ganzheitlicher Ansatz benötigt, wie er von der internationalen Norm für Informationssicherheitsmanagement, ISO 27001, empfohlen wird. In Übereinstimmung mit den im Unternehmen festgelegten Sicherheitsgrundsätzen werden die geschäftlichen, vertraglichen und rechtlichen/regulativen Sicherheitsanforderungen an die jeweiligen Daten bestimmt. Anschließend wird eine Risikoanalyse durchgeführt. Ausgehend von diesen Anforderungen und dem Bedrohungspotential ermitteln die Unternehmen mögliche Risiken und das Schadenspotenzial. Dabei werden auch die gelebten vorbeugenden Maßnahmen berücksichtigt. Aufgrund dieser Informationen wird entschieden, für welche Daten und Anwendungen mobile/private Geräte unter Einhaltung welcher Sicherheitsmaßnahmen zugelassen werden. Dafür werden mögliche Ausfälle und Notfallsituationen identifiziert. Zu deren Verhinderung oder Begrenzung werden geeignete Verfahren erarbeitet.
 

Strategische Rolle der Informationssicherheit
Darüber hinaus könnten Informationssicherheit und IT verstärkt ihre strategische Rolle zur Sicherung nachhaltigen Unternehmenserfolgs wahrnehmen. Der Fluch und Segen des Einsatzes mobiler Geräte zur Unterstützung der Unternehmensentwicklung sollten vorrausschauend und systematisch unter Berücksichtigung aller Aspekte analysiert werden. Daraus sollten klare Strategien und Richtlinien abgeleitet, umgesetzt und periodisch auf Aktualität geprüft werden. Eine optimale Balance zwischen Flexibilität und Effizienz sowie Kosten und Sicherheit stiftet maximalen Nutzen.


Dr.techn. Margareth Stoll ist Beraterin im Bereich Informationssicherheit und IT-Service Management, sowie Stiftungsassistentin QE LaB an der Universität Innsbruck (gefördert durch die Standortagentur Tirol). Darüber hinaus fungiert sie als CIS-Auditorin für ISO 27001 und ISO 20000.
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB