Der unfreiwillige Hacker

Von Stefan Mey

Unser Leben ist im Umbruch. Menschen sind nicht mehr bloß reine Konsumenten, sondern entwickeln sich zu so genannten »Prosumenten«, indem sie durch Blogs und Internet-Videos auch zu kleinen Produzenten werden; im Rahmen von »Coopetitionen« sind Unternehmen nicht nur Mitbewerber (»Competition«), sondern kooperieren auch miteinander (»Cooperation«). Und einzelne Arbeitnehmer beobachten, wie ihr Privat- und Berufsleben in Form von »bleisure « (ein englischer Neologismus, der sich aus den Wörtern »business« und »leisure« zusammensetzt) in einander übergehen. Details zu diesem Wandel hat eine Studie von OnePoll im Auftrag von Samsung ermittelt, bei der 4.500 Büroangestellte befragt wurden, davon 1.000 in Deutschland. Demnach erledigen 69 Prozent der Befragten ihre Privatangelegenheiten in der Arbeitszeit, 77 Prozent arbeiten in der Freizeit – zu ihrem eigenen Vorteil und zum Vorteil des Unternehmens: Denn 42 Prozent der Befragten geben an, dadurch produktiver zu sein und mehr Aufgaben in derselben Zeit erledigen zu können. Mehr als ein Drittel hat zudem das Gefühl, Aufgaben effizienter handhaben zu können; 34 Prozent fühlen sich durch das Überschneiden von Arbeit und Freizeit weniger gestresst. Am stärksten spiegelt sich dieser Trend bei der Verwendung der mobilen Endgeräte wider; denn berufliche Handys werden in der Freizeit genutzt, während Privathandys für das Business herhalten müssen. Der Studie zufolge haben deutsche Mitarbeiter durchschnittlich elf persönliche Apps wie Facebook, WhatsApp oder das Handy-Spiel »Candy Crush« und neun Enterprise-Apps wie Microsoft Outlook oder Lync auf ihren Dienst-Smartphones installiert; 37 Prozent der befragten Angestellten nutzen ihr privates Smartphone für die Arbeit, 29 Prozent nutzen ihr Geschäfts-Handy auch für private Zwecke. Treiber dieser Entwicklung dürften vor allem die »Digital Natives« sein: Die Kollegen im Alter zwischen 18 und 34 Jahren sind mit IT aufgewachsen und haben sich daran gewöhnt, im Privatleben stets die modernsten Tools und Gadgets zu verwenden; verhindern IT-Policies des Konzerns dies, so nehmen sie ihre eigenen Lösungen ins Büro mit – ein Trend, der mit der Phrase »Bring your own device« (BYOD) inzwischen die IT-Entscheider der Konzerne beschäftigt. Denn die Überblendung von Arbeit und Privatleben erhöht zwar Effizienz und Zufriedenheit der Mitarbeiter – sie kann aber auch ein ernsthaftes Sicherheitsproblem darstellen.

Der Hacker aus dem 3. Stock

Denn im schlimmsten Fall können Angestellte durch den laxen Umgang mit ITRichtlinien unbeabsichtigt zu »Hired Hackers « werden: also zu Angestellten, die unabsichtlich Betriebsgeheimnisse preisgeben oder Malware in das Unternehmen schleppen. Besonders brisant wird dies vor dem Hintergrund der EU-Datenschutzverordnung, die voraussichtlich im Lauf dieses Jahres erlassen wird. Der aktuelle Entwurf der Verordnung sieht Bußgelder bis zu 100 Millionen Euro oder fünf Prozent des weltweiten Umsatzes für Unternehmen vor, die sich nicht an die Datenschutzrichtlinien halten – vor allem auf personeller Ebene besteht für die Unternehmen also noch Handlungsbedarf. Denn viele Mitarbeiter sind in Bezug auf IT-Sicherheitsrichtlinien ratlos, besagt die Studie: 22 Prozent der Deutschen nutzen ihr Privatgerät zum Arbeiten – etwa zum Verschicken von Geschäftsmails vom eigenen Tablet-PC –, ohne zu wissen, ob sie das überhaupt dürfen; 47 Prozent der deutschen Mitarbeiter wissen gar nicht, ob ihr Mitarbeiter Vorschriften zur mobilen Sicherheit hat, kennen deren Inhalt nicht oder ignorieren die Vorschriften – europaweit liegt dieser Wert gar bei 55 Prozent. Dementsprechend umgehen europaweit 26 Prozent der Mitarbeiter (Deutschland: 20 Prozent) bewusst Sicherheitsrichtlinien, indem sie Cloud-Dienste wie Dropbox verwenden, über die Dateien mit der Außenwelt geteilt werden können. Vor allem die zuvor erwähnten Digital Natives stellen den Studienautoren zufolge ein Sicherheitsrisiko dar – 30 Prozent der Jungen gehen besonders locker mit Sicherheitsrichtlinien um, wohingegen ältere Mitarbeiter vorsichtiger agieren. Den Studienautoren zufolge ist dies eventuell eine Generationenfrage, wie bei der Präsentation vor Journalisten in Frankfurt erläutert wird: Die ältere Generation hat gelernt, sich an Vorschriften zu halten; für die junge Generation steht Freiheit im Vordergrund. Es bringt daher nichts, IT-Policies einfach ins Intranet zu stellen, wo sie niemand liest – viel mehr muss man die Mitarbeiter dort abholen, wo sie sind.

