In der Vergangenheit hat die Unternehmens-IT maßgeblich die technologischen Entwicklungen vorangetrieben, und Endanwender haben die vielfältigen Innovationen in den privaten Bereich übernommen. Heute hat sich das Bild gewandelt: Viele Neuerungen, die das gesellschaftliche Miteinander beeinflussen, werden zuerst im privaten Bereich eingesetzt. Hierzu gehören die Nutzung sozialer Medien und mobiler Endgeräte, der Einsatz von Cloud-Diensten und eine Always-On-Mentalität.
Foto: Materna
Privat sind die Nutzer meist mit leistungsfähigeren Geräten ausgestattet als am Arbeitsplatz. Die Folge: Mitarbeiter erwarten auch an ihrem Arbeitsplatz aktuelle Kommunikationstechnologien, Social-Media-Zugänge und einen produktivitätssteigernden Mix aus innovativen Cloud-Angeboten. Diese Entwicklung zwingt die Unternehmen zum Handeln, wollen sie auch künftig attraktive Arbeitsplätze insbesondere für die jüngere Generation anbieten.
Foto: Materna
Der Arbeitsplatz der Zukunft setzt sich aus verschiedenen Elementen zusammen. Die Herausforderung liegt darin, die unterschiedlichen Technologien in geeigneter Weise in die vorhandene IT-Infrastruktur einzufügen. Die zunehmende Vernetzung sowie die Nutzung eigener Geräte erfordern eine geordnete und vor allem abgesicherte Integration von Mensch und Technik. Flexibel nutzbare Arbeitsplätze benötigen ebenfalls neue Kommunikationswege wie Mitarbeiterportale und Collaboration-Plattformen. Eine ergonomische Arbeitsplatzumgebung, die eng mit Kundenserviceprozessen verbunden ist, rundet das Bild des Arbeitsplatzes der Zukunft ab.
Auch räumlich verteilte oder international arbeitende Teams müssen in die neuen Arbeitsmodelle integriert werden. Damit steigen die Anforderungen an eine flexible und mobile Nutzung der Devices. Das eigene mobile Endgerät muss dabei genauso einfach und sicher integrierbar sein wie PC oder Notebook. Diese Vielfalt an Technologien erfordert ein effizientes Arbeitsplatzmanagement, ein durchgängiges User- und Access-Management sowie eine sichere, virtuelle IT-Architektur.
Mobile Endgeräte auf dem Vormarsch
Mobile Endgeräte wie Smartphones und Tablet-PCs werden immer leistungsfähiger. Sie verdrängen zunehmend Festnetz- und klassische Mobilfunktechnologien. Die Nutzung der mobilen Begleiter hat sich aus dem privaten Bereich rasant in die Arbeitswelt ausgebreitet. Für die Anforderungen der Unternehmen an Datenschutz und Compliance sind viele der Geräte aber noch gar nicht ausgelegt. Beispielsweise fehlen Funktionen, die den Geräten Policies zuweisen und bestimmte Sicherheitseinstellungen durchsetzen.
Foto: Materna
Hinzu kommt das fehlende Bewusstsein der Anwender für Sicherheitsaspekte des Unternehmens. Beispielsweise kommuniziert ein Großteil der Apps unverschlüsselt miteinander. Android-Geräte sind dafür bekannt, dass sich einige Apps untereinander austauschen, dem Endgerät Profile zuweisen oder Anwendungen zusenden können. Wer sich geschickt tarnt, kann so den Nutzer dazu verleiten, ein schadhaftes Profil als Update eines vertrauten Anbieters zu akzeptieren und dieses zu installieren.
Einige Hersteller haben das Gefährdungspotenzial erkannt und entwickeln Antivirenlösungen auch für mobile Endgeräte. Da Antivirensoftware in der Regel signaturbasiert und ohne Verhaltenserkennung arbeitet, identifizieren die mobilen Geräte nur einen Bruchteil der bereits bekannten Schadsoftware. Erstmals auftretende Malware wird vielfach nicht erkannt. Jedoch arbeiten die Hersteller bereits intensiv an Lösungen, die mit der Desktop-Welt vergleichbar sind.
Mobile Device Management steuert mobile Endgeräte
Unternehmen möchten smarte Mobilfunkgeräte in vollem Umfang nutzen, ohne dabei die Sicherheit der Unternehmensdaten zu beeinträchtigen. Daher setzen IT-Abteilungen auf ein effizientes Mobile Device Management (MDM) und steuern so ihre mobilen Endgeräte zentral und sicher. Darüber hinaus können MDM-Lösungen Hard- und Softwareinventarisierung übernehmen, Policies erzwingen oder Fernwartung ermöglichen.
