CryptoParty auch für mobile Anwender – digitale Selbstverteidigung gegen Überwachung
Seit einigen Monaten spriessen CryptoParties wie Pilze aus dem Boden,
insbesondere seit durch die Leaks des Whistleblowers Edward Snowden die jenseits legaler wie möglicherweise legitimer rechtsstaatlicher Grenzen von „Angemessenheit“ völlig aus dem Ruder gelaufene digitale Total-Überwachung praktisch aller Menschen weltweit durch Geheimdienste gerade auch demokratischer und vorgeblich befreundeter Staaten wie der US-amerikanischen NSA und britischen GCHQ in einem für die meisten Menschen unvorstellbarem Ausmass der grossen Öffentlichkeit bekannt und den Nutzern nunmehr überdeutlich klar wurden
– ein nicht tolerables und völlig inakzeptables Agieren durch aktives Handeln, verantwortungsloses Dulden und sträfliches Unterlassen staatlicher Behörden in totalitärem Umfang ausserhalb der Grenzen von Rechtsstaatlichkeit und unter Verstoss gegen verfassungsmässig garantierte Grundrechte wie der informationellen Selbstbestimmung und des Schutzes der Privatsphäre in der Kommunikation.
Da die Regierungen ihrem Auftrag, Schaden von ihren Bürgern abzuwenden, offenbar bereits seit geraumer Zeit nicht gerecht werden und damit permanent ihren Amtseid sowie die Verfassung der jeweiligen Staaten (insbesondere USA ebenso wie Deutschland) brechen – der Journalist Heribert Prantl nannte in einem bemerkenswerten Essay in der Süddeutschen Zeitung diesen Zustand einen „Staatsnotstand“, beginnen Bürger, sich oft erstmalig oder nun verstärkt mit digitaler Selbstverteidigung zu beschäftigen, um sich im Angesicht der völligen Bankrotterklärung der Politik wenigstens ein Stück ihrer Grundrechte durch Eigeninitiative wieder zurückzuholen.
Die aus demokratischen wie rechtsstaatlichen Prinzipien sich ergebende Notwendigkeit wie vor allem aber auch faktisch bestehenden Möglichkeiten einer politischen Aufarbeitung der Thematik durch die bundesdeutsche Regierung bzw. Politik werden in Deutschland insbesondere durch wissenschaftlich fundierte Beiträge des Historikers und Freiburger Universitätsprofessors Dr. Josef Foschepoth in einer Reihe von Punkten einfach, übersichtlich und sozusagen als erforderliche Schritte abarbeitbar zusammengefasst, die er sowohl in seinem Buch „überwachtes Deutschland“ (Verlag Vanderhoeck & Ruprecht) als auch in einem Artikel auf seinem Blog und in seinem Vortrag „Die Bundesrepublik, das am meisten überwachte Land in Europa“ auf dem #30C3, dem 30. Kongress des CCC in Hamburg Ende Dezember 2013 veröffentlicht hat.
Mehrfach verwiesen in den vergangenen Monaten auch aktuelle Nachrichtensendungen der öffentlich-rechtlichen TV-Anstalten (ARD tagesschau vom 03.11.2013 und ZDF heute journal vom 25.10.2013) mit Beiträgen darauf und liessen Prof. Dr. Foschepoth in Interviews dazu zu Wort kommen.
Dennoch geht die politische Diskussion nicht nur durch die Parteien der alten wie auch der neuen Regierungskoalition sondern erstaunlicherweise auch der Opposition praktisch überhaupt nicht auf diese wichtigen und wesentlichen, sachlichen und fachlich fundierten wie praktisch anwendbaren und umsetzbaren Beiträge ein.
Auch dass der bisherige Bundesdatenschutzbeauftragte Peter Schaar gemäss seinem fachlichen Auftrag kaum verwunderlich immer wieder klar Position bezogen hat, hat lediglich dazu geführt, dass zum Jahreswechsel durch die neue Regierungskoalition sein Auftrag nicht weiter verlängert wurde.
Der von seinen eigentlich dafür verantwortlichen, gewählten und beauftragten Volksvertretern insofern praktisch völlig allein gelassene Bürger und Nutzer digitaler Dienste hat offenbar auf Dauer keine nennenswerte Lobby
– in der Parteienlandschaft nur jeweils durch Minderheiten aus meist den Innenpolitikern unterlegenen Netzpolitikern in den etablierten Parteien bis einschliesslich dem als Mitglied des Parlamentarischen Kontrollgremiums (PKG) und sowohl in Wort und Tat positiv hervorstechenden Bundestagsabgeordneten Hans-Christian Ströbele von Bündnis 90 / Die Grünen sowie immerhin jeweils als Gesamtpartei durch sehr klar und eindeutig positionierte Piratenpartei und Die Linke -,
die sich für seine verbrieften Grundrechte einsetzen oder stark machen würde.
So bleibt für entrechtete Bürger, die diese Situation nicht achselzuckend zu akzeptieren und tatenlos hinzunehmen gedenken, einer offenbar für die Tragweite der Katastrophe nur unverständlich kleinen Minderheit in der Bevölkerung, neben der dafür als probates Mittel bereits gescheiterten Bundestagswahl als Nutzer nur der Weg der digitalen Selbstverteidigung.
CryptoParty = Workshop „digitale Selbstverteidigung“
In ein Szenario geeigneter Mittel und Lösungen gehört allerdings, wie man beispielsweise einem ebenfalls auf dem #30C3 gehaltenen Vortrag von Linus Neumann mit dem Titel „Bullshit made in Germany“ entnehmen durfte, ganz sicher nicht die DE-Mail. Sichere eMail-Kommunikation sieht eindeutig anders aus.
Und unter anderem dazu lernt man eine ganze Menge auf so genannten CryptoParties wie sie im Übrigen beispielsweise durch CCC, Piraten und Grünen auch bereits organisiert wurden.
Was eine CryptoParty ist, wird im Übrigen auf mehreren Quellen und in verschiedenen Formaten (Video, Wiki, Blog, …) grundsätzlich deckungsgleich beschrieben:
http://de.wikipedia.org/wiki/CryptoParty
http://www.cryptoparty.in/parties/howto
http://www.youtube.com/watch?v=o9HOf16N0ho
Es handelt sich in aller Regel um eine frei zugängliche, kostenfreie Veranstaltung, die mehr oder weniger interaktiv abläuft und in einem Austausch zwischen Experten und ambitioniertem Publikum bei niedriger Schwelle bezüglich Kenntnisstand der Teilnehmer eine Art Workshop in digitaler Selbstverteidigung darstellt, wobei inhaltlich vor allem Open Source Software und Verschlüsselungstechnologien vorgestellt und deren praktische Nutzung auch Schritt für Schritt erklärt und demonstriert wird.
Die Teilnehmer sollen mit einer CryptoParty in die Lage versetzt werden, selbst verschlüsselt und sicher zu kommunizieren und ebenso ihre Daten verschlüsselt und sicher abzulegen, im Nachgang aber auch ihre eigenen Kommunikationspartner leicht und schnell ebenfalls zu sensibilisieren und in diese Kunst einzuführen.
Für eine gestern in München stattgefundene solche CryptoParty wurde ein Handout-Dokument für die Teilnehmer erstellt, das wir hier zum Download bereit stellen:
CryptoParty MUC Workshop Handout (PDF).
Wie die Teilnehmer lernen durften: 100%-ige Sicherheit gibt es nicht.
Und so müssen wir auch erklären, dass grundsätzlich auf Richtigkeit und Vollständigkeit natürlich keine Garantien gegeben werden können.
Dennoch: beide Daumen nach oben mit kräftiger Empfehlung zum Nachmachen.
Die vorgestellten Tools und Lösungen sind äusserst umfangreich
und deckten auch gleich 6 verschiedene mobile und Desktop-Betriebssysteme ab:
Windows, Mac OS, Linux, Android, iOS und Windows Phone –
ein äusserst ambitioniertes und für CryptoParties durchaus aussergewöhnlich umfangreiches und breites, trotzdem oder je nach Perspektive vielleicht auch gerade deshalb äusserst praxistaugliches Programm
mit der Besonderheit des Schwerpunkts auf mobile Nutzung.
Sie erstrecken sich
- von sicherer eMail-Kommunikation mit OpenPGP-Verschlüsselung
- über verschlüsselte Kurznachrichten mit einer Smartphone-App namens THREEMA aus der Schweiz,
- XMPP-Messaging-Diensten und OTR-Verschlüsselung
- oder Apps für verschlüsselte SMS/MMS,
- verschlüsselte Sprachkommunikation (VoIP Telefonie),
- Verschlüsselung von Speichermedien (geräteinterner Speicher, Festplatte, Speicherkarte, Daten-Container),
- verschlüsselte Datenspeicherung mit Encryption Tools auf Cloud-Diensten
- und verschlüsselte Collaboration-Tools
- bis zu VPN-Tunnelverbindungen.
Dass wie angekündigt keine Vorkenntnisse erforderlich sein sollten, konnte insofern nicht durchgängig für das gesamte, teilweise doch sehr anspruchsvolle Programm gelten.
Die für die praktische Umsetzung wesentlichen Inhalte (insbesondere PGP-Verschlüsselung von eMails und Secure Messaging) konnten allerdings durchaus erfolgreich übermittelt werden, wie sich am Ende der Veranstaltung stichprobenhaft bei den Teilnehmern in Erfahrung bringen liess,
wenn man sich jedenfalls entsprechend der Aufforderung beim Event-Eintrag vorbereitet und die zur Nutzung beabsichtigten Tools vorher bereits heruntergeladen und installiert hatte (die lange Liste der Links war tatsächlich vorher vollständig kommuniziert worden).
Darüber hinaus gaben die Experten und Organisatoren sogar noch eine Art Erfolgsgarantie, indem den Teilnehmern für offene Fragen oder Umsetzungsprobleme die natürlich ebenfalls wieder kostenfreie Teilnahme am ansonsten identischen Zweittermin 1 Monat später (am 21.02.) angeboten wurde, ausserdem erhielten sie zum erfolgreichen Testen im Nachgang zur Veranstaltung die eMail-Adressen, öffentlichen PGP-Schlüssel und THREEMA IDs der anwesenden Experten.
Und schliesslich gab es als Zuckerl für die Teilnehmer auch noch jeweils 4 Gutschein-Codes zum kostenlosen Erwerb der iOS oder Android Version der vorgestellten Secure-Messaging-App THREEMA vom Schweizer Hersteller, dem Entwickler Manuel Kasper – jedenfalls für insgesamt 8 Teilnehmer, die sie sich noch nicht bereits vorher besorgt hatten.
Für 1,69 bzw 1,79 EUR hält sich die Investition aber auch so in Grenzen, zumal die Nutzung des Diensts komplett kostenlos ist – anders als beim höchst unsicheren und deshalb häufig in die Schlagzeilen gekommenen derzeit populärsten Wettbewerber „WhatsApp“. Ein weiterer nach wie vor höchst erfolgreicher Wettbewerber ist das bekanntermassen durch die NSA kompromittierte „Skype“ von Microsoft oder z.B. der „Facebook Messenger“.
Aufgrund der anhaltenden Nachrichtenlage und entsprechenden Sensibilisierung der Nutzer hat das recht einfach zu nutzende THREEMA es im Übrigen geschafft, schon seit Monaten in den Top 50 der App Hitlisten zu bleiben (zeitweilig sogar sehr weit oben).
Die lange Liste der auf der CryptoParty vorgestellten oder erwähnten sicheren Lösungen und Tools nach Anwendungsgebieten:
TEIL 1 – Verschlüsselte eMail-Kommunikation
eMail-Verschlüsselung: OpenPGP / GnuPG / GPG
http://www.gnupg.org/
Android: APG (OpenPGP, zusammen mit K-9 Mail)
http://play.google.com/store/apps/details?id=org.thialfihar.android.apg
iOS: iPGMail (OpenPGP)
http://itunes.apple.com/us/app/ipgmail/id430780873?mt=8
iOS: oPenGP (OpenPGP)
http://itunes.apple.com/de/app/opengp/id414003727
http://itunes.apple.com/de/app/opengp-lite/id405279153
Windows Phone: oPenGP (OpenPGP)
http://www.windowsphone.com/de-de/store/app/opengp/449af4e8-d259-431f-b5d9-3ebb092c13d1
Windows: Gpg4win (OpenPGP + S/MIME, zusammen mit Microsoft Outlook oder Claws Mail)
http://www.gpg4win.org/
Mac OS: GPGMail + GPG Suite (OpenPGP, zusammen mit Apple Mail oder Thunderbird)
http://gpgtools.org/
Windows / Mac OS / Linux: Enigmail (OpenPGP, zusammen mit Thunderbird)
http://addons.mozilla.org/de/thunderbird/addon/enigmail/
eMail-Programme:
Android: K-9 Mail (zusammen mit APG)
http://play.google.com/store/apps/details?id=com.fsck.k9
Windows / Mac OS / Linux: Mozilla Thunderbird (Addons/Plugins siehe oben, v.a. Enigmail)
http://www.mozilla.org/de/thunderbird/
http://www.mozilla.org/de/thunderbird/all.html
TEIL 2 – Secure Messaging
THREEMA: Messaging mit End-To-End-Verschlüsselung (ECC mit NaCl)
http://threema.ch/
Android: http://play.google.com/store/apps/details?id=ch.threema.app
iOS: http://itunes.apple.com/de/app/threema/id578665578?mt=8
versus OTR: http://threema.ch/de/faq.html
XMPP + OTR: XMPP-Dienste: Facebook Messenger, Google Talk, Jabber, AIM, ICQ, …
Sichere XMPP-Clients mit OTR-Verschlüsselung:
Android: Xabber (XMPP-Dienste > FB, GT, …)
http://play.google.com/store/apps/details?id=com.xabber.android&hl=de
http://play.google.com/store/apps/details?id=com.xabber.androidvip&hl=de
Android: ChatSecure (ehem. Gibberbot; XMPP-Dienste > FB, GT, Jabber, AIM)
http://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im&hl=de
iOS: ChatSecure (ehem. Gibberbot; XMPP-Dienste > FB, GT, Jabber, AIM)
http://itunes.apple.com/us/app/chatsecure-encrypted-secure/id464200063
Windows / Mac OS / Ubuntu / Linux: Pidgin plus OTR-Plugin
http://www.pidgin.im/download/
http://developer.pidgin.im/wiki/ThirdPartyPlugins
http://otr.cypherpunks.ca/index.php#downloads
Windows / Mac OS / Ubuntu / Debian / Linux: Jitsi
http://jitsi.org/Main/Download
Verschlüsselte SMS/MMS:
Android: TextSecure
http://whispersystems.org/#encrypted_texts
http://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
iOS: TextSecure (in Entwicklung)
http://whispersystems.org/blog/iphone-rsn/
TEIL 3 – Verschlüsselte Sprachkommunikation / Telefonie
OSTel (Open Secure Telephony des Guardian Project): Encrypted SIP Service Provider
https://ostel.co/
(Achtung: VoIP lässt nicht jeder Mobiltelefon-Provider bzw nur bei bestimmten Tarifen zu,
Alternative: über WLAN)
CSipSimple: (VoIP-Client, Nutzung z.B. mit Encrypted SIP Dienst wie OSTel)
http://code.google.com/p/csipsimple/
Android: CSipSimple
http://play.google.com/store/apps/details?id=com.csipsimple
http://nightlies.csipsimple.com/stable/CSipSimple-latest-trunk.apk
iOS: Acrobits SoftPhone (VoIP-Client, Nutzung z.B. mit Encrypted SIP Dienst wie OSTel)
http://itunes.apple.com/app/acrobits-softphone-sip-phone/id314192799
Android: Acrobits Groundwire (SRTP: SDES + ZRTP)
http://www.acrobits.cz/94/groundwire-for-android
http://play.google.com/store/apps/details?id=cz.acrobits.softphone.aliengroundwire
iOS: Acrobits Groundwire (SRTP: SDES + ZRTP)
http://www.acrobits.cz/11/acrobits-groundwire-for-iphone
http://itunes.apple.com/de/app/groundwire-business-caliber/id378503081?mt=8
PrivateGSM (SRTP/ZRTP, SIP/TLS):
http://guardianproject.info/wiki/PrivateGSM
http://www.privatewave.com/display/WS/PrivateGSM
Android: PrivateGSM Professional
http://play.google.com/store/apps/details?id=com.privategsm.beta
iOS: PrivateGSM Professional
http://itunes.apple.com/de/app/privategsm-professional/id401908184?mt=8
Android: RedPhone (ZRTP Encrypted VoIP Channel)
http://whispersystems.org/#privacy
http://play.google.com/store/apps/details?id=org.thoughtcrime.redphone
BlackBerry 10: SecuSUITE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secusuite/
BlackBerry 10: SecuVOICE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secuvoice/
Android: SecuVOICE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secuvoice/android-smartphones/funktionsweise/
Windows / Mac OS / Ubuntu / Debian / Linux: Jitsi
http://jitsi.org/Main/Download
TEIL 4 – Gerät / Datenträger / OS / Virtualisierung / Container
Android: BizzTrust
http://www.bizztrust.de
Android: SiMKo3
http://www.t-systems.de/simko
BlackBerry 10: BlackBerry Balance
http://de.blackberry.com/software/smartphones/blackberry-10-os/features-new/blackberry-balance.html
BlackBerry 10: SecuSUITE
http://www.secusmart.com/secusuite/
Android / iOS: Good Collaboration Suite
http://www1.good.com/applications/collaboration-suite/
Android: Verschlüsselung (des Gerätespeichers) mit Bordmitteln
> Einstellungen > Sicherheit > Verschlüsselung > Gerät verschlüsseln
> Einstellungen > Sicherheit > Verschlüsselung > Externe SD-Karte verschlüsseln
Android: LUKS (Encrypted Container, im internen Gerätespeicher oder auf SD-Karte)
https://guardianproject.info/code/luks/
https://play.google.com/store/apps/details?id=com.nemesis2.luksmanager
TrueCrypt: (Festplatten-Verschlüsselung)
http://www.truecrypt.org
Windows / Mac OS / Linux:
http://www.truecrypt.org/downloads
OpenSource Alternativen bei mobilen Betriebssystemen:
Ubuntu Phone
http://www.ubuntu.com/phone
TEIL 5 – Collaboration + Cloud-Speicher (verschlüsselt)
Stackfield: Collaboration Plattform mit End-to-End-Verschlüsselung (Freemium)
http://www.stackfield.com
Wuala: verschlüsselter Cloud-Speicher-Dienst
http://www.wuala.com/de/
Android, iOS, Windows, Mac OS, Linux:
http://www.wuala.com/de/download/
Android: http://play.google.com/store/apps/details?id=com.wuala.android
iOS: http://itunes.apple.com/us/app/wuala/id417749289?mt=8
BoxCryptor: Verschlüsselung von Cloud-Speicher
http://www.boxcryptor.com/
Unterstützt Cloud-Speicher-Dienste: Dropbox, Google Drive, SkyDrive, BOX, SugarSync.
