BYOD praktisch aber riskant

„Bring Your Own Device“ (BYOD) bedeutet so viel wie „Bring dein eigenes Gerät mit“. Seit einigen Jahren verbreitet sich dieses Phänomen in der IT-Branche wie ein Lauffeuer. Immer mehr Angestellte bringen ihre Geräte mit zur Arbeit und loggen sich darüber in das Firmennetzwerk ein. Ob es sich um Tablets, Smartphones, Laptops oder andere handelt, das Problem ist das gleiche: Eine wachsende Zahl von Computern, die auch (oder hauptsächlich) für private Zwecke genutzt werden, stellt eine Verbindung zum Firmennetzwerk und den dazugehörigen sensiblen Daten her. Diese externen Geräte zu kontrollieren, ist jedoch für die IT-Verantwortlichen des Unternehmens ein schwieriges Unterfangen.

  • Zuerst muss ein Komplett-Inventar der mitgebrachten Geräte gemacht werden.
  • Anschließend muss in Erfahrung gebracht werden, auf welche Art und Weise sie benutzt werden, auf welche internen Daten sie zugreifen können und welche Anwendungen darauf installiert sind. Ziel ist es, zu verhindern, dass sich Firmendaten in alle Windrichtungen zerstreuen.

Trotz allem hat das BYOD-Prinzip auch seine Vorteile in Bezug auf Produktivität, wie eine große, von Cisco durchgeführte Studie belegt. Unternehmen stehen also vor dem Dilemma einer Produktivitätssteigerung auf Kosten der Sicherheit.

Autonomie und Produktivität

Die Cisco-Studie belegt, dass Angestellte vor allem aus 3 Gründen auf BYOD zurückgreifen:

  1. um produktiver zu sein
  2. um berufliche und persönliche Tätigkeiten unter einen Hut zu bringen
  3. weil sie das Gerät benötigen und von der Firma keines zur Verfügung gestellt bekommen.

BYOD zu verbieten, um die damit verbundenen Risiken zu vermeiden, ist keine realistische Option. Wenn ein Unternehmen von den Vorteilen von BYOD profitieren will, muss es dies in seiner IT-Strategie und seiner Sicherheitspolitik vorsehen. Tatsächlich bringt ein Blick auf die persönlichen Geräte von Mitarbeitern die Gewissheit, dass BYOD und Produktivität Hand in Hand gehen. Die 5 gefragtesten Anwendungen auf privaten Geräten sind demnach:

  1. Programme für Kundenbeziehungsmanagement (CRM), Vertrieb oder Datenbanken (48% der Mitarbeiter)
  2. Mitarbeiterportale / Internet (46%)
  3. Messaging (43%)
  4. Social Media (43%)
  5. Synchronisierung und Datenaustausch: (41%)

BYOD ist ein neuer Trend, der sich schnell verbreitet und nicht aufzuhalten ist. Bis 2016 wird sich die Zahl der innerhalb von Unternehmen genutzten persönlichen Geräte verdoppeln. Die Fragen lauten also: Wie kann man das Phänomen BYOD handhaben, um in aller Sicherheit davon zu profitieren? Und wie kann man den Benutzern den Komfort, die Zugriffsmöglichkeiten und die Funktionalitäten bieten, die sie sich erwarten? Wie kann man das Risiko in eine Gewinnchance verwandeln? Die Antwort betrifft zugleich Technik und Organisation.

Freiheit, Verantwortung, Sicherheit

…und Brüderlichkeit, wenn man so will. Auf organisatorischer Ebene führt nichts an einer Bestandsaufnahme vorbei, um elementare Benutzungsregeln aufzustellen: Was sind die Bedürfnisse der Mitarbeiter und wie viele, bzw. welche Geräte werden benutzt? Das Bewusstsein der Mitarbeiter für Sicherheitsprobleme bei der privaten Nutzung der Geräte muss geschärft werden. Die „Generation Y“ weiß, was hinter Begriffen wie Hacking, Phishing, Trojaner, Spyware oder Malware steckt. Viele von ihnen haben damit bereits ärgerliche Erfahrungen auf ihrem Privatcomputer gemacht. Der Wissensstand dieser jungen Generation ist eine gute Voraussetzung, um ihre Wachsamkeit noch zu verstärken, und sie für Gefahren zu sensibilisieren, die sie noch nicht kennen (andauernde Bedrohungen, DDoS-Angriffe,…). Der Leiter der Sicherheit von Informationssystemen sollte dafür sorgen, dass die allgemeinen Sicherheitsreflexe allen Mitarbeitern bekannt sind, und dass sie darum bemüht sind, ihr mitgebrachtes Gerät „sauber“ zu halten. Lesen Sie hierzu auch unsere Ratschläge für Tablet-PCs und Mobiltelefone. Doch gute Reflexe allein reichen nicht. Deshalb sollten auch die internen Firmenregeln oder die „IT-Charta“ durch spezifische BYOD-Regeln ergänzt werden: Erlaubter Gebrauch im Büro / zu Hause, obligatorische / genehmigte / verbotene Anwendungen. Die Rechte der Arbeitgeber auf den privaten Geräten müssen klar begrenzt sein. Für die BYOD-Geräte müssen die gleichen Bedingungen gelten, wie für Geräte, die bereits mit dem Firmennetzwerk verbunden sind. Man muss also vorsehen:

  • sichere Passwörter
  • ein Antivirenprogramm
  • eine integrale Verschlüsselung der Festplatten
  • die Kontrolle der installierten Anwendungen

Was den Zugriff auf das Firmennetzwerk betrifft, so ist es am besten, ein unabhängiges Drahtlosnetzwerk innerhalb des Unternehmens einzurichten. Dieses Netzwerk erlaubt allein den Zugang zum Internet. Es kann auch ein Zugang zu diversen firmeninternen Anwendungen geschaffen werden, mit Schutz- und Filtervorrichtungen.

Beispiel: Der Zugriff auf ihre Mailbox ist meist das erste, das sich die Benutzer wünschen. In diesem Fall ist es möglich, dem Mailserver Administratorenrechte auf den mobilen Geräten zu gewähren. Dies erlaubt das Löschen der auf dem Gerät befindlichen Daten im Falle von Verlust oder Diebstahl. Es ist der beste Weg, um Datendiebstahl auf Geräten zu vermeiden, die von sich aus stärker gefährdet sind. In diesem Fall muss der Arbeitnehmer die Kontrolle seines privaten Geräts als Gegenleistung für mehr Sicherheit in Kauf nehmen.

Es gibt spezielle „mobile device manager“, die es erlauben, eine ganze Reihe von mobilen Geräten zu verwalten, und ihre Netzzugriffe sowie benutzten Anwendungen zu kontrollieren. Sie sind entweder mit einer Plattform verbunden, oder „agnostisch“, also fähig, mehrere Plattformen zu verwalten. Die „mobile device management“-Systeme erlauben:

  • das Aktualisieren von Mobiltelefonen aus der Distanz;
  • das Kontrollieren einer ganzen Reihe von Geräten;
  • das Übernehmen der Kontrolle aus der Distanz, um das Gerät zu reparieren, bzw. dem Benutzer bei Problemen zu helfen;
  • ein Inventar der aktiven Geräte, das Einsehen von Kommunikationen in Echtzeit,…

Diese Programme erlauben ebenfalls das Blockieren oder Löschen von Geräten aus der Distanz, das Erstellen von Backups oder die Wiederherstellung von Daten. Man kann damit sogar aus der Distanz Programme auf ein Gerät installieren, bzw. die Installierung von Anwendungen unter bestimmten Voraussetzungen verhindern. Einige Management-Systeme erlauben es, Daten selektiv zu löschen. So können persönliche Daten bewahrt werden.

Kurzum: die Funktionalitäten dieser Programme können sehr weitreichend sein. Die Schwierigkeit liegt manchmal in der Übernahme von heterogenen Plattformen… Mehr Informationen bezüglich „mobile device management“ liefert zum Beispiel eine Synthese auf der Seite „Clever“.

Fazit: Wenn BYOD an Ihre Tür klopft, müssen Sie sich dem Trend annehmen. Nichts tun ist keine Option. Wer jedoch zu schnell handelt, riskiert Sicherheitslücken und Probleme in der praktischen Umsetzung. Finden Sie den richtigen Ausgleich indem Sie die CASES-Sicherheitsreflexe anwenden.

BYOD geht oft Hand in Hand mit BYOS („bring your own service / software“). Hierbei werden Online-Programme oder Dienste (z.B. Clouddienste) für berufliche Zwecke benutzt. Es ist schwierig, diese Praxis komplett zu unterbinden. Jedoch muss sie reguliert werden und die Funktionsweise der benutzten Programme und Dienste muss bis ins Detail bekannt sein.

Table of Content