gefahren und risiken minimieren dank identity & access ... · fachericht byod seite 4 2....

FACHBERICHT Bring Your Own Device (BYOD)

IPG AGTechnoparkstrasse 2CH-8406 Winterthur

T +41 52 245 04 74

[email protected]

Hamburg, DeutschlandWinterthur, SchweizWien, Österreich

Gefahren und Risiken minimieren dank Identity & Access Management (IAM) Autor: Rainer Hug, IAM Consultant

IDMIAMaaS RBAC AM/SSO PAM EDU

Seite 2Fachbericht BYOD

Inhalt

1. Was ist BYOD 3

2. Siegeszug der intelligenten Mobiltelefone 4

3. Gefahren von BYOD 5 3.1. Allgemeine Gefahren 5 3.1.1. Umgang mit Daten 5 3.1.2. Verschiedene Betriebssysteme 5 3.1.3. Unfreiwillige Datenübertragung durch Apps 6 3.1.4. Umgang mit Hardware 6 3.2. Compliance-Risiken 6

4. Lösungen und Massnahmen 8 4.1. Organisatorische Massnahamen 8 4.2. Technische Massnahmen 8

5. Unterstützung durch IAM 5.1. Grundsätzliches 10 5.2. Nutzen von IAM im Zusammenhang mit BYOD 11

6. Wo unterstüzt IPG AG? 12

7. Fazit 13

8. Portrait 14 7.1. Autor 14 7.2. IPG AG 14


1. Was ist BYOD

„Bring Your Own Device“‘ (BYOD) ist ein Hype, vielleicht sogar mehr. Es ist das, was der Mitarbeiter tagtäglich be-wusst oder unbewusst ausübt. Der Mitarbeiter nutzt sein Mobiltelefon, um E-Mails zu bearbeiten, liest das letzte Sitzungsprotokoll auf seinem Tablet-Computer oder er verpasst zu Hause der Präsentation für den nächsten Tag noch den letzten Schliff. Diese und ähnliche Szenarien spielen sich täglich ab. Doch was ist BYOD wirklich?Zugriffe auf Geschäftsdaten mittels mobilen Geräten können auf verschiedene Arten stattfinden:

• Die Daten und die Anwendungen befinden sich lokal auf dem mobilen Gerät• Die Anwendungen sind lokal, die Daten sind auf dem Geschäftsserver vorhanden• Die Daten und die Anwendungen sind auf dem Geschäftsserver verfügbar• Die Daten sind lokal und die Anwendungen sind auf dem Geschäftsserver, was allerdings

eher selten vorkommt.

Abbildung 1: Varianten BYOD

Im Diskurs über externe Zugriffe auf Geschäftsinformationen ist BYOD die zurzeit am meisten erwähnte Varian-te. Wenn es jedoch um den wirkungsvollen Schutz von firmeneigenen Informationen geht, müssen auch andere gängige Methoden, wie beispielsweise Zugriffe über Citrix oder über VPN vom geschäftlichen Notebook aus, in Betracht gezogen werden.

Für eine Firma muss der Einsatz von mobilen Geräten, ob mit Betriebseigenen oder als klassisches BYOD und die damit verbundene Gewährung von externen Zugriffen, mehr als nur eine Philosophie sein. Für eine (vermeintli-che) Vereinfachung der Arbeitsweise und die erlaubte Nutzung verschiedener mobiler Geräte in der IT-Infrastruk-tur reichen ein paar Richtlinien bei weitem nicht aus, um dem Mitarbeiter den Zugang zu Firmeninformationen zu gewähren. Vielmehr müssen mit klaren Prozessen organisatorische und technische Massnahmen und vor allem korrekt abgestimmte Zugriffsrechte definiert sein. BYOD zu erlauben ist mehr als nur der Erwartung des Benutzers gerecht zu werden, dass er sein eigenes mobiles Gerät und somit seine gewohnte (PC-)Umgebung nutzen kann.