Für Android, iOS, Windows RT, Windows, Mac OS X, Linux, Chrome (Browser Plugin):
http://www.boxcryptor.com/de/download
BoxCryptor Classic:
Android: http://play.google.com/store/apps/details?id=com.boxcryptor.android
iOS: http://itunes.apple.com/de/app/boxcryptor-classic/id484546808
BoxCryptor (2.x):
Android: http://play.google.com/store/apps/details?id=com.boxcryptor2.android
iOS: http://itunes.apple.com/de/app/boxcryptor/id649940870?mt=8
TEIL 6 – VPN-Tunnelverbindung
Android: VPN mit Bordmitteln
> Einstellungen > Drahtlos und Netzwerke > Weitere Einstellungen > VPN
iOS: VPN mit Bordmitteln
> Einstellungen > Allgemein > VPN
Windows Phone: unterstützt VPN systemseitig nicht
OpenVPN: http://openvpn.net/
Android: OpenVPN Connect http://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=de
iOS: OpenVPN Connect
http://itunes.apple.com/us/app/openvpn-connect/id590379981
Windows: OpenVPN Private Tunnel
http://swupdate.openvpn.net/privatetunnel/client/privatetunnel.msi
Mac OS: OpenVPN Private Tunnel
http://swupdate.openvpn.net/privatetunnel/client/privatetunnel.dmg
Quelle/n und weiterführende Links
(zusätzlich zu den z.T. im Artikel bereits aufgeführten):
http://cryptoparty-muc-20140117.eventbrite.de/
http://cryptoparty-muc-20140221.eventbrite.de/
http://thomas-pfeiffer.de/linkliste-mailverschluesselung/
http://www.jimmy-schulz.com/content/so-sch%C3%BCtze-ich-mich-vor-datendieben
http://www.facebook.com/groups/491112987636270/ – Facebook Gruppe „MOBILE SECURITY“
http://www.xing.com/net/enterprisemobi – XING Fachforum „ENTERPRISE MOBILITY“
http://blog.unixweb.de/vpn-server-aufbau-mit-einem-raspberry-pi/
sowie zum Thema „Digitale Selbstverteidigung“
https://prism-break.org/#de
http://kryptoparty.de/?page_id=65
http://www.stopwatchingus-duesseldorf.org/tools/
http://demonstrare.de/demonstrare/etwas-mehr-sicherheit-mit-android-linux-und-windows/
http://cybermashup.com/2013/07/24/nsa-crypto-and-bananas/
http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
http://www.youtube.com/watch?v=N8Sc6pUR1mA
http://www.youtube.com/user/CCCdeVideos
und weiterführende Links zu Technologien, Tools und wie man sie einsetzt
http://wiki.piratenpartei.de/PGP
http://www.spiegel.de/fotostrecke/openpgp-so-verschluesseln-sie-ihre-e-mails-fotostrecke-98718.html
http://wiki.piratenpartei.de/HowTo_Emails_verschl%C3%BCsseln_mit_PGP_mit_Thunderbird#Installation_und_Ver.C3.B6ffentlichen_der_Schl.C3.BCssel
http://www.verbraucher-sicher-online.de/anleitung/e-mails-verschluesseln-in-apple-mail-unter-mac-os-x?page=0,2#eigenes_schluesselpaar
http://wiki.ubuntuusers.de/GnuPG
http://stadt-bremerhaven.de/android-verschluesselte-e-mails-mit-agp-und-k9-senden-und-empfangen/
http://www.apfeltalk.de/community/threads/eine-anleitung-fuer-die-verschluesselung-von-mails-unter-ios-5.389590/
http://wiki.xmpp.org/web/OTR
http://irrsinnig.de/sicher-im-netz/verschluesselt-chatten-mit-otr
http://www.androidpit.de/verschluesselte-sms-chats-textsecure-xabber
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Sicherheitshinweise/2009-07-10_Sicherheitshinweis_GSM_pdf.pdf
https://www.bsi.bund.de/DE/Themen/weitereThemen/MobileSecurity/SNS/sns_node.html
http://idw-online.de/de/news563139
und zur politischen Dimension der Thematik der digitalen Überwachung:
http://de.wikipedia.org/wiki/Edward_Snowden
http://www.sueddeutsche.de/politik/ueberwachungs-durch-us-geheimdienste-unterirdisch-1.1726074
http://www.v-r.de/de/title-0-0/ueberwachtes_deutschland-1007436/
http://foschepoth.wordpress.com/
http://www.youtube.com/watch?v=rd7-Z_X809A
http://www.tagesschau.de/multimedia/sendung/ws508.html
http://www.zdf.de/ZDFmediathek/kanaluebersicht/aktuellste/228#/beitrag/video/2014108/ZDF-heute-journal-vom-25-Oktober-2013
http://www.zeit.de/digital/datenschutz/2013-11/bericht-peter-schaar-nsa-gchq
http://www.youtube.com/watch?v=LNQapkhM4YY
http://www.youtube.com/watch?v=yqI-Q_46xnA
http://www.youtube.com/watch?v=VRv424ulV7Q
http://www.spiegel.de/politik/deutschland/ueberwachung-die-positionen-der-piraten-zu-nsa-und-prism-skandal-a-912930.html
http://www.youtube.com/watch?v=hp0FVvpfbFU
Überwachungsskandal: auch BlackBerry ist kompromittiert
Jetzt ist es offiziell: auch BlackBerry ist kompromittiert …
Das BSI Bundesamt für Sicherheit in der Informationstechnik warnt vor BlackBerry, weil britische Dienste Zugriff auf das “gesamte Nachrichtenaufkommen” haben.
„Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse.
netzpolitik.org:
Wir haben nachgefragt, aber unsere Anfrage wurde abgelehnt, weil diese Informationen die internationalen Beziehungen gefährden würden.
Für Unternehmen besonders problematisch ist die Bedrohung durch Wirtschaftsspionage, die bei Nutzung der BlackBerry-Infrastruktur nicht nur nicht ausgeschlossen werden kann, sondern eine reale unmittelbare Bedrohung mindestens durch Großbritannien zum Nutzen der britischen Wirtschaft darstellt.
Bereits vor acht Jahren warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Diensten des Unternehmens BlackBerry.
Jürgen Berke berichtete damals in der WirtschaftsWoche:
„Nach Volkswagen meldet auch das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken an und warnt vor dem Gebrauch der mobilen E-Mail-Maschine. „Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse. Der „nur zum internen Gebrauch“ erstellte Bericht kreidet RIM an, dass das „gesamte Nachrichtenaufkommen zwangsweise“ über ein Rechenzentrum in Egham bei London geleitet wird. „Nach britischem Recht“ – so der BSI-Bericht – können „die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohle der britischen Wirtschaft)“ – Zugang zu allen Verbindungsdaten und Inhalten erhalten. „Es gibt damit die theoretische Möglichkeit, dass Dritte auf die E-Mails zugreifen, die vom Blackberry versandt werden“, erklärt BSI-Referatsleiter Michael Dickopf.“
Netzpolitik.org:
Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht ist uns die BSI-Analyse wieder eingefallen, die wir prompt per Informationsfreiheits-Anfrage angefordert haben.
Jetzt kam die kürzeste IFG-Antwort, die wir bisher erhalten haben:
„Ihr o.g. Antrag wird nach § 3 Nr. l lit. a) IFG abgelehnt, da das Bekanntwerden der Information nachteilige Auswirkungen auf die internationalen Beziehungen haben kann.“
Und weiter:
„Das BSI ist eine Bundesbehörde und gehört zum Geschäftsbereich des Innenministeriums. Es wird aus Steuern finanziert und erarbeitet Informationen zur IT-Sicherheit für die öffentliche Verwaltung, Wirtschaftsunternehmen, Wissenschafts- und Forschungseinrichtungen sowie Privatanwender.
Warum darf die Öffentlichkeit eine von ihr bezahlte Untersuchung nicht sehen, in der vor bestimmten Diensten gewarnt wird?
Wie passt das mit der Aufgabe zusammen, “den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben”?
Und was hat das mit den internationalen Beziehungen zu tun?“
Link zum Artikel: (20.08.2013)
https://netzpolitik.org/2013/spass-mit-informationsfreiheit-bsi-warnt-vor-blackberry-begruendung-gefaehrdet-die-internationalen-beziehungen/
Netzpolitik.org ergänzt am selben Tag:
Das Bundesamt für Sicherheit in der Informationstechnik wollte uns ein Papier zu Überwachung von Blackberry in UK wegen “nachteilige Auswirkungen auf die internationalen Beziehungen” nicht geben. Wir haben es auf anderem Wege bekommen und veröffentlichen es daher gerne.
BSI-Analyse in Volltext aus dem Papier mit dem Titel “Sicherheitsaspekte des E-Mail-Push-Dienstes ‘BlackBerry’” mit Stand vom 20. September 2005:
„1. Die Übertragungssicherheit beruht vollständig auf proprietären Mechanismen der Firma RIM. Der zur Verschlüsselung verwendete mathematische Algorithmus wird zwar als sicher angesehen, für die Qualität der Implementierung, der Schlüsselerzeugung und des Schlüsselmanagements liegt jedoch keine unabhängige Evaluierung vor.
2. Das gesamte Nachrichtenaufkommen wird zwangsweise über ein Mobile Routing Center (MRC) im Ausland geleitet (für Europa nach Großbritannien, Egham bei London). Damit sind dort alle Verbindungsdaten (Absender, Empfänger, Uhrzeit) sowie die (verschlüsselten) Kommunikationsinhalte verfügbar. Nach britischem Recht können die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohl der britischen Wirtschaft) Zugang zu diesen Daten erhalten (RIP-Act 2000). Im Falle von (aus britischer Sicht) ausländischem Nachrichtenverkehr dürfen diese sogar ohne Personenbezug aufgeklärt werden.
3. Es ist nicht möglich, eine eigene, von RIM unabhängige Verschlüsselung zum Schutz der Kommunikationsinhalte zu realisieren. So lassen sich Mail-Anhänge, die vom Nutzer (zum Beispiel mit PGP oder Chiasmus) verschlüsselt wurden, mit BlackBerry nicht übertragen. Eine Verschlüsselung des Übertragungsweges (…) scheitert an der speziellen Blackberry-Infrastruktur.
4. Der im Unternehmensnetz installierte Synchronisationsserver BES (Blackberry Enterprise Server) wird mit einer Software der Firma RIM betrieben und benötigt hoch privilegierten Zugriff auf die Mail/Messaging-Server des Unternehmens. Er kann somit auf den gesamten dort gespeicherten Datenbestand zugreifen.
5. Alle Verfahren, Softwarekomponenten und Protokolle sind proprietär und werden von RIM als Firmengeheimnis behandelt. Das tatsächliche Betriebsverhalten des Systems lässt sich daher nicht überprüfen. Kritisch ist in diesem Zusammenhang, dass auf rund der verschlüsselten Übertragung nicht nachvollziehbar ist, welche Nachrichten zwischen Blackberry Enterprise Server und Mobile Routing Center ausgetauscht werden.“
Link zum Artikel: (20.08.2013)
https://netzpolitik.org/2013/bsi-2005-ueber-blackberry-e-mail-push-dienst-britische-behoerden-haben-zugriff-auf-das-gesamte-nachrichtenaufkommen/
Die in den aktuellen Artikeln von Netzpolitik.org erwähnte Einschätzung des BSI ist zwar 8 Jahre alt.
Es liegen jedoch keine positiven Erkenntnisse vor, dass sich daran etwas grundlegend geändert haben sollte, ganz im Gegenteil:
Nicht 8 Jahre alt, sondern ganz aktuell ist auch die Passage, in der es explizit um die aktuelle Version BlackBerry 10 geht:
„Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht …“
Angesichts der umfangreichen Enthüllungen des Whistleblowers Edward Snowden darf und muss ohne Weiteres davon ausgegangen werden, dass insbesondere der britische Geheimdienst nicht nur nicht von bisherigen Möglichkeiten Abstand genommen hat, sondern diese insgesamt tendenziell noch erheblich ausgebaut hat.
