Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:
Sie sind hier: Startseite Hartmut Goebel CISSP-Geflüster 2011-08: Gefährliches Managerspielzeug

2011-08: Gefährliches Managerspielzeug

Um junge, kreative Menschen als Mitarbeiter zu gewinnen, muss ein Arbeitgeber nun erlauben, dass sie ihre eigenen Smartphones, Tablets, Notebooks verwenden, so fordert es der neue Trend "Bring you own device". Das spart den Firmen Geld und motiviert auch nach Feierabend zu Überstunden. Sehr schön. Aber halt mal, soll Kollege Müller wirklich mit seinem privaten iPhone zu Hause auf die aktuellen Verkaufszahlen zugreifen dürfen?

Wer heutzutage nicht permanent sein Smartphone checkt, in Facebook, bald auch Google+ postet oder kurz die neuste Statusmeldung tweetet, der ist hoffnungslos hinterm Mond. Immer und überall auf sein Daten zugreifen können, so lautet die Devise der jungen, dynamischen Informationsgeneration, die den Arbeitsmarkt revolutioniert. Smartphone und Tablet machen´s möglich.

Diese Arbeitnehmer will die Firma haben: Ohne Rücksicht auf Urlaub, Wochende oder Feierabend checkt der engagierte Mitarbeiter seine Mails – und greift im Bedarfsfall auch gleich ein. Da lacht das Controller-Herz, wenn der Mitarbeiter ihm freiwillig statt der vertraglich vereinbarten 37,5 Stunden glatte 50 spendiert und allzeit bereit auf Firmenkalkulationen, Firmenpräsentationen und Kundendaten zugreift. Denn das Smartphone, das Netbook, der Tablet PC ist ja Gottseidank immmer dabei.

Der Personaler liest die Bewerbungsmails abends auf dem iPad, den Lebenslauf druckt er über einen Cloud-Service aus. Der Vertriebler greift der inzwischen viel lieber mit seinem iPhone auf die Kundendatenbank zugreift statt mit dem sauschweren Firmennotebook und nicht zuletzt führt der Geschäftsführer der seinen Golffreunden stolz sein cooles neues Android-Handy vor und ruft damit live Daten aus dem internen Warenwirtschaftssystem ab. Toll, super, was nicht alles geht! Man ist begeistert. Man ist beeindruckt.

Horrorszenario: Consumer-IT im Business-Umfeld

Es tut mir leid, diese tolle Entwicklung madig zu machen. Aber aus Security-Sicht der sind das Horror-Szenarien: Die smarten Kollegen mit ihren privaten Smartphones und Tablet – und noch mehr ihre Chefs -- sollten sich bewusst sein, dass ihr privates Spielzeug Consumer-Geräte mit Consumer-Betriebssystemen sind. Das heißt, es gibt kein "Enterprise Management", das dafür sorgt, dass man damit sicher und zuverlässig arbeiten kann. Das iPhone lässt sich im laufenden Betrieb knacken, auch der Passcode ist kein Schutz. Das zeigt das c't Magazin in Ausgabe 15/2011. Für Android Updates auch nur Security-Patches zu bekommen, ist ein kleines Kunststück: Die meisten Herstellern Hersteller interessiert das gar nicht. Das belegt auch die neuste Studie von Symantec die Iphone und Android ganz klar die Business-Tauglichkeit absprechen. Einzig der Blackberry, der von jeher auf den Unternehmenseinsatz ausgelegt ist, bietet entsprechende Lösungen. Aber der Blackberry ist ja auch total uncool, denn für den gibt es ja die ganzen tollen Apps nicht.

Und keine rechtliche Handhabe

Und was ist, wenn das private Smartphone, auf dem ja keiner Schutzmechanismen von Firmenseite installiert sind, geklaut wird? Na ja, man könnte die Daten aus der Ferne löschen – solange der Dieb die SIM-Karte nicht gleich herausnimmt. Aber tut man das, wenn das Handy "nur" zwei Stunden nicht auffindbar ist? Und darf der Arbeitgeber überhaupt das überhaupt einfordern oder gar anordnen. Darf er nicht, denn er darf ja nicht einmal private Mails vom Firmenserver löschen.

Android, iOS und Co sind verantwortlich für ein ganz ganz großes schwarzes Sicherheitsloch. Dessen sollten sich Firmenchefs bewusst sein, wenn sie ihre Admins drangsalieren, alle mobilen Devices "ins System" zu bekommen. Denn die sind einfach froh, dass sie es geschafft haben. Sie werden keine Zeit und Energie aufwenden, sich auch noch Gedanken um die Sicherheit zu machen und sich ihr Image als coole Jungs versauen.

Und von Arbeitnehmerseite sind auch ein, zwei kritische Gedanken erlaubt: Wer will schon bei einem Unternehmen arbeiten, dass ständige Verfügbarkeit voraussetzt? Wer will wirklich bei einem Unternehmen arbeiten, das so unsensibel mit den Daten umgeht – auch mit meinen? Und das damit womöglich hohe Schäden riskiert, die am Ende den eigenen Arbeitsplatz kosten.