Veröffentlicht am

Bring Your Own Device

byod - bring your own deviceNutzerverhalten ändert sich. Das ist normal wenn sich Möglichkeiten ändern. Das ist allerdings auch ein Risiko wenn Unternehmen sich darauf nicht vorbereiten.

Bring your Device (BYOD) wird heiß diskutiert und oft eher nur als Risiko gesehen. Es bringt aber auch klare Vorteile.

 

Warum also eigentlich nicht?

 

Immer mehr Nutzer haben Smartphones oder private Laptops, die momentan als Risiko für Unternehmensnetzwerke gesehen werden.

Natürlich geht von diesen Geräten ein bestimmtes Risiko aus. Aber sie bringen ganz sicher auch einen Nutzen. Der Versuch einer sachlichen Näherung.

Menschen sind vernetzt. Mit Menschen aus dem beruflichen Umfeld. Oder mit Menschen, die gemeinsame Interessen haben. Wie viele Maschinenbauer sind z.B. begeisterte Schrauber oder RC-Modellbauer und sind gewohnt in dem Bereich zu improvisieren und nach Lösungen zu suchen? Wie viele Elektrotechniker basteln privat an Mikrocontrollersteuerungen für die Hausautomation?

Warum nicht auch als Unternehmen von dieser Tatsache profitieren? Das ist doch auch gar nicht so ungewöhnlich in der analogen Welt. Man hört von Freunden und Bekannten von Seminaren oder Fortbildungen, erhält interessante Denkanstöße. Alles Gelernte wird auch im Beruf indirekt genutzt.

Und heute passiert diese Vernetzung eben über Smartphones, Tablets und soziale Medien.

Die Vernetzung ist schneller, breiter und oft auch inhaltlich tiefer als früher. Wir leben in einer Informationsgesellschaft.

Und Informationen laufen ganz oft auf diesen privaten Geräten zusammen. In einer der persönlichen Arbeitsweise des Mitarbeiters entsprechenden Form. Auf einem Betriebssystem, das der Anwender mag. Mit dem er sich auskennt und souverän umgeht.

Warum muss ein Mitarbeiter im Betrieb auf seine aus dem privaten Umfeld gewohnten Arbeitsumgebung verzichten? Nur weil es die interne Unternehmensrichtlinie vorsieht?

Nehmen wir den Arbeitsplatzrechner doch einmal unter dem Gesichtspunkt Mitarbeitermotivation unter die Lupe. Mit dem „Nebenaspekt“ Sicherheit.

Von IT-Verantwortliche hört man oft das Killerargument: „Das können wir nicht unterstützen.

Mag sein. Aber muss man das? Kann der User das oft nicht sogar besser selbst? Warum nicht ein wenig mehr dem Anwender vertrauen und Verantwortung an den User weitergeben? Man erhält im Gegenzug einen dem Equipment positiv gegenüberstehenden Mitarbeiter. Der sich mit Sicherheit um „sein Eigentum“ besser kümmert als wenn er das Gerät einfach in der IT pflegen lassen muss.

Auch das ist ein Argument: Der Mitarbeiter sorgt mit Sicherheit für besseren Datenschutz, wenn auch die eigenen Daten betroffen sind, wenn ein Virus zuschlägt.

Oder ein anderer Ansatz: Alarmketten in der IT. Welcher IT-Mitarbeiter kriegt wirklich immer alle aktuellen Sicherheitswarnungen mit? Hand auf’s Herz…. Mir geht durchaus auch mal was durch. Und dann bin ich dankbar für Informationen über Facebook, Twitter oder RSS-Streams.

Warum also nicht über den Twitter-Account eines Mitarbeiters von aktuell genutzten Sicherheitslücken erfahren? Ich fand sowohl die Warnung über offene WLAN-Router der Telekom, als auch die Warnung vor einer als Telekom-Rechnung getarnten PDF-Datei absolut hilfreich und wusste ganz sicher sehr früh davon. Und konnte das weitergeben.

Man kann als IT-Verantwortlich also durchaus auch von dieser Vernetzung profitieren!

Lieber vor einer pdf-Datei mit Schadcode warnen, als hinterher im ganzen Unternehmen einen Virenscan mit Beseitigung fahren zu müssen. Also kann man „Bring your own device“ auch für proaktives Handeln nutzen.

Was her muss, sind Regeln und Richtlinien, wie mit den Devices umzugehen ist.

Das fängt im Bereich Infrastruktur damit an, dass Port-Security als Thema aktiv angegangen wird. Jeder Mitarbeiter darf nur wirklich sein freigegebenes Gerät ins Netzwerk einbringen. Clientzertifikate, 802.1x als Thema. Aufklären, warum das so sein muss.

Oder für mobile Devices wie Smartphones einen eigenen WLAN-Bereich aufziehen? Der Mitarbeiter ist froh, wenn seine Datentarife nicht über die Drosselungsgrenze gehen.

Solange die Arbeit nicht darunter leidet, ist eigentlich kein Argument zu sehen was dagegen spricht. Im Gegenteil. Im Alltag gibt es immer wieder Lücken, wo einfach nichts zu tun ist. Warum also nicht dem Mitarbeiter zugestehen, dass er stattdessen seinen Twitter-Stream liest? In Zeiten wo viel Arbeit anfällt, hat man als Unternehmer dafür einen hoch motivierten, sich im Unternehmen wohlfühlenden Mitarbeiter.

Das nutzt der Unternehmenskultur ganz sicher.

Nachdenken lohnt sich also.

Veröffentlicht am

Ein Handy auf Reisen

Die Vorratsdatenspeicherung und was allein mit den beim Handynetzbetreiber gespeicherten Daten möglich ist:

http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten

Das muss man eigentlich nicht weiter kommentieren. Was man daraus so alles in Kombination mit Daten aus sozialen Netzwerken machen kann mag jeder einmal selber überlegen.

Und das die Daten ohne Rechtsgrundlage genutzt werden hat Dresden klar bewiesen. Ein Beitrag des Magazins Fakt:

http://www.youtube.com/watch?v=DXIBOjMg6l0

Im Grunde kann aus diesem Beispiel nur eines ableiten: Öfter mal das Handy ausmachen. Oder in Keksdosen legen wie in so manchem Unternehmen, Evonik wird schon wissen warum man das macht. Quelle: Spiegel Online

 

Veröffentlicht am

Die App als Sicherheitsrisiko

Apps als SicherheitsrisikoDie App als Sicherheitsrisiko ? !

Eine nicht ganz unberechtigte Frage. Oder nein. Eigentlich schon eine Antwort.

Der Versuch eines Lösungsansatzes.

Momentan tauchen jeden Tag neue Meldungen auf, das wieder eine App für iPhone oder andere Smartphones gefunden wurde, die Daten ungewollt und unbemerkt heraus gibt.

Der erste Lösungsansatz „Nicht mehr benutzen…“ ist für so manchen SocialMedia-Manager aber kaum realisierbar. Für Kommunikationsprofis stellen diese Apps einen klaren Vorteil dar und sind unverzichtbares Werkzeug der täglichen Arbeit.

Ohne ein belastbares Netz von Kontakten ist die Arbeit einfach nicht zu machen. Und diese Kontakte müssen eigentlich auch ständig im Zugriff sein.

Auf den zweiten Blick ist das, was die Apps tun, allerdings rechtlich nicht ganz ohne Brisanz.

Konstruieren wir als Beispiel den Fall eines SocialMedia-Profis, der für einen Konzern Kommunikationsstrategien entwickelt. Er/Sie wird auf seinem Smartphone eine Menge Kontakte des Auftraggebers haben. Auch andere Kontakte, nämlich die seiner Referenten für Schulungen. Event-Locations, Dienstleister. Im Grunde ist der projektleitende SocialMedia Manager die Spinne in dem Mitte des Netzes, bei der alle Fäden zusammenlaufen.

Das geht möglicherweise so weit, dass für interne Events vertrauliche, interne Konzernkontakte dabei sind, deren Daten in der Öffentlichkeit unerwünscht oder sogar schädlich sind.

Nun verliert dieser Kommunikationsprofi über so eine App die Daten. Damit sind diese Daten als kompromittiert zu betrachten. Anvertraute Daten sind weitergegeben worden.

Widerspricht das nicht klar der abgegebenen Vertraulichkeitserklärung? Stellt so ein Sachverhalt bei einem Journalisten nicht auch eine nach dem Journalistenkodex unerlaubte Quellenweitergabe dar? Und was ist mit dem Bundesdatenschutzgesetz?

Die nicht authorisierte Weitergabe personenbezogener Daten stellt einen Verstoß gegen das Bundesdatenschutzgesetz dar.

Also ganz konkret nachgefragt: Hat jemand, der Pinterest, Path oder Foursquare auf seinem Smartphone benutzt schon einmal seine vorgeschriebene Informationspflicht erfüllt und die betroffenen Kontakte über den nachgewiesenen Datenverlust informiert?

Die ersten Klagen werden spätestens dann kommen, wenn solche Daten für den Auftraggeber wahrnehmbar von Dritten genutzt werden. Und dann hilft dann kein Jammern mehr.

Hier ist ganz schnell ein Umdenken erfoderlich.

So bequem all diese Smartphone-Tools auch sind, sie sind gefährlich. Für alle, die damit umgehen oder damit erfasst werden.

Die klare Konsequent für jeden SocialMedia Profi muss aus meiner Sicht sein, alle genutzten Apps auf Herz und Nieren zu prüfen. Also im Sinne des Risikomamagements klar festhalten, welche Daten fließen sicher ab, welche nur eventuell und welche gar nicht.

Nur dann kann der Auftraggeber entscheiden, welche Tools in der Kampagne genutzt werden dürfen und welche Informationen einem Verlustrisiko ausgesetzt sein dürfen. Und erst auf dieser Basis darf dann die klar formulierte Vertraulichkeitserklärung abgegeben werden!

Es gibt die zur Bewertung nötigen technischen Möglichkeiten um den Datenstrom zu scannen und zu bewerten. Wer vorhandene Möglichkeiten nicht nutzt und den Kopf in den Sand steckt, handelt zumindest grob fahrlässig.

Veröffentlicht am

Kein Netz ohne Netz

Ohne IT-Infrastruktur wird es eng.

Also simulieren die Behörden im Rahmen der Lükex 2011 was passieren könnte, wenn ein IT-Netzausfall die Kommunikation behindert.

So eine ähnliche Simulation gab es schon einmal. Mit relativ spannenden Ergebnissen.

Ausgangsszenario damals: Die Stromversorgung fällt flächendeckend aus. Die Konsequenzen waren weit reichend, denn ohne Strom fallen binnen kürzester Zeit gewohnte Zivilisationsstandards weg.

Kühltruhen in Geschäften versagen, nicht einmal die elektrischen Türen funktionieren noch. Keine Kassensysteme mehr. Und wie zahlt man beim Händler? Mit EC-Karte oder bar? In den Banken fehlt der Strom, um den Tresor zu öfnen, die Geldautomaten fallen aus.

Bald fällt auch der Nachschub an Lebensmitteln aus, denn die LKW für die Nachlieferung brauchen Diesel. Wie kriegt man den in den Tank? Die Pumpen sind alle elektrisch.

Gravierend auch damals die Tatsache, dass alle Rundfunkgeräte digitalisiert wurden. Es geht nicht wie früher: Batterie, ein paar Transistoren und Spulen und man konnte im Rundfunk hören was passiert. Die heutigen Geräte haben einen deutlich höheren Stromverbrauch. Und vor allem: Wer hat heute noch ein altes analoges Radio?

Und wenn man was hören könnte, wie soll man es senden? Kann man einen Sendebetrieb eigentlich noch aufrecht erhalten? Größtes Problem auch damals: die Kommunikation! Wie kann die Menschen weiter informieren? Was tun wenn Panik ausbricht?

Es wird dringend Zeit, diese technologiehörige Zivilisation einmal kritisch zu hinterfragen. Lassen wir uns überraschen, was die Lückex 2011 an Ergebnissen bringt. Denn es gibt eine Menge kritischer Punkte in der IT-Infrastruktur. Man muss sie nur sehen (wollen).