Schluss mit der Schwarz-Weiß-Malerei!

BYOD gilt aller Unkenrufe zum Trotz immer noch als eine der Top-Prioritäten der Unternehmen. Die Kernfrage lautet nach wie vor: „Wie soll die Kontrolle fremder Geräte im Unternehmensnetzwerk genau aussehen?“ Laut einer Studie der Dell Software Group vom Frühjahr 2013 glauben 70 Prozent der Mitarbeiter in Unternehmen, dass BYOD die Produktivität der Mitarbeiter und die Reaktionszeit des Supports verbessert. Insbesondere CIOs und CSOs hingegen fragen sich weiterhin, ob diese Vorteile den ganzen Aufwand wert sind.

Ein komplettes Verbot der Nutzung privater Mobiltelefone am Arbeitsplatz, wie Anfang des Jahres in einem amerikanischen Krankenhaus angeordnet, würde in Deutschland auf Widerstand stoßen. Über ein Drittel der Angestellten würden sogar mit dem Gedanken spielen, sich einen anderen Job zu suchen, würde man ihnen verbieten, ihre privaten Mobilgeräte am Arbeitsplatz zu nutzen. Dies ist also auch keine Lösung, um Datenschutzverstöße zu vermeiden und gleichzeitig um die Implementierung eines aufwendigen BYOD-Programms herum zu kommen. Was also tun?

Ein Teil der Unentschlossenheit in Sachen BYOD resultiert aus der Tatsache, dass Führungskräfte bei diesem Problem immer noch zu Schwarz-Weiß-Malerei neigen. Sie betrachten die Situation und fragen sich, ob sie die Geräte der Mitarbeiter sperren oder ihnen Zugriff gewähren sollten. Aber stellen sie sich damit die richtige Frage? Vielleicht gibt es ja auch einen Mittelweg aus diesem Dilemma. Anstatt eine Debatte auf der Basis von „Zulassen oder Blockieren” zu führen, ist es dringend erforderlich, mehr Flexibilität in BYOD-Modelle zu bringen, indem die Zugangsstufen je nach Nutzer, Gerätetyp usw. durch mehr Granularität erweitert werden. Ein solcher Ansatz beeinflusst möglicherweise auch die Art der  Technologie, die zur Kontrolle der Nutzung der Mobilgeräte erforderlich ist.

Es kann erfolgreich sein, sich bei der Verwaltung von Unternehmensdaten ausschließlich auf Endpunktagenten zu verlassen, die auf jedem einzelnen Smartphone und Tablet installiert sind. Entwirft man aber ein Szenario, in dem BYOD und Guest User mitmischen, schüren solche Agenten unvermeidlich Unzufriedenheit. Nutzer, insbesondere Gäste und Auftragnehmer, empfinden es oft als aufdringlich, wenn die Nutzung ihres persönlichen Mobilgerätes vom Grad der Sichtbarkeit und Kontrolle abhängt, den diese Agenten einem Unternehmen liefern. Zudem gibt es da noch das Problem mit dem Agenten, der weiterhin aktiv bleibt, auch wenn die Nutzer das Umfeld dieses Unternehmens verlassen. Es können auch Konflikte mit anderen, vom Auftraggeber des Nutzers installierten Agenten auftreten. Des Weiteren verführt die „Zulassen-oder- Blockieren”-Strategie auch Endnutzer dazu zu versuchen, sich einzuhacken oder nach Workarounds zu suchen, um sich in das Netzwerk einzuschleichen. Da Endnutzer heutzutage einigermaßen viel technisches Verständnis haben und weil es immer die Möglichkeit gibt, dass sich Endnutzer mithilfe von Kollegen mit Firmennetzwerk-Know-how helfen lassen, ist die Wahrscheinlichkeit hoch, dass diese Nutzer unkontrolliert im Firmennetzwerk ein uns aus gehen können.

Der Schlüssel zur BYOD-Flexibilität besteht darin sicherzustellen, dass jeder Nutzer die Zugangsstufe erhält, die er braucht. IT-Sicherheitsanbieter erleben oft, dass technische Führungskräfte sich hierzu ein Arsenal an Netzwerk-Kontrollmechanismen zulegen, wodurch ein BYOD-Netzwerkzugriff auf granularem Niveau ermöglicht wird. Ein Richtlinien-Block legt den Zugriff auf Basis des Endpunkt-Typs und der erforderlichen Nutzerzugehörigkeit fest. Die Genehmigungen werden im Netzwerk selbst verwaltet und es ist unerheblich, von welchem WLAN oder VPN sie kommen. Wichtig ist, dass dadurch die sensible und problematische Frage der Installation invasiver Kontrollen auf den Mobilgeräten von Gästen oder Auftragnehmern vermieden wird, weil sie ohne einen Agenten oder eine App auf dem Gerät laufen. Verbesserte Netzwerkkontrollen bieten CIOs die Möglichkeit eines flexibleren Ansatzes und tragen dazu bei, die Frage der BYOD-Sicherheit weniger zu einer Entweder-Oder-Entscheidung zu machen.


Zum Unternehmen
ForeScouts Steckenpferd sind Network-Access-Control-Lösungen (NAC), insbesondere in der Verschränkung mit Mobile Device Management (MDM). ForeScout weitet dabei den NAC-Ansatz in Richtung EVAS (Endpoint Visibility, Access and Security) aus. Features der Lösungen beschreiben das kontinuierliche Monitoring und die Eindämmung von Sicherheitsvorfällen, die Automatisierung von Prozessen und die ständige Verfügbarkeit von Informationen darüber, wer sich wo im Netzwerk befindet.