„Bring your own device“ (BYOD) heißt: Mitarbeiter nutzen ihre privaten PCs, Laptops, Tablets und Smartphones für ihre Arbeit – egal, wo sie gerade sind. Das hat in Corona-Zeiten noch eine ganz neue Bedeutung bekommen. Denn als plötzlich alle ins Homeoffice gingen, erschien die Nutzung der privaten Geräte auf die Schnelle besonders naheliegend: Sie waren schon vorhanden – und der Mitarbeiter weiß in der Regel am besten über ihre Handhabung Bescheid. Zumal der Arbeitgeber aufgrund der unerwarteten Situation häufig gar nicht so schnell ausreichend viele Geräte für den Homeoffice-Einsatz bereitstellen konnte.
Was zunächst nach einer praktischen Lösung mit gutem Einsparpotenzial und hoher Mitarbeiterzufriedenheit klingt, ist jedoch mit immensen Sicherheitsrisiken verbunden, die nachträglich richtig teuer werden können. Eine Umfrage des Ponemon-Instituts (1) zeigt, dass mehr als die Hälfte der Unternehmen, die BYOD erlauben, schon mit Datenlecks zu kämpfen hatten. Bei rund einem Drittel wurden dabei sogar vertrauliche Daten gestohlen.
Wir zeigen Ihnen, was die größten Risiken und Herausforderungen bei der sog. "Consumerisation" sind – also wenn Verbraucherendgeräte von Mitarbeitern mit Unternehmensdaten in Berührung kommen. Aber es gibt auch Lösungen, die nach dem ersten schnellen Einzug ins Homeoffