… und alle lesen mit. Nutzen und Gefahren von BYOD

Nextcloud-Files

Im November war ich beim eco Kongress 2014. Es ging um Zukunftsthemen wie den Arbeitsplatz der Zukunft, ob nach der Virtualisierung die Physikalisierung kommt oder Big Data. Im Eröffnungspanel meinte dort der Moderator in einem Nebensatz zu Peter Knapp, dem Geschäftsführer von interxion Deutschland, die Cloud sei schon Commodity.

Zu meiner Schande muss ich gestehen, dass ich erst mal nachschauen musste, was das bedeutet:

Commodity-Dienstleistung (engl. commodity service; von commodity, u. a. Allerweltsprodukt), auch Standarddienstleistung oder Routine-Dienstleistung, ist eine standardisierte, häufig auch automatisierte Dienstleistung, die von unterschiedlichen Anbietern in tatsächlich oder vermeintlich gleichartiger Weise erbracht wird.

Quelle: Wikipedia

Herr Knapp sagte dazu sinngemäß, dass die Cloud noch lange nicht Commodity sei, weder für Rechenzentrumsanbieter noch für die Nutzer. In meinen Augen hat er damit vollkommen recht.

Die tollwütige eierlegende Wollmilchsau

Hört man als Kunde, was einem die Cloud alles bringt, hat man zwangsläufig eine eierlegende Wollmilchsau vor dem inneren Auge, allerdings eine mit Tollwut. Die Cloud macht uns ortsunabhängig, wir können arbeiten, wo wir wollen, die Cloud sorgt automatisch für die Sicherheit unserer Daten, schützt uns vor Spam und Viren und man benötigt keine Hardware oder Administratoren.

Auf der anderen Seite werden wir abgehört, Daten gehen regelmäßig verloren oder werden gestohlen, Anbieter, die heute groß sind, gibt es morgen nicht mehr und ohne schnelles Internet klappt das eh nicht.

Trotzdem will jeder da rein, als Geschäftsführer eines Unternehmens solltest Du Dich aber eher fragen: Will ich da hin?

Du bist schon lange in der Cloud

Die Antwort auf die Frage ist wohl, egal ob Du da rein willst oder nicht – wahrscheinlich bist Du schon lange in der Cloud. Denn noch nie war es so einfach wie heute, Daten aus dem Haus zu geben. Wie einfach war die Welt vor 30-40 Jahren. Gearbeitet wurde in der Firma und kaum ein Büroangestellter hatte eine zweite Schreibmaschine oder gar einen PC zu Hause, um auch von dort weiterzuarbeiten. Das wäre auch viel zu aufwendig gewesen.

Vor 10-20 Jahren sah das schon anders aus. Fast überall gab es Home-PCs, die ersten hatten Laptops, und um seine Arbeit mit nach Hause zu nehmen, reichte es, die Dateien, die man bearbeiten wollte, auf eine Diskette, eine CD oder später einen USB-Stick zu kopieren. Da wurde es langsam produktiv, noch ein paar Dinge von zu Hause zu machen. Ich habe damals mit einem Admin des Statistischen Bundesamtes gesprochen. Dort hatte man eine sehr sichere Lösung gefunden, um das Kopieren digitaler Daten zu verhindern. Die Desktop-PCs verfügten weder über USB noch über Diskettenlaufwerke oder CD-Brenner. Die gute alte Zeit.

Vor ca. 10 Jahren war es dann soweit, dass das Internet in fast allen Haushalten war und dass zum ersten Mal vom Web 2.0 geredet wurde. Erinnerst Du Dich noch an das Buzzword: Web 2.0.? Ab diesem Zeitpunkt hatte man verinnerlicht, dass das Internet in zwei Richtungen funktioniert. Es entstanden die ersten sozialen Netzwerke und Clouddienste.

E-Mail, VPN und Dropbox

Der erste Clouddienst, den Du bestimmt auch schon genutzt hast, bevor es den Begriff Cloud gab, war in meinen Augen die E-Mail. Wenn Du keinen internen E-Mailserver hattest, lagen die Daten irgendwo (heute Cloud, damals hieß das noch sicheres Rechenzentrum), du konntest von überall, wo es Internet gab, mit dem Browser (damals Internet Explorer oder Netscape Navigator) auf Deine E-Mails zugreifen und produktiv damit arbeiten.

