Das Smartphone ist eine eigene Geräteklasse
Es folgt die Einschätzung von John Yeo. Director von SpiderLabs:
Um zu verstehen, wie (private) Smartphones und Tablets plötzlich in Scharen in der Unternehmens-IT mitmischen, müssen wir ganz oben in der Unternehmenshierarchie ansetzen. Wenn nämlich der Geschäftsführer oder Vorstandsvorsitzende sein Smartphone oder seinen Tablet für geschäftliche Zwecke möchte, dann setzt er sich damit durch, desgleichen alle direkten Mitarbeiter des Geschäftsführers oder Vorstandsvorsitzenden und deren direkte Mitarbeiter, und so weiter! Und schon bald hat das ganze Unternehmen Smartphones, die an das Unternehmens-Netzwerk angeschlossen ist und Zugriff auf Emails, Kalender, Kontakte und andere Informationen ermöglichen. Das ist dann der Moment, in dem der IT-Sicherheitsadministrator aufhört, Firewall-Logs zu prüfen und feststellt, es gibt ein Problem: Alle diese Smartphones und Tablets sind ja richtige Computer, fügen sich aber bei einer Anbindung an das Unternehmensnetzwerk mitnichten in die Sicherheitsrichtlinien des Unternehmens ein. Letztere basieren ja unter anderem auf Grundsätzen wie den folgenden:
Regel 1: Das Gerät muss dem Unternehmen gehören und von diesem ausgegeben werden.
Regel 2: Es muss mit der zentralen Domain verbunden sein.
Regel 3: Es muss über eine Anti-Virus-Software verfügen.
Regel 4: Die Nutzer dürfen lokal keinen administrativen Zugriff haben.
Der IT-Sicherheitsadministrator geht jede einzelne Regel durch und erkennt schnell, dass keine der Regeln für Smartphones gilt, angefangen mit der allerersten. Jeder, vom CEO bis hinunter zu den Mitarbeitern der Poststelle, hat sein eigenes Gerät gekauft. Der Administrator ist normalerweise nicht in der Position, seinem Chef und dem Chef seines Chefs zu sagen, dass das Unternehmen alle Smartphones vom Netzwerk trennen muss und unternehmenseigene Geräte für all seine Mitarbeiter beschaffen muss. Das ist der Zustand, in dem sich heutzutage die meisten Organisationen befinden. Smartphones sind als eigene Geräteklasse einzustufen und über Maßnahmen zu sichern, die sich deutlich von denen für Server und PCs unterscheiden. Dazu gehören beispielsweise Sandbox-Verfahren, wie sie teilweise in den Mobilgeräte-Management-System selbst enthalten sind, beispielsweise im iOS von Apple, vor allem gehören dazu aber spezielle Mobile Device Management-Systeme, wie sie etwa von Herstellern wie Airwatch, Good Technology, McAfee oder MobileIron angeboten werden. Mag sein, dass auch Virtualisierungstechniken hilfreich sein können, hier ist aber sicher noch ein Stück Weg zu gehen. Auf jeden Fall muss Folgendes gelten: Solange die Geräte selbst nicht von sich aus oder über Add-ons von Drittherstellern Lösungen anbieten, ist die genaue Festlegung des Supports der Smartphones durch die Organisationen, der Support ihrer Nutzer und der von ihnen benötigten Daten essenziell. Nur wenn diese Geräte als eigener Anlagentyp – bei dem Applikationen, Management und Sicherheit viel enger miteinander verknüpft sind als bei Servern und PCs – behandelt werden, werden die IT-Sicherheitsabteilungen in der Lage sein, die in ihrem Umfeld vorhandenen Smartphones sichern zu können.