Springe zum Hauptinhalt

2011-08: Gefährliches Managerspielzeug

Wer heut­zu­ta­ge nicht per­ma­nent sein Smart­pho­ne check­t, in Fa­ce­boo­k, bald auch Goo­gle+ pos­tet oder kurz die neus­te Sta­tus­mel­dung twee­tet, der ist hoff­nungs­los hin­term Mon­d. Im­mer und über­all auf sein Da­ten zu­grei­fen kön­nen, so lau­tet die De­vi­se der jun­gen, dy­na­mi­schen In­for­ma­ti­ons­ge­ne­ra­ti­o­n, die den Ar­beits­markt re­vo­lu­tio­nier­t. Smart­pho­ne und Ta­blet ma­chen´s mög­lich.

Die­se Ar­beit­neh­mer will die Fir­ma ha­ben: Oh­ne Rück­sicht auf Ur­laub, Wo­chen­de oder Fei­er­abend checkt der en­ga­gier­te Mit­a­r­bei­ter sei­ne Mails – und greift im Be­da­rfs­fall auch gleich ein. Da lacht das Con­trol­ler­-­Her­z, wenn der Mit­a­r­bei­ter ihm frei­wil­lig statt der ver­trag­lich ver­ein­bar­ten 37,5 Stun­den glat­te 50 spen­diert und all­zeit be­reit auf Fir­men­kal­ku­la­ti­o­nen, Fir­men­prä­sen­ta­ti­o­nen und Kun­den­da­ten zu­greift. Denn das Smart­pho­ne, das Net­boo­k, der Ta­blet PC ist ja Gott­sei­dank imm­mer da­bei.

Der Per­so­na­ler liest die Be­wer­bungs­mails abends auf dem iPa­d, den Le­bens­lauf druckt er über einen Clou­d­-­Ser­vice aus. Der Ver­trieb­ler greift der in­zwi­schen viel lie­ber mit sei­nem iPho­ne auf die Kun­den­da­ten­bank zu­greift statt mit dem sauschwe­ren Fir­men­no­te­book und nicht zu­letzt führt der Ge­schäfts­füh­rer der sei­nen Golffreun­den stolz sein coo­les neu­es An­dro­i­d­-­Han­dy vor und ruft da­mit live Da­ten aus dem in­ter­nen Wa­ren­wirt­schafts­sys­tem ab. Toll, su­per, was nicht al­les geht! Man ist be­geis­ter­t. Man ist be­ein­druck­t.

Horrorszenario: Consumer-IT im Business-Umfeld

Es tut mir lei­d, die­se tol­le Ent­wick­lung ma­dig zu ma­chen. Aber aus Se­cu­ri­ty­-­Sicht der sind das Hor­ror­-­S­ze­na­ri­en: Die smar­ten Kol­le­gen mit ih­ren pri­va­ten Smart­pho­nes und Ta­blet – und noch mehr ih­re Chefs -- soll­ten sich be­wusst sein, dass ihr pri­va­tes Spiel­zeug Con­su­mer­-­Ge­rä­te mit Con­su­mer­-­Be­triebs­sys­te­men sin­d. Das heißt, es gibt kein "En­ter­pri­se Ma­na­ge­ment", das da­für sorg­t, dass man da­mit si­cher und zu­ver­läs­sig ar­bei­ten kann. Das iPho­ne lässt sich im lau­fen­den Be­trieb knacken, auch der Pass­co­de ist kein Schutz. Das zeigt das c't Ma­ga­zin in Aus­ga­be 15/2011. Für An­dro­id Up­dates auch nur Se­cu­ri­ty­-­Pat­ches zu be­kom­men, ist ein klei­nes Kunst­stü­ck: Die meis­ten Her­stel­lern Her­stel­ler in­ter­es­siert das gar nicht. Das be­legt auch die neus­te Stu­die von Sy­man­tec die Ipho­ne und An­dro­id ganz klar die Busi­ness­-­Taug­lich­keit ab­spre­chen. Ein­zig der Black­ber­ry, der von je­her auf den Un­ter­neh­men­s­ein­satz aus­ge­legt ist, bie­tet ent­spre­chen­de Lö­sun­gen. Aber der Black­ber­ry ist ja auch to­tal un­cool, denn für den gibt es ja die gan­zen tol­len Ap­ps nicht.

Und keine rechtliche Handhabe

Und was ist, wenn das pri­va­te Smart­pho­ne, auf dem ja kei­ner Schutz­me­cha­nis­men von Fir­men­sei­te in­stal­liert sin­d, ge­klaut wird? Na ja, man könn­te die Da­ten aus der Fer­ne lö­schen – so­lan­ge der Dieb die SIM­-­Kar­te nicht gleich her­aus­nimm­t. Aber tut man das, wenn das Han­dy "nur" zwei Stun­den nicht auf­find­bar ist? Und darf der Ar­beit­ge­ber über­haupt das über­haupt ein­for­dern oder gar an­ord­nen. Darf er nicht, denn er darf ja nicht ein­mal pri­va­te Mails vom Fir­men­ser­ver lö­schen.

An­dro­i­d, iOS und Co sind ver­ant­wort­lich für ein ganz ganz gro­ßes schwa­r­zes Si­cher­heits­loch. Des­sen soll­ten sich Fir­men­chefs be­wusst sein, wenn sie ih­re Ad­mins drang­sa­lie­ren, al­le mo­bi­len De­vices "ins Sys­tem" zu be­kom­men. Denn die sind ein­fach froh, dass sie es ge­schafft ha­ben. Sie wer­den kei­ne Zeit und Ener­gie auf­wen­den, sich auch noch Ge­dan­ken um die Si­cher­heit zu ma­chen und sich ihr Image als coo­le Jungs ver­sau­en.

Und von Ar­beit­neh­mer­sei­te sind auch ein, zwei kri­ti­sche Ge­dan­ken er­laub­t: Wer will schon bei ei­nem Un­ter­neh­men ar­bei­ten, dass stän­di­ge Ver­füg­bar­keit vor­aus­setz­t? Wer will wirk­lich bei ei­nem Un­ter­neh­men ar­bei­ten, das so un­sen­si­bel mit den Da­ten um­geht – auch mit mei­nen? Und das da­mit wo­mög­lich ho­he Schä­den ris­ki­er­t, die am En­de den ei­ge­nen Ar­beits­platz kos­ten.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de