Unternehmensrichtlinien, die Bring Your Own Device (Byod) unterstützen, werden weithin als Win-Win-Modell angesehen, denn damit lassen sich Anwendererfahrungen von Mitarbeitern verbessern und IT-Kosten reduzieren. Dies zeigen die Ergebnisse der Global Information Security Workforce Study 2013 von (ISC)². Allerdings räumen IT-Sicherheitsmanager im gleichen Atemzug ein, dass Unternehmen mehr tun müssten, um Technologien wie cloudbasierte Systeme und Anwendungen zu schützen.
Bei einer Pressekonferenz, die Reed Events im Vorfeld der Information Security Europe 2013 (23.-25. April) in London veranstaltete, wurden ausgewählte Ergebnisse der (ISC)²-Studie präsentiert. Die Studie beschäftigt sich mit Byod als einem von drei Technologietrends, die derzeit erhebliche Auswirkungen auf die Praxis der Informationssicherheit haben. Die 12.396 Teilnehmer der globalen Studie, von denen ein Viertel in der Emea-Region (Europa, Mittlerer Osten, Afrika) tätig ist, liessen keinen Zweifel daran, dass Byod mittlerweile gang und gäbe ist. 53 Prozent gaben an, dass ihr Unternehmen Anwendern also Mitarbeitern und Geschäftspartnern aktiv gestatte, ihre eigenen Geräte mit dem Unternehmensnetzwerk zu verbinden. Ähnlich hoch (54 Prozent) ist der Prozentanteil der Befragten, die Byod als zunehmend wichtigen Faktor bei der Aus- und Weiterbildung in IT-Sicherheitsberufen betrachten.
Grosses Risiko
Die Sicherheitsverantwortlichen befürchten allerdings, dass die Unternehmen nicht auf die Risiken vorbereitet sind, die dieser Trend aufwirft. 78 Prozent sind der Meinung, dass Byod ein relativ grosses oder sehr grosses Risiko birgt. Im Vergleich zur Studie aus dem Jahr 2011 ist die Besorgnis demnach offenbar gewachsen: Damals hatten 68 Prozent der Befragten die Verwendung von eigenen Mobilgeräten im Unternehmen als erhebliches Risiko bezeichnet.
Fast zwei Drittel der Befragten (74 Prozent) wiesen zudem darauf hin, dass neues Sicherheits-Know-how erforderlich sei, um den Sicherheitsrisiken im Zusammenhang mit Byod Herr zu werden. Am grössten war die Besorgnis im Hinblick auf die Anwendungssicherheit (72 Prozent) und Cloud-Computing (70 Prozent), das im Bereich Geschäftssysteme ebenfalls zunehmend an Bedeutung gewinnt. Weitere 66 Prozent waren der Ansicht, dass Unternehmen den Auswirkungen mehr Beachtung schenken müssten, die der Trend zum Byod auf die Compliance-Anforderungen hat.
Unternehmen neigen eher dazu, benutzereigene Smartphones (87 Prozent) und Tablets (79 Prozent) im Unternehmensnetz als Notebooks (72 Prozent) zuzulassen. Dabei unterstützen sie zahlreiche Plattformen, allen voran iOS (84 Prozent), dicht gefolgt von Android (75 Prozent), aber auch RIM Blackberry/QNS (62 Prozent) und Windows Mobile (51 Prozent).
Anwender im Zentrum der IT-Strategie
Die Geschäftstreiber, die als Motivation für die Einführung von Byod angegeben wurden, rücken den Anwender ins Zentrum der IT-Strategie. Der Wunsch zur Verbesserung des Endnutzererlebnisses wurde fast ebenso häufig genannt (60 Prozent) wie die geschäftliche Notwendigkeit, eine mobile Belegschaft zu unterstützen (64 Prozent). Eine erhebliche Anzahl von Befragten (44 Prozent) führte auch das Ziel an, die Betriebsausgaben und Kosten für den Endanwender-Support zu senken. Weit weniger häufig wurde dagegen der Wunsch genannt, die Kosten für IT-Bestände zu reduzieren (21 Prozent). „Vom Sicherheitsstandpunkt aus betrachtet, reagieren die Unternehmen auf Byod derzeit mit bruchstückhaften Massnahmen, die auf den Endpunkt fokussieren, statt ihre Geschäftsdaten und Assets zu schützen“, erklärte Wim Remes, Mitglied des Board of Directors von (ISC)², mit Blick auf die implementierten technischen Lösungen, die in der Studie genannt werden.
Die wichtigsten Technologien zur Risikominderung, die die Befragten anführten, sind Verschlüsselung, Virtual Private Networks sowie Funktionalitäten zur Sperrung und Löschung aus der Ferne. Weniger als die Hälfte der Befragten arbeiten mit Zugriffskontrolle für Anwendungen (42 Prozent) oder Authentifizierung (40 Prozent), also grundlegenden Kontrollmaßnahmen, die in der traditionellen IT-Infrastruktur verwendet werden.
"Byod kann die Sicherheit sogar erhöhen"
„Für IT-Abteilungen kann dies eine Chance sein, wirklich die Funktion eines Business Enablers zu übernehmen. Wenn man das Thema richtig angeht und den Fokus auf die Daten richtet, kann Byod die Sicherheit sogar erhöhen und ein Unternehmen in die Lage versetzen, ein Wettbewerbstempo vorzulegen, von dem vor einem halben Jahrzehnt noch niemand zu träumen gewagt hätte“, schloss Remes, der die Ergebnisse bei der Pressekonferenz präsentierte.
Im März will die (ISC)² Foundation den vollständigen Bericht zur (ISC)² Global Information Security Workforce Study 2013 als Ressource für die Branche veröffentlichen. Die Studie basiert auf den Ergebnissen einer im Herbst 2012 durchgeführten Branchenumfrage. Sie ist insofern interessant, als sie das Augenmerk auf Themen richtet, die für die Sicherheitsberufe relevant sind, anstatt auf generelle Marktentwicklungen oder Sicherheitsverletzungen.
Der Online-Stellenmarkt für ICT Professionals