MDM Essen­ti­als – Bring Your Own Device (BYOD) und Mobi­le Device Manage­ment (MDM) schafft tech­ni­sche Pro­ble­me und kei­ne Lösun­gen

Nach mei­nem Arti­kel über die recht­li­chen Pro­ble­me von Bring Your Own Device-Stra­te­gi­en gehe ich heu­te nun auf die tech­ni­schen Pro­ble­me von BYOD ein, die nach mei­ner Über­zeu­gung viel gra­vie­ren­der als die recht­li­chen Pro­ble­me sind. Ich hät­te es mir für die­sen Bei­trag leicht machen kön­nen und ein­fach die vie­len Pro­ble­me, die BYOD-Stra­te­gi­en mit sich brin­gen, ein­mal her­un­ter schrei­ben kön­nen. Ich hielt es aber für bes­ser dem Leser zu ver­deut­li­chen, dass ich mit der Kri­tik an BYOD-Stra­te­gi­en nicht allei­ne Kri­tik übe und habe des­halb schon über län­ge­re Zeit zum The­ma recher­chiert. Tei­le der Ergeb­nis­se die­ser Recher­che ver­ar­bei­te ich in die­sem Bei­trag. Wäh­rend der Recher­che ist mir auf­ge­fal­len, dass die kri­ti­schen Töne zu BYOD in den letz­ten Wochen zuge­nom­men haben und eine neue Ent­wick­lung im Ent­ste­hen begrif­fen ist, die ich für sehr sinn­voll hal­te — Choo­se Your Own Device (CYOD).

Die Rei­hen­fol­ge der auf­ge­zeig­ten Pro­ble­me stellt kei­ne Prio­ri­sie­rung dar. Glei­ches gilt für die Rei­hen­fol­ge der Quel­len.

Mat­thew Mil­ler & Joel Evans wei­sen in ihrem Blog The Mobi­le Gad­geteer dar­auf hin, dass weni­ger als 10 % der Tablet-Benut­zer die Auto­lock-Funk­ti­on benut­zen (BYOD secu­ri­ty pro­blem: Less than 10% of tablet owners use auto-lock). Bei Smart­pho­ne-Benut­zern (25 %) und Note­book-Benut­zern (33 %) sind die Wer­te eben­falls bedenk­lich. Die Impli­ka­tio­nen, die das für ein Unter­neh­mens­netz­werk bedeu­ten kann, sind einen eige­nen Arti­kel wert.

Eric Doyle erkennt auf sili​con​.de in sei­nem Bei­trag CYOD statt BYOD neben recht­li­chen wei­te­re tech­ni­sche Bedro­hun­gen. Dadurch, dass die vom Unter­neh­men ange­bo­tene­nen Gerä­te oft­mals nicht auf der Höhe der Zeit sind, wer­den Mit­ar­bei­ter mit BYOD-Opti­on moderns­te neue, dem Unter­neh­men unbe­kann­te Tech­nik in die Unter­neh­men ein­brin­gen. Gerä­te, die noch nie geprüft oder getes­tet wor­den sind — vom Unter­neh­men nicht und vom Her­stel­ler einer ein­ge­setz­ten MDM-Lösung oft auch nicht. Doyle meint, dass es nur eine Fra­ge der Zeit ist, bis die ers­ten mani­pu­lier­ten Gerä­te mit ein­ge­bau­ter Schad­soft­ware auf­tau­chen wer­den — Recht hat er! Doyle erkennt zutref­fend, dass sich die Ent­wick­lung der mobi­len Bedro­hun­gen noch ganz am Anfang befin­det, was dazu führt, dass sich Unter­neh­men gegen sämt­li­che denk­ba­ren Angrif­fe von sämt­li­chen am Markt befind­li­chen Gerä­ten wapp­nen müs­sen. BYOD macht die IT zu einem Bereich, der stän­dig die neu­es­ten Tech­no­lo­gi­en ein­set­zen muss, was nicht der heu­ti­gen Rea­li­tät der Mehr­zahl der Unter­neh­men ent­spricht (und natür­lich zu einer Kos­ten­la­wi­ne führt, die die mög­li­chen Kos­ten­ef­fek­te von BYOD ad absur­dum führt).

