BYOD Bring Your Own Device – Eine der dümmsten Ideen aller Zeiten von Gartner, Forrester und Vorständen

Ich bin auf einen Artikel von Scot A. Turban gestoßen, einem anerkannten Security Spezialisten aus den USA und früherem Ethical Hacker bei IBM. Besser kann man BYOD nicht auf den Punkt bringen. Es ist nicht wenig Test, aber dank der super netten Art, das Thema auf den Punkt zu bringen, lässt es sich super lesen !

BBYODring Your Own Device (BYOD) ist eine Bewegung, die unzweifelhaft von einigen schwachsinnigen CIO / CTO und CEOs und ihren Kumpeln bei Gartner ausgeheckt wurde. Wenn Sie sich noch nicht mit dem Konzept von BYOD auseinandergesetzt haben, gehen Sie einfach auf Google um es zu verstehen. Meine Theorie, wie all dies entstehen konnte, ist das folgende Szenario.

Vorstand A saß eines Tages im Flieger und fasste in die Sitztasche vor ihm. Er zog das Kundenmagazin der Airline her aus und blätterte es durch, bis er auf einen Artikel stieß, in dem erklärt wurde “wie auch Sie Unmengen Geld sparen können, wenn Sie Ihre Mitarbeiter Telefone und Laptops für die Arbeit selber kaufen lassen!”

Vorstand A erfreute sich immer mehr an der Idee, wie sein Bonus exponentiell wachsen würde, wenn er sowohl die Kosten für die Telefone als auch einen großen Teil der Telefongebühren auf die Mitarbeiter abwälzen könnte. Genial!

Zufrieden dachte er den Rest des Fluges darüber nach, welche aufwändigen Ergänzungen seiner Yacht er aus den Erträgen dieser tollen Idee anschaffen können wird.

Sofort nach seiner Rückkehr schrieb Vorstand A eine Email an die anderen Vorstände mit seinem Konzept. Alle dachten an ihre Boni und was sie sich von den steigenden Boni Schönes leisten könnten, wenn auch ihr Ergebnis dadurch verbessert würde, wenn man zukünftig die Kosten der Arbeitsmittel auf die Mitarbeiter abwälzen würde (Erinnern Sie sich an die Sale and Leaseback Konzepte vergangener Tage? Genau, eine ähnliche Nummer mal wieder).

Der Vorstand beschliesst das Konzept so und alle sind sich einig, dass dies eine großartige Idee ist. Los geht’s! Natürlich haben sie nicht mit dem CSO (Gesamtverantwortlicher für die Sicherheit) oder dem CISO (Sicherheitsverantwortlicher für die IT) gesprochen und wenn sie einen fähigen CSO haben, werden sie die Fragen zu Bedenken hinsichtlich der Sicherheit, der Gesetzmäßigkeit und des Datenschutzes diskutieren. Wenn sie überhaupt einen CSO oder CISO haben!

Leider Gottes werden sie das Projekt auch bei Bedenken trotzdem weiter forcieren … mit Dollar-Zeichen in den Augen wie Cartoon-Figuren.

Denn: Die Lösung BYOD wird unsere Mitarbeiter SO GLÜCKLICH machen und UNS GELD SPAREN!

Und es geht weiter, die Agitation für BYOD nimmt immer weiter Fahrt auf bis sie schließlich die Sicherheitsverantwortlichen der Firma erreicht (wenn die Firma überhaupt welche hat), von denen zweifellos jemand fragen wird:

Hallo, was ist denn mit den Sicherheitsproblemen hier?

Was ist mit den Datenschutzproblemen?

Gesetzliche Probleme?

Den Verantwortlichen wird erzählt, dass alles gut ist und sie sich keine Sorgen machen brauchen. Einfach machen! Dies vielleicht sogar, nachdem ihnen ein Security-Consultant erklärt hat, dass die derzeitige Infrastruktur mittlerweile so komplex sei, dass diese in der Zukunft mehr kosten würde und zusätzlich die Gefahr besteht, dass die aktuelle Infrastruktur zukünftig leichter angreifbar sei und gesetzlichen Anforderungen widerspreche.