Um der ganzen Wahrheit die Ehre zu geben:
ja, man kann mit der neuen Plattform (BB10) eine direkte VPN-Verbindung zum Exchangeserver aufbauen und so die Nutzung der Blackberry Infrastruktur komplett umgehen.
Das sollte man dringend auch tun.
Da Öffentlichkeit ebenso wie Kunden ein erhebliches Interesse daran hätten, wäre es hilfreich, wenn seitens BlackBerry hierzu verbindliche aussagekräftige Erläuterungen gegeben werden könnten,
die nicht nur die damalige Einschätzung des BSI aktuell widerlegen und die problematischen Punkte nachvollziehbar ausräumen,
sondern auch eine verbindliche Erklärung zum aktuellen Stand der Technologie sowie Geheimdienstpraxis transparent dokumentieren.
Quellen:
Links siehe im Artikel
Graphik: BlackBerry
CeBIT-Highlight: Bundesregierung wählt „SecuSUITE for BlackBerry 10“
In unserem Artikel vom 14.01. hatten wir das erwartete CeBIT-Highlight bereits vor-angekündigt.
Die für viele spannendste erste Frage war: auf welcher Betriebssystembasis?
Seit heute Nachmittag ist das Geheimnis offiziell gelüftet …
Die von November 2012 bis Februar 2013 laufende Ausschreibung des Bundes konnte Secusmart mit seinen Partnern für sich entscheiden:
Die Bundesregierung wählt „SecuSUITE for BlackBerry 10“
Die Lösung wurde vom Beschaffungsamt des Bundesministeriums des Innern und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für die verschlüsselte Kommunikation der deutschen Bundesregierung ausgewählt.
Die Mobile Hochsicherheitslösung „SecuSUITE for BlackBerry 10“ wird auf der CeBIT 2013 präsentiert und dürfte sicher eines der grossen Messe-Highlights bilden.
„SecuSUITE for BlackBerry 10“ besteht aus
– der Secusmart Security Card,
– der BlackBerry 10 Plattform
– und Komponenten von Secunet und Sirrix.
Zitat aus der Pressemitteilung:
„Die einzigartigen Fähigkeiten der Secusmart Security Card und der BlackBerry Balance Technologie ermöglichen es den Nutzern erstmals, die extrem hohen Sicherheitsanforderungen der deutschen Bundesbehörden an sichere Datenübertragung und abhörsichere Sprachkommunikation zu erfüllen – ohne Abstriche beim Nutzererlebnis.“
Die Secusmart Security Card gewährleistet die Einhaltung der Sicherheitsanforderungen VS-NfD der deutschen Bundesregierung, denn die Lösung bietet sichere Verschlüsselung …
– der gespeicherten Informationen,
– der Sprache,
– der Textnachrichten,
– des VPN
– und sicheres Browsen im Netz.
BlackBerry Balance trennt sensible Informationen zuverlässig von persönlichen Inhalten. Nutzer können einfach und sicher zwischen ihrem geschäftlichen und privaten Leben wechseln.
Die kombinierte Lösung bietet Regierungskunden zum ersten Mal eine hervorragende Smartphone-Nutzererfahrung ohne sensible Regierungsinformationen zu gefährden.
„SecuSUITE for BlackBerry 10“ basiert auf Secusmarts sicherem Sprachprodukt SecuVOICE, das bereits vom deutschen BSI, dem niederländischen NBV, dem EU-Rat für Informationssicherheit und der NATO für VS-NfD Kommunikation freigegeben wurde.
Die integrierte mobile Hochsicherheitslösung wird auf der CeBIT 2013 in Halle 12 am Stand B66 von Secusmart präsentiert.
Dr. Hans-Christoph Quelle, Geschäftsführer der Secusmart GmbH, wird ausserdem auf dem CeBIT Pro MOBILE BUSINESS SOLUTIONS FORUM am Mittwoch, 06.03., 11:45-12:30h, einen Vortrag zur „SecuSUITE for BlackBerry 10“ halten und die Lösung präsentieren und erläutern.
Weiter führende Informationen: siehe http://www.secusmart.com/secusuite/
Quelle: Pressemeldung Secusmart GmbH
Bilder: Secusmart, Sirrix
Links:
http://www.cebit.de/veranstaltung/mobile-business-solutions-forum/FOR/51789
https://enterprisemobilitymobi.wordpress.com/2013/01/14/cebit-2013-secusmart-stellt-hochsicheres-smartphone-vor/
https://www.secusmart.com/presse/pressemitteilungen/
http://www.secusmart.com/secusuite/
BYOD: Pro + Contra, Alternativen, Handlungsbedarf und Handlungsempfehlungen
Kaum ein Enterprise Mobility Trend-Thema wird einerseits so gehyped und ist andererseits so umstritten wie Bring-Your-Own-Device (BYOD) …
Laut Gartner’s Hype Cycle 2012 ist BYOD aktuell ganz oben auf der Spitze der überhöhten Erwartungen („Peak of Inflated Expectations“).
Das „Plateau of Productivity“ wird lt. Gartner erst in 2-5 Jahren erreicht werden, nach einer nun bevorstehenden Phase des „Tals der Desillusionierung“ (siehe Titelbild).
Wir nehmen auch den ComputerWoche Artikel vom 02.08. mit dem Titel „ByoD – Hintertür ins Unternehmen“ zum Anlaß, ebenfalls näher auf das Thema BYOD einzugehen.
BYOD sorgt in jedem Fall für berechtigte Fragen sowohl technischer wie auch rechtlicher Natur.
Die technischen Aspekte drehen sich um die Themenbereiche
- Mobile Security (vgl. CW Artikel 19.07.12) und
- Mobile Device Management (MDM, vgl. unsere Artikel vom 18.05.12 und 12.07.12) sowie
- Management von Applikationen (MAM) und Daten,
- Dienste: eMail, Cloud-Services,
die rechtlichen Aspekte im Wesentlichen um Arbeitsrecht und Mitbestimmung, Datenschutz und Haftungsfragen.
Wir wollen mit diesem Artikel den Versuch anstellen,
uns diesem Thema trotz der Komplexität schrittweise, übersichtlich und verständlich, vor allem mit Sachlichkeit und faktenbasiert zu nähern,
dabei Vor- und Nachteile bzw. Pro- und Contra-Argumente auflisten, faktische Gegebenheiten und Sachzwänge berücksichtigen und eine Einschätzung vornehmen, aber auch Alternativen aufzeigen.
Die wichtigste Prämisse dabei ist Compliance (Konformität mit deutschem Recht) und ein möglichst hohes Niveau bei Mobile Security.
PRO
Als Argumente FÜR eine BYOD-Strategie werden in der Regel aufgeführt:
- Akzeptanz: Smartphone als „most personal device“ ist ständiger Begleiter, Nutzung von mobilen Unternehmenslösungen auf bekanntem und vertrautem Betriebssystem und Hardware, Wegfall der Notwendigkeit zwei Geräte mitzuführen
- Recruitung: als strategisches Argument bei der Mitarbeitergewinnung insbesondere von Digital Natives und bei High Potentials
- Flexibilität: Abdeckung einer grösseren Bandbreite an Betriebssystemen und bei der Hardware-Ausstattung
- Effizienz: aufgrund der Doppel-Nutzung betrieblich/privat wird das Gerät ständig mitgeführt, Mitarbeiter sind dadurch immer erreichbar
- Kostenvorteil: Einsparung der Anschaffungskosten für die Hardware und beim Schulungsaufwand für Mitarbeiter
CONTRA
Einige auf der Contra-Seite aufgeführten Argumente stehen nicht für sich allein, sondern beziehen sich direkt auf ihren Kontrahenten auf der Pro-Seite.
So manches Pro-Argument wird mit Gegenargumenten dadurch gleich wieder entkräftet und sogar in sein Gegenteil verkehrt:
- Juristische Aspekte: erhebliche zusätzliche Herausforderungen der Klärung und Regelung von Fragen des Arbeitsrechts, der Mitbestimmung, des Datenschutzes und der Haftung, nicht nur bezüglich der eigenen Mitarbeiter, sondern auch von Kunden und Geschäftspartnern
- Akzeptanz:
– Performance-Nachteile (getrennte Datenhaltung, Verschlüsselung, Hintergrund-Dienste, getunnelte Verbindung),
– Nutzungseinschränkungen (Verbot und Deinstallation von Applikationen auf einer laufend zu pflegenden und zu überwachenden Blacklist, Ausschluss von Jailbreak / Rooting, Kamera-Deaktivierung, User und Security Guidelines, Datenverlust z.B. durch Remote Wipe),
– Überwachung (Bewegungsprofile bzw Lokalisierung mithilfe GPS, Protokollierung von Datenzugriffen),
– Vertraulichkeit (Zugriff fremder Dritter auf das persönliche Gerät und ggf persönliche Daten, Datenspeicherung),
– Erwartungshaltung bei Arbeitnehmern dass Arbeitgeber alle Arbeitsmittel bereit stellt - Flexibilität: um Geräte sicher und ausfallsicher verwalten zu können müssen sie vorab hinreichend getestet sein und freigegeben werden, aufgrund der Unterschiede in Betriebssystem (bis OS-Version und Build, Hersteller- und Modell-spezifische Unterschiede bei der Unterstützung von Funktionen der Geräteverwaltung, Authentifizierung, etc) / Hardware (verbaute Komponenten, Akkuleistung) / Software (Jailbreak bzw Rooting, Systemeinstellungen und -Modifikation, installierte Apps und Dienste) erfordert dies Testing und Freigabe praktisch jedes einzelnen Gerätes sowie Reaktion auf Veränderungen, aus technischen wie auch Ressourcen-Gründen muß die Modell-Auswahl dadurch stark eingeschränkt werden
- Effizienz: je nach Vielfalt ggf. unüberschaubar hoher Aufwand für Testing und Verwaltung sowie beim Support
- Kostennachteil: mögliche Einsparungen bei der Hardware werden ggf. bereits bis zur Freigabe eines Geräts wieder aufgewogen, der wesentliche höhere Verwaltungs- und Support-Aufwand sorgt auf Dauer für klare Kostennachteile, darüber hinaus entstehen hohe Kosten für rechtliche Klärung und Beratung, auch Haftungsfragen stellen ein zusätzliches Kostenrisiko dar
JEDER KANN ES ?
