Anforderungen an die Integration von iPhones in die Unternehmens-IT

Patric Mitzakoff

Kaum ein erfolgreiches Unternehmen kann es sich leisten, auf die Kommunikationsmöglichkeiten zu verzichten, die Smartphones heute bieten. Laut den Marktforschern aus dem Hause IDC wächst der Smartphone-Markt weltweit in 2011 rasant weiter. Auch die Zahl der Mitarbeiter, die ihre privaten Smartphones im Unternehmen nutzen, steigt von Jahr zu Jahr. Mittlerweile drängen immer mehr Geräte aus dem Consumer-Bereich auf den Markt, die über eine beträchtliche Funktionalität verfügen: Einige haben dabei den Status von Kult bzw. Life-Style Produkten erreicht. Mehr und mehr entsteht der Wunsch der Mitarbeiter, selbst entscheiden zu können, mit welchem Endgerät sie arbeiten wollen. Eines der beliebtesten Smartphones in dieser Hinsicht ist das iPhone.

Die Nutzung von privaten Telefonen im betrieblichen Alltag bedeutet für Unternehmen einerseits Kostenersparnis, andererseits ist der Trend für den IT-Administrator mit erschwerten Bedingungen für die Unternehmens-Sicherheit durch die Vermischung der privaten und geschäftlichen Daten verbunden.
Hinzu kommt noch die Anzahl verlorener oder gestohlener Mobiltelefone, die zeigt, wie riskant Unternehmensdaten bisweilen leben. Die Nutzung privater Smartphones ist problematisch, weil sie in zwei Kernbereichen der IT-Sicherheit eingreift: Datensicherheit und Kontrolle. Doch es gibt Lösungen, die die Integration der Geräte durch ihre Sicherheits- und Kontrollfunktionen erleichtern.
Lange Zeit galt BlackBerry als das bevorzugte Gerät für den professionellen Einsatz. Das ändert sich jedoch rapide: Immer neue Smartphones empfehlen sich für diesen Bereich, immer größer und attraktiver wird die Auswahl. Das iPhone, das sich als eine ernstzunehmende Alternative zu anderen Smartphones entwickelt hat, gehört auch dazu und etabliert sich immer stärker für den Einsatz im Businessumfeld, wie eine Studie von Berlecon und Fraunhofer ESK belegt. Mit der zunehmenden Bedeutung des iPhones sehen sich IT-Administratoren der Frage ausgesetzt, wie diese Geräte in die bestehende Netzwerk-Infrastruktur integriert werden können. Dieser Trend birgt allerdings auch Gefahren für die Unternehmenssicherheit. So laden die Mitarbeiter etwa Unternehmensdaten und Applikationen auf ihr Handy, über die der IT-Verantwortliche dann keine Kontrolle mehr hat. Dieses dynamische Umfeld stellt für den IT-Administrator erschwerte Bedingungen für die Unternehmenssicherheit dar. 

Neben Produkten, welche die persönlichen und natürlich auch unternehmenseigenen Mobilgeräte absichern, gibt es weitere Möglichkeiten, die mobile Sicherheit zu erhöhen. Die Hauptrolle spielt dabei das jeweilige IT-Team im Unternehmen.
Herausforderung Sicherheit – Schutz fürs mobile Endgerät, Schutz fürs Unternehmen
IT Abteilungen tun gut daran, die Herausforderung ernst zu nehmen. Um aber wirkliche Sicherheit zu erreichen, sollten in jedem Fall folgende Standards eingehalten werden: 

Passwortschutz
Der Kern eines jeden IT-Sicherheitssystems ist eine wirksame Zugangskontrolle, zunächst realisiert durch eine Zugangsbeschränkung per Passwort. Der Passwortschutz sollte dabei jedes Mal und unmittelbar aktiviert werden, wenn das Gerät ausgeschaltet ist. Eigentlich eine Selbstverständlichkeit – aber dennoch von vielen Nutzern immer wieder übersehen, unterschätzt oder vergessen. Daher ist es ratsam, diese Form des Schutzes durch eine vom Management festgelegte Passwort-Policy zu gewährleisten. 

Die obligatorische und unternehmensweite Einführung einer Passwort-Policy bietet nach wie vor den effizientesten Schutz für die gesamte Organisation. Die zentrale Kontrolle über Passwörter gibt dem Administrator die Möglichkeit, den Überblick über eine große Anzahl verschiedener Nutzer zu behalten, ohne dabei jedes einzelne Endgerät beachten zu müssen. 

Im Idealfall beinhaltet eine passwortbasierte Policy eine Reihe von Parametern wie beispielsweise die Mindestlänge, die Abfolge von Buchstaben, Zeichen und Zahlen sowie einen monatlichen Wechsel der Passwörter. Hinzu kommt die Möglichkeit für den Administrator, im Bedarfsfall – wenn beispielsweise ein Passwort vergessen wurde –  schnell und abseits unsicherer Übermittlungskanäle wie z.B. dem Festnetz-telefon neue Passwörter zu implementieren und diese an die Nutzer zu übermitteln.

