Leseprobe
Inhaltsverzeichnis
1. Einleitung
2. Methodisches Vorgehen
3. Grundlagen
3.1 Definition: Informationen
3.2 Definition Informationssicherheit
3.3 Smart Devices
3.3.1 Mobile Betriebssysteme für Smart Devices
3.3.2 Bring your own Device vs. Take this Device
3.3.3 Informationssicherheitsrisiken: Mobile Devices
3.3.4 Mobile Device Management
3.4 Cloud-Computing
3.4.1 Virtualisierung
3.4.2 Cloud Architektur
3.4.3 Cloud-Computing Schichten
3.4.4 Kosten
3.4.5 Informationssicherheitsrisiken: Cloud-Computing
3.5 Mobile Cloud-Computing
3.5.1 Funktionsweise
3.5.2 Informationssicherheitsrisiken: Mobile Cloud-Computing
4. Ist-Stands Erhebung
4.1 Fragenbogen
4.2 Ergebnisse zur Befragung über Smart Devices
4.3 Ergebnisse zur Befragung über Cloud-Computing
4.4 Ergebnisse zur Befragung über persönliche Meinung und persönliche Daten
4.5 Interpretation der Fragebögen
5. Expertenmeinung
5.1 Interviews
5.2 Interpretation der Interviews
6. Sicherheitskonzept
6.1 Was wird geschützt?
6.2 Wovor wird geschützt?
6.3 Wie wird geschützt?
6.3.1 Maßnahme 1: Implementierung eines MDM-Systems
6.3.2 Maßnahme 2: Professionelle Cloud
6.3.3 Maßnahme 3: Mitarbeitersensibilisierung
7. Conclusio: Beantwortung der Forschungsfrage
Anhang: Auswertung des Fragebogens
Abbildungsverzeichnis
Tabellenverzeichnis
Literaturverzeichnis
Kurzzusammenfassung:
Informationssicherheitsanforderungen an Mobile Devices und Cloud-Computing
Diese Arbeit handelt von Cloud-Computing, Mobile Devices und deren gemeinsamen Verwendung im Unternehmen. Diese Technologien gewinnen laufend an Bedeutung, und daher ist es umso wichtiger für einen sicheren Betrieb zu sorgen. Die Fragestellung, die in dieser Arbeit verfolgt wird, ist, welche Anforderungen an die Informationssicherheit gestellt werden müssen, um Cloud-Computing und Mobile Devices sicher zu betreiben. Unter Mobile Devices werden im Zuge dieser Arbeit Smart Devices verstanden. Es wurde eine Literaturrecherche durchgeführt und mit einer Umfrage ein Ist-Stand ermittelt. Die aus der Umfrage gewonnenen Kenntnisse wurden mit Experten diskutiert. Auf Basis der Literatur, der Umfrage und der Experteninterviews wurde ein Sicherheitskonzept erstellt. Die Arbeit kommt zu dem Schluss, dass für eine sichere Verwendung von Cloud-Computing und Mobile Devices ein Mobile Device Management System, eine professionell implementierte Cloud-Computing Umgebung und Mitarbeitersensibilisierung unumgänglich sind.
Schlagwörter :
Smart Device; Mobile Device; Cloud-Computing; Mobile Cloud-Computing; Informationssicherheit; Sicherheitskonzept;
Abstract:
Information Security requirements on Cloud-Computing and Mobile Devices This thesis is about the use of cloud computing and mobile devices within a company. These technologies are becoming more important and it is crucial that the security requirements meet the company’s needs. The question of this thesis is what are the requirements on information security of cloud computing and mobile devices for a secure usage. Besides a literature research, a survey on the current state of cloud computing and mobile devices was carried out. The outcome of that survey was discussed with experts and, on that basis, a security framework was created. The findings are that for a secure usage of cloud computing and mobile devices and the associated usage of both technologies you need a mobile device management system, a professional cloud computing environment and sensitizing the employees to information security.
Keywords:
smart device; mobile device; cloud computing; mobile cloud computing; information security; security framework;
1. Einleitung
Laut einer Umfrage von Bitkom, dem deutschen Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., haben im Jahr 2015 in Deutschland erstmals mehr als 50% der Unternehmen Cloud-Computing Anwendungen, d.h. zentralisierte Speicher- und Rechenleistung, verwendet.[1] Auch der Gebrauch von mobilen Endgeräten wird in Unternehmen immer häufiger. Längst geht diese Verwendung über Standardanwendungen wie Telefonie und Textnachrichten hinaus, mobile Endgeräte haben heutzutage auch Zugriff auf Enterprise Ressource Planning Systeme und weitere Dienste der Unternehmen.[2]
Durch die Möglichkeit, mittels mobiler Endgeräte auf Cloud-Computing Anwendungen und somit direkt auf Unternehmensdaten zugreifen zu können, ergeben sich neue Informationssicherheitsfragen hinsichtlich des sicheren Umgangs mit Unternehmensdaten.
Die Forschungsfrage, welche dieser Arbeit zugrunde liegt, ist folgende:
Welche Anforderungen an die Informationssicherheit muss die IT eines Unternehmens hinsichtlich Cloud-Computing und Mobile Devices erfüllen, damit ein sicherer Umgang mit in der Cloud gespeicherten Unternehmensdaten gewährleistet ist?