Besonders US-amerikanische Lösungsanbieter vermitteln unisono den Eindruck, daß BYOD nicht nur ein Thema sei an dem man nicht mehr vorbeikommt, sondern vor allem problemlos und uneingeschränkt beherrschbar ist – praktisch jeder „kann es“.
Cisco beispielsweise bietet in Kooperation mit IDC unter dem Problemlosigkeit suggerierenden Titel „BYOD without compromise“ ein Webcast-Video eines Online-Workshops zum Thema.
Allerdings kann es unter der Prämisse einer sicheren Implementierung „without compromise“ aus oben genannten Gründen (s.u. Contra) für BYOD generell nicht geben, so dass eine solche Aussage sachlich und nüchtern betrachtet schlicht Unfug ist.
Der erste, offensichtlichste und für den Anwender oft bereits wichtigste Kompromiß fängt bei einer zwingenden Einschränkung der möglichen zu unterstützenden Betriebssysteme und der Geräte-Auswahl an, zahlreiche weitere Kompromisse technischer und rechtlicher Natur sowie bei der User Experience schliessen sich an.
Vor diesem Hintergrund sind auch „Best Practices“ zu sehen, wie sie uns z.B. von Gartner oder dem MDM-Anbieter GOOD angeboten werden:
- http://www.gartner.com/technology/reprints.do?id=1-18FZYGR&ct=111223&st=sb
- http://media.www1.good.com/documents/byod_best_practices.pdf
HERSTELLER-AUSSAGEN RELATIVIEREN SICH ?
Daß sich die zumeist US-amerikanischen, aber auch andere ausländische Hersteller schon allein in Bezug auf Compliance (Rechtskonformität) auf andere rechtliche Grundlagen beziehen können als die in Deutschland oder Europa geltenden liegt auf der Hand.
Eines der diesbezüglich gewichtigsten Kriterien gerade bei BYOD ist die Konformität mit geltendem Datenschutzrecht.
Hier sollte genau betrachtet werden, welche Komponenten der Lösung im Ausland liegen und was dies aus der Datenschutzbetrachtung bedeutet.
Die Verwendung von Servern, die in den USA oder anderen Regionen liegen, wo die Einhaltung hiesigen Rechts nicht gewährleistet oder bekanntermassen dagegen verstossen wird (z.B. aufgrund der Vorschriften des US Patriot Act), verbietet sich bei Speicherung datenschutzrechtlich relevanter Inhalte für das Unternehmen kategorisch.
Generell könnte man festhalten: MDM als SaaS kommt nur bei Hosting in der EU oder besser in Deutschland in Frage. Die BlackBerry Enterprise Solution hat kein NOC in Deutschland, wird vom Sicherheitsgrad aber von Banken und Versicherungen akzeptiert.
Alternativ installiert und nutzt man die gewählte MDM-Lösung innerhalb der eigenen IT-Infrastruktur selbst. Die On-Premise Lösung Good for Enterprise speichert standardmässig auch MDM-Konfigurationsdaten in seinem NOC in den USA ab.
Ein genauer Blick auf die technische Implementierung insbesondere aus datenschutzrechtlicher Sicht ist anzuraten.
TECHNISCHE HERAUSFORDERUNGEN … IN DER PRAXIS
Die wichtigste zur Unterstützung einer BYOD Policy eingesetzte technische Lösung ist Mobile Device Management (MDM).
Einen Marktüberblick und teilweise Vergleichsmöglichkeiten geben:
- Gartner 2012 Magic Quadrant for MDM (Zum Vergleich: 2011)
- Gartner – Critical Capabilities for MDM
- Forrester Market Overview On-Premises MDM Solutions Q3/2011
- Solutions Review „Mobile Device Management Buyers Guide“
- Enterprise iOS „Comparison of MDM Providers“
- MobilityForum.net – Compare MDM
Darauf geht der LANline Artikel „Sicherheit in BYOD-Szenarien: mit MDM gegen den Kontrollverlust“ (Ausgabe 7/2012) näher ein
http://www.lanline.de/fachartikel/mit-mdm-gegen-den-kontrollverlust.html
Dieser Artikel wird von itLAB kommentiert und relativiert:
http://www.itlab.de/pmeuser/archives/918
itLAB testet regelmässig MDM-Lösungen und veröffentlicht diese Tests bzw. Test-Ergebnisse:
http://www.itlab.de/pmeuser/archives/tag/mdm
Hier finden sich auch einige Berichte zu konkreten Problemen in der Praxis mit einzelnen Lösungen oder Konstellationen.
Über einen Test von MDM-Lösungen (nur 4: McAfee, Tangoe, Fiberlink, Sybase Afaria) berichtet Network World im Artikel vom 23.05.11:
http://www.networkworld.com/reviews/2011/052311-mobile-device-management-test.html
So manche technischen Herausforderungen oder – zum Teil dann mindestens vorübergehend gar unlösbaren – Probleme offenbaren sich vor allen Dingen erst im Praxis-Test.
Auf den Punkt gebracht bedeutet das, daß bereits aus Gründen mangelnder technischer Unterstützung durch die gewählte MDM-Lösung einerseits oder des mobilen Betriebssystems anderseits bzw. aufgrund auftretender technischer Probleme bei einzelnen Konstellationen generell nur und ausschliesslich vorher getestete Geräte-Modelle und wiederum auch nur mit der getesteten OS-Version (Snapshot) im Rahmen von BYOD freigegeben und unterstützt werden können, zum Teil auch eingeschränkt.
Dies betrifft nicht nur die erste Freigabe, sondern der Prozess sorgt auch bei Betriebssystemupdates und sonstigen relevanten Veränderungen (manuell durch den Nutzer oder durch installierte Apps) regelmässig für zusätzlichen Aufwand, Verzögerungen und immer wieder auch Probleme, so dass bereits eingesetzte Geräte auch später wieder von der Nutzung ausgeschlossen werden müssen.
Dieser Punkt ist selbstverständlich nicht nur auf BYOD beschränkt, sondern betrifft generell alle im Unternehmen eingesetzten oder zur Nutzung vorgesehenen Mobilen Geräte.
Handelt es sich allerdings um unternehmenseigene Geräte wird man bereits vor der Anschaffung das vorab wesentlich besser definierbare Gesamt-Szenario eingehend testen, auf uneingeschränkte Kompatibilität, Stabilität, Performance und Problemfreiheit Wert legen, so daß sich hierbei die Vielfalt der Hersteller und Modelle sehr in Grenzen halten wird.
Es liegt in der Natur der Sache, daß bei BYOD schon vom Ansatz her zuerst das genaue Gegenteil zutrifft. Hier reduziert jede Einschränkung der Vielfalt den Nutzen von BYOD oder stellt ihn im Extremfall generell in Frage.
Einen wichtigen, praxisnahen und absolut ernst gemeinten Tipp gibt der CW-Artikel vom 02.08. noch, den man aufgreifen und nutzen sollte:
„Nagelprobe: Rent a Hacker“ – für Penetrationstests der (mobilen) IT-Infrastruktur. Bei geplanter Einführung bzw. Nutzung von BYOD müssen selbstverständlich auch solche Tests entsprechend umfangreich und umfassend ausgelegt und durchgeführt werden.
In jedem Fall bedarf auch die Frage des Supports einer eingehenden Betrachtung.
Der Rahmen des durch die Unternehmens-IT oder externe Beauftragte zu leistenden Anwender-Supports ist sehr genau zu definieren, Ausschlüsse zu regeln. Darüber hinaus stellt dieser Punkt gerade bei BYOD ggf. erhebliche zusätzliche Ansprüche bzgl. der Qualifikation der Support-Mitarbeiter, beginnend mit den zu erfüllenden Voraussetzungen bis hin zur Fortbildung. Die gewählte Diversifikation und Flexibilität spiegelt sich hier in den erforderlichen Ressourcen wieder.
RECHTLICHE HERAUSFORDERUNGEN – COMPLIANCE REICHT ?
BYOD ist einerseits aber nicht auf die technische Machbarkeit reduzierbar, die im Übrigen grundsätzlich nie generell (im Sinne einer freien Auswahl durch den Mitarbeiter) zu bewerkstelligen ist, sondern andererseits vor allem auch ein rechtliches Thema, mit dem man sich zwingend intensiv auseinander setzen muss.
Eine „kleine Rechtsberatung“ will folgender, ganz aktueller CW Artikel liefern:
ComputerWoche, Artikel vom 15.08.2012, „BYOD & Co. rechtlich absichern“
und geht dabei ein auf:
- Mobiles Arbeiten und Arbeitszeit
- Mitbestimmung
- Verlust und Beschädigung mobiler Geräte
- Datenschutz und BYOD
Die hierin enthaltenen Herausforderungen, gerade auch im Hinblick auf die zugrunde liegende technische Ausgestaltung (mit sehr unterschiedlichen Ansätzen), stellen auch den praktischen Grund dar, warum es nirgends Muster-Betriebsvereinbarungen zu BYOD gibt bzw solche maximal einen groben Leitfaden darstellen könnten.
Aus der Kombination der gewählten technischen Implementierung und den grundsätzlichen rechtlichen Fragestellungen ergibt sich auch für spezialisierte und qualifizierte Juristen ein enormer Aufwand der juristisch-sachlichen Klärung, zu dessen Regelung individuelle Verträge mit Mitarbeitern (Arbeitsrecht, Datenschutz) bzw. aufgrund von betrieblicher Mitbestimmung eine Betriebsvereinbarung mit dem Betriebs- bzw. Personalrat erforderlich sind. Arbeitnehmervertretung und Datenschutzbeauftragte sind daher, schon allein aus Gründen der Vertrauensbildung und zur Vermeidung von ggf. später nur schwer wieder gut zu machenden Schäden für die Akzeptanz durch die Anwender, sinnvollerweise von Anfang an voll einzubinden. Berechtigte Bedenken sind dabei ernst zu nehmen und unberechtigte Bedenken müssen ausgeräumt werden können.