Die Grenzen für den Einsatz von mobilen Geräten müssen klar gesetzt werden, um die wertvollen geschäftlichen Informationen zu schützen. Es gibt Firmen, die jegliche mobile Geräte sowie Zugriffe von privaten PCs auf das geschäftliche Netzwerk akzeptieren. Andere Arbeitgeber schränken dies (richtigerweise) ein und geben Richtlinien vor. Darin ist vorgegeben, welche Geräte und besonders welche Betriebssysteme akzeptiert werden. Zudem beste-hen Vorgaben, auf welche Daten von extern zugegriffen werden darf.


2. Siegeszug der intelligenten Mobiltelefone

Das mobile Gerät trägt man meist bei sich. Die Providerkosten sind heute vielfach durch Flatrates gedeckt und so liegt es nahe, dass man auf dem Nachhauseweg noch die eine oder andere Datei bearbeitet oder aus dem Tram die letzte E-Mail versendet.

Es ist unbestritten: Das Nutzen von eigenen mobilen Geräten ist beliebt. Man hat seine gewohnten Einstellungen und die bekannte Software. Dies kann den Mitarbeiter motivieren, was für die Arbeitsleistung von Vorteil ist. Zu-dem bedeutet es, die Freiheit zu haben, Arbeiten zur selbst gewählten Zeit am selbst gewählten Ort zu erledigen.

Beim Einsatz von BYOD gilt es, verschiedene Faktoren zu beachten. Die folgenden Abschnitte gehen detailliert darauf ein.

BYOD – ein Beispiel aus der Praxis

Ein Mitarbeiter nutzt sein Smartphone für das Empfangen und Versenden von E-Mails und einen Tablet-Computer, um Dokumente unterwegs zu bearbeiten und sich über firmeninterne Angelegenheiten wie Mitteilungen oder Projektprotokolle zu informieren. Dafür kopiert er die benötigten Daten vor dem Verlassen des Arbeitsplatzes auf sein Gerät. Unterwegs erhält er über Facebook die Nachricht, dass ihm ein Bekannter private Informationen in der Cloud (beispielsweise Dropbox) zur Verfügung stellt, auf die er natürlich ebenfalls mobilen Zugriff hat.

Zuhause angekommen übergibt er dasselbe Gerät seinem Sohn. Dieser spielt darauf verschiedene Spiele, welche er direkt aus dem Internet heruntergeladen hat. Dummerweise fällt ihm dabei das Gerät aus den Händen. Das Re-sultat: Der Tablet-Computer ist defekt. Betrachtet man dieses Szenario als realistisches Beispiel, so hat man es hier mit verschiedenen Gefahren zu tun, welche nicht ausser Acht gelassen werden dürfen, sobald sich Firmendaten auf mobilen Geräten befinden. Welche Gefahren das sind und wie man diesen entgegnet, wird in den folgenden Kapiteln genauer erörtert.


Wie bewusst sind sich die Mitarbeiter sowie deren Arbeitgeber der Risiken und Gefahren, die durch die Nutzung des eigenen, mobilen Geräts entstehen? Es gilt, die regulatorischen Gefahren weitgehend auszuschliessen und das Risiko, dass unberechtigte Personen auf geschäftliche Informationen zugreifen können, zu minimieren.

3. Gefahren von BYOD

Arbeitgeber und -nehmer müssen sich verschiedener Faktoren bewusst sein. Es beginnt mit ganz einfachen Sze-narien, wie jenem Beispiel, dass der Mitarbeiter die Möglichkeit erhält, seinen geschäftlichen E-Mail-Verkehr mit dem privaten Smartphone zu synchronisieren.

Ein Gerät, welches für geschäftliche Zwecke verwendet wird, muss durch eine Zugriffssperre blockiert werden (nicht nur die SIM-Card). Das Risiko, dass unberechtigte Personen auf Geschäftsdaten zugreifen können, muss auf jeden Fall minimiert und so weit als möglich ausgeschlossen werden. Ein solches Risiko besteht beispielsweise bei Verlust des Geräts oder wenn das Gerät einen Moment lang unbeaufsichtigt ist.