2. Methodisches Vorgehen
Die Arbeit gliedert sich in einen theoretischen Teil mit dem Kapitel 3 und einen praktischen Teil mit den Kapiteln 4 – 6.
Die Grundlagen der Arbeit werden in Kapitel 3 auf Basis einer umfangreichen Literaturrecherche erarbeitet. Diese dient dazu, die technischen Grundvoraussetzungen zu erklären, Funktions- und Einsatzmöglichkeiten zu zeigen und Risiken hinsichtlich der Informationssicherheit zu ermitteln. Sind die Begriffe Smart Devices in Kapitel 3.3 und Cloud-Computing in Kapitel 3.4 erklärt, wird in Kapitel 3.5 eine Verbindung der beiden Technologien, das Mobile Cloud-Computing, aufgezeigt.
Im praktischen Teil wird in Kapitel 4 auf Basis der bereits erarbeiteten Grundlagen ein Fragebogen erstellt, um den Ist-Stand zu ermitteln und eventuelle Bedrohungen zu identifizieren. Dieser Fragebogen erhebt Daten zur Person (Alter, Geschlecht, Berufserfahrung), zum Unternehmen (Größe, Branche), zum Einsatz von mobilen Geräten im Unternehmen und von Cloud-Computing im Unternehmen. Dieser Fragebogen wird an der Ferdinand Porsche FernFH, in einem firmeninternen sozialen Netzwerk und mittels der beiden Social-Business-Netzwerke LinkedIn und Xing verteilt. Zudem werden die Leser um Mitarbeit und Weitergabe des Fragebogens gebeten.
In Kapitel 5 werden Experteninterviews geführt, allgemeine Fragen zu Cloud-Computing in den Unternehmen der Experten behandelt und Erkenntnisse aus den Fragebögen diskutiert.
Auf Basis der Ergebnisse der bisherigen Literaturrecherche in Kapitel 3, der Fragebögen in Kapitel 4 und der Experteninterviews in Kapitel 5 werden Lösungsansätze zu den ermittelten Bedrohungen erarbeitet.
Nach der Erstellung eines Sicherheitskonzeptes in wird in Kapitel 6.4. auf dessen Basis die Forschungsfrage beantwortet.
Gegenstand dieser Masterarbeit ist die Informationssicherheit von Unternehmen hinsichtlich Cloud-Computing Anwendungen, die durch mobile Endgeräte verwendet werden können. Mobile Endgeräte sind in diesem Fall Smart Devices wie Smartphones oder Tablets. Mobile Computer wie Laptops sind wegen ihrer Beschaffenheit und technischer Eigenschaften nicht Gegenstand dieser Arbeit. Dies wird in Kapitel 3.3 herausgearbeitet.
3. Grundlagen
In diesem Kapitel werden die Grundlagen für Smart Devices und Cloud-Computing auf Basis der Literatur erarbeitet.
Den Anfang bildet der logische Zusammenhang, dass Daten auf Zeichen aufbauen, und Informationen, welche wiederum auf Daten aufbauen, die Vorstufe zu Wissen sind.[3] Daher ist es wichtig, diese 4 Begriffe untereinander abzugrenzen und deren hierarchischen Aufbau zu klären. Im darauffolgenden Unterkapitel wird eine Definition für Informationssicherheit erarbeitet, da sich in der Literatur keine eindeutige Definition dafür finden lässt. In den weiteren Unterkapiteln werden Smart Devices und Cloud-Computing behandelt. Mobile Geräte und Smart Devices bezeichnen in dieser Arbeit dieselbe Geräteklasse. Ein Smart Device ist ein mobiles und vernetztes Gerät mit der Fähigkeit zur Kommunikation und Datenverarbeitung.[4] [5] In Kapitel 3.3. werden Smart Devices näher definiert und zu anderen mobilen Geräten wie Laptops abgegrenzt. Smart Devices und Cloud-Computing werden im Licht der Informationssicherheit bzw. der im Zuge der Informationssicherheit auftretenden Risiken betrachtet.
3.1 Definition: Informationen
Springer/Gabler definieren Wissen als „die Gesamtheit der Kenntnisse und Fähigkeiten, die Individuen zur Lösung von Problemen einsetzen“.[6] Um den Umfang von Wissen zu verstehen, muss verstanden werden, wie man von Zeichen zu Wissen kommt.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Hierarchie von Zeichen, Daten und Informationen[7]
Als Basis allen Wissens stehen auf der untersten Ebene Zeichen, welche zwar auslesbar sind, jedoch ohne weitere Syntax keinen Sinn ergeben bzw. sich nicht interpretieren lassen. Hat man mehrere Zeichen in einer Abfolge, spricht man von einer Zeichenkette. Wird diese nun in eine Syntax gebracht, werden die Zeichen zu Daten. Zwar ist jetzt die Reihenfolge geklärt, die Daten allein bieten aber noch immer keine ausreichende Information, solange diese nicht in einen Kontext gebracht werden. Kommt dieser hinzu, werden Daten zu Informationen, wie in Abbildung 1 gezeigt.[8]
Um schlussendlich zu Wissen zu gelangen, müssen verschiedene Informationsbausteine vernetzt werden. In diesem Beispiel ergibt die Zeichenfolge „2,5,0,1,5“ noch keinen Sinn. Gibt man ihr die Syntax, dass es sich um Euro handelt, bekommen wir einen Datensatz: 25015 €. Durch den Kontext „Gewinn“ kommen wir zur Information, dass der Gewinn 25015 € beträgt. Die nächste Stufe verbindet mehrere Informationen zu Wissen.