Das ging im Büro so gut wie zu Hause. Zuerst hatte zwar noch nicht jeder eine Firmen-E-Mailadresse, aber im Laufe der Zeit wurden es immer mehr. Da ging es auch los, dass Daten versehentlich das Haus verließen und an falsche Adressaten geschickt wurden. Um dem Problem Herr zu werden, hatte daher so um 2009 jede E-Mail einen Disclaimer:

„Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der beabsichtigte Empfänger sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender telefonisch oder per E-Mail und löschen Sie diese E-Mail aus Ihrem System. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.“

Rechtlich totaler Humbug, aber heute noch sehr beliebt. Natürlich wurden geschäftliche E-Mails auch von zu Hause versendet. Das war quasi der Beginn von „bring your own device“.

VPN – Das Büro für #Überallarbeiter

Obwohl man sah, dass das digitale Verbreiten von Daten für Probleme sorgte, war man von den Vorteilen begeistert. Also nutzte man gesicherte Tunnel durch das Internet, um verschiedene Standorte und Heimarbeitsplätze (das Homeoffice ohne Buzzwords) miteinander zu verbinden. Alle konnten so auf die gleichen Daten zugreifen, ohne dass diese öffentlich erreichbar waren. Das hat auch super funktioniert und klappt auch heute noch. VPN ermöglicht es, von überall über das Internet und mit nahezu jedem Gerät auf das Firmennetzwerk zuzugreifen. Zum Beispiel auf die Datenserver. Man kann sogar den Internetzugang durch das VPN über die Firmenfirewall regeln und seine Mitarbeiter und das Netz selbst beim Surfen schützen.

Zu bequem für Sicherheit

Leider gibt es hier ein Problem, der Mensch ist zu bequem für Sicherheit! Ein kleines Beispiel, ich saß neulich bei einem Interessenten, der HORNETDRIVE anschauen wollte. Ein sicherer Datenspeicher in der Cloud. Ich hinterfragte etwas die jetzige Infrastruktur und erfuhr, dass es eine eigene „Cloudlösung“ samt VPN-Zugängen in der Firma gab. In der Praxis war es den Mitarbeitern aber zu umständlich, immer das VPN aufzubauen, und sie legten ihre Dateien daher lieber in der Dropbox ab.

An diese Möglichkeit hatte der Entwickler der internen Firmencloud bestimmt nicht gedacht. Wer kann es ihm verdenken. Steve Jobs hätte bestimmt auch nicht erwartet, dass die meisten User sein iPhone als Taschenlampe nutzen.

Ich habe natürlich hinterfragt, was daran zu kompliziert ist, und es gab dann eine Menge großer wie kleiner Gründe dafür. Zum einen war es zu kompliziert. Vor allem auf dem iPad ist es kein Spaß, erst eine VPN-Verbindung aufzubauen, dann einen Dateimanager zu öffnen und dann die benötigte Datei zu suchen. Klar, die Windows-Dateiablage wurde nicht für mobile Geräte entwickelt. Ein anderes, sehr großes Problem war, dass ohne schnelles Internet das VPN kaum nutzbar ist. Daher der Wunsch nach einer sicheren Dropbox-Alternative.

Die Geister die ich rief

Da hatte sich also eine Firma eine „private Cloud“ gebaut und die Daten lagen jetzt trotzdem in öffentlichen Clouds. Ich würde eine Wette eingehen, dass es fast überall so aussieht. Egal ob Sie eine MDM-Lösung (Mobile Device Management) nutzen, eine VPN betreiben oder USB-Sticks verbieten. Die Nutzer finden immer einen Weg, das Tool zu nutzen, das sie am besten finden.

Im Grunde ist das ja auch gewollt. Jeder möchte motivierte Mitarbeiter, die Arbeit und Privatleben einvernehmlich unter einen Hut bringen. Mitarbeiter möchten ja auch Arbeitgeber, die es ihnen ermöglichen, mal von zu Hause und mal aus dem Büro zu arbeiten. Eine Win-Win-Situation für beide Seiten. Habe ich mobile Mitarbeiter, ist es außerdem ein riesiger Gewinn an Produktivität, dass die auch im Zug oder im Hotel arbeiten können. Gerne mit dem Gerät ihrer Wahl; kennen sich die Leute mit Ihrem Handy/Tablet/Laptop oder Desktop-System aus, arbeiten sie gerne und produktiv. Müssen sie bereits nach dem Einschalten über die „benutzerunfreundliche“ Bedienung meckern, steigert das nicht die Lust am Arbeiten.

Die Vor- und Nachteile des mobilen Office lassen sich also wie folgt zusammenfassen: Die Mitarbeiter können von überall produktiv arbeiten, dafür verliert die Firma die Kontrolle über ihre Daten.

Strategien, um die Kontrolle zurückzubekommen

Die Vorteile will man behalten, die Nachteile aber loswerden. Dafür brauchst Du eine Strategie und die funktioniert nur, wenn sie dem Nutzer gefällt. Ohne den geht nämlich leider gar nichts, findet der die VPN-Lösung zu kompliziert, findet er eine andere. Daher muss man mit seinen Mitarbeitern sprechen, um zu verstehen, was ihnen wichtig ist, und damit sie verstehen, was Du gar nicht willst.