Das eng­li­sche Info­se­cu­ri­ty Maga­zi­ne wies im Febru­ar 2012 dar­auf hin, das BYOD dazu führt, dass zum einen das Unter­neh­mens­netz­werk (leich­ter) von außen unter­wan­dert wer­den kann, zum ande­ren Daten aus dem Unter­neh­mens­netz­werk leich­ter unge­si­chert her­un­ter­ge­la­den wer­den kön­nen. Die in der Dis­kus­si­on zum Bei­trag genann­ten Ansät­ze wie bei­spiels­wei­se Tiger­text lösen die benann­ten Pro­ble­me nur teil­wei­se und mit einer ein­ge­schränk­ten Benut­zer­er­fah­rung — die nati­ven Funk­tio­nen der End­ge­rä­te wer­den durch die­se Addons umgan­gen. (The BYOD pro­blem: cri­mi­nal infil­tra­ti­on and data exfil­tra­ti­on)

Dr. Frank Simon arbei­tet in sei­nem Arti­kel BYOD, COPE: Wer sich nicht bewegt ver­liert inter­es­san­te Aspek­te der BYOD-The­ma­tik her­aus, wobei ich sei­ner Schluss­fol­ge­rung, dass die Ent­wick­lung nicht auf­halt­bar sei, nicht zustim­me. Wie jeder Trend wird auch BYOD an Gren­zen sto­ßen, spä­tes­tens, wenn die Berich­te über Pro­ble­me die Beri­che über den Nut­zen (Ja wel­chen Nut­zen denn eigent­lich?) über­tref­fen wer­den. Simon weist auf eine wei­te­re der neu­en Abkür­zun­gen hin — COPE, was Com­pa­ny owned, per­so­nal­ly enab­led heisst und die Pro­ble­me ver­rin­gert, aber nicht auf­löst. Denn Simon weist auf ein wei­te­res Pro­blem hin, dass er mit Bring Your Own Ser­vice (BYOS) bezeich­net. BYOS weist auf die Pro­ble­me der Nut­zung von Cloud-Diens­ten hin — von Drop­box über Face­book bis zu Goog­le-Docs bie­ten Cloud-Ser­vices nicht nur Chan­cen son­dern ber­gen auch (unkon­trol­lier­ba­re) Risi­ken, für deren Manage­ment es zur Zeit kei­ne über­zeu­gen­den Stra­te­gi­en gibt. Eine wei­te­re wich­ti­ge Fra­ge wird von Simon auf­ge­wor­fen — was ist mit mit­ge­brach­ter Peri­phe­rie, von der Web­cam bis zum Mikro­fon, gera­de auch fest in den Gerä­ten ein­ge­bau­te Peri­phe­rie. Simon führt zu Recht aus, dass es für all die­se Pro­ble­me kei­ne Uni­ver­sal­lö­sung gibt und eine Lösung nur über die Ana­ly­se der betrof­fe­nen Pro­zes­se füh­ren kann /​wird. Und genau dies endet dann in einer zer­klüf­te­ten, inkon­sis­ten­ten und schwer ver­walt­ba­ren IT-Land­schaft.

Phil­ip­pe Win­throp erläu­tert ein wei­te­res Pro­blem in sei­nem Arti­kel Con­fu­sed About BYOD? It’s Not Your Fault. Alle reden dar­über — und jeder redet tech­no­lo­gisch über etwas ande­res! Von Uni­fied Com­mu­ni­ca­ti­on-Inte­gra­ti­on bis zu WLAN-Inte­gra­ti­on reicht das Spek­trum der ange­streb­ten Lösungs­sze­na­ri­en. Ohne aner­kann­te Ter­mi­no­lo­gie kön­nen zwangs­läu­fig auch kei­ne Stan­dards ent­wi­ckelt wer­den. Wie soll ein IT-Ver­ant­wort­li­cher in die­sem — oft auch noch von Her­stel­ler­in­ter­es­sen — getrie­be­nen Sze­na­rio den Über­blick behal­ten?

Lorai­ne Law­son ver­sucht in ihrem Bei­trag Integration’s Secret Wea­pon for Dealing with BYOD einen Lösungs­weg für BYOD auf­zu­zei­gen, indem sie sich auf Lösungs­sze­na­ri­en kon­zen­triert, die auf Online durch­ge­führ­ten API-Zugrif­fen basie­ren. Zuge­ge­ben, dies kann ein klei­ner Ver­such einer Lösung sein — aber was ist, wenn es kei­ne Online-Kon­nek­ti­vi­tät gibt? Und die gibt es oft nicht — nicht nur in Deutsch­land.