Wenn nun eine zweite Information, z. B. Umsatz 250000 €, dazukommt, entsteht mit diesen beiden Informationen das Wissen, dass der Gewinn circa 10% des Umsatzes ausmacht. Natürlich ist dies ein sehr einfaches Beispiel, in der Praxis spielen weit mehr Informationen zusammen, um zu Wissen zu werden. Dies ist in Abbildung 2 dargestellt.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Aus vernetzten Informationen wird Wissen[9]
Damit ist aber nach wie vor noch nicht geklärt, auf welchen Bereich sich die Informationssicherheitsanforderungen beziehen, denn Wissen muss in explizites und implizites Wissen geteilt werden.
Explizites Wissen lässt sich physisch fassen. Es kann mit relativ einfachen Mitteln festgehalten und verteilt werden. Es ist erlernbar und daher greifbarer als implizites Wissen.[10] Dieses umfasst im Gegensatz dazu sämtliches Wissen, welches nicht niedergeschrieben werden kann.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Eisbergmodell: Implizites und explizites Wissen[11]
Bei implizitem Wissen handelt es sich Kompetenzwissen, welches nicht einfach aus einer Quelle erlernt werden kann, sondern von Menschen im Laufe der Zeit anhand der Tätigkeit erworben wird. Oft sind sich die entsprechenden Personen dieses Wissens nicht bewusst.[12] Ein Beispiel hierfür ist die Erfahrung eines Mitarbeiters, der schon lang in einer Firma tätig ist. In Abbildung 3 ist die Verteilung von implizitem und explizitem Wissen schematisch im Eisbergmodell dargestellt. Der größere Teil, das implizite Wissen, befindet sich verborgen, während das explizite Wissen schnell sichtbar ist.
Da Informationen und Wissen nicht fassbar sind, zählen sie zum immateriellen Anlagevermögen. Für den Unternehmenserfolg sind sie essentiell, auch wenn sie sich nicht monetär messen lassen. Problematisch ist es, wenn diese Tatsache von der Unternehmensführung nicht erkannt wird.[13]
Wissensvorsprünge von Unternehmen gegenüber der Konkurrenz bilden einen wichtigen Wettbewerbsunterschied aus. Da dieser Vorteil aber nicht von Dauer ist, sind Unternehmen gezwungen ihr Wissen ständig weiter zu entwickeln, um ihren Vorsprung zu halten.[14] Zur gewissenhaften Verwaltung von Wissen werden Wissensmanagementsysteme herangezogen. Ein Wissensmanagementsystem ist für die Erstellung, Identifikation, Speicherung und Verbreitung von Informationen und explizitem Wissen zuständig.[15] Wissensmanagement ist an sich nichts Neues, jedoch wird zunehmend Wissen als Kapital verstanden, und daher gewinnt auch Wissensmanagement zunehmend an Bedeutung.[16]
Da Wissensmanagementsysteme digital und zentral auf Servern abgelegt werden, sind sie im Zuge der folgenden Arbeit Thema der Informationssicherheit.
Die Umwandlung von mehreren Informationsbausteinen zu explizitem Wissen wird erst durch den Menschen vollzogen.[17] Daher ist das explizite Wissen, neben den Informationen, ebenfalls in den Fokus von Informationssicherheitsanforderungen.
3.2 Definition Informationssicherheit
Eine einheitliche Definition von Informationssicherheit gibt es in der Literatur nicht. Daher werden nachfolgend verschiedene Ansätze gegenübergestellt, um im Anschluss zu einer einheitlichen Definition von Informationssicherheit, die als Grundlage für diese Arbeit dient, zu kommen.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik nennt in seinem Leitfaden für Informationssicherheit die drei Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität.[18]
Das National Institute of Standards and Technology (NIST) definiert Informationssicherheit als das Absichern von Informationen und IT-Systemen vor unbefugtem Zugriff, Verwendung, Offenlegung, Unterbrechung, Änderung oder Zerstörung, um Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen.[19]
Auch die Plattform searchsecurity.de des börsennotierten Unternehmens TechTarget kommt in ihrer Beschreibung von Informationssicherheit auf die drei Grundbegriffe Vertraulichkeit, Verfügbarkeit und Integrität.[20]
Wie man sieht, fallen immer wieder die Begriffe Vertraulichkeit, Verfügbarkeit und Integrität.
Vertraulichkeit bedeutet die Wahrung von vertraulichem Wissen vor unbefugtem Zugriff. Verfügbarkeit heißt, dass das Informationssystem bzw. die Informationen zu jeder Zeit, wann diese benötigt werden, dem/der BenutzerIn zur Verfügung stehen müssen. Die Integrität stellt sicher, dass Informationen bzw. Daten unverändert und vollständig bereitstehen.[21]
Daraus lässt sich abschließend nun Informationssicherheit wie folgt ableiten:
Informationssicherheit behandelt die Sicherheit von Daten, Informationen und Informationssystemen, um Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen. Sie dient dem Schutz von Informationen, um Schäden durch missbräuchliche Verwendung und technische Fehler zu vermeiden.