Des Weiteren benötigen Unternehmen Zugriff auf eine Technologie, die ein Löschen der Geschäftsdaten per Knopfdruck (romote wipe) oder nach einer gewissen Zeit der Nichtbenutzung durch den User und damit fehlender Passworteingabe (time bomb) ermöglicht. Damit werden die Unternehmensdaten nachhaltig geschützt.

Verschlüsselung
Sollten sich Lücken im Passwortschutz-System zeigen, gibt es einige konkrete Maßnahmen, einem möglichen Datenverlust infolge des Eindringens Unbefugter vorzubeugen. Dazu gehört vor allem die Verschlüsselungstechnik. 
Selbst wenn es sich in erster Linie um ein Diensthandy handelt, wird es doch oft auch für private Zwecke genutzt und enthält entsprechende Informationen. Viele Unternehmen tendieren dazu, die Möglichkeit einer Verschlüsselung der persönlichen Inhalte zur Verfügung zu stellen. Eine gute Sicherheitslösung sollte stets alles ermöglichen: das Verschlüsseln sämtlicher Informationen genauso wie nur eines Teils wie z.B. Datenbanken und Dateien.  

Back-up 
Auch an entsprechende Back-up- und Datenwiederherstellungs-Mechanismen für mobile Endgeräte sollte der IT-Verantwortliche denken. Dies umfasst vor allem das Back-up sensibler Daten vom Mobilgerät auf einen Server im Unternehmen – empfehlenswert nicht zuletzt auch aufgrund regulatorischer Vorgaben, die im Rahmen einer behördlichen Untersuchung für bestimmte Fälle die Vorlage von Dokumenten und Korrespondenz fordern.

Grundsätzlich gilt: Jede Policy ist nutz- und wertlos, wenn es keine Mechanismen zur Sicherstellung der Compliance, also der Einhaltung durch die Mitarbeiter  des Unternehmens, gibt. Um die Compliance zu gewährleisten, braucht es zweierlei: erstens die Implementierung von geeigneten Sicherheitspolicies – oder alternativ eine vorinstallierte Software-Lösung von Drittanbietern auf jedem einzelnen Endgerät. Und zweitens eine regelmäßige Erfassung aller in Nutzung befindlichen Endgeräte, um zu gewährleisten, dass diese den Sicherheitsbedingungen des Unternehmens entsprechen. Elementare Voraussetzung für eine solche Erfassung ist die Fähigkeit zur drahtlosen Verwaltung und gegebenenfalls Überprüfung der Geräte. 

Ohne eine solche Lösung sind die IT-Verantwortlichen da-rauf angewiesen, dass ihnen die Mitarbeiter freiwillig umfassende Informationen über sensible und zum Teil vertrauliche Daten auf ihren Mobiltelefonen zukommen lassen. Aber welcher Mitarbeiter – erst recht, wenn er viel unterwegs und im Stress ist – würde diese freiwillige kontinuierliche Unterrichtung des IT-Administrators nicht als lästig empfinden und entsprechend wenig Enthusiasmus an den Tag legen? Die Konsequenzen eines solchen ungeregelten Verhaltens sind allerdings für die Unternehmen inakzeptabel: IT und damit die Unternehmensdaten wären in hohem Maß anfällig für Diebstahl oder andere Arten des Verlustes. 

IT fit für die mobile Zukunft machen 
Die mobilen Nutzer von heute wollen das Smartphone ihrer Wahl – wie das iPhone –  sowohl für dienstliche als auch für private Zwecke verwenden. Die Unternehmen sind gezwungen Lösungen zu entwickeln, die nicht nur dem heutigen technischen Stand genügen, sondern auch noch zukunftsfähig sind.
Allein schon die Möglichkeit zu schaffen, sensible Informationen ohne Server Back-up sicher verfügbar zu machen, ist eine enorme Herausforderung für jede IT-Abteilung. 
Wie dieser Artikel zeigt, gibt es aber Möglichkeiten, die den Mitarbeiter nicht unverhältnismäßig einengen, den IT-Verantwortlichen das Management im Bereich Mobility vereinfachen - und nebenbei noch die Sicherheit der Unternehmensdaten gewährleisten. 
Spezielle IT-Lösungen können bei der Integration von iPhones und anderen Smartphones helfen. Die Lösungen von Good Technology etwa sorgen zum einen für die erforderliche IT-Sicherheit und entlasten zum anderen das IT-Team von den zeitraubenden Routineaufgaben, die aufgrund der Integration der verschiedenen mobilen Plattformen anfallen.

Schlüsselwörter:

Passwortschutz, Verschlüsselung, Back-Up