Ein sicherer Container

»Je mehr Privat- und Berufsleben zusammenwachsen, desto mehr brauchen Unternehmen Lösungen, die dabei unterstützen, die Nutzung von persönlichen und geschäftlichen Daten auf mobilen Endgeräten ihrer Mitarbeiter sicherer zu gestalten«, sagt dazu Sascha Lekic, Director Sales B2B bei Samsung Electronics Deutschland. Die Koreaner haben dafür eine Lösung namens Knox im Angebot. Knox schafft auf dem Smartphone des Mitarbeiters einen separaten virtuellen Container, in dem all jene Daten gespeichert sind, die sich auf das Unternehmen beziehen. Dieser Container kann an die ITSicherheitsbedürfnisse des Unternehmens angepasst werden. Zum Beispiel kann der Administrator festlegen, dass Dateien nur über ausgewählte Kommunikationskanäle verteilt werden – so können Dokumente zwar über das hauseigene Mailsystem an Kollegen geschickt, nicht aber über Facebook an die Öffentlichkeit weiter gereicht werden. Außerdem werden innerhalb des Unternehmens-Containers nur jene Apps installiert, die vom IT-Administrator genehmigt werden – im privaten Umfeld kann der Mitarbeiter also Daten per Dropbox mit seinen Freunden teilen, firmeninterne Dokumente inden den Weg auf die fremden Server aber nicht. Zudem ist es mit Knox möglich, aus der Ferne auf das Smartphone zuzugreifen. Verliert oder verlegt ein Mitarbeiter etwa das Gerät, so kann er sich auf dem Desktop-PC einloggen und das Gerät per GPS orten – hat er es bloß zu Hause auf dem Küchentisch liegen lassen, kann er beruhigt sein; ansonsten sind weitere Schritte möglich. Das Gerät kann aus der Ferne gesperrt werden, und eine Nachricht auf dem Startbildschirm bittet den ehrlichen Finder, den Besitzer des Geräts anzurufen, um eine Rückgabe zu organisieren. Ein Anruf auf die hinterlegte Nummer ist dann möglich, ansonsten ist das Handy nutzlos. Selbst ein Hackangriff auf das Gerät nutzt einem Kriminellen laut Samsung nicht: Denn wird das Gerät gehackt, so aktiviert Knox eine Selbstzerstörung – danach sind erstens all jene Daten gelöscht, die sich zuvor im Container befanden; zweitens ist es nicht möglich, Knox erneut zu installieren. So wird auch verhindert, dass Hehlerware ihren Weg ins Business-Umfeld findet. Schließlich wird dem Unternehmen noch ermöglicht, den Knox-Container aus der Ferne zu löschen. Das ist nicht nur praktisch im Fall eines Diebstahls – sondern auch, wenn ein Mitarbeiter das Unternehmen verlässt und im Nachhinein festgestellt wurde, dass er Firmendaten mit seinem Privatgerät mitgenommen hat. Jene privaten Daten, die sich außerhalb des Knox-Containers befinden, werden nicht gelöscht – das ist im Fall eines Diebstahls ärgerlich für den Mitarbeiter, weil der Kriminelle Zugriff auf seine Urlaubsfotos hat; im Fall einer Kündigung ist es aber praktisch, weil die Fernlöschung der Firmendaten seine persönlichen Informationen nicht tangiert.

Für alle Android-Smartphones

Bisher konnte Knox nur auf Samsungs eigenen Geräten verwendet werden. Künftig soll das System aber auch anderen Geräten mit Googles Betriebssystemen Android zur Verfügung gestellt werden, sagt Jae Shin, Vizepräsident der Knox Business Group: »Ein sicheres Android wird neue Lösungen und Ideen generieren«, erklärt er bei der Präsentation in Frankfurt. Denn während Googles System inzwischen über 70 Prozent des weltweiten B2C-Markts ausmacht, liegt der Anteil im B2B-Bereich noch bei unter 20 Prozent – zu groß sind derzeit noch die Sicherheitsbedenken, die die Unternehmen haben. »Wenn Android in diesem Segment gewinnt, kann auch Samsung gewinnen«, sagt der Manager, dessen Unternehmen weltweiter Marktführer bei Android-Smartphones ist.