3.3 Smart Devices
Laut dem Frauenhofer Institut für Materialfluss und Logistik fallen unter den Begriff Smart Devices solche Geräte, welche vernetzt und mobil sind und zudem über diverse Sensoren verfügen.[22] Springer/Gabler erweitern diese Definition noch um den Mehrwert von mobilen Geräten durch deren Fähigkeit zur Kommunikation und Informationsverarbeitung.[23] Mobile Computer wie Laptops könnten ebenfalls unter diese Definition fallen. Diese Geräteklasse unterscheidet sich aber nicht nur aufgrund ihrer Gerätegröße und ihres Gewichts wesentlich von Smart Devices, sondern auch durch ihre Software und Netzwerkgegebenheiten. Zudem werden Laptops anders eingesetzt als Smart Devices. Die Betriebssysteme von Smart Devices sind vielzählig, und die Verbindungen erfolgen über offene Kanäle im Internet. Daher sind vollwertige Computer wie Laptops nicht im Fokus dieser Arbeit.[24] Unter Mobile Devices werden also im Zuge dieser Arbeit Smart Devices verstanden und werden im Folgenden nur mehr so bezeichnet.
3.3.1 Mobile Betriebssysteme für Smart Devices
Das mit Abstand am weitesten verbreitete mobile Betriebssystem für Smart Devices ist Android von Google, gefolgt, wenn auch mit Abstand, von iOS von Apple. Der einstige Primus (für Business Geräte) Blackberry sowie Windows Mobile von Microsoft haben beide die Weiterentwicklung des Smartphones versäumt und verlieren zunehmend Marktanteile. 86,1% aller verkauften Smartphones und Tablets im ersten Quartal 2017 waren Android Geräte, iOS kommt auf 13,7% und somit bleiben für Windows Mobile, Blackberry und andere mobile Betriebssysteme nur mehr 0,2% der Marktanteile übrig. Während Android gegenüber dem ersten Quartal 2016 leicht gewonnen hat und iOS leicht verlor, sank der Absatz von Windows Mobile, Blackberry und andern Betriebssystemen um 0,9%, was einen relativen Abfall von 77,78% bedeutet.[25]
Somit liegt nahe, dass Smart Devices im Firmenumfeld überwiegend Geräte mit Googles Android und Apples iOS als Betriebssystem sind. Android, welches als Open-Source Software verteilt wird, hat jedoch das Problem der Fragmentierung. Durch unterschiedliche Betriebssystemversionen und viele verschiedene Geräte verschiedener Hersteller entstehen durch das Nichtschließen von Sicherheitslücken alter Systemversionen sicherheitskritische Auswirkungen. Das Entwickeln von Updates erweist sich für die Gerätehersteller als eine zeit- und kostenintensive Tätigkeit, da jeder seine eigenen Features in Android umsetzt.[26] Blickt man auf die aktuellen Zahlen, welche im Februar 2017 von Google veröffentlich wurden, wird ersichtlich, dass die Android Versionen 4 bis 6 den größten Anteil ausmachen (ca. 97%). Die restlichen drei Prozent teilen sich ältere Versionen und die neueste Version – Android 7 Nougat.[27] Als Beispiel für die lange Anpassungszeit durch einen Gerätehersteller kann hier Samsungs Flaggschiff Galaxy S7 genannt werden. Während Google Android in der Version 7 bereits im August 2016 veröffentlichte, startete das Rollout für das Update für das Samsung Smartphone erst im Jänner 2017.[28]
Apples iOS Betriebssystem wiederum kann sich an einer eher niedrigen Fragmentierung der Geräte erfreuen. Das liegt daran, dass alle Geräte, auf denen dieses Betriebssystem läuft, aus demselben Hause kommen und es wenig unterschiedliche Modelle gibt. Alle Apple Geräte sind im Aufbau grundsätzlich sehr ähnlich. Dadurch und dass iOS, anders als Android, keine Open Source Software ist, fallen auch die Anpassungen durch verschiedene Hersteller weg. Durch den konsistenten Aufbau der Hardware kann Apple auch für ältere Geräte noch Softwareupdates entwickeln.[29] [30]
3.3.2 Bring your own Device vs. Take this Device