Diese Sperre alleine genügt aber noch nicht, wie jüngste Berichte zeigen. Anhand relativ einfacher Methoden wur-de aufgezeigt, wie man bei bestimmten Versionen von Android- und auch iOS-Geräten die Display-Sperre umge-hen kann bzw. konnte. Ohne Berücksichtigung entsprechender Massnahmen stehen Drittpersonen Tür und Tor zu den fremden, geschäftlichen Informationen offen.

3.1. Allgemeine Gefahren

Werden einfache Dateizugriffe über die gewohnte Verzeichnisstruktur zur Verfügung gestellt, besteht die Gefahr, dass die Dateien auf das mobile Gerät kopiert werden und verschiedene Versionen entstehen. Folglich könnte die Übersicht über die Aktualität der Versionen verloren gehen. Im Schadenfall kann dies sogar dazu führen, dass die aktuellste Version abhandenkommt.

Sollte das Gerät gestohlen werden, muss zudem der Schutz der lokal gespeicherten Daten gewährleistet sein. Das heisst, dass der Datenträger verschlüsselt sein muss, sobald geschäftliche Informationen auf dem Gerät gespei-chert werden. Natürlich gilt dies auch für mobile geschäftliche Geräte.

3.1.1. Umgang mit Daten

Es existieren diverse Versionen von Android-Betriebssystemen. Die verschiedenen Hersteller passen diese auf unterschiedliche Geräte an. Die jeweiligen Updates stellen sie jedoch nur noch für neuere Geräte zur Verfügung. Updates sind bei geschäftlich genutzten Geräten wichtig, da sie nicht nur Features bringen, sondern auch Sicher-heitslecks schliessen. Zudem reicht es nicht aus, wenn Updates zwar zur Verfügung gestellt werden, aber vom Benutzer nicht installiert werden.

3.1.2. Verschiedene Betriebssysteme


Tausende von Apps stehen mittlerweile für Smartphones und Tablet-Computer zur Verfügung. Es zeigt sich immer wieder, dass solche Programme, ohne das Bewusstsein des Nutzers, persönliche Daten an die Applikationsherstel-ler übertragen. Immer wieder verlangen Apps Zugriff auf persönliche Daten wie das Adressbuch oder den Daten-speicher, welcher teils leichtsinnig vom User zugelassen wird. Daraus entsteht auch die Gefahr für die Verbreitung von Viren und Malware, welche besonders am Diebstahl von Informationen interessiert sind. Auch davor dürfen die Augen nicht verschlossen werden; es ist ein Sicherheitsrisiko. Ein elektronisches Adressbuch auf einem Smart-phone eines Aussendienstmitarbeiters kann in diesem Falle einem enormen Risiko ausgesetzt sein. Man kann heute davon ausgehen, dass bereits tausende geschäftliche Adressbücher auf den Servern von „Whats app Inc.“ hinterlegt sind.

3.1.3. Unfreiwillige Datenübertragung durch Apps

Ein defektes Gerät, welches Zugriff auf Geschäftsinformationen ermöglicht, darf nicht einfach beim nächsten Händler in die Reparatur gebracht werden. Es muss auf jeden Fall ausgeschlossen werden können, dass der Zugriff auf diese Informationen möglich ist. Denn Datensicherheit und -schutz müssen sichergestellt sein.

Ein eigenes (privates) mobiles Gerät, welches für die Nutzung von Geschäftszwecken ausgerichtet ist, darf zudem für Dritte, dazu zählen auch Familienmitglieder, nicht mehr einfach so zur Verfügung gestellt werden. Es sei denn, die Daten sind ausreichend geschützt.