Gib dem User, was er will …

Je mobiler Dein Mitarbeiter ist, desto wichtiger wird es ihm zum Beispiel sein, dass er auch ohne (schnelles) Internet arbeiten kann. Für solche Szenarien sind VPNs oder remote Desktops keine Lösung. Da gilt es dann zum Beispiel einen Datenspeicher in der Cloud zu finden, der sicher ist und außerdem ermöglicht, die Daten auf den Kundengeräten remote zu löschen (habe ich schon erwähnt, dass wir HORNETDRIVE verkaufen?).

… und fordere nur, was sein muss!

Was umgekehrt dem Mitarbeiter klar sein muss, ist, dass alle Geräte, auf denen Firmendaten sind, einige Sicherheitsanforderungen erfüllen müssen. Er muss verstehen, warum die Dropbox oder die iCloud kein Ort für Firmendaten sind. Er weiß wahrscheinlich wenig vom Datenschutz und denkt bei Gefahren eher an die NSA (die ja keine direkte Gefahr ist) als an handfeste Wirtschaftsspionage oder das Risiko, dass man Opfer wird, einfach weil der Anbieter angegriffen wird und nicht die eigene Firma. Einige Promis können seit dem letzte iCloudhack ein Lied davon singen.

Dabei würde ich die Latte nicht zu hoch hängen. Die wichtigsten Sicherheitsanforderungen in meinen Augen sind eine sichere Anmeldung (Pin-Code), eine Verschlüsselung des Datenspeichers und die Möglichkeit, das Gerät remote zu löschen, falls es verloren geht.

Das Schöne ist, dass solche einfachen Regeln bereits dadurch durchgesetzt werden können, dass der Nutzer ActiveSync nutzt. ActiveSync ist ein Protokoll, das E-Mails, Termine, Adressen und Aufgaben zwischen dem Server und den mobilen Geräten der Nutzer synchronisiert. Immer wenn Du Dir ein Exchange-Konto am iPhone einrichtest, nutzt du zum Beispiel ActiveSync.

Wir nutzen Zimbra als Serverlösung für Groupware und E-Mail. Mit Zimbra können wir ohne Zusatzsoftware erzwingen, dass Nutzer für ihre mobilen Geräte einen Pin nutzen und dass genutzte Geräte remote über den Webmailer gelöscht werden können. Weitere Sicherheitsfeatures (wie das Erzwingen eine Filesystemverschlüsselung) sind auch möglich. Der Vorteil für den Nutzer ist, dass er weiterhin die E-Mail-, Kalender- und Adressbuch-App seiner Wahl nutzen kann.

Sicherheit aus der Cloud

Das Tolle an der Cloud ist, dass Sicherheit auch „unsichtbar“ im Hintergrund gewährleistet werden kann. Selbst ohne VPN kann man heute sicherstellen, dass E-Mails verschlüsselt oder archiviert werden und nach E-Mailviren muss man nicht erst auf dem Client suchen. Die kann man mitsamt dem Spam schon lange vorher aussortieren. Der Vorteil an solchen Cloud-Security-Lösungen ist, dass der Nutzer sie gar nicht bewusst bemerkt. Insofern gibt es da auch keine Akzeptanzprobleme.

Fazit – BYOD und alle lesen mit

Dass beim BYOD alle mitlesen, muss also nicht sein. Wenn Unternehmer und Mitarbeiter nur etwas Sensibilität für ihre Daten entwickeln, kann man schon eine Menge erreichen. Das geht auch ohne aufwendige MdM-Lösungen und auch ohne den Nutzern etwas „aufzuzwingen“. Wichtig ist die Suche nach „bequemen“ Lösungen, welche die User im besten Fall auch privat nutzen möchten. Lösungen, bei denen der Nutzen im Vordergund steht und die trotzdem sicher sind.

Wenn Du jetzt auf der Suche nach „sicheren & bequemen“ Lösungen bist oder Hilfe brauchst, um bei Deinen Mitarbeitern Sensibilität zu schaffen, sprich mich gerne an oder komm am 3. Dezember zum IT-Sicherheitstag der IHKs aus NRW nach Hagen. Dort halte ich gegen 16:00 Uhr einen Vortrag zu dem Thema.

Update November 2024

Seit diesem Artikel sind 10 Jahre vergangen und HORNETDRIVE liegt mittlerweile auf dem Internetfriedhof. Unsere Kunden sind bereits vor sechs Jahren erfolgreich auf Nextcloud umgestiegen.

nextcloud rollup

Schreibe einen Kommentar