Für die Verwendung von Smart Devices in Unternehmen gibt es verschiedene Ansätze: Bring one-, Choose one- oder Take this Device. Einerseits kann das Unternehmen Geräte vorgeben und ausgeben: Der/die UserIn kann dann unter den angebotenen Modellen wählen (Choose one device) bzw. muss das angebotene nehmen (Take this device). Dem gegenüber steht der Bring your own Device (BYOD) Ansatz, dass UserInnen ihre privat erworbenen Geräte mit in das Unternehmen nehmen. Auch hier kann das Unternehmen die Modellpalette einschränken und nur bestimmte Geräte oder Hersteller zulassen. Wie in Abbildung 4 gezeigt, ist die Entscheidung ein Zwiespalt zwischen Benutzerfreundlichkeit und Sicherheit. Für das Unternehmen ist es aber von großer Bedeutung, wie das Gerät verwaltet wird. Entscheidet sich das Unternehmen dafür, dass Mitarbeiter sich ein eigenes Gerät besorgen können, gibt die IT die Wartung der Geräte aus der Hand. Es obliegt dann dem/der UserIn, Updates durchzuführen, und es ist ebenso der/die UserIn dafür verantwortlich, welche Apps installiert werden und wofür das Gerät verwendet wird. Wenn das Gerät jedoch Firmeneigentum ist, kann die Firma bestimmen, dass es up-to-date gehalten werden muss. Sie kann auch die private Nutzung einschränken oder gänzlich verbieten.[31] Die Chancen eines „Dual-Use“ Ansatzes (Verwendung eines Firmengeräts auch zu privaten Zwecken) liegen insofern auf der Hand, als dass Privat- und Berufsleben immer mehr miteinander verschmelzen bzw. flüssige Übergänge haben. Hierzu zählen zum Beispiel die Arbeit unterwegs oder Homeoffice Arbeit. Wenn UserInnen ihre Geräte selbst beschaffen, fühlen sie sich frei und unabhängig, sind jedoch in Wahrheit für das Unternehmen greifbarer als mit einem Gerät, das nur in der Firma verwendet wird.[32]
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 4: Verschiedene Szenarien hinsichtlich Benutzerfreundlichkeit und Sicherheit[33]
3.3.3 Informationssicherheitsrisiken: Mobile Devices
Legt man die zuvor getroffene Definition von Informationssicherheit aus Kapitel 3.2. auf Smart Devices um, wird klar, dass zumindest zwei von den drei Grundwerten gefährdet sind. Hier geht es weniger um die Verfügbarkeit, da diese nicht vom Gerät selbst abhängt, sondern vielmehr um Vertraulichkeit und Integrität gleichermaßen. Geräte können abhandenkommen und (unsichere) Verbindungen abgehört werden. Dies geschieht beispielsweise bei einem Diebstahl des Geräts oder über die Verwendung von öffentlichen und dadurch unsicheren WLAN-Netzwerken. Blickt man auf den Bring your own Device – Ansatz, geht eine weitere Gefahr durch unzureichend gesicherte Geräte aus. Besitzer privater Geräte können nicht zum Firmware Update gezwungen werden, und oft wird auch keine Antivirensoftware verwendet. Auch spielen hier unternehmensfremde Cloud Dienste eine Rolle, deren Einschränkung durch die Firma auf Privatgeräten schwierig ist, da die Nutzer auf Features verzichten müssten. Hinsichtlich des Supports kann es vorkommen, dass private Apps und Unternehmensanwendungen nicht miteinander bzw. nebeneinander funktionieren und die UserInnen dennoch eine Lösung verlangen. Rechtlich gesehen muss das Unternehmen sicherstellen können, dass keine privaten Daten des Geräts durch das Unternehmen erfasst werden können. Bei Ende eines Arbeitsverhältnisses muss zudem sichergestellt werden, dass auf dem Gerät keine Unternehmensdaten mehr vorhanden sind. Ein Firmengerät muss hingegen zurückgegeben und gelöscht werden.[34]
Hinsichtlich des Schutzes von Informationen gibt es Methoden wie die Data Loss Prevention (DLP). DLP beschreibt den Schutz vor dem Abfluss von Informationen durch Dritte. Sie erkennt auf Basis eines vordefinierten Kriterienkatalogs die Art der Daten und weist ihnen Schutzmechanismen zu. Diese Maßnahmen können sowohl softwareseitig als auch mittels Hardware umgesetzt werden. Hardwareseitig erkennt zum Beispiel das System anhand der Seriennummer eines Gerätes und des Useraccounts, dass nur dieser/diese bestimmte UserIn Zugriff auf gewisse Anwendungen und Daten hat.[35] [36]
Es lässt sich nun ableiten, dass je privater das Gerät, desto höher der Aufwand für das Unternehmen ist, die Gerätelandschaft sauber zu betreiben. Andererseits sinkt mit der Ausgabe von Firmengeräten der Userkomfort, jedoch steigt die Sicherheit. Apples iPhone ist zum Beispiel userfreundlich, sehr beliebt und lässt sich gut schützen – Fans von Apples iPhone werden mit einem Android Gerät jedoch nicht unbedingt zufrieden sein.[37] In welcher Weise man sich auch entscheidet, ein Mobile Device Management System ist unumgänglich.