3.1.4. Umgang mit Hardware

Mit BYOD ist die Verletzung gesetzlicher Regeln und Normen unvermeidbar; und dies teilweise schwerwiegend. Insbesondere drei Punkte sind hierbei zu nennen:

• Datenschutz• Urheberrecht• Persönlichkeitsrecht

Das Speichern von Personendaten ist in den meisten europäischen Ländern klar und weitgehend einheitlich geregelt. Mit BYOD kann das Datenschutzgesetz gleich mehrfach verletzt werden. Durch das Speichern von Per-sonendaten (z.B. Kunden, Mitarbeiter, Bewerber etc.) auf eigenen Geräten oder sogar eigenen Cloud-Diensten unterläuft man allenfalls die Vorschrift hinsichtlich des Zugriffsschutzes. Weiter kann nicht sichergestellt werden, wo die Daten gespeichert sind. Sind diese in einem Land ohne wirksames Datenschutzgesetz abgelegt, macht man sich unter Umständen des unrechtmässigen Exportes von Personendaten ins Ausland strafbar. Hinzu kommt der Grundsatz, dass nur korrekte Daten gehalten werden dürfen. Wenn jeder Datenbearbeiter nach seinem Willen synchronisiert, ist damit zu rechnen, dass nicht aktuelle Datensätze zur Verfügung stehen.

Das Urheberrecht regelt den Umgang mit Lizenzen. Darunter fällt auch Software, welche für private Zwecke frei verfügbar ist. Diese Einschränkung kann der Urheber vornehmen, denn er darf die exakte Verwendung der Soft-ware vorschreiben. Wird diese Software nun kommerziell, also für die Bearbeitung geschäftlicher Daten genutzt, widerspricht dies den Lizenzbedingungen. Bei den vielen Apps und Cloud-Diensten ist zu erkennen, dass genau dieser Unterschied zwischen privater und kommerzieller Verwendung deklariert wird. Kommerzielle Lizenzen sind dabei um ein Vielfaches teurer. Mit BYOD darf also davon ausgegangen werden, dass viele Benutzer ihre für private Zwecke lizenzierten Hilfsmittel auch kommerziell nutzen und somit wesentlich gegen das Urhebergesetz verstossen.

3.2. Compliance-Risiken


Ein letzter wichtiger Punkt ist der Austritt eines Mitarbeiters. Das Unternehmen hat praktisch keine Möglichkeit, auf private Hilfsmittel eines Mitarbeiters ohne dessen Zustimmung zuzugreifen, da diese Geräte normalerweise auch private Daten enthalten. So wäre dies eine grobe Verletzung des Persönlichkeitsrechts oder sogar ein unbe-fugtes Eindringen in Datenverarbeitungsanlagen. Verstösse gegen das Strafgesetz kommen nicht nur das Unter-nehmen teuer zu stehen, sondern auch den „Einbruch ausführenden Mitarbeiter“ und können, je nach Land, bis zu drei Jahre Freiheitsstrafe bedeuten. Noch viel schwieriger kann es werden, wenn der Mitarbeiter freigestellt wird. In diesem Fall kann man davon ausgehen, dass der Mitarbeiter die Zusammenarbeit mit der Firma nicht unterstützen wird und auch nicht daran interessiert ist, alle geschäftlichen Informationen auf den Firmenserver zu kopieren.

Nebst Verstössen gegen geltende Gesetze ist auch zu bedenken, dass man allenfalls Verträge mit Kunden oder Lieferanten arg ausreizt und damit in ein Reputationsproblem läuft. Im Falle eines Datendiebstahls lässt sich die Haftung vielleicht ausbedingen, der angeschlagene Ruf ist aber gewiss. Ein Abfluss von Daten kann vorsätzlich, fahrlässig oder unbewusst geschehen. Je nach Ausprägung wird dies bezüglich der erwähnten Haftungsfrage ent-scheidend. Eines ist aber klar: weg ist weg!


4.1. Organisatorische Massnahmen

Um die organisatorischen Massnahmen sicherzustellen, müssen folgende Grundelemente geklärt werden:

• Für wen ist BYOD bestimmt und welche Benutzergruppe darf mit einem eigenen Gerät auf Firmendaten zugreifen?