Allein zum Datenschutz führt der genannte CW-Artikel vom 15.08. wie folgt aus (Zitat):
„Unter Juristen ist die Auffassung verbreitet, eine rechtssichere Gestaltung von ByoD erfordere eine Vereinbarung über die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) mit jedem beteiligten Mitarbeiter. § 11 BDSG stellt weitreichende und strenge Anforderungen an Vereinbarungen zur Auftragsdatenverarbeitung, die in der Regel in aufwendigen Verträgen umgesetzt werden. Ein solcher Vertrag müsste mit jedem Mitarbeiter abgestimmt und schriftlich vereinbart werden, der privat Geräte im Unternehmen nutzt. Bestimmte Anforderungen, etwa die Verpflichtungen zur Datensicherheit nach § 9 BDSG sind für Privatpersonen kaum umsetzbar. Die Regeln zur Auftragsdatenverarbeitung und die Bestimmungen des Datenschutzrechts insgesamt sind für die Datenverarbeitung durch Privatpersonen schlicht nicht gemacht. Ein Mitarbeiter ist außerhalb seiner dienstlichen Tätigkeit nicht Auftragnehmer sondern Privatperson.“
Insbesondere zum Datenschutz möchten wir auch auf folgenden IITR.de (Institut für IT-Recht) Artikel vom 12.07.12 hinweisen:
„Bring-Your-Own-Device: Datenschutz-Empfehlungen und technische Umsetzungsmöglichkeiten“
Aufgrund der Komplexität der Materie aus sowohl technischen wie auch juristischen Aspekten wird überdies kaum einer der Beteiligten eine Gesamtlösung mit ihren Voraussetzungen, Einschränkungen und Auswirkungen vollständig überblicken und verstehen können. Dennoch muss der Versuch unternommen werden, den Inhalt solcher Regelungen einem Mitarbeiter rechtlich einwandfrei verständlich zu machen.
In jedem Fall gilt AGB-Recht (§§ 305-310 BGB): Die Rechtsprechung lässt schon genügen, wenn Vertragsbedingungen zwar das erste Mal verwendet, jedoch für eine mehrfache Verwendung vorgesehen sind, um die Bedingungen als AGB einzuordnen. Dies wird bei zwingend gleichlautenden vertraglichen Regelungen mit allen betroffenen Arbeitnehmern der Fall sein. Damit sind auch Übersichtlichkeit und Verständlichkeit eine gesetzliche Vorschrift.
Wenn sie niemand versteht, kann die Rechtswirksamkeit solcher Vereinbarungen in Frage gestellt sein, jedenfalls sind sie schon allein dadurch leicht anfechtbar.
Unabhängig von einer juristisch qualifizierten Ausgestaltung der Regelungen im Innenverhältnis mit den Mitarbeitern stellt sich darüber hinaus die Bewertung von Haftungsrisiken und wie man ihnen begegnet. Als interne Parteien sind allen voran die Geschäftsleitung und ebenfalls die Mitarbeiter zu nennen, externe Parteien sind Partnerunternehmen und Kunden. Bestehende Verträge und Vereinbarungen (NDA etc) müssen vollständig einbezogen und gewürdigt, potentielle Risiken identifiziert und diskutiert werden.
Durch die Vielschichtigkeit der juristischen Aspekte leuchtet schnell ein, dass mit gewisser Wahrscheinlichkeit nicht nur ein einzelner Jurist, sondern durchaus mehrere Fachanwälte konsultiert und beauftragt werden müssen.
ODER GLEICH EIN KATEGORISCHES NEIN ZU BYOD ?
Wer sich bereits ein wenig mit der Thematik befaßt hat, wird womöglich auch auf Klaus Düll von Pretioso und seinen Blog gestossen sein – es gibt kaum einen glühenderen Verfechter gegen BYOD. Unter Fachleuten steht er mit seinen grundsätzlichen Vorbehalten gegen BYOD keineswegs allein, andere mögen diese nur nicht immer so offen und eindeutig, geradezu flammend nach aussen bzw. öffentlich vertreten.
Vorweggenommen sollte man wohl festhalten, daß man selbst bei Definition und Begrenzung der im Rahmen von BYOD unterstützten Geräte-Modelle und einwandfreier technischer Implementierung die von ihm aufgeführten Argumente gegen BYOD auch beim besten Willen nicht völlig entkräften können wird.
Die eigentliche Herausforderung bei BYOD, die insbesondere bei geringeren Volumina der zu verwaltenden Geräte auch kostenmässig nicht zu unterschätzen ist, ist nicht die technische Seite, bei der man sich des einen oder anderen auch schmerzhafteren Kompromisses bewusst sein und damit leben können muss, sondern stellt die Ausarbeitung der rechtlichen Grundlage im Unternehmen dar und zwar auch unabhängig davon ob ein Betriebsrat vorhanden ist, da es einer klaren und sehr spezifischen Regelung in jedem Fall bedarf, wenn sich das Unternehmen keinem unkalkulierbaren Haftungsrisiko aussetzen will.
AUS B WIRD C – DIE ALTERNATIVE ?
Eine praktikable Alternative zu BYOD scheint grundsätzlich Choose-Your-Own-Device (CYOD).
Das Unternehmen lässt ausschliesslich selbst angeschaffte Geräte zu, sorgt dabei aber für eine möglichst breite Auswahl für die Mitarbeiter, um insbesondere Vorlieben für bestimmte Betriebssysteme oder Hersteller nicht zu enttäuschen und damit auch für eine möglichst hohe Akzeptanz zu sorgen – eines der Argumente, die ansonsten auch auf der Pro-Seite für BYOD angeführt werden.
Da es wie vorhin erläutert auch bei BYOD unvermeidbar ist, die unterstützte Geräte-Vielfalt stark einzuschränken, kann man bei gleichen technischen Voraussetzungen auch gleich die Unterschiede in Bezug auf die rechtlichen Nachteile vollständig vermeiden, wenn man die Geräte selbst anschafft, sofern man die Verwendung auf die rein betriebliche Nutzung beschränkt.
Alle Modelle werden vorher getestet, wobei generell nur diejenigen Betriebssysteme, Hersteller oder einzelnen Modelle in Frage kommen, die sich mit der (oder ggf. auch den) eingesetzten MDM-Lösung(en) ohne nicht tolerierbare Kompromisse verwalten und für die beabsichtigten betrieblichen Zwecke bei voller Unterstützung der Security Policy nutzen lassen.
Dabei kann CYOD für das selbe Maß an Wahlfreiheit des Nutzers bei Betriebssystem, Hersteller und Geräte-Modell sorgen wie bei BYOD, allerdings mit der entscheidenden Einschränkung, das es nicht das eigene Gerät des Mitarbeiters ist und er damit nicht nur ggf. ein zweites Gerät ständig mit sich führt, sondern ohne die privaten Daten und Apps sich auch die Nutzungsmöglichkeit ganz oder weitgehend auf die rein betrieblichen Zwecke beschränkt.
Die weitgehende Vermeidung der juristischen Themen entfällt allerdings, wenn man die private Nutzung zulässt.
Die anders gelöste Eigentumsfrage bei der Hardware würde trotzdem praktisch keinen der angesprochenen juristischen Aspekte hinfällig werden lassen.
Steuerlich besteht für Arbeitgeber wie Arbeitnehmer der Vorteil, dass weder durch die private Nutzung noch bei späterer Übereignung an den Arbeitnehmer ein steuerpflichtiger geldwerter Vorteil entsteht.
E GEHT VOR I: CEO VOR CIO
Dennoch scheint im Rahmen des omnipräsenten „Consumerization of IT“ Trends das Spezial-Thema BYOD in vielen Fällen nicht nur mit sachlichen Argumenten vom Tisch zu fegen zu sein, insbesondere wenn von Vorstand oder Geschäftsleitung eine – oft konzernweite, global verbindliche – Entscheidung diesbezüglich getroffen wurde. Insofern werden sich viele IT-Abteilungen wie auch Personalverantwortliche und Juristen in den Unternehmen mit dem Thema auseinandersetzen müssen. Wer sich dieser Herausforderung stellen muss, dem kann mit Argumenten nicht viel geholfen werden, sondern man braucht Antworten und mindestens Lösungsansätze.
Dabei kommt man jedoch an den Contra-Argumenten nicht vorbei, da die zahllosen Anbieter, die BYOD „selbstverständlich unterstützen“ viele der wichtigen Fragestellungen nicht adäquat beantworten oder gar nicht erst thematisieren.
WEITGEHEND REALITÄT UND BETRIEBLICHE PRAXIS ?
Selbst wenn kein Entscheider im Unternehmen BYOD zur Chef-Entscheidung gemacht haben sollte, die Mitarbeiter stimmen in gigantischen Ausmassen mit den Füssen ab und haben oft BYOD de facto längst eingeführt und zur betrieblichen Praxis gemacht.
Diese lassen sich im Wesentlichen in 3 Gruppen aufteilen:
- IT-Mitarbeiter
- (Top Level) Management
- normale Mitarbeiter
Selbstverständlich stellt es für Mitarbeiter in IT-Abteilungen keine grosse Herausforderung dar, sich Zugänge einzurichten, um auf die unternehmensinterne IT-Infrastruktur zuzugreifen. Zur leichteren Erledigung ihrer täglichen Aufgaben, vor allem überall und jederzeit, mag das oft nicht nur sinnvoll, sondern notwendig sein. Fraglich ist sicher oft, ob dafür jeweils Regelungen oder Vereinbarungen getroffen wurden, die auch Grenzen setzen.
Wenn Manager in verantwortlichen Positionen für sich selbst auf mobilen Geräten Nutzungsmöglichkeiten mit Zugang zu Systemen im Unternehmen eingerichtet bekommen möchten, wird die IT ebenfalls in den seltensten Fällen nach der vertraglichen Grundlage fragen, sondern einfach dem Wunsch nachkommen.
Aber auch ganz normale Mitarbeiter bringen oft ausreichend technisches Knowhow mit, um sich selbst auf verschiedene Systeme im Unternehmen Zugriff verschaffen zu können, ohne Hilfe der IT und teilweise unter Umgehung technischer Vorkehrungen oder entsprechender Regelungen.
Im Zweifelsfall hilft nicht, sich auf die Position zurückzuziehen, dass eine bestimmte Vorgehensweise gegen bestehende Regelungen verstossen hat. Das Unternehmen muss dafür sorgen, dass solche Regelungen auch eingehalten werden und dies laufend überprüfen, so dass damit jeder auftretende Einzelfall kurzfristig wieder abgestellt sein müsste.