3.3.4 Mobile Device Management
Searchnetworking.de des Unternehmens TechTarget definiert ein Mobile Device Management (MDM) System als System, das die sichere Verwaltung von mobilen Geräten zur Aufgabe hat. Es sorgt für die Sicherheit, aber auch für die optimale Funktionalität der mobilen Geräte.[38] Ein MDM System dient der Konfiguration, Wartung und Überwachung der mobilen Geräte. Es muss sicherstellen, dass unternehmenswichtige Daten sicher auf dem Gerät verwaltet werden, daher benötigt ein MDM System umfassende Rechte auf diesem Gerät. Es muss dazu in der Lage sein, das Gerät zu orten und zu löschen, sollte es verloren oder gestohlen werden. Kritisch sind die auf den Geräten vorinstallierten und integrierten Cloud-Computing Dienste wie zum Beispiel ein automatischer Dateiupload. Daher müssen solche Funktionalitäten durch das MDM System eingeschränkt werden können. Die Basisfunktionen eines MDM Systems lassen sich in drei Gruppen einteilen: betriebliche Funktionen, administrative Funktionen sowie Sicherheitsfunktionen. Letztere lassen sich wiederum in allgemeine und spezifische Sicherheitsfunktionen zerlegen.[39]
Zu den betrieblichen Funktionen zählt, dass das MDM System verschiedene Plattformen unterstützen muss. Es muss sich zudem gut in die vorhandene IT Infrastruktur integrieren, damit eine reibungslose Funktion der Anwendungen gewährleitet werden kann. Hierzu zählt zum Beispiel die Verteilung von Applikationen oder Updates.
Unter die administrativen Funktionen fallen die eigentliche Verwaltung der Geräte sowie die Zugriffskontrolle. Es werden die Rollen, Zertifikate sowie die Richtlinien (Policies) kontrolliert.
Die allgemeinen Sicherheitsfunktionen umfassen die Überwachung der Geräte hinsichtlich Schadsoftware und bieten als Diebstahlschutz Funktionen zur Fernlöschung und Geräteortung mittels GPS. Des Weiteren wird überwacht, ob das Gerät durch einen Sperrcode geschützt ist. Die spezifischen Sicherheitsfunktionen sorgen dafür, dass keine unerlaubten Applikationen installiert werden können. Es können einzelne Applikationen gesperrt werden, aber es lässt sich auch der vorinstallierte Appstore sperren, damit Applikationen nur mehr über den firmeneigenen Appstore heruntergeladen werden können. Zudem werden die Systemfunktionen kontrolliert. So können beispielsweise die Kamera oder die Bluetooth Schnittstelle deaktiviert werden. Die Richtlinienkonformität wird ebenfalls überwacht, und bei Missachtung bzw. Bruch dieser werden vordefinierte Maßnahmen wie eine Benachrichtigung oder Sperre des Geräts eingeleitet.[40] [41]
Werden BYOD-Geräte im Unternehmen eingesetzt, welche durch ein MDM System verwaltet werden, ist es wichtig, dass private und Firmendaten separiert werden können. Zu diesem Zweck gibt es einerseits den Ansatz eines sogenannten Sandbox Systems, in dem in einer separierten Laufzeitumgebung Firmenanwendungen und –daten gespeichert und ausgeführt werden. Auf alle anderen Bereiche des Gerätes hat das MDM System keine oder, zwecks Systemfunktionen, nur sehr eingeschränkten Zugriff. Ein anderer Ansatz ist die Virtualisierung, hier werden keine Daten und Anwendungen am Gerät gespeichert oder ausgeführt. Das Gerät dient dann quasi als Fenster ins Unternehmensnetzwerk, durch das auf die Unternehmensdaten zugegriffen werden kann. Grundsätzlich werden die technischen Maßnahmen noch durch eine Unternehmensrichtlinie unterstrichen, der die BenutzerInnen zustimmen müssen, bevor sie ein mobiles Gerät in Verwendung nehmen. Allgemein müssen UserInnen auch entsprechend geschult und sensibilisiert werden.[42] [43]
3.4 Cloud-Computing
Bevor es Netze zur Stromverteilung gab, wurde der Strom über einzelne Generatoren erzeugt. Später wurde mit Kraftwerken die Stromversorgung zentralisiert. Eine ähnliche Entwicklung, in diesem Falle Cloud-Computing, findet in der IT-Branche statt. Unter Cloud-Computing versteht man die Industrialisierung von IT-Ressourcen. Unternehmen verlassen den Ansatz, eigene, teure und aufwändige Rechenzentren selbst zu unterhalten, und gehen hin zur Nutzung der Infrastruktur bei einem externen Partner. Da für die Cloud-Nutzung nur laufende Kosten anfallen, sparen sich Unternehmen die Installations- und Wartungskosten bzw. die Kosten für die Hardware. Die Leistungen der Cloud können dynamisch, je nach Art und Verbrauch, abgerechnet werden.[44]
3.4.1 Virtualisierung