• Auf welche Daten und Informationen darf von extern zugegriffen werden?• Auf welche Daten darf aus dem Ausland zugegriffen oder eben nicht zugegriffen werden?• Welche Geräte werden zugelassen und unterstützt?• Welche Betriebssysteme werden zugelassen und unterstützt?• Dürfen die Daten auf das lokale Gerät kopiert oder dürfen diese nur mit lokalen

Anwendungen bearbeitet werden?• Wo bzw. zu wem darf ein Gerät zur Reparatur gebracht werden?• Darf ein privates Gerät, welches für den Zugriff auf Firmendaten genutzt wird,

auch von Drittpersonen (Familie) genutzt werden?• Wie ist der Umgang mit Lizenzen?

Diese Fragen müssen anhand der definierten Richtlinien geklärt werden. Dabei ist es wichtig, dass diese den Benutzern bekannt sind und eingehalten werden. Organisatorische Massnahmen werden sinnvollerweise, wo möglich, technisch unterstützt.

Neben diesen Richtlinien, welche vorwiegend dem Schutz der Daten dienen, müssen jedoch auch finanzielle Aspekte berücksichtigt werden. Erhält der Mitarbeiter eine Kostenbeteiligung für die Anschaffung, wer übernimmt die Providerkosten und wer bezahlt beim Verlust des Gerätes oder bei einer nötigen Reparatur?

Des Weiteren muss der Support organisiert werden. Es muss definiert werden, auf welche Fragen oder Probleme sich der betriebliche Support beschränkt, ohne diesen Teil der Organisation übermässig zu belasten. Werden diese Fragen ausser Acht gelassen, könnten diese Kosten ausser Kontrolle geraten.

Um BYOD richtig einzuführen sind neben einer Reihe an technischen auch diverse organisatorische Massnahmen notwendig, welche in Kombination den Schlüssel zum Erfolg bilden. Es ist ein Muss, sich mit den verschiedenen Risiken und den entsprechenden Gegenmassnahmen auseinanderzusetzen.

4. Lösungen und Massnahmen

Technisch gibt es heute bereits viele Lösungen, welche zur Unterstützung von BYOD beitragen. Der einfachste Weg, zumindest aus Sicht des Informationsschutzes, sind virtualisierte Lösungen. Möglich ist jedoch auch, dass der Zugriff mit dem eigenen Gerät per VPN auf die Geschäftsserver erfolgt. Somit fände die Bearbeitung über einen Terminalserver oder über eine virtuelle Desktop-Infrastruktur statt. Dies ist jedoch nicht ein BYOD im klassischen Sinne. Zudem wird in diesem Falle eine permanente Online-Verbindung ins Firmennetzwerk benötigt. Dadurch würden aber die meisten Risiken um ein Vielfaches reduziert, da auf dem Gerät keine firmeneigenen Daten ge-speichert wären.

4.2. Technische Massnahmen


Sobald Informationen lokal auf dem Gerät gespeichert werden, muss zusätzlich zur Zugriffssperre der Datenträger verschlüsselt sein. Zudem ist auch ein Schutz gegen Viren und Malware, analog zum Arbeitsplatzrechner, unver-zichtbar. Um Datendiebstahl vorzubeugen, sollten die Informationen jedoch nur in sogenannten „Containern“ gespeichert werden, welche von der Firma überwacht werden.

Eine weitere technische Massnahme ist der Einsatz eines Mobile-Device-Managements (MDM). Dies ermöglicht eine zentrale Verwaltung der Geräte, welche so auch inventarisiert und kontrolliert werden können. Über diese Systeme kann gesteuert werden, welche Geräte zu welchem Mitarbeiter gehören und zugelassen sind. Dies er-möglicht es zudem, klar zu definieren, welche Apps auf dem mobilen Gerät für Firmenzwecke genutzt werden dür-fen. Diese Apps werden getrennt von den privaten Applikationen (in Containern) ausgeführt und können separat provisioniert und deprovisioniert werden. Mit Hilfe dieser Massnahme wird auch dem falschen Lizenzieren oder nichtlizenzieren der Software vorgebeugt.