Das Management mobiler Endgeräte ähnelt in Teilen dem klassischen Client-Management: In den vergangenen rund 15 Jahren wurden Dutzende von Lösungsansätzen entwickelt, um PCs kostengünstig zu betreiben. Auch beim Management der mobilen Endgeräte sind die Hersteller wieder den gleichen Weg gegangen: Nachträglich müssen Lösungen zum Management der Geräte integriert werden. Es wurde versäumt, diese von Anfang an zum Bestandteil der neuen Geräte zu machen.
Beispielsweise muss für eine lückenlose Systemverwaltung bekannt sein, welche Geräte mit welcher Software und welcher Konfiguration im Einsatz sind, um eine sichere Integration in die IT-Infrastruktur zu ermöglichen. Die Anforderungen enden hier jedoch nicht, denn sie gehen weit über das klassische Client-Management hinaus, da es sich um einen sehr heterogenen Markt mit ganz unterschiedlichen Hardwareplattformen handelt.
MDM-Verfahren setzen voraus, dass alle Geräte auf dem MDM-Server registriert sind. Daher meldet sich ein Anwender zunächst an einem Self-Service-Portal an und registriert dort seine Hardware. Daraufhin werden die jeweiligen Compliance-Richtlinien und Sicherheitseinstellungen auf das Gerät verteilt. Je nach Betriebssystem sind die Möglichkeiten zur Gerätekonfiguration via MDM unterschiedlich: iOS-Geräte erhalten die Sicherheitseinstellungen beispielsweise in Form von Konfigurationsprofilen, die nach Anmeldung des Geräts im Self-Service-Portal übertragen werden. Bei Android hingegen ist eine App notwendig, die der Nutzer als Geräteadministrator bestätigen muss. Erst danach darf die App Einstellungen auf dem Gerät durchführen.
Mobile Device Management entlastet IT-Administration
Mit einer MDM-Lösung erfassen Unternehmen automatisiert und zentral die Gerätekonfigurationen und können Profile und Richtlinien, spezifisch für die eingesetzten Plattformen, auf die Geräte verteilen, um so den Compliance- und Sicherheitsanforderungen zu entsprechen. Das MDM-System unterstützt den Administrator bei der Konfiguration der Geräte und erkennt, welche Änderungen der Nutzer an seinem Gerät vorgenommen hat, welche Applikationen vorhanden sind und welche Netzwerkeinstellungen bestehen.
Erst wenn alle Sicherheitsanforderungen erfüllt sind, wird ein Zugriff auf das Firmennetz gewährt. Solche Regeln besagen beispielsweise, dass ein sicheres Kennwort und der Displayschutz eingerichtet sein müssen. Auch kann konfiguriert werden, dass der Anwender nur dann E-Mails vom Mail-Server abrufen darf, wenn er mit einem registrierten Gerät zugreift und dort bestimmte Sicherheitseinstellungen erfolgt sind. Ist ein Gerät nicht mehr konform mit den Richtlinien, bekommt es auch keine E-Mails mehr.
Darüber hinaus lassen sich Maßnahmen wie beispielsweise Sperren oder Löschen (Wipen) des Gerätes bei Verlust oder Diebstahl einleiten. Die IT-Abteilung wird insgesamt entlastet, da der Endanwender das Sperren beziehungsweise Löschen des Gerätes über das Portal selbst einleiten kann und die IT-Abteilung nicht eingreifen muss.
Auch der Aufbau eines eigenen Enterprise App Stores ist mit vielen MDM-Plattformen möglich, beispielsweise mit der Lösung SmartMan des Dortmunder Unternehmens Dialogs, das seit April 2012 zum Security-Spezialisten Sophos gehört und das Tool jetzt als Sophos Mobile Control den Anwendern zur Verfügung steht. Ein Enterprise App Store hat den Vorteil, dass unternehmenseigene Apps ohne Einbeziehen der Gerätehersteller verteilt werden können. Darüber hinaus kann das Unternehmen seinen Mitarbeitern weitere nützliche Apps bereitstellen, ohne dass der Anwender danach suchen muss.
Beim Einsatz von MDM bleiben die Nutzer von Smartphones und Tablet-PCs weiterhin "Herr" ihrer Geräte. Der Anwender könnte also je nach Endgerät jederzeit die MDM-Konfigurationsprofile oder die App vom Gerät entfernen. Der Nutzer schließt sich damit automatisch aus der Unternehmenskommunikation aus und stellt keine Sicherheitsgefahr dar. Die IT-Administration erhält durch MDM die Möglichkeit, Fehlkonfigurationen mittels Monitoring zu erkennen und Zugänge zu Unternehmensressourcen für die betreffenden Geräte zu sperren beziehungsweise bei bestimmten Richtlinienverletzungen automatisiert sperren zu lassen.
BYOD: Mobilität verändert das Arbeitsverhalten
Privat- und Arbeitsleben vermischen sich in vielen Berufen immer mehr. Damit steigt die Produktivität der Mitarbeiter, da sie von ihren mobilen Endgeräten jederzeit auf Unternehmensapplikationen und -daten zugreifen können. MDM ebnet daher einem weiteren Bestandteil des Arbeitsplatzes der Zukunft den Weg: Bring Your Own Device (BYOD), die Integration privater Endgeräte in das Unternehmensnetzwerk.
Foto: Materna
Private Endgeräte lassen sich zwar auch ohne MDM-Technologien integrieren, doch sinkt das Sicherheitsrisiko deutlich, wenn auch diese Geräte in der Obhut der IT-Administration sind. BYOD wirft darüber hinaus auch rechtliche Fragen auf, beispielsweise bezüglich Haftung, Datenschutz, Trennung von Privat- und Firmendaten, Arbeitsrecht und Lizenzen. Unternehmen haben zum Beispiel das Bundesdatenschutzgesetz zu berücksichtigen. Dazu müssen sie die Hardware, die auf das Unternehmensnetzwerk zugreift, aber zumindest verwalten dürfen - also auch private Endgeräte.
Die Entwicklung von BYOD steht in Deutschland erst am Anfang, sodass noch keine ausgereiften Antworten vorliegen, wie beispielsweise mit Daten auf privaten Endgeräten umgegangen werden darf. Viele Analysten sind sich jedoch einig, dass sich dieser Trend langfristig durchsetzen wird und die IT-Abteilung die Antworten darauf entwickeln muss.
Helfer aus der Cloud
Neben den mobilen Endgeräten schleichen sich quasi nebenbei auch Cloud-Dienste als selbstverständliche Helfer in das Arbeitsleben. Cloud-Datenspeicher ermöglichen den schnellen und einfachen Datenaustausch in Teams und werden immer häufiger ohne Rücksicht auf Unternehmensrichtlinien genutzt.
So nehmen beispielsweise Übersetzungsdienste in der Cloud geschäftskritische Texte entgegen und verarbeiten sie dezentral irgendwo auf der Welt. Soziale Netzwerke, in denen sich Kommunikationsmechanismen unkompliziert entwickeln, bauen Bewegungsprofile von Mitarbeitern auf.
Hier gilt es für die IT, die Anforderungen der Benutzer zu erkennen und entsprechend sichere Alternativen anzubieten, denn die Cloud-Dienste sind bereits da, und die Adaption auf die private und berufliche Organisation der Mitarbeiter hat bereits stattgefunden. Nutzt ein Mitarbeiter bereits Cloud-Datenspeicher zum Bereitstellen von Bildern und Videos, wird er kaum verstehen, warum seine IT-Abteilung einen solch einfachen Dienst nicht auch für Unternehmensdaten anbietet.
Transparenz und Sicherheit schaffen
Die Mobilität und hohe Integration von Diensten stellen besondere Anforderungen an Schutz und Sicherheit der Endgeräte sowie der genutzten Informationen. Hinzu kommt, dass Anwender bei den einfach zu bedienenden Geräten und den gut abgestimmten und integrierten Apps mit ihren internen Kommunikationsmechanismen selbst nicht an Sicherheit denken.
Begegnen kann man der steigenden Komplexität in der Sicherheitsfrage durch die Einführung eines Information Security Management Systems (ISMS). Ein ISMS sorgt dafür, dass Organisationen ihre Informationssicherheit kontrollierbar, transparent und effizient betreiben können. Es hat zum Ziel, IT-Risiken für die Organisation zu identifizieren, zu analysieren und durch entsprechende Maßnahmen beherrschbar zu machen.
Für Unternehmen stellt sich oft die Frage, wo sie bei der Implementierung einer solchen Lösung anfangen sollen. Bewährt hat es sich, zunächst einen geeigneten Geltungsbereich, beispielsweise Geschäftsprozesse, Unternehmensbereiche und Standorte, für das ISMS festzulegen und dort zu erproben. Anschließend lassen sich einzelne Maßnahmen, wie Richtlinien für den Passwortgebrauch, weiter ausrollen. Wichtig ist, dass das Thema Informationssicherheit als ein fortlaufender Prozess angesehen wird.
Wenn die IT-Sicherheitsregeln definiert und mit den Unternehmensvorgaben abgestimmt sind, erfolgt mithilfe entsprechender Sicherheitsanwendungen die technische Umsetzung auf Endgeräten und Backend-Systemen. Ob Sicherheitsregeln konform sind, kann jederzeit nachgewiesen werden, und Grauzonen oder Lücken lassen sich frühzeitig erkennen.
Compliance und Sicherheit gewährleisten
Im Zusammenhang mit IT-Sicherheitsvorgaben sind vorhandene IT-Compliance-Regeln zu ergänzen, beispielsweise um zu klären, wem unternehmensrelevante Daten nach Ausscheiden eines Mitarbeiters gehören. Gerade bei räumlich verteilten und vernetzten Teams sind beim Datenaustausch sowie bei der Nutzung von Cloud-basierten Speicherplattformen die gesetzlichen Regelungen des Bundesdatenschutzgesetzes zu beachten.
Bei Datenschutzvereinbarungen sind unter Umständen die Mitspracherechte von Betriebsrat und Arbeitnehmervertretung zu berücksichtigen. Schließlich sind auch steuerrechtliche Bestimmungen zu beachten, wenn beispielsweise dem Mitarbeiter ein Zuschuss für den privaten Gerätekauf gewährt wird. Sollen Mitarbeiter mit ihren mobilen Endgeräten direkt auf Unternehmensanwendungen zugreifen, sind hierfür unter Umständen zusätzliche Lizenzen notwendig.
Für mehr Sicherheit sorgen darüber hinaus Virtual-Desktop-Infrastrukturen (VDI), Virtual Private Networks (VPN) und Terminal-Lösungen. Diese Technologien sorgen dafür, dass kritische Unternehmensdaten erst gar nicht auf die Endgeräte gelangen, sondern die im Rechenzentrum gehosteten Anwendungen sicher auf den mobilen Geräten zur Anzeige gebracht werden. Damit lässt sich Datendiebstahl durch Geräteverlust deutlich verringern. Werden dennoch lokale Daten benötigt, so sollten Mitarbeiter Unternehmensdaten nur unter Einsatz von Verschlüsselungstechnologien auf mobilen Geräten speichern.
IT-Prozesse für mobile Endgerätenutzung durchleuchten
Eine weitere Voraussetzung für den Arbeitsplatz der Zukunft sind industrielle - also automatisierte - Bereitstellungsprozesse der IT-Leistungen. Erst vollständig dokumentierte Prozessketten, die einem Lebenszyklus folgen, führen zu dauerhaft effizienten und automatisierten Abläufen in der IT-Organisation. Das Regelwerk ITIL fordert und fördert schon seit Jahren eine stärker serviceorientierte Ausrichtung der IT-Organisation. Damit verbunden ist die Erkenntnis, dass auch IT-Services einem Lebenszyklus folgen und daher zunächst möglichst detailliert zu erfassen sind.
Mobile Endgeräte sind ein wichtiges Element des Arbeitsplatzes der Zukunft, jedoch gehören weitere IT-Systeme dazu. Mithilfe der Aufnahme der Geschäftsanforderungen ermitteln IT-Architekten alle relevanten Bestandteile: Dazu gehören die betroffenen Endgeräte, Daten, Dienste und Netzwerke. Ebenfalls analysiert werden die Anforderungen der Anwender an die IT, die auf den Endgeräten bereitgestellten IT-Services und die zu erwartenden Kosten. Daraus lassen sich geeignete IT- und Management-Strategien ableiten.
All diese Informationen fließen in einer Architekturvision zusammen. Anschließend werden die Informationen bewertet, gegen die vorhandenen IT-Verfahren und -Komponenten abgeglichen und notwendige Maßnahmen identifiziert. So lassen sich Handlungsempfehlungen für das weitere Vorgehen auf dem Weg zum Arbeitsplatz der Zukunft formulieren. (hal)