Aktuell erleben wir die Evolution des mobilen Arbeitens hin zum ultramobilen Arbeiten – und damit wieder einmal das Phänomen, dass eine Entwicklung ihre eigenen Kinder frisst. Da haben Laptops und Notebooks die mobile Arbeit nicht nur revolutioniert, sondern in weiten Teilen überhaupt erst möglich gemacht. Und dann das! Bei der mobilen Arbeit entscheiden sich Nutzer immer häufiger dafür, ausschließlich das Mobilgerät zu nutzen, das sie sowieso immer dabei haben: ihr eigenes Smartphone, respektive Tablet, oder das vom Arbeitgeber gestellte. Warum? Erstens, weil Smartphones mittlerweile eine ähnliche Performance wie Notebooks haben. Und zweitens, weil es viel bequemer ist, bei Bedarf einfach in die Jackentasche zu greifen, als ständig eine Laptop-Tasche mitzuschleppen.
Diese Entwicklung wird zusätzlich durch die wachsende Beliebtheit von Cloud Computing befeuert. Das reduziert die technischen Anforderungen und spielt der beruflichen Smartphone-Nutzung in die Hände. So wird aus den bekannten mobilen Konzepten mit der Kombination aus professionellem Notebook und privatem Handy die neue Form ultramobiler Arbeit, bei der ein einziges Smartphone oder Tablet beide Funktionen erfüllt.
Diener zweier Welten
Diese Doppelnutzung eines Mobilgeräts klingt bestechend effizient und bequem. Doch sie hat ihre Fallstricke. Die hängen in erster Linie mit der Koexistenz dienstlichen oder privater Anwendungen und Daten auf dem Gerät zusammen. Und die ist unabhängig davon, ob ein dienstliches Gerät privat (Corporate Owned Personally Enabled oder COPE) oder ein privates Gerät dienstlich (Bring Your Own Device oder BYOD) genutzt wird. Dort wo das erlaubt ist, also vor allem bei Kommunal- und Landesbehörden, ist BYOD deutlich beliebter als COPE. Das hängt unter anderem damit zusammen, dass aufgrund angespannter Budgetlage berufliche Mobilgeräte gar nicht erst angeschafft oder andernfalls schnell veraltet sind. Also wird dort bevorzugt das attraktivere private Smartphone genutzt. Unabhängig davon haben wir es in beiden Fällen mit einer sicherheitskritischen Koexistenz ganz unterschiedlicher Anwendungen auf einem einzigen Gerät zu tun.
Zum Problemfall werden dabei in der Regel private Apps wie Spiele, Messenger oder Social Media. Die haben die unangenehme Eigenschaft, neugierig zu sein. Denn das Geschäftsmodell der entsprechenden Anbieter ist darauf ausgelegt, sich bei der Installation ungefragt weitgehende Zugriffsrechte auf Kalender, Kontakte und Dokumente aber auch auf Metadaten einzuräumen – und fleißig Gebrauch davon zu machen. Sensible Daten gehören praktisch zum natürlichen Beuteschema. Dazu kommt die Anfälligkeit privater Apps für Malware-Attacken. Für die Sicherheits- und Compliance-konforme berufliche Nutzung sind diese Zu- und Abgriffsfreiheiten daher völlig inakzeptabel.
Welche Sicherheitskriterien sind sinnvoll?
Die logische Konsequenz daraus kann also nur in einer strikten Trennung von beruflichen Applikationen und Daten einerseits, und privaten Anwendungen andererseits liegen. Und die muss absolut wasserdicht sein, darf aber andererseits den Komfortgewinn und die Attraktivität ultramobilen Arbeitens nicht einschränken. Die Erfahrung zeigt, dass komplizierte, zeitraubende Security-Hürden von den Nutzern immer wieder erstaunlich fantasievoll unterlaufen werden – dummerweise dabei aber auch die Sicherheitsmaßnahmen selbst. Diese müssen also ebenso effizient wie unsichtbar im Hintergrund greifen.
Eine Orientierung bei der Frage nach sinnvollen Sicherheitskriterien geben die Benchmarks für die Anforderungen von Kritis-eingestuften Organisationen und BOS (Behörden und Organisationen mit Sicherheitsaufgaben). Für sie, aber auch für einige Bundesbehörden, gelten die Vorgaben für das sichere Arbeiten gemäß VS-NfD (Verschlusssachen nur für den Dienstgebrauch). Für viele andere Behörden ist das zwar nicht zwingend vorgeschrieben. Wenn jedoch eine Lösung vom BSI (Bundesamt für Sicherheit in der Informationstechnik) dafür zugelassen ist, VS-NfD-Inhalte verarbeiten zu dürfen, ist das ein aussagekräftiges Gütesiegel für ihr Sicherheitsniveau.
Container-Technologie auf dem Privathandy
Eine sichere Möglichkeit ist hier die Container-Technologie, die dienstliche Daten und Anwendungen in einem abgeschotteten Bereich wie in einem Tresor vor neugieriger Übergriffigkeit schützt. Dazu kommt als weiteres Sicherheitsmerkmal die durchgängige Verschlüsselung bei der Datenübertragung und -speicherung. Weder private Apps noch Malware-Attacken haben eine Chance, auf Daten zuzugreifen. Idealerweise wird eine Container-Lösung durch integrierte Anwendungen für die professionelle Kollaboration und Kommunikation wie E-Mail, Messaging, einen gehärteten Browser und verschlüsselte Telefonie ergänzt. So steht beim ultramobilen Arbeiten ein sicheres Gesamtpaket für den Schutz sensibler Daten zur Verfügung.
Zu den angesprochenen Sicherheitsaspekten kommen zusätzlich die mit dem BYOD-Prinzip verbundenen Kostenvorteile ultramobiler Arbeit für Kommunal- und Landesbehörden. Da hier wie erwähnt in der Regel das private Smartphone favorisiert wird, entfallen die Anschaffungskosten für mobile Dienstgeräte, die Budgets werden entlastet. Sparsamkeit und Sicherheit lassen sich also unter einen Hut oder besser gesagt in einen Container bringen. Und zudem werden weder die Attraktivität für potenzielle Nachwuchskräfte, noch die Arbeitsmotivation und -effizienz von Mitarbeitenden darunter leiden, wenn sie unterwegs ihr eigenes, wohlvertrautes Smartphone nutzen dürfen – im Gegenteil.
Christian Schumer ist Chief Executive Officer und Senior Vice President Sales bei Materna Virtual Solution.
