Smartphones und Apps: Position im Spannungsfeld zwischen Nutzen und Gefahr finden

Podiumsdiskussion auf den „M-Days“ am 13. Mai 2014

[datensicherheit.de, 13.05.2014] Unter dem Titel „Damit das Smartphone nicht zum Spion wird – Wege zu mehr Sicherheit bei Apps“ diskutierten Carsten Mickeleit, Vorstand der Cortado AG,  Prof. Dr. Christoph Bauer, Geschäftsführender Gesellschafter der ePrivacyconsult GmbH, Markus Bernhammer, CSO der Sirrix AG, und Michael Lützenkirchen, Geschäftsführer der whatever mobile GmbH, moderiert von Esther Kleine, Account-Managerin der mediaTest digital, Fragen mobiler Datensicherheit im Kontext der Anwendung von Apps.

Lützenkirchen: Technologie im Spannungsfeld zwischen Nützlichkeit und Gefährlichkeit

Für ihn gebe es kaum einen Unterschied zwischen privatem und geschäftlichem Leben, so dass er nur ein einziges Smartphone für beide Bereiche verwende. Dieses sei ein Arbeitsgerät, so dass gegenüber Mitarbeitern Restriktionen und Verbote sinnlos seien. Er empfiehlt die Ausgabe sicherer Firmengeräte und die Vermeidung von BYOD („bring your own device“).
Diese Podiumsdiskussion sei übrigens keine reine Mobil-Debatte, sondern beziehe sich auch auf das Internet. Wer moderne Informations- und Kommunikationstechnologie (IKT) verwendet, müsse sich der Transparenz seiner Eingaben bewusst sein und sein Verhalten entsprechend anpassen. Ihm gehe es vorrangig um die Transaktionssicherheit. Laut Julian Assange gehöre er wohl zu der letzten Generation, die noch echte Privatsphäre erlebt habe. Die hohe Daten-Verfügbarkeit stehe nun im Fokus.
Jede Technologie befinde sich in einem Spannungsfeld zwischen Nützlichkeit und Gefährlichkeit. So könnten Profilerstellung und Überwachung auch positive Seiten haben – wenn etwa die Hausbank unregelmäßiges Zahlungsverhalten feststellt und die Kreditkarte sperrt, liege dies in seinem Interesse, um dem Missbrauch durch Kriminelle zu begegnen.
Als „reifer Konsument“ sei er tagtäglich zur Entscheidung über die Freigabe der eigenen Daten aufgefordert. Man möge sich vor Paranoia in der Sicherheitsdiskussion hüten, sondern nüchtern der Tatsache stellen, was aktuell an Bedrohungen möglich ist und eine entsprechende Risikominderung anstreben. Nur in Ausnahmefällen – s. „Stuxnet“-Angriffe – könne der Offline-Betrieb von IKT sinnvoll sein. In jedem Fall sollten die Mitarbeiter in die Erstellung von Sicherheitskonzepten einbezogen werden.
Für die kommende Dekade sehe er schon eine wachsende Sensibilisierung für den Datenschutz, aber dennoch eine Abnahme der Bedeutung der Privatheit. Er erwartet eine zunehmende Verbreitung der Sprachsteuerung und eine verstärkte Nutzung von „Wearables“.

Professor Bauer: Zugriffsrechte auf sensible Daten definieren

Auch er betreibe nur ein Handy; bei der App-Nutzung gehe er selektiv vor. Grundsätzlich sollten Zugriffsrechte definiert werden, wer konkret auf sensible Daten zugreifen darf. Er griff die „Stuxnet“-Attacken auf und betonte, dass man Angriffe auf die Industrie nicht unterschätzen sollte; in Hochsicherheitsbereichen möge man daher auf das Vorhandensein mobiler Geräte verzichten.
Seit Ende der 1990er-Jahre gebe es die systematische Profilerstellung, die übrigens auch offline betrieben werde. Man bewege sich zwischen den Polen Verfolgung zum Schaden der Person einerseits und Präsentation individueller Angebote andererseits. In jedem Fall sollten Verbraucher eine Opt-out-Möglichkeit haben, die es leider noch nicht flächendeckend gebe. Hinsichtlich der Profilerstellung forderte er Transparenz gegenüber den Betroffenen. Die Sensibilität für die Risiken sei seiner Erfahrung nach gewachsen; gleichwohl werde noch immer die Gefahr vielfach unterschätzt.
Hinsichtlich der weiteren technischen Entwicklung sollte man immer nach dem eigentlichen, nachhaltigen Nutzwert fragen – er verwies auf die Quadrophonie, einer früheren temporären Modeerscheinung auf dem Gebiet der HiFi-Technik, als Beispiel für eine auf Dauer nicht marktfähige Innovation im 20. Jahrhundert.

Bernhammer: Proaktives Handeln in eigener Sache

„BYOD“ sei von der Unternehmens-IT kaum in den Griff zu kriegen – besser sei es, ein einziges, möglichst sicheres Gerät zu betreiben. Zur Zeit gebe es rund 2,8 Millionen Apps, deren Sicherheit schwer einzuschätzen sei. Eine betriebliche Kontrolle der Apps sei kaum möglich, die Sensibilisierung für deren Gefahren sehr langwierig. Sicherheit und Akzeptanz müssten ausbalanciert werden. Ein Ansatz könnte es sein, zertifizierte Apps anzubieten.
Jeder müsse für sich privat entscheiden, welche Risiken man online eingeht; dabei dürfe es keine Vermengung mit geschäftlich genutzten Daten geben.
Er forderte proaktives Handeln – für die Mitarbeiter seien klare Richtlinien erforderlich sowie technische Vorgaben. Leider sei auf Geschäftsführungsebene die fatale Einschätzung „Wir haben keine sensible Daten!“ noch sehr verbreitet; die eigene Verantwortung der Entscheiderebene werde oft nicht erkannt.
Auch wenn die weitere Entwicklung mobiler IKT nicht allein eine technische Frage sei, erwartet er einen Trend zu einem einzigen mobilen Gerät.

Mickeleit: Sicherheit vs. Produktivität

Er benutze rund 30 Apps. „BYOD“ könne zur Einsparung von Arbeitszeit führen. Es gebe eben keine absolute Sicherheit. Er unterstrich die Notwendigkeit zur Sensibilisierung der Anwender für die Risiken, betonte aber, dass höchste Sicherheit auch zu einer Verringerung der Produktivität führe.
Hervorzuheben sei das Gebot der Datensparsamkeit – im Prinzip sollten nur Daten verbreitet werden, die getrost ausgeforscht werden könnten. Er empfahl gar, vorbeugend aktiv tätig zu werden und eigene Inhalte über sich ins Netz zu speisen.
Die Möglichkeit zur Fernüberwachung mobiler IKT sei ambivalent – sie könne zur Ausforschung, aber auch zur Unterstützung per Fernwartung durch einen Administrator eingesetzt werden.
Mit Blick auf das Jahr 2024 erwartet er eine Zunahme der Bedeutung mobiler Geräte; auch das „Internet der Dinge“ werde sich in Teilen durchsetzen – mit wirklich revolutionären Entwicklungen sei jedoch nicht zu rechnen.

Foto: Dirk Pinnow

Podiumsdiskussion (v.l.n.r.): Carsten Mickeleit, Prof. Dr. Christoph Bauer, Esther Kleine, Markus Bernhammer und Michael Lützenkirchen

Weitere Informationen zum Thema:

datensicherheit.de, 09.05.2014
M-Days 2014: Chancen und Risiken mobiler Business-IKT