Smartphones im Unternehmenseinsatz

Hallo,

ich wähle mal dieses Brett, da es mir hauptsächlich um den Sicherheitsaspekt dieser Geräte geht.

Bei uns in der Firma, werden jetzt mehr und mehr Smartphones der unterschiedlichsten Hersteller (HTC, Nokia, Apple) ausgegeben. Wahlweise mit iOS, Windows Mobile, Android, oder was sonst gerade gewünscht wird. Natürlich wollen diese Mitarbeiter dann auch ihr Gerät mit Ihrem PC verbinden und Kontakte und eMails synchronisieren.

Mich interessiert, wie das in anderen Firmen (> 100 MA) gehandhabt wird. Wie stellt Ihr sicher, dass mit den Geräten kein Unfug getrieben wird, Unternehmensdaten über diesen Weg nicht das Haus verlassen (können), und die Anwender am besten die Systemeinstellungen nicht verändern können?

Achja, Exchange ist (noch) nicht im Einsatz. Ich weis, dass man darüber zumindest Windows Mobile Geräte mir der ein oder andern Policy versorgen kann. Aber was ist dem Rest?

Bin gespannt auf Eure Lösungen.

Gruß,

Klaus

Hallo,

ich wähle mal dieses Brett, da es mir hauptsächlich um den
Sicherheitsaspekt dieser Geräte geht.

Bei uns in der Firma, werden jetzt mehr und mehr Smartphones
der unterschiedlichsten Hersteller (HTC, Nokia, Apple)
ausgegeben. Wahlweise mit iOS, Windows Mobile, Android, oder
was sonst gerade gewünscht wird. Natürlich wollen diese
Mitarbeiter dann auch ihr Gerät mit Ihrem PC verbinden und
Kontakte und eMails synchronisieren.

Mich interessiert, wie das in anderen Firmen (> 100 MA)
gehandhabt wird.

Das ist unterschiedlich. Je nach Branche, Sicherheitsrichtlinien, etc.

Wie stellt Ihr sicher, dass mit den Geräten
kein Unfug getrieben wird, Unternehmensdaten über diesen Weg
nicht das Haus verlassen (können), und die Anwender am besten
die Systemeinstellungen nicht verändern können?

Im normalfall geht das nur wenn der User nicht jeden Unfug damit treiben kann. Wenn man z.B. einen Blackberry Enterprise Server selbst in der Firma hat, dann hat man recht gut die Kontrolle was wie auf den Geräten passieren darf und was nicht. So z.B. werden automatisch entsprechende Programme auf jedem Gerät per Policy installiert noch bevor der User sich das erste mal damit synchronisiert. Bei Android ist das IMHO auch machbar. Bei iOS ist es da etwas schwieriger, aber auch machbar. Dennoch ist die Schwachstele immer noch der User.
Gerade bei den Smartphones wollen einige dann immer noch Ihr eigenes Ding damit machen und ALLES so wie im privaten Bereich installieren können. Das geht da natürlich nicht und der User muss sich anpassen sonst hat das ganze keinen Sinn.

Achja, Exchange ist (noch) nicht im Einsatz. Ich weis, dass
man darüber zumindest Windows Mobile Geräte mir der ein oder
andern Policy versorgen kann. Aber was ist dem Rest?

Geht bei Android und iOS (hier mit entsprechender Erweiterung) genauso.

Wichtig ist ein entsprechendes Sicherheitskonzept zusammen mit der Geschäftsleitung zu erarbeiten, den bedarf zu analysieren und danach die Sicherheitspolicys entsprechend aufzubauen und dann die Geräte anzuklöppeln.

Gruß
h.

Servus,

bin z.Z. in einer großen Firma tätig. Die Antwort auf die Frage des Unfugs ist ganz klar: es werden keine Smartphones rausgegeben.
Die Handys bei uns sind seeeeehr einfach, ich hab ein Samsung e1080 mit kabel bekommen - um keinen Unfug damit anstellen zu können, außer vielleicht den gegenüber mit der integrierten Taschenlampe zu ärgern.

Nehme auf jeden Fall nicht an, dass ein Netzbetreiber ein Handy eingeschränkt an eine Firma verkaufen würde bzw. wenn, dann verdammt teuer.

Grüße
Michi

Hallo,

da wurde mal wieder nicht vorher nachgedacht!

Bevor man Hardware anschafft, sollte man Planen, ein Sicherheitskonzept erstellen und dann entscheiden, was der User damit machen soll.

Wenn ihr nicht völlige Kontrolle über die Hardware habt, darf sie nicht ins Firmennetz!

hth

da wurde mal wieder nicht vorher nachgedacht!

Soso. Und wie soll das Nachdenken aussehen?

Bevor man Hardware anschafft, sollte man Planen, ein
Sicherheitskonzept erstellen und dann entscheiden, was der
User damit machen soll.

Hat mit der Hardware natürlich null zu tun, sondern ausschließlich mit der Software, die drauf läuft.

Wenn ihr nicht völlige Kontrolle über die Hardware habt, darf
sie nicht ins Firmennetz!

Hängt doch ganz von der Firma ab. Das Unternehmen, in dem ich arbeite, erstellt Software für einen Haufen Betriebssysteme, und die IT braucht sich nicht einzubilden, dass sie Produkte verhindert, nur weil sie sich mit dem zugrunde liegenden OS nicht auskennt.

Eine gute IT verhindert nicht, sondern ermöglicht.

Stefan

da wurde mal wieder nicht vorher nachgedacht!

Soso. Und wie soll das Nachdenken aussehen?

wenn du das bis heute nicht weisst (scnr)

Bevor man Hardware anschafft, sollte man Planen, ein
Sicherheitskonzept erstellen und dann entscheiden, was der
User damit machen soll.

Hat mit der Hardware natürlich null zu tun, sondern
ausschließlich mit der Software, die drauf läuft.

und wenn es für die hardware die software die man einsetz nicht gibt, dann gibts auch die hardware nicht

Wenn ihr nicht völlige Kontrolle über die Hardware habt, darf
sie nicht ins Firmennetz!

Hängt doch ganz von der Firma ab. Das Unternehmen, in dem ich
arbeite, erstellt Software für einen Haufen Betriebssysteme,
und die IT braucht sich nicht einzubilden, dass sie Produkte
verhindert, nur weil sie sich mit dem zugrunde liegenden OS
nicht auskennt.

wobei man hier unterscheiden muss. ob man irgendwelchen entwickelner bastle hardware in ein eigenes subnetzt stellt oder ob man hardware im produktiven einsatz hat wo es auch um vertrauliche daten geht. hier siehst du doch mehr als deutlich, wenn es keine planung oder richtlinien gibt…

Eine gute IT verhindert nicht, sondern ermöglicht.

wo wir wirder bei denken wären, selbsst du musst zugeben, das es ein unterschied ist, ob man enticklungsysteme in einem eigenen netz hat oder einen ausdienstler, der zugriff auf vertrauliche daten braucht.

und wenn ich die wahl habe zwischen „braucht ein entwickler ganz dringend und das fällt ihm jetzt ein“ und Datensicherheit weiss ich wie ich mich entscheide. was passiert, wenn mann sicherheit missachtet sehen wir gerade sehr deutlich!

wo wir wirder bei denken wären, selbsst du musst zugeben, das
es ein unterschied ist, ob man enticklungsysteme in einem
eigenen netz hat

Die Entwicklungssysteme enthalten die vertraulichen Daten.

oder einen ausdienstler, der zugriff auf
vertrauliche daten braucht.

Wie gesagt, hängt immer von der Firma ab. In beiden Fällen kann dir jeder, der Zugriff hat, die Daten klauen, und du kannst kaum etwas dagegen unternehmen. Eigentlich gar nichts.

und wenn ich die wahl habe zwischen „braucht ein entwickler
ganz dringend und das fällt ihm jetzt ein“ und Datensicherheit
weiss ich wie ich mich entscheide. was passiert, wenn mann
sicherheit missachtet sehen wir gerade sehr deutlich!

Ich entscheide mich da genauso wie du - Sicherheit geht vor. Aber der Aufwand ist halt hoch und teuer.

Stefan

Hallo,

ich wollte hier jetzt keinen Streit lostreten.

Das Kind ist schon in den Brunnen gefallen. Die Geräte sind bei den Usern, und die haben auch alle Möglichkeiten offen.

Mit Einführung des Exchange soll sich das ändern. Das gibt noch nen Spaß, wenn die plötzlich die Geräte abgeben müssen und nachher verdongelt zurückerhalten. Der gemeine Geschäftsführer unterscheidet nicht zwischen privat- und geschäftlicher Nutzung. Der hat ein Gerät für beides.

Gruß,

Klaus

PS: Kann jemand eine Lösung zur Verwaltung von Apple-Geräten empfehlen, die kein iTunes voraussetzt?

Moin,

Bevor man Hardware anschafft, sollte man Planen, ein
Sicherheitskonzept erstellen und dann entscheiden, was der
User damit machen soll.

Wenn ihr nicht völlige Kontrolle über die Hardware habt, darf
sie nicht ins Firmennetz!

Ach ja… welch’ schöner Traum! Ich träume ihn auch noch manchmal. Bis dann wieder jemand aus den hohen Hierarchiestufen kommt, dem das alles egal ist und der ganz genau dieses und kein anderes Smartphone (lässt sich auf beliebiges anderes Equipment übertragen) will - und zwar JETZT.

Da kann man vorher noch so schön nachgedacht und geplant haben - per order Mufti wird das durchgedrückt. Da hilft nur noch Ohren anlegen, sich selbst absichern und Schadensbegrenzung betreiben.

Und wer sich jetzt in die Brust wirft und behauptet „So was gäbe es bei UNS niemals!“ - träumt schön weiter.

Gruß
Stefan

Hallo Klaus,

das von Dir geschilderte Problem haben viele Firmen durchgemacht. Und wie immer ist es nicht die beliebteste Maßnahme, wenn man Dinge aus Unternehmensinteresse einschränken muss.
Das Bedrohungspotenzial ist aber definitiv da und die große Angriffswelle auf Smartphones ist erst im Anrollen.

Das Ganze klappt nur, wenn man die oberste Geschäftsführung sensibilisiert und die dann hinter den Maßnahmen steht. Also sollte man dort überzeugen - nicht mit den Einzelheiten der Umsetzung, sondern mit der Notwendigkeit der Maßnahmen und dass es deutliche Komforteinbußen bedeuten wird. (Böse Falle: Bloß nicht auf dieser Ebene über die Länge des Passworts diskutieren, da meinen alle mitreden zu können.)

Wenn dort dann entschieden wird, den Aufwand nicht zu betreiben, ist das auch okay. Schließlich ist es die Geschäftsführung, die zu entscheiden und zu verantworten hat.
Meist wird also ein Kompromiss die Lösung sein und nicht die Idealvorstellungen von IT- und Security-Fuzzies.

Als ausgereift und erprobt sind Infrastrukturen mit Blackberrys von RIM. Hier gibt es in allen mir bekannten Großunternehmen entsprechende Policies, die auf den Endgeräte die Einhaltung von Sicherheitsvorschriften erzwingen.

Auf anderen Gerätetypen sind mir keine so wasserdichten Konzepte bekannt, obwohl dort langsam etwas in Bewegung kommt. Leider oft aber nicht so schnell wie die Bedrohung.
Aber es hat auch lange gedauert, bis Microsoft mit seinen Betriebssystemen auf der Höhe der Zeit war.

Bei Android-Smartphones bewegen wir uns auf dem Sicherheitsniveau von Windows95/98: Ein Quantensprung, der den Markt geöffnet hat, aber völlig ohne die notwendigen Sicherheit, um den damit attraktiven Markt für Cyber-Kriminalität einzudämmen.

Da hilft nur Durchsetzung organisatorischer Maßnahmen:
Beschränkung des Portfolios dienstlicher Geräte
Beschränkung, was an Synchronisationssoftware auf die PC kommen darf
Verbot des Anschlusses privater Geräte
Verbot von dienstlichen Daten auf privaten Geräten
Ausnahmen nur mit Unterschrift der oberen Geschäftsleitung

Allerdings muss sich eine Smart Device Policy immer in eine übergreifende Sicherheitsstrategie integrieren, die auch Endgeräte, Netzwerke (z.B. WLAN) und Peripherie (z.B. USB) reguliert.

Ciao, Allesquatsch

wobei mir der gedankte von vertraulichen daten auf entwicklungssystem doch bauchweh machen würde.
ich geb dir soweit recht, das die it vieles möglich machen kann und soll, die frage ist halt immer, gefällt dem user die Lösung

wobei mir der gedankte von vertraulichen daten auf
entwicklungssystem doch bauchweh machen würde.

Damit es wirklich richtig verstehst: die Software, die auf den Entwicklungssystemen entwickelt wird: das sind die vertraulichen Daten.

Stefan