“Machen Sie sich keine Sorgen … Es spart Kosten und macht die Mitarbeiter zufrieden” sagt der Vorstand. Machen Sie es einfach.

Der arme Security-Verantwortliche ist von diesem Zeitpunkt an sehr allein mit diesem Haufen an Scheiss-Ideen. Er kann nur warten, dass alles gegen die Wand fährt.

Der magische Fucking-Quadrant der Dummheit (mit Zauberspucke)

Schon bald sind die Sicherheitsverantwortlichen und die verantwortlichen Manager in Telefonkonferenzen mit Gartner oder Forrester, müssen Meetings mit denen machen um zu lernen, wie toll BYOD ist und wie toll all dieses in den magischen Quadranten passt. Sie bekommen erklärt, welche tollen Firmen die tollsten Produkte anbieten um die privaten Endgeräte der Mitarbeiter zu “schützen”.

Für nur 50, 100 oder wie viel tausend Dollar oder Euro auch immer können Sie diese Lösung haben!

Alle Spezialisten verdrehen die Augen.

Aber der Vorstand … Der glaubt den ganzen Mist, der ihm erzählt wird! Er vertraut blind auf die neue Ideologie und lobt sie in den höchsten Tönen! Man muss bedenken, es ist Gartner! Wie können die irren!!!

Am Ende haben die (Ver-)Zauberer gewonnen und Sie, die arme Sicherheits-Sau haben die neue Aufgabe am Hals, die Ihnen Ihr Leben unerträglich macht und die neue und überflüssige Probleme hervorruft, die Ihren Job und Ihre Infrastruktur noch komplexer machen. Willkommen bei BYOD, was eigentlich Bring Your Own Doom heissen müsste – “Bring Dein eigenes Unheil” auf deutsch. Ab jetzt brauchen Sie Magentabletten und andere Medikamente, um Ihren Job zu ertragen. Ihr Leben wird sich zum Schlechten wenden und wenn es richtig schlimm werden wird, was vorhersehbar ist, werden Sie gefragt werden, warum Sie dem Vorstand nicht sagten, dass BYOD eine schlechte Idee ist. SIE HABEN VERSAGT, WEIL SIE ES UNS NICHT SAGTEN!

Denken Sie dran – nur wer am lautesten schreit, wird gehört … heben Sie alle Emails auf in denen Sie warnen, dass es eine wirklich schlechte Idee ist. Egal ob Zauberspucke oder nicht!

Technische Probleme

Ganz ernsthaft: Es gibt einige sehr gravierende Probleme mit diesem Konzept. Selbstverständlich gibt es diese Probleme

mit jedem anderen Smartphone auch, das man schützen muss. Aber BYOD erhöht die Komplexität der Probleme, weil man einerseits das Gerät schützen muss und andererseits diesen Schutz nicht, wie eigentlich notwendig, anwenden kann, weil es ein privates Gerät ist, dass nicht der Firma gehört. Einfach gesagt: Der Inhaber will es so nutzen, wie es ihm gefällt und nicht wie es die Firma braucht! Anders ausgedrückt: Wenn Sie das Gerät so sichern, wie es für die Firma erforderlich ist, kann es der Besitzer nicht mehr so benutzen, wie er es eigentlich will!

Und dies führt dann zu unzufriedenen Benutzern.

An dieser Stelle seien nur einige Probleme aufgezählt:

Verschiedene Betriebssysteme erfordern in manchen Fällen unterschiedliche MDM-Lösungen (Bada und viele Androide-Derivate werden von vielen MDM-Lösungen nicht unterstützt)

Android … Oh Gott (im Original OMFG). Gerootete Endgeräte sind ein Riesenproblem. Wieviele Botnetze gibt es derzeit für Android? Google hat hier ein echtes Qualitätsproblem (ein wahrer Albraum).

Zusätzliche Sicherheits-Layer für “Sandbox”-Anwendungen

Ein komplett neuer Layer für Auditing und Monitoring wird notwendig, um die Assets der Firma zu schützen. Asset bedeutet im Kern den Schutz des gesamten Netzwerks mit einem neuen Layer.