Mit diesen Massnahmen kann der Zugriff auf alle Services und Daten beim Verlust des Gerätes oder beim Austritt des Mitarbeiters aus dem Unternehmen umgehend gesperrt werden.

Es muss und kann mit den oben genannten Methoden elegant verhindert werden, dass Daten aus diesen durch die Firma kontrollierten „Container“ über ein privates Gerät verlassen und diese z.B. auf einen privaten Cloud-Dienst kopiert werden können. Eventuell muss bei geschäftlichen Applikationen, um den Schutz zu erhöhen, zusätzlich noch die Printscreen-Funktionalität unterbunden werden.


Diese technischen und organisatorischen Massnahmen bieten aber nur einen beschränkten Nutzen. Die Vergabe von Berechtigungen ist mit all diesen Systemen und Applikationen ohne ein funktionierendes Identity & Access Management-System (IAM) nicht mehr zu überblicken. Ohne IAM vergeben Applikationsverantwortliche und Sys-temadministratoren Berechtigungen meist ohne zentrale Kontrolle - durch BYOD wird diese Angelegenheit noch komplexer.

Der Benutzer ist heute an Einfachheit gewohnt und möchte daher für die verschiedensten Geschäftsanwendungen nicht auf unterschiedliche Benutzerkennungen zurückgreifen, beispielsweise für externen oder internen Zugriff.

Bis anhin reichte es aus, dem Benutzer die korrekten Zugriffsberechtigungen zuzuordnen. Abhängig von der Stellung und Funktion des Mitarbeiters wird definiert, wer wann auf welche Informationen zugreifen darf. All dies natürlich rollenbasiert mit Regelunterstützung.

Zusätzlich spielt bei BYOD das Gerät eine zentrale Rolle. Die Herausforderung, den unterschiedlichsten Benutzer-gruppen (interne Mitarbeiter, externe Mitarbeiter, Kunden und Partner) den Zugriff auf das Firmennetzwerk über verschiedene Geräte zu gewähren, ist nicht zu unterschätzen. Das Gerät muss dem Mitarbeiter zwingend zuge-ordnet werden können. Von dieser Regelung ausgenommen sind Zugriffe auf Terminalservices oder auf virtuelle Desktop-Infrastrukturen. Werden die Geräte nicht eindeutig zugeordnet, birgt dies Risikopotenzial. Denn es würde die Gelegenheit bestehen, dass mit einem Gerät, welches keinem Mitarbeiter zugeordnet ist, auf firmeneigene Ressourcen zugegriffen werden könnte. Das Risiko wäre besonders dann hoch, wenn der Mitarbeiter in der IT arbeitet oder gearbeitet hat und über nicht personifizierte Zugangsdaten verfügt.

Der Arbeitgeber ist der Datenowner, bei welchem somit auch die Verantwortung über diese Daten liegt. Folglich muss dieser auch zu jederzeit die Kontrolle darüber haben. Es muss zu jedem Zeitpunkt nachvollzogen werden können, wer, wann und über welches Gerät auf welche Informationen Zugriff hat. Ein funktionierendes und ska-lierbares IAM wird damit immer mehr zum Herzstück der IT-Sicherheit einer Firma.

Neben der klassischen Bereitstellung von Rechten müssen, je nach Konzept, die Applikationen für die Geräte des entsprechenden Benutzers bereitgestellt und auch wieder entzogen werden können. Dies kann wie bisher beim Wechsel der Funktion, oder ganz wichtig bei BYOD, beim Verlust des Gerätes sowie beim Ausscheiden des Mitar-beiters aus der Firma wichtig sein.

Die Kontrolle und deren Möglichkeiten müssen klar bei der Firma angesiedelt sein, da z.B. bei einer Freistellung eines Mitarbeiters nicht mit dessen Kooperation gerechnet werden kann.