Zum Handlungsbedarf führt der bereits genannte CW-Artikel vom 15.08. als „Fazit“ aus (Zitat):
„Anders als „Mode-Themen“ bringt der inflationäre Einsatz mobiler Geräte tatsächlich rechtliche Probleme mit sich, die sich durch eine saubere technische und vertragliche Gestaltung lösen lassen. Dabei gilt die dringende Empfehlung, das Thema möglichst frühzeitig anzugehen.
Der in der Praxis häufig angetroffene, stillschweigend geduldete Wildwuchs führt nicht nur technisch sondern auch rechtlich zu Schwierigkeiten. Der Arbeitgeber kann ein Verhalten seiner Mitarbeiter, das er über einen längeren Zeitraum geduldet hat, nicht ohne Weiteres und ohne Zustimmung der Arbeitnehmer über Nacht sanktionieren.
Je länger der Zustand stillschweigender Hinnahme andauert, desto schwieriger ist es, einen geordneten Rechtsrahmen für die Nutzung mobiler Geräte um- und durchzusetzen.“
Da ein Unternehmen auch haftet, wenn man Kenntnis hat und selbst wenn aufgrund einer Vogel-Strauss-Politik man die Augen davor verschliesst: sofern ein Unternehmen nicht massiv und wirksam Vorkehrungen gegen die betriebliche Nutzung mitarbeitereigener privater Geräte (BYOD) getroffen hat und diese auch zuverlässig überwacht, kommen IT-Abteilungen an dem Thema (positiv oder negativ) tatsächlich nicht mehr vorbei.
Das Ausmass von BYOD als gängige Praxis und De-Facto Standard in Unternehmen zeigt beispielsweise folgender britischer Artikel auf:
http://www.computing.co.uk/ctg/analysis/2198142/the-rise-and-rise-of-touchscreens-in-the-workplace
Bezeichnend ist auch die abschliessende Zusammenfassung des Artikels (Zitat):
„More companies will need to introduce BYOD security protocols in future, because if there’s one conclusion from the study, it is this: just as musicians prefer to play their own instruments, more and more employees want to use their own devices.“
Sofern die IT-Abteilung nicht wie Don Qixote gegen Windmühlen kämpfen und einen existierenden BYOD-Sumpf wieder auszutrocknen versuchen will, muss sie sich aller Voraussicht nach dem Thema aktiv stellen und klare Antworten bereit stellen.
Jedenfalls wird sich kaum ein IT-Verantwortlicher leisten wollen sehenden Auges untätig abzuwarten, während sein Geschäftsführer im Blindflug auf haftungsrechtliche Probleme zusteuert.
Das muss vor allem nicht grundsätzlich bedeuten, dass BYOD unvermeidbar wäre. Fatalismus wäre nur für IT-Abteilungen angesagt, die ihre Aufgaben nicht kennen oder nicht in der Lage sind, sie zu erfüllen.
In jedem Fall scheint in sehr vielen Unternehmen zwingend Handeln angesagt.
Falls BYOD im Unternehmen präsent aber nicht gewünscht ist, muss und kann es abgestellt werden.
Falls sich das Unternehmen dafür entscheiden sollte, BYOD einzuführen oder eine existierende betriebliche Übung bei BYOD zu legalisieren und auch technisch in den Griff zu bekommen, muss ein solches Projekt mit allen Beteiligten durchdekliniert werden.
Ein weiteres aktuelles Bild zum Status Quo von Enterprise Mobility Management in Unternehmen liefert unser Artikel „Aberdeen Studie: Enterprise Mobility Management 2012“ vom 19.05.12, wonach BYOD in mehr als der Hälfte der im Rahmen der Studie befragten Unternehmen (237 Teilnehmer) bereits „offiziell“ Einzug gehalten hat. Verlässliche Aussagen über die Übertragbarkeit oder Allgemeingültigkeit solcher Werte sind kaum zu erhalten und müssten vor allem dann für den nationalen Markt verfügbar sein.
Dennoch gibt es auch bereits gegenläufige Entwicklungen.
Network World berichtet im Artikel vom 12.07.12, dass Unternehmen unter anderem aus den negativen Erfahrungen mit BYOD bei Smartphones bei der Nutzung von Tablets deutlich weniger auf BYOD setzen, sondern unternehmenseigenen Geräten den Vorzug geben:
http://www.networkworld.com/news/2012/071212-corporate-tablets-260826.html?page=1
HAT JEMAND ÜBERHAUPT DIE MITARBEITER GEFRAGT ?
Unabhängig von den beschriebenen, sicher zahlreichen Fällen von de facto BYOD durch die Hintertür, die völlig unkontrolliert sind und für das Unternehmen maximales Risiko bedeuten, sollte jedes Unternehmen vor Einführung von BYOD auch die Mitarbeiter selbst fragen, ob diese unter den erforderlichen engen Voraussetzungen und Kompromissen, die auch ihre eigene Nutzung bisher rein privater Geräte beträfen, tatsächlich BYOD wollen und wünschen.
Diese Frage scheint oft gar nicht gestellt bzw. aufgrund einer „wilden“ BYOD-Praxis bereits als beantwortet betrachtet zu werden.
Insbesondere die oben unter PRO und CONTRA aufgeführten Argumente müssten Mitarbeiter zuerst hinreichend erläutert bekommen und bewusst gegen einander abwägen, um eine belastbare Willensäusserung bekunden zu können.
Womöglich stellt sich für ein Unternehmen nach einer solchen Umfrage die Frage nach BYOD gar nicht mehr.
Denn jemandem vermeintlich etwas Gutes zu tun, wenn dieser das gar nicht will, scheint grundsätzlich relativ sinnlos.
Insbesondere stellt in puncto Akzeptanz ein sehr gewichtiges Argument gegen BYOD die berechtigte Erwartungshaltung von Arbeitnehmern dar, dass der Arbeitgeber sämtliche Arbeitsmittel bereit stellt. Bereits die subjektive Einschätzung, dass zu Lasten des Arbeitnehmers gespart werden soll, kann insbesondere bereits bei Beginn einer Beschäftigung ein fatal falsches Signal setzen, das dem Gewollten (siehe PRO-Argumente unter „Recruiting“) widerspricht und daher kontraproduktiv ist.
Die unternehmensweite Einführung von BYOD nur auf Wunsch einiger weniger Executive Manager ist ebenso sinn- wie verantwortungslos.
Sofern ein echter Bedarf nur von einzelnen Mitarbeitern oder Gruppen wie Managern oder IT-Mitarbeitern angemeldet wird, besteht immer noch die vorgenannte Alternative CYOD Choose-Your-Own-Device. Für einige wenige Mitarbeiter bedarfsgerecht unternehmenseigene Hardware anzuschaffen ist sicher unter Abwägung aller Aspekte sowohl kostengünstiger als auch sicherer und vor allen Dingen wesentlich praktikabler als der in jeder Hinsicht hohe Aufwand, den eine sachgerecht umgesetzte BYOD-Policy erfordert.
ZUSAMMENFASSUNG
Die wichtigste und allgemeingültige Aussage zu BYOD ist sicher, daß es ganz ohne Kompromiß generell nicht geht und man im Unternehmen für und wider BYOD sehr genau abwägen und Prioritäten setzen muß, sofern es dabei überhaupt Optionen gibt.
Daneben lässt sich sicher ebenfalls festhalten, daß wohlklingende Herstelleraussagen und wohlmeinende weiche Argumente „pro“ BYOD nahezu immer auch zurückstehen müssen hinter technischen und rechtlichen Einschränkungen bis hin zum Wegfall positiver Argumente in der Praxis.
Die technischen Herausforderungen, Einschränkungen und Kompromisse sollte man nicht unterschätzen, die rechtlichen darf man nicht ignorieren.
Jede Form der potentiellen Wahlfreiheit bezüglich Betriebssystem, Hersteller und Geräte-Modellen, unabhängig von der Eigentümerschaft und dem Umfang der privaten Nutzung durch den Mitarbeiter, bedingt das Passieren vorheriger und wiederkehrender Praxis-Tests vor der Freigabe von Geräten zur Nutzung im Unternehmen.
Verbindliche oder allgemeingültige Empfehlungen in Bezug auf die Beantwortung der rechtlichen Fragestellungen zur Einführung bzw. Anwendung von BYOD (wie Muster für BYOD Policy oder Betriebsvereinbarung) sind praktisch nicht existent. Wie so oft verbietet sich jedenfalls die unreflektierte und ungeprüfte Übernahme von Vorlagen oder Mustern.
BYOD also nicht ohne Prüfung und Segen von Juristen und Betriebsrat, ebenso nicht ohne sorgfältige technische Prüfung, Implementierung und IT-Management durch IT-Verantwortliche und immer in dem Bewußtsein, welche Kompromisse und Risiken dabei eingegangen werden.
Vor allem sollte sie aber auch nicht eingeführt werden, ohne abzufragen, ob die Mitarbeiter unter den für das Unternehmen möglichen Konditionen sich BYOD überhaupt wünschen.
Falls jedoch im Unternehmen BYOD bereits als gängige Praxis Einzug gehalten hat und noch keinerlei technische wie rechtliche Massnahmen ergriffen worden sein sollten, besteht zwar dringend und zwingend Handlungsbedarf. Dennoch sollte dabei nichts überstürzt und unüberlegt entschieden und gehandelt werden. Eine gründliche Beurteilung der Situation, Abwägung der Möglichkeiten und dementsprechend fundierte Entscheidungen sind mehr als angeraten. Denn BYOD wird immer und ausnahmslos eine Kompromiss-Abwägung erfordern. Sowohl aus technischer wie aus rechtlicher Sicht sollten alle Aspekte einbezogen, dokumentiert, geregelt und die wirksame Umsetzung ständig kontrolliert werden.
Es ist im Übrigen davon auszugehen, dass dieser zusätzliche Aufwand zwar zur Implementierung einmalig, ansonsten aber dauerhaft auch zusätzliches Budget benötigen wird.
Ein relativ kurzfristiges Abstellen nicht gewünschter BYOD-Praxis ist immer eine Option.
Eine generelle Alternative, die besonders auch in Einzelfällen sehr praktikabel ist, stellt CYOD dar.
Sofern BYOD im Unternehmen den allerersten Einstieg in Enterprise Mobility bedeutet, muss das gesamte Szenario im Überblick betrachtet, geplant, entschieden und umgesetzt werden (zum Einstieg vgl. EM Artikel vom 11.08.12 „Whitepaper: Enterprise Mobility Strategy for Decision Makers“).