Die Grundlage des Cloud-Computing bildet die Virtualisierung. Dadurch ist es möglich, mehrere Systeme auf einem physischem System laufen zu lassen, ohne dass diese sich untereinander beeinträchtigen. Somit kann zum Beispiel eine Anwendung schnell erstellt werden, ohne an der Hardware etwas zu ändern. Es entstehen sowohl für den IT-Dienstleister als auch für den Kunden Vorteile durch die Virtualisierung. Da es keine dezidierten physischen Server gibt, sondern einen Pool an verfügbaren Ressourcen, werden Server besser ausgelastet. Reserven pro Server, um Spitzenbelastungen zu bewältigen, fallen weg, da diese aus dem Pool bedient werden. Während ein physischer Server von einem Techniker installiert werden muss, kann ein virtueller Server automatisch von einem Managementsystem auf Kundenwunsch hin erzeugt werden. Durch Zusammenfassungen von Servern und Speichern können die Effizienz gesteigert und Kosten und Stromverbrauch gesenkt werden. Zudem benötigen konsolidierte Systeme weniger Platz und lassen sich auf Grund ihrer Eigenschaften zwischen Ressourcenpools hin und her verschieben, ohne den Dienst offline nehmen zu müssen. Kunden profitieren folglich von einer Dynamik der Dienste. Die Dienste zeichnen sich durch hohe und schnelle Verfügbarkeit aus und sind gegen Ressourcenengpässe abgesichert. Ein kleiner Nachteil neben den Vorteilen ist, dass Virtualisierung an sich auch Ressourcen benötigt, um zu funktionieren. Für verschiedene Anforderungen gibt es verschiedene Virtualisierungskonzepte. Die Betriebssystem-Virtualisierung ermöglicht bei einem Betriebssystemkern mehrere, untereinander abgegrenzte Systemumgebungen. Diese Art bietet einen geringen Leistungsverlust bei hoher Sicherheit, jedoch ist es so nicht möglich, verschiedene Betriebssysteme zu betreiben. Bei der Plattform-Virtualisierung wird ein komplettes Hardware System virtualisiert. Diese Form bietet fast dieselbe Leistung wie ein eigenständiges System. Neben der Speicher- und der Netzwerk-Virtualisierung, welche Ressourcen zu logischen Einheiten zusammenfassen und dynamisch freigeben, gibt es die Anwendungsvirtualisierung. Hierbei wird eine komplette Anwendung beim Cloud-Dienstleister gehostet, ausgeführt und dem Kunden über ein Netzwerk verfügbar gemacht. Der Vorteil dieser Variante ist neben der weltweiten Verfügbarkeit und der einfach Verwaltung, dass jeder/jede UserIn immer die selbe und aktuellste Version der Anwendung verwendet.[45]
[...]
[1] Alex Pols und Peter Heidkamp, „Cloud-Monitor 2016: Eine Studie von Bitkom Research im Auftrag von KPMG – Pressekonferenz,“ zuletzt geprüft am 22.01.2017, https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/Mai/Bitkom-KPMG-Charts-PK-Cloud-Monitor-12-05-2016.pdf
[2] Georg Disterer und Carsten Kleiner, „Compliance von mobilen Endgeräten,“HMD Praxis der Wirtschaftsinformatik 51, Nr. 3 (2014): 307–10, doi:10.1365/s40702-014-0044-x
[3] Monika Frey-Luxemburger, Hrsg., Wissensmanagement - Grundlagen und praktische Anwendung: Eine Einführung in das IT-gestützte Management der Ressource Wissen, IT im Unternehmen (Wiesbaden: Springer Vieweg, 2014), http://dx.doi.org/10.1007/978-3-8348-2666-4, 17
[4] Arnd Ciprina, „Smart Devices - Fraunhofer IML,“ Fraunhofer-Institut für Materialfluss und Logistik IML, zuletzt geprüft am 13.02.2017, https://www.iml.fraunhofer.de/de/themengebiete/informationslogistik_und_assistenzsysteme/smart_devices.html
[5] Markus Spiepermann, „Definition » Smart Devices « | Gabler Wirtschaftslexikon,“ Springer Gabler, zuletzt geprüft am 13.02.2017, http://wirtschaftslexikon.gabler.de/Definition/smart-devices.html
[6] „Definition » Wissen « | Gabler Wirtschaftslexikon,“ zuletzt geprüft am 02.04.2017, http://wirtschaftslexikon.gabler.de/Definition/wissen.html
[7] Angelehnt an: Frey-Luxemburger, Wissensmanagement - Grundlagen und praktische Anwendung, 17
[8] Helmut Krcmar, Informationsmanagement (Dordrecht: Springer, 2005), http://gbv.eblib.com/patron/FullRecord.aspx?p=323809, 14f
[9] Angelehnt an: Frey-Luxemburger, Wissensmanagement - Grundlagen und praktische Anwendung, 17
[10] Sandra Gerhards und Bettina Trauner, Wissensmanagement: 7 Bausteine für die Umsetzung in der Praxis, 4. Aufl. (s.l.: Carl Hanser Fachbuchverlag, 2011). doi:10.3139/9783446426795, http://www.hanser-elibrary.com/isbn/9783446424241, 8
[11] Grafik unverändert übernommen aus: Info Praxisteam, „Explizites und implizites Wissen Eisbergmodell,“ zuletzt geprüft am 04.04.2017, http://www.info-praxisteam.de/2014/02/04-2.gif