Simon Hüls­bör­ner legt in sei­nem Arti­kel APT & Co.: Die größ­ten Sicher­heits­ri­si­ken für Unter­neh­mens­net­ze die der­zeit größ­ten Gefah­ren für Unter­neh­mens­netz­wer­ke dar. Die immens an Bedeu­tung zuneh­men­den Advan­ced Per­sis­tent Thre­ats (APTs), das geziel­te Ein­drin­gen in klei­ne und teils hoch­kri­ti­sche Net­ze führt er als ers­te Bedro­hung an, gefolgt von BYOD-Kon­zep­ten, Web-App­li­ca­ti­on-Secu­ri­ty und feh­len­den Big-Data-Kon­zep­ten. Im Arti­kel wird nicht hin­rei­chend deut­lich, dass alle von Hüls­bör­ner ange­führ­ten Sicher­heits­ri­si­ken durch BYOD-Kon­zep­te ggf. zusätz­lich mul­ti­pli­ziert wer­den, denn durch die zusätz­li­chen, oft unbe­kann­ten End­ge­rä­te (genau hier­auf weist Hüls­bör­ner expli­zit hin) wach­sen die poten­ti­el­len Angriffssvek­to­ren expo­nen­ti­ell in den Bereich des Unbe­herrsch­ba­ren.

Ich könn­te an die­ser Stel­le noch vie­le wei­te­re nach­denk­li­che und kri­ti­sche Äuße­run­gen zum BYOD-The­ma vor­stel­len. Gemein­sa­me Klam­mer aller kri­ti­schen Sich­ten ist, dass BYOD-Stra­te­gi­en IT-Infra­struk­tur und IT-Ver­ant­wort­li­che in einen Inno­va­ti­ons­zy­klus zwin­gen, den sie nicht (unbe­scha­det und unbe­schä­digt) über­le­ben (wer­den) kön­nen. Kei­ne IT-Abtei­lung kann mit der Schnel­lig­keit der Gerä­te­ent­wick­lung im mobi­len Bereich Schritt hal­ten. Auch kein MDM-Her­stel­ler kann dies. Wer dies trotz­dem behaup­tet, hat ent­we­der kei­ne Kom­pe­tenz beim The­ma oder ver­brei­tet bewusst nicht die Wahr­heit.

iOS war und ist noch beherrsch­bar, mit Andro­id ist der Beherrsch­bar­keitstraum gewi­chen.

1.1, 1.5, 1.6, 2.0, 2.1, 2.2, 2.2.1, 2.2.2, 2.3, 2.3.1, 2.3.2, 2.3.3, 2.3.4, 2.3.5, 2.3.6, 2.3.7, 3.0, 3.1, 3.2, 3.2.1, 4.0, 4.0.1, 4.0.2, 4.0.3, 4.0.4.

Mit­ge­zählt? 25 Firm­ware­stän­de seit dem 10.02.2009, dem Erschei­nen von Andro­id. Durch­schnitt­lich alle 1,5 Mona­te eine neue Firm­ware, die mit einem Zeit­ver­zug von meis­tens rund 3 Mona­ten von den Gerä­te­her­stel­lern adap­tiert wird. Aber 2.3.3 von Her­stel­ler 1 ist nicht 2.3.3 von Her­stel­ler 2. Lei­der. Denn diver­se Her­stel­ler — z.B. Moto­ro­la und vie­le chi­ne­si­sche Her­stel­ler, die nicht mit eige­nem Brand auf­tre­ten — sind dazu über­ge­gan­gen, Andro­id pro­prie­tär umzu­bie­gen. Inso­fern gibt es für jeden Firm­ware­stand noch ein­mal eine sehr unter­schied­li­che Anzahl von Sub­ver­sio­nen. Selbst Andro­id-Freaks haben hier den Über­blick ver­lo­ren und kein MDM-Her­stel­ler kann seri­ös garan­tie­ren, dass er alle der­zeit auf der Welt ver­brei­te­ten Smart­pho­nes und Tablets unter­stüt­zen kann.

Noch sind iOS-Gerä­te hipp. Aber gehen Sie ein­mal nach Ame­ri­ka oder an eine deut­sche Uni­ver­si­tät und fra­gen, was ange­sagt und modern ist. Spä­tes­tens dann wer­den Sie Andro­id ganz anders beur­tei­len. Wenn Sie das ver­stan­den haben und immer noch BYOD als ein erwä­gens­wer­tes Kon­zept betrach­ten — viel Spass! Sie wer­den schei­tern.

Nicht alles was mög­lich ist (in die­sem Fall bes­ser erscheint), ist gebo­ten. Ein Unter­neh­men oder eine Orga­ni­sa­ti­on hat ein eige­nes Recht. Und die­ses ist im Fal­le von BYOD höher­wer­tig als die auch begründ­ba­ren Par­ti­ku­lar­in­ter­es­sen des Ein­zel­nen. Denn die Ein­hal­tung der Unter­neh­mens­in­ter­es­sen garan­tiert dem Indi­vi­du­um sei­nen Arbeits­platz — die Erlaub­nis das hip­pes­te Smart­pho­ne mit­zu­brin­gen, tut genau dies nicht!

Nach­satz:

Genau die­sem Sach­ver­halt soll­ten sich Vor­stän­de, Prä­si­den­ten, Auf­sichts­rä­te und Füh­rungs­kräf­te all­ge­mein auch häu­fi­ger ver­pflich­tet füh­len. Denn ihr Ein­schlep­pen von iPads und iPho­nes in die Unter­neh­men hat die schäd­li­che BYOD-Enwick­lung ganz maß­geb­lich mit unter­stützt. Vor­bild zu sein wäre für so manche(n) sicher wie­der ein­mal gefragt … Gern zei­gen wir hier Wege auf im Rah­men einer trag­fä­hi­gen Mobi­li­ty-Stra­te­gie.


Ande­re inter­es­san­te Bei­trä­ge:
MDM Essen­ti­als — Mög­li­che Pro­xy-Kon­fi­gu­ra­tio­nen beim Mobi­len Device Manage­ment
Eine der beson­ders häu­fig gestell­ten Fra­gen vor der Ent­schei­dung für ein Mobi­le Device Manage­ment-Sys­tem gilt den mög­li­chen Pro­xy-Sze­na­ri­en, da sich hier­aus einer­seits das Sicher­heits-Kon­zept der Lösung ver­ste­hen läßt, zum ande­ren aber auch schnell beur­tei­len läßt, ob die Lösung zur vor­han­de­nen Infr…
MDM Essen­ti­als — Mobi­le Device Manage­ment: Ver­gleich und Test mit einem Test­plan
Vor gut 2 Mona­ten habe ich im Bei­trag MDM-Essen­ti­als — Mobi­le Device Manage­ment: Wie macht man einen Ver­gleich? erklärt, wor­auf man bei einem Test von MDM-Sys­te­men ach­ten soll­te. Die­ser oft gele­se­ne Bei­trag führt als zehn­ten Punkt der erfor­der­li­chen Maß­nah­men aus: Tes­ten Sie nicht ober­fläch­…
Mobi­le Device Manage­ment (MDM) muss aus Euro­pa kom­men — Doch wie erkennt man das?
Der Markt für Mobi­le Device Manage­ment (MDM) bie­tet eine Viel­zahl von ame­ri­ka­ni­schen Lösun­gen, die aus diver­sen Grün­den die denk­bar schlech­tes­te Wahl sind. Regel­mä­ßi­ge Leser des Pre­tio­so-Blog wis­sen, dass ame­ri­ka­ni­sche Lösun­gen grund­sätz­lich unsi­cher sind, wesent­li­che Argu­men­te hier­zu fin­den Sie im …
Key­fac­ts MDM – Unein­ge­schränkt ska­lier­ba­re Man­dan­ten­fä­hig­keit von datomo Mobi­le Device Manage­ment
War­um soll­te ein MDM-Sys­tem man­dan­ten­fä­hig sein? Die­ses Fea­ture ist in all jenen Fäl­len rele­vant, in dem es nicht nur um die Ver­wal­tung mobi­ler Gerä­te einer Struk­tur, also eines Unter­neh­mens­be­rei­ches oder klei­ne­ren Unter­neh­mens geht. Man­dan­ten­fä­hig­keit greift immer dann, wenn es um die gleich­zei­tig…
WELTNEUHEIT für datomo Mobi­le Device Manage­ment — App­Che­cker vom TÜV Trust IT welt­weit erst­ma­lig in ein MDM-Sys­tem inte­griert
Sicher­heit und Daten­schutz mobi­ler Appli­ka­tio­nen auf mobi­len End­ge­rä­ten mit datomo MDM und dem App­Che­cker vom TÜV Trust IT bie­tet ein inte­grier­tes, App-Repu­ta­ti­on Manage­ment mit TÜV-garan­tier­ter Sicher­heit. Eine stän­dig wach­sen­de Zahl mobi­ler Gerä­te und mobi­ler Anwen­dun­gen muss in die Unter­neh­mens-…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.