Zusätzlich muss berücksichtigt werden, dass mobile Zugriffe nicht mit den lokalen Zugriffen innerhalb der Firma gleichgesetzt werden dürfen. Es muss geregelt werden, auf welche Daten und Informationen ein Mitarbeiter über sein eigenes Gerät zugreifen darf. Je nach Fall wird empfohlen, eine Zwei-Stufen-Authentifizierung zu implemen-tieren.

5. Unterstützung durch IAM

5.1. Grundsätzliches


Wie in vorherigem Abschnitt erwähnt, erweitert BYOD die bereits komplexe Welt der Identitäten und Rollen um eine weitere Dimension. Erlaubt man den Mitarbeitern den Gebrauch eigener Geräte, Lizenzen oder Cloud-Diens-te, müssen parallel dazu sämtliche Berechtigungskonzepte im Unternehmen nochmals durchdacht und gegebe-nenfalls angepasst werden. Ohne einheitliche Benutzer- und Berechtigungsverwaltung lässt sich die Skalierung auf BYOD kaum bewältigen. Die strukturierte und automatisierte Vergabe von Berechtigungen spart ausserdem erheblich Kosten ein. An eine weitgehend manuelle Administration ist kaum mehr zu denken.

Weiter werden Antragswege komplexer, wenn „firmenfremde“ Hilfsmittel für das Unternehmen zugelassen wer-den. Cloud-Dienstleistungen lassen sich nicht mehr so einfach administrieren und unbekannte Geräte benötigen gegebenenfalls zuerst eine vertrauenswürdige App für die sichere Kommunikation und Datenhaltung. Nur mit ein-heitlichen Prozessen, unterstützt von elektronischen Workflows, können die immer komplexer werdenden Abläufe unter Kontrolle gehalten werden. Ansonsten droht die Durchlaufzeit der Prozesse zu steigen, anstatt zu sinken.

Hinzu kommt, dass man es teilweise nicht unterlassen kann, diese „firmenfremden“ Hilfsmittel zu identifizieren. Man lässt einerseits dem Mitarbeiter die Qual der Wahl, was er alles verwenden möchte. Andererseits interessiert es die Unternehmen, wer denn jetzt wirklich mit eigener Hardware oder Cloud-Diensten arbeitet und um welche Cloud-Dienste es sich dabei handelt. Diese letzten Kontrollmechanismen laufen unter Umständen auf eine Inven-tarisierung hinaus. Sobald man den Anspruch stellt zu wissen, wer womit arbeitet, ist das Inventieren der von der Identität benutzten Hilfsmittel unausweichlich. Eine erhöhte Datenqualität lässt sich hierbei kaum ohne ein IAM-System bewerkstelligen.

Um die regulatorischen Vorgaben zu erreichen, müssen Einschränkungen hinsichtlich Problemstellungen wie Lizenzen, Ländergrenzen, etc. umgesetzt werden. Zu guter Letzt sind Zugriffe, von wo aus und womit sie stattfin-den, hinsichtlich der gesetzlichen Anforderungen, zu steuern und zu protokollieren. So wird BYOD ohne zentrale Verwaltung von Benutzern, Geräten und Berechtigungen kaum funktionieren.

5.2. Nutzen von IAM im Zusammenhang mit BYOD

Abbildung 2: Wer greift worüber, woher, wann auf welche Informationen zu?


Die Experten von IPG schaffen die Grundlagen für die Sicherheit der Compliance. Die Identity & Access Manage-ment-Lösungen basieren auf Best-Practice-Ansätzen und modernster Technologien. Auf Wunsch betreibt IPG die Infrastruktur zentral oder dezentral. In Bezug auf BYOD beraten die Experten von IPG Sie gerne hinsichtlich der folgenden Themen:

• ISMS: Anpassungen der darunter angeordneten Dokumente wie z.B. einer IAM-Richtlinie• Unternehmensweites Rollenmodell: Passt mein Rollenmodell noch? Justierung des Rollenmodells

hinsichtlich neuer Möglichkeiten in Bezug zu den gesetzlichen Anforderungen• Berechtigungskonzept kritischer Applikationen: Werden die gesetzlichen Anforderungen nach wie

vor erfüllt, wenn ein Mitarbeiter die Daten auf dem Tablet mit Google-Docs bearbeitet? Was muss ich einschränken, ohne bereits mit einem Bein im Gefängnis zu stehen?

