Zu strenge Sicherheitsrichtlinien für mobile Geräte?
Gestohlene Laptops, verlorene BlackBerrys – die Fachmedien sind voll von Geschichten über Vorfälle, die zu Verletzung der Datenintegrität geführt haben. Im Zuge der zunehmenden Mobilität haben IT-Manager die Notwendigkeit erkannt, mobile Geräte zu überwachen und zu kontrollieren, um die darauf gespeicherten Informationen zu schützen. Doch die entwickelten Policies laufen dem kulturellen Wandel entgegen.
Anwenderwünsche treiben die Technologieentwicklung voran, während in vielen Unternehmen Management und Sicherheit im Vordergrund stehen. Trotzdem können IT-Manager oft nicht Nein sagen, wenn Führungskräfte mit neuen Geräten auftauchen, die sie gerne verwenden möchten. Dies schafft Situationen, die einer konsequenten Sicherheitspolitik nicht zuträglich sind. Darüber hinaus sind Endanwendergeräte, wie das iPhone und Android-basierte Smartphones, zwar einfach zu bedienen, aber weniger leicht zu administrieren. Die Herausforderung beim Aufbau des Supports ist die Anwendersicht, dass Mobilität ein Endanwenderdienst und daher “einfach” einzuführen und zu unterstützen sei.
Eine ausgezeichnete Philosophie für die Definition von Security Policies ist der Ansatz, dass Sicherheit konsistent und unaufdringlich sein muss, um effektiv zu sein. Wie oft, wenn es um Mobilität geht, ist diese Konsistenz und Unaufdringlichkeit nicht immer gegeben. In manchen Unternehmen wird das Thema nicht von anderen IT-Infrastrukturen unterschieden – und Sicherheitsvorschriften beziehen sich dort auf Informationen und nicht auf Geräte. Viele Unternehmen haben mannigfaltige Kontrollen für alles und jedes eingerichtet. Kontrolle ist notwendig. Doch zu viel Kontrolle verleitet die Mitarbeiter dazu, die Schranken zu umgehen, die die IT eingerichtet hat, um die Zahl der Geräte zu begrenzen, die sich mit dem Netzwerk verbinden und geschäftlich genutzt werden dürfen. Dieses IT-Verhalten hat tatsächlich eine “Abgrenzung” geschaffen.
Am anderen Ende des Spektrums wird einzelnen Unternehmensbereichen gestattet, eine eigene Sicherheitspolitik ohne Bezug zum Gesamtunternehmen zu verfolgen. Dies kann sinnvoll sein, wenn jeder dieser Geschäftsbereiche andere betriebliche Anforderungen hat und anders geartete Gefahren abwehren muss. In den meisten Fällen wird für jede Anwendung und ihre Informationen eine allgemeine Gefahren-/Risikobewertung sowie eine spezifische Risikobewertung des Datenschutzes durchgeführt. Wenn sich bei einer davon ein hohes Sicherheitsrisiko zeigt, löst das eine striktere Sicherheitsposition aus.
IT Security Manager geben zu verstehen, dass sie gute Sicherheitsrichtlinien haben und alle Risiken bekannt sind, einige der Policies trotz aller Bemühungen aber bloße Papiertiger mit wenig echter Durchsetzungskraft sind. Obwohl viele von ihnen zukunftsorientiert sind, hinken IT Security Manager oftmals Sicherheitsproblemen hinterher, weil vernünftiges Management bei einer immer schnelleren Technologieentwicklung kaum mehr möglich ist. In vielen Fällen werden Sicherheitsrichtlinien von Businessentscheidungen und -notwendigkeiten zur Seite gedrängt. Sicherheitspolitik steht dann häufig hintan, während Mobilitäts- und Kollaborationsbedürfnisse Richtung und Tempo vorgeben.
Auf der anderen Seite sind die Anwender in vielen Organisationen der Meinung, dass das Thema Sicherheit überbetont wird und die Vorgaben zu aufdringlich sind. Das Ungleichgewicht zwischen Anwenderwünschen und Sicherheitserfordernissen ist die Ursache für viele Reibungen, die wir feststellen.