Falls einer der Links nicht funktionieren oder das referenzierte Dokument nicht erreichbar sein sollte, sie sonst Fragen zum Thema haben sollten, stehen wir gerne zur Verfügung (bei Bedarf auch direkt, Kontaktdaten siehe Impressum).
Quelle/n:
http://www.computerwoche.de/software/bi-ecm/2520636/
http://www.gartner.com/technology/research/hype-cycles/
http://en.wikipedia.org/wiki/Mobile_Security
http://www.computerwoche.de/netzwerke/mobile-wireless/2517849/
http://en.wikipedia.org/wiki/Mobile_Device_Management
https://enterprisemobilitymobi.wordpress.com/2012/05/18/gartner-2012-magic-quadrant-for-mdm/
https://enterprisemobilitymobi.wordpress.com/2012/07/12/mdm-buyers-guide/
http://en.wikipedia.org/wiki/Mobile_application_management
http://en.wikipedia.org/wiki/Mobile_data_management_strategy
http://www.computerwoche.de/management/it-strategie/2518959/
http://v1.aberdeen.com/launch/report/benchmark/8011-RA-mobile-application-performance.asp?lan=US
http://www.cisco-byod.com/?SourceId=Enterprisemobi
http://www.cisco-byod.com/technical_design_workshop.html
http://www.gartner.com/technology/media-products/reprints/goodtechnology/article3/article3.html
http://www.gartner.com/technology/reprints.do?id=1-18FZYGR&ct=111223&st=sb
http://media.www1.good.com/documents/byod_best_practices.pdf
http://www.gartner.com/technology/reprints.do?id=1-1AKKJNN&ct=120518&st=sb
http://www.gartner.com/technology/reprints.do?id=1-16U0UOL&ct=110801&st=sg
http://www.forrester.com/Market+Overview+OnPremises+Mobile+Device+Management+Solutions/fulltext/-/E-RES60985?docid=60985
https://enterprisemobilitymobi.wordpress.com/2012/05/13/mobile-device-management-ein-vergleich-uber-30-mdm-anbieter/
http://mobilityforum.net/compare-mdm
http://www.lanline.de/fachartikel/mit-mdm-gegen-den-kontrollverlust.html
http://www.itlab.de/pmeuser/archives/918
http://www.itlab.de/pmeuser/archives/tag/mdm
http://www.networkworld.com/reviews/2011/052311-mobile-device-management-test.html
http://www.computerwoche.de/netzwerke/mobile-wireless/2518704/?r=16172901933313959&lid=190935
http://www.iitr.de/bring-your-own-device-datenschutz-empfehlungen-und-technische-umsetzungsmoeglichkeiten.html
http://pretioso-blog.com/bring-your-own-device-vorlage-fuer-byod-vereinbarung-oder-dienstvereinbarung/
http://www.computing.co.uk/ctg/analysis/2198142/the-rise-and-rise-of-touchscreens-in-the-workplace
https://enterprisemobilitymobi.wordpress.com/2012/05/19/aberdeen-studie-enterprise-mobility-management-2012
http://www.networkworld.com/news/2012/071212-corporate-tablets-260826.html?page=1
https://enterprisemobilitymobi.wordpress.com/2012/08/11/whitepaper-enterprise-mobility-strategy-for-decision-makers/
Bilder / Graphiken: Gartner, computing.co.uk, Aberdeen Group
Android 4.0 im Unternehmenseinsatz
Der ComputerWoche Artikel von gestern mit dem Titel „So lässt sich Android 4.0 im Unternehmen nutzen“
thematisiert den Unternehmenseinsatz von Android Geräten.
Android festigt in letzter Zeit mit stetig steigenden Marktanteilen, die sich bei Smartphones oberhalb 40% eingerichtet haben, im Consumer-Markt seine immer deutlichere Marktführerschaft.
Im Enterprise-Markt liegt man aktuell immer noch an Platz 3 hinter RIM BlackBerry und Apple iOS.
Allerdings verliert BlackBerry auch hier laufend massiv, wovon iOS nur wenig profitiert und an Marktanteilen weiter leicht zulegt, Android jedoch holt stark auf, so dass aktuell diese 3 Betriebssysteme bereits nahezu gleichauf liegen.
Sofern diese Tendenz anhält, zieht Android an beiden Wettbewerbern vorbei und wird noch in diesem Jahr die Plätze mit BlackBerry tauschen und somit auch in Unternehmen zum Marktführer, dann vor iOS und BlackBerry.
Diese Entwicklung konnte Android nehmen, obwohl ein erheblicher Anteil der eingesetzten Geräte noch nicht unter dem am 19. Oktober 2011 veröffentlichten Android 4.0, auch bekannt als ICS (Ice Cream Sandwich), läuft:
der aktuelle Anteil für 4.x liegt laut Google per 1. Juni 2012 bei nun kanpp über 7%.
Bei der hohen Zahl von bereits nahezu 1 Million Geräte-Aktivierungen pro Tag werden nach wie vor längst nicht alle Modelle mit der aktuellen Android-Betriebssystemversion ausgeliefert.
Quelle: Google http://developer.android.com/resources/dashboard/platform-versions.html
Denn anerkanntermassen hat Google’s mobiles Betriebssystem Android erst mit 4.0 einen ausreichenden bzw. zufriedenstellenderen Reifegrad in Bezug auf Enterprisefähigkeit erreicht.
Für den Unternehmenseinsatz wichtige neue Sicherheits-Features von Android 4.0 sind:
- Datenverschlüsselung
- VPN API
- Verbesserung der Hardware-Level Security durch Address Space Layout Randomization
- KeyChain Feature (welches Entwicklern erlaubt, den App-Zugang zum System Key Store zu regeln, was wiederum mehr Kontrolle durch MDM ermöglicht)
Der CW Artikel geht u.a. auf die unter Android verstärkt auftretenden Sicherheitsprobleme und Herausforderungen für die Unternehmens-IT ein.
(Zitat)
„Zudem macht es die offene Struktur sehr unwahrscheinlich, dass alle Anwender, die sich mit dem Firmennetzwerk verbinden wollen, ihr Gerät mit der gleichen Android-Version betreiben.
Die verschiedenen Hersteller integrieren neue Versionen nur sehr langsam, sodass in Unternehmen immer mehr mit einem Wildwuchs verschiedener Android-Versionen und den damit einhergehenden Sicherheitsproblemen zu rechnen ist.
Das liegt vor allem daran, dass Google in Android sehr viele kleine Updates veröffentlicht, die Gerätehersteller dann erst an die eigene Software anpassen müssen.
Anwender haben daher unterschiedliche Probleme, Fehler, Funktionen und Sicherheitslücken auf ihren Smartphones, obwohl sie theoretisch mit dem gleichen System arbeiten.“
Ausserdem führt CW beispielhaft mit MobileIron (ab Version 4.5 wird Android 4.0 unterstützt) eine MDM-Lösung an, deren Einsatz über die vorgenannten systemseitigen Sicherheitsfeatures hinaus Administratoren insbesondere folgende zusätzliche Eingriffsmöglichkeiten bietet:
- Direkte Verschlüsselung der Daten bei Speicherung;
- Sichere VPN-Verbindung über Cisco AnyConnect und zentrale Verwaltung des Clients;
- Konfiguration von Exchange-Konten, inklusive der Zertifikate;
- Automatische Benachrichtigung von Administratoren, wenn Benutzer wichtige Einstellungen ändern;
- Sperren von Geräten und Verwenden von Richtlinien.
Den gesamten, immerhin 19-seitigen, sehr lesenswerten CW-Artikel findet man unter:
http://www.computerwoche.de/netzwerke/mobile-wireless/2039212/?r=26172801203313981&lid=180208
In Ergänzung zum CW Artikel möchten wir noch anmerken, dass mittlerweile eine steigende Anzahl robuster bzw. industrietauglicher Android-Gerätemodelle, insbesondere mit IP67-Zertifizierung aber in aller Regel noch nicht mit Android 4.0, auf den Markt kommt wie beispielsweise:
- takwak tw 700
http://www.takwak.com/tw700.html - Caterpillar B10 und B25
http://www.heise.de/newsticker/meldung/Robustes-Smartphone-von-Caterpillar-1464495.html - Sony Experia go
https://enterprisemobilitymobi.wordpress.com/2012/05/30/sony-prasentiert-neues-robustes-android-smartphone-xperia-go/ - Mototola DEFY+
http://www.motorola.com/Consumers/DE-DE/Consumer-Products-and-Services/Mobile-Phones/MOTOROLA-DEFY-PLUS-DE-DE
Quelle/n + Links zu weiterführenden Informationen:
http://www.computerwoche.de/netzwerke/mobile-wireless/2039212/?r=26172801203313981&lid=180208
http://www.android.com/about/ice-cream-sandwich/
http://www.sybase.com/mobilize/mobile-device-management/androidsamsung (Sybase Afaria + Samsung Android Geräte)
http://www.takwak.com/tw700.html
http://www.heise.de/newsticker/meldung/Robustes-Smartphone-von-Caterpillar-1464495.html
https://enterprisemobilitymobi.wordpress.com/2012/05/30/sony-prasentiert-neues-robustes-android-smartphone-xperia-go/
http://www.motorola.com/Consumers/DE-DE/Consumer-Products-and-Services/Mobile-Phones/MOTOROLA-DEFY-PLUS-DE-DE
Fotos Bayforce.com, takwak, Google
Apple wirbt mit neuer Seite „iPhone in Business“
Apple wirbt mit neuer Seite für iPhone im Business:
http://www.apple.com/iphone/business/
Zur Integration in die Unternehmens-Infrastruktur (Exchange, Server, Zertifikate, VPN, WLAN, …) informiert die Unterseite:
http://www.apple.com/iphone/business/integration/
Diese neue Webseite soll die Bedeutung des iPhone in Unternehmen weiter stärken, wo es im kaufmännischen Bereich seit einiger Zeit die zuletzt dominierenden BlackBerry-Geräte von RIM zunehmend verdrängt. Der volumenmässig kleinere Markt für Industrie-Geräte liegt nach wie vor weitgehend in Händen von Microsoft.
Quelle/n:
http://www.apple.com/iphone/business/
http://www.apple.com/iphone/business/integration/
Foto Apple
enterprise mobility 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.