[12] Gerhards und Trauner, Wissensmanagement, 8
[13] Frank Linde und Jens Brodersen, „Wissen als immaterieller Unternehmenswert,“Wissensmanagement, 03/08 (2008): 30, zuletzt geprüft am 06.04.2017
[14] Jakob Rehäuser und Helmut Krcmar, Wissensmanagement im Unternehmen (1996), 14f
[15] Peter Heisig und Ronald Ort, Wissensmanagement Frameworks aus Forschung und Praxis: Eine inhaltliche Analyse (Berlin: EuReKi, 2005), 30,35
[16] Thomas H. Davenport, Laurence Prusak und Helga Höhlein, Wenn Ihr Unternehmen wüßte, was es alles weiß: Das Praxishandbuch zum Wissensmanagement, 2. Aufl. (Landsberg/Lech: Verl. Moderne Industrie, 1999), 44
[17] Ebd., 21ff
[18] Bundesamt für Sicherheit in der Informationstechnik, „Leitfaden Informationssicherheit,“ 14f, zuletzt geprüft am 17.03.2017
[19] National Institute of Standards and Technology, „Federal Information Security Management Act of 2002: Title III - INFORMATION SECURITY.,“ 2, zuletzt geprüft am 17.03.2017, http://csrc.nist.gov/drivers/documents/FISMA-final.pdf
[20] Margaret Rouse, „Informationssicherheit (Infosec),“ zuletzt geprüft am 17.03.2017, http://www.searchsecurity.de/definition/Informationssicherheit-Infosec
[21] Heinrich Kersten, Gerhard Klett und Klaus-Dieter Wolfenstetter, Hrsg., Der IT Security Manager: Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden, 3. Aufl., Praxis (Wiesbaden: Springer Vieweg, 2012), 59ff
[22] Ciprina, „Smart Devices - Fraunhofer IML“
[23] Spiepermann, „Definition » Smart Devices « | Gabler Wirtschaftslexikon“
[24] Georg Disterer und Carsten Kleiner, Mobile Endgeräte im Unternehmen: Technische Ansätze, Compliance-Anforderungen, Management, Essentials (Wiesbaden: Springer Vieweg, 2014), 3
[25] „Gartner Says Worldwide Sales of Smartphones Grew 9 Percent in First Quarter of 2017,“ zuletzt geprüft am 30.05.2017, http://www.gartner.com/newsroom/id/3725117
[26] Sandra Kreuzhuber, Peter Teufl und Thomas Zefferer, „Sicherheitsanalyse Mobile Plattformen,“ 2014, Nr. 144 (2014): 18, zuletzt geprüft am 14.02.2017
[27] „Dashboards | Android Developers,“ zuletzt geprüft am 14.02.2017, https://developer.android.com/about/dashboards/index.html
[28] STANDARD V. m. b. H, „Galaxy S7: Samsung startet mit Auslieferung von Android 7.0,“ zuletzt geprüft am 14.02.2017, http://derstandard.at/2000050620995/Galaxy-S7-Samsung-startet-mit-Auslieferung-von-Android-7-0
[29] Kreuzhuber, Teufl und Zefferer, „Sicherheitsanalyse Mobile Plattformen,“ 11
[30] Benjamin Kraft, „Volle Plattform-Kontrolle statt Fragmentierung,“ Heise Online, zuletzt geprüft am 14.02.2017, https://www.heise.de/mac-and-i/artikel/iOS-vs-Android-Argumente-fuer-den-Wechsel-zu-Apple-3285807.html?artikelseite=2
[31] Disterer und Kleiner, Mobile Endgeräte im Unternehmen, 5ff
[32] Ebd.
[33] Übernommen aus:ebd., 6
[34] Ebd., 18f
[35] Thomas Hemker, „"Ich brauche das!" - Mobile Geräte im Unternehmenseinsatz,“DuD - Datenschutz und Datensicherheit, 2012, 168, zuletzt geprüft am 31.03.2017
[36] Margret Rouse, „Data Loss Prevention (DLP)? - Definition von WhatIs.com,“ zuletzt geprüft am 02.04.2017, http://www.searchsecurity.de/definition/Data-Loss-Prevention-DLP
[37] Ben Schwan und Mac i, „Umfrage: 92 Prozent der iPhone-Besitzer in den USA wollen kein Android,“ Heise Medien, zuletzt geprüft am 20.05.2017, https://www.heise.de/mac-and-i/meldung/Umfrage-92-Prozent-der-iPhone-Besitzer-in-den-USA-wollen-kein-Android-3718365.html
[38] Margaret Rouse, „Mobile Device Management (MDM),“ zuletzt geprüft am 18.03.2017, http://www.searchnetworking.de/definition/Mobile-Device-Management-MDM
[39] Disterer und Kleiner, Mobile Endgeräte im Unternehmen, 23f
[40] Hemker, „"Ich brauche das!" - Mobile Geräte im Unternehmenseinsatz,“ 166
[41] Disterer und Kleiner, Mobile Endgeräte im Unternehmen, 24
[42] Ebd., 23ff
[43] Hemker, „"Ich brauche das!" - Mobile Geräte im Unternehmenseinsatz,“ 164f
[44] „Definition » Cloud Computing « | Gabler Wirtschaftslexikon,“ zuletzt geprüft am 11.03.2017, http://wirtschaftslexikon.gabler.de/Archiv/1020864/cloud-computing-v9.html
[45] Christian Baun et al., Cloud Computing: Web-basierte dynamische IT-Services, 2. Aufl., Informatik im Fokus (Berlin, Heidelberg: Springer-Verlag Berlin Heidelberg, 2011). doi:10.1007/978-3-642-18436-9, http://site.ebrary.com/lib/alltitles/docDetail.action?docID=10454847, 9ff