Sicherstellung, dass Verschlüsselung eingesetzt wird und funktioniert – zum Schutz des geistigen Eigentums der Firma

Sicherstellung neuer Antivirus- und Malware-Konzepte

Sicherstellung, dass der Anwender auf seinem Smartphone NICHTS installieren kann, dass die Unternehmensdaten kompromittieren kann (Due Diligence)

Und diese Liste kann noch weiter fortgesetzt werden. Was kommt unter dem Strich heraus? Man muss Sicherheitslayer auf dem Endgerät installieren, das dem Unternehmen nicht gehört, die die Anwender im Kern nicht wollen, weil es ihr Gerät ist, das sie bezahlt haben und nutzen wollen, wie es ihnen gefällt. Es ist ein PRIVATES GERÄT! Der Mitarbeiter hat es gekauft! Er will damit spielen und es für seine Unterhaltung benutzen. Das ist das Schlüsselproblem, welches die meisten BYOD-Befürworter übersehen. Oder muss das nicht beachtet werden? An dieser Stelle genügt es zu sagen, dass ei
n Unternehmen bei einer BYOD-Strategie gezwungen ist, in Soft- und / oder Hardware zu investieren, die die privaten Bestandteile der Geräte schützen. Was zusätzlich Geld kostet – für Kauf und Pflege der Systeme.

Wer hat all dies bis zum Ende durchgerechnet? Spart man wirklich am Ende?

Und die rechtlichen Problem dürfen schon gar nicht außer Acht gelassen werden.

Rechtliche Probleme

Ja, da gibt es viele bei der BYOD-Thematik. Es scheint so, als ob diese Frage all die Vorstände und Entscheidungsträger, die so heiss auf BYOD sind, überfordert. Selbst wenn man ihnen die rechtlichen Einschränkungen haarklein erklärt, bleiben sie bei der Entscheidung für BYOD, was wirklich verwirrend ist. Natürlich, sie haben Anwälte, auf die sie das Problem abwälzen und die die Details hinterher ausarbeiten müssen. Details wie:

Zugangsprobleme auf privaten Endgeräten (Der Firma gehört das Gerät nicht und ohne die Zustimmung des Inhabers hat die Firma keinerlei Rechte auf dem Gerät)

Datenschutz – Die Überwachung der Kommunikation des Gerätes verstößt fast immer gegen Datenschutzvorschriften

Die Besonderheiten, die geistiges Eigentum der Firma auf privaten Endgeräten betreffen. Wem gehört was wann und wo?

Dies sind nur 3 Punkte, die einen großen Teil der rechtlichen Problematik abdecken und wenn man über BYOD nachdenkt, muss man all diese Probleme bis zum Ende durchdenken. Und am Ende führt all dies nicht zu zufriedenen Anwendern. Man darf sich nicht täuschen lassen, dass all dies am Ende zu einer zufriedeneren und produktiveren Mitarbeiterschaft führt. Schnell werden die Anwender merken, dass sie ausgenutzt werden und dass es sehr viele Grauzonen gibt. Und wenn man die Mitarbeiter nicht dazu gewinnen konnte für das Unternehmen wasserdichte Verträge zu unterschreiben werden die Verantwortlichen gegebenenfalls Probleme haben.

BYOD – eine schlechte Perspektive

Nein, BYOD ist eine schlechte Idee aus jedem Betrachtungswinkel. Ja, es gibt immer mehr Protagonisten, die BYOD befürworten, weil es Geld spart und die Mitarbeiter mit neuen Spielzeugen wie dem iPhone glücklich macht. Ich sehe aber die technischen und rechtlichen Probleme und die mögliche Überwachungsangst und böses Blut bei den Mitarbeitern, die nicht mehr über ihre privaten Geräte verfügen können, wie sie wollen. Es ist ein Albtraum – aber Gartner sagt, es ist großartig!

Denken Sie über diese Ausführungen nach, bevor Sie BYOD einführen. Sie sparen nicht. Sie vergiften Ihre Firma schleichend ohne Grund.

Autor: Scot A. Turban

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert