In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:
In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.
Wie beide Firmen letzte Wochen übereinstimmen mitteilten, wird das US-Unternehmen Good Technology von dem kanadischen Smartphone-Hersteller Blackberry übernommen. Der geplanten Übernahme stehen noch die notwendigen behördliche Genehmigungen der Kartelbehörden aus Ziel ist Anteilsmehrheit bis November 2015 abgeschlossen werden und könnten eine Marktmacht im BYOD Bereich bilden. Beide Unternehmen, die sich bereits oft juristisch bei Patentstreitigkeiten gegenüberstanden, arbeiten im Bereich des Enterprise Mobility Managements (kurz EMM) und könnten durch den Zusammenschluss eine neue Marktmacht bilden. Die Sicherheitslösungen der bisherigen Konkurrenten für den Einsatz von mobilen Endgeräten wie Smartphones oder Tablets ergänzen sich anscheinend perfekt. Blackberry COO Marty Beare sagte zur Bekanntgabe der Übernahmepläne: "Einige Leute wissen vielleicht nicht, dass Blackberry und Good seit über einem Jahrzehnt Lösungen für sichere Mobilität liefern. Unsere Branche ist sehr umkämpft und entwickelt sich ständig weiter, weshalb es nicht erstaunlich ist, dass wir bisweilen aggressive Positionen einnehmen. Sieht man aber genauer hin, haben wir eine gemeinsame Heimat im Sicherheitsbereich, und unsere Stärken ergänzen sich unglaublich gut."
Für die Kanadier ist die Fusion insbesondere eine Stärkung im Bereich der neuen Strategie von mobilen Sicherheitslösungen, die sie mittels Software abseits von den bekannten Hardware-Produkten anbieten. Der Zukauf von Good Technologies wird dabei ein weiteres immer wichtiger werdendes Geschäftsfeld mit einschließen: Die Absicherung von Wearables wie die Apple Watch oder Zukunftsprodukte wie Google Glas. Good hat Lösungen für Smartphones und Tablets die iOS, Android, Windows Phone, BlackBerry 10 und BlackBerry OS umfassen. Dazu gibt es Support für Apples Watch und für Android Wear. Dieser Bereich werde in Zukunft für Firmen im Kontext von Bring your Owner Device immer wichtiger werden, da sich Wearables mit Smartphones verbinden und verstärkt auch ihren Platz im Businessbereich finden werden.
In der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den Organisationen unterzugehen. Genau hier setzt eine der Kernideen von DORA an: den strukturierten und sicheren Informationsaustausch im Finanzsektor zu fördern. Die Botschaft dahinter ist klar – Sicherheit wird zur Gemeinschaftsaufgabe.
Der Gedanke ist so einfach wie kraftvoll: Wenn ein Unternehmen eine Bedrohung erkennt oder einen Angriff erlebt, können andere davon profitieren, diese Informationen schnell zu kennen. Ob es sich um neue Phishing-Muster, Zero-Day-Schwachstellen oder komplexe Supply-Chain-Angriffe handelt – je früher andere potenzielle Opfer gewarnt sind, desto besser können sie reagieren. DORA will diesen Austausch nicht nur ermöglichen, sondern systematisieren. Das Ziel: Angriffszeiten verkürzen, Verteidigungsmaßnahmen beschleunigen und die kollektive Widerstandsfähigkeit des gesamten Sektors steigern.
In der Informationssicherheit gibt es unzählige Maßnahmen, Frameworks, Tools und Methoden. Wer sich in der Fachliteratur oder auf Messen umschaut, könnte glauben, dass es für jedes Risiko ein eigenes, hochspezialisiertes Werkzeug gibt – und dass man am besten alles gleichzeitig einführt. In der Realität haben Unternehmen jedoch begrenzte Ressourcen. Zeit, Budget und personelle Kapazitäten sind endlich. Deshalb ist die entscheidende Frage: Welche Maßnahmen bringen tatsächlich den größten Sicherheitsgewinn? Die Antwort darauf ist nicht immer offensichtlich, denn nicht alles, was technisch beeindruckend klingt, wirkt auch im Alltag nachhaltig. Wirkungsvolle Sicherheitsmaßnahmen sind solche, die messbar Risiken reduzieren, praxistauglich sind und langfristig Bestand haben. Sie kombinieren technische, organisatorische und personelle Komponenten – und sie sind so gestaltet, dass sie von den Menschen in der Organisation verstanden, akzeptiert und gelebt werden.
Ein zentrales Merkmal wirksamer Sicherheitsmaßnahmen ist ihr Bezug zu konkreten Risiken. Sicherheitsarbeit beginnt nicht mit dem Einkauf neuer Technologie, sondern mit einer sauberen Risikoanalyse. Diese zeigt, welche Bedrohungen für die eigenen Systeme, Daten und Prozesse tatsächlich relevant sind. Erst danach sollte entschieden werden, welche Maßnahmen am besten geeignet sind, diese Risiken zu reduzieren. Wer ohne diese Grundlage agiert, läuft Gefahr, Ressourcen in Schutzmechanismen zu investieren, die zwar modern wirken, aber an den tatsächlichen Schwachstellen vorbeigehen. Das klassische Gegenbeispiel: Ein Unternehmen investiert in eine teure KI-gestützte Angriffserkennung, übersieht aber, dass sensible Daten unverschlüsselt in einer Cloud gespeichert werden. Das ist, als würde man eine Alarmanlage installieren, aber die Haustür unverschlossen lassen.
Bring Your Own Device ist derzeit sehr beliebt, aber nicht immer ganz unkompliziert für Unternehmen. Aber doch ist es möglich, seine Arbeitgeber glücklich zu machen, wenn diese die privaten mobilen Endgeräte mit zum Arbeitsplatz bringen möchten. Heute ist es sogar so, das viel Firmen den eigenen Nutzen für sich sehen, wie dass der Mitarbeiter dafür rund um die Uhr erreichbar ist oder aber, dass man nicht jeden neuen Mitarbeiter auch Geräte anbieten muss.
Oft ist es so, dass BYOD noch rechtliche Grauzonen mit sich bringt, die man aber umgehen kann, wenn man klare Regeln durch einen Vertrag aufsetzt. Auch muss man sich leider den technischen Voraussetzungen stellen, wenn es um das eigene Firmennetzwerk geht. Aber man braucht hier nicht unbedingt gleich einen neuen Mitarbeiter, sondern kann einen Fachmann mit der Aufgabe betreuen, der genau aufzeigen kann, wie man am sichersten unterwegs ist und wie man was einzustellen hat und was die Mitarbeiter am besten für eine Software nutzen, um das Firmennetzwerk zu schützen. Ob es nun um die Firewall, um das Antivirenprogramm oder mehr geht. Einmal gezahlt, langhaltig sicher. So agieren die meisten Firmen, wenn es nicht durch Zufall einen Mitarbeiter für das Firmennetzwerk und die Sicherheit gibt. Warum jemanden von dem eigenen Personal damit beschäftigen, wenn der Fachmann schnell vor Ort ist und seine Arbeit auch zu 100 Prozent versteht?