• Auch die Umsetzung liegt IPG am Herzen: Verankerung neuer Vorgaben in die entsprechenden Fachbereiche und in die unterstützenden Einheiten.

• Aufbau eines IAM-Systems, welches auch hinsichtlich „fremder“ Hilfsmittel als Inventar fungieren kann.• Implementieren von Rollen und Berechtigungen, die standort- und geräteabhängig sind.• Aufbau einer „Federation Plattform“, welche die Zusammenarbeit mit Partnern und Cloud-Diensten

erheblich erleichtert.

6. Wo unterstützt IPG AG


BYOD bringt immense Vorteile mit sich und schafft Mobilität. Dennoch dürfen die Gefahren und Risiken, die dieser Technologische Wandel mit sich bringt, nicht ausser Acht gelassen werden. Vielfach fehlen selbst beim Einsatz von mobilen, firmeneigenen Geräten die technischen und organisatorischen Massnahmen, wie mit geschäftlichen Informationen umgegangen wird. Die Versionierung wird immer wieder missachtet und es werden streng vertrau-lich Daten auf mobile, nicht verschlüsselte Geräte kopiert. Der Datensicherung und dem Sperren der Zugriffe wird immer noch zu wenig Beachtung geschenkt.

Richtlinien, welche auf die Bedürfnisse der Firma abgestimmt und zugeschnitten sind, sind unumgänglich. Ein funktionierendes Identity & Access Management bildet dabei das Fundament für alle Massnahmen.

7. Fazit


Rainer Hug ist IAM Consultant bei der IPG AG, Winterthur. Er ist Experte für Role Based Access Control und Identity Management & Provisioning. Er beschäftigt sich mit dem ganzheitlichen Ansatz des „Identity Lifecycles“ und stimmt dabei die IAM-Prozesse zwischen IT und Business ab. In IAM-Projekten unterstützt er vom Erfassen der Anforderungen zu den Prozessen bis zur Imple-mentation eines Identity Management Systems.

8.2. IPG AG

Als Experte für Identity & Access Management bietet IPG AG Lösungen für den umfassenden Schutz von Benut-zerdaten und Zugriffsrechten an; dies für Unternehmen und Verwaltungen der gesamten Wirtschaft. Der Inte-grationsexperte ist auf die Planung und Implementierung von Lösungen für die Verwaltung von Benutzerdaten und Zugriffsrechten spezialisiert. Die langjährige Projekterfahrung garantiert ein umfassendes Verständnis für alle Themen rund um das Identity & Access Management. Die Experten von IPG AG unterstützen in den Themen:

• Identity & Access Management as a Service• Identity Management & Provisioning• Role Based Access Control• Access Management & Single Sign-On• Privileged Access Management• Education & Workshops in IAM

Mit praxisorientierten Prozessen und fundiertem Informatik-Wissen bauen die Experten Brücken zwischen Organi-sation und Informatik und betreiben die implementierten Lösungen als Qualitätsorientierter Service-Partner. Viele Kunden aus allen Branchen vertrauen auf die Funktion des „Enablers“ IPG AG. Als bevorzugter Umsetzungs-partner für Software-Hersteller ist IPG AG in den Marktregionen Schweiz, Deutschland und Österreich in Winterthur, Hamburg und Wien ansässig.

Weitere Informationen zu IPG AG finden Sie auf www.ipg-ag.com.

8.1. Rainer Hug

8. Portrait

gefahren und risiken minimieren dank identity & access ... · fachericht byod seite 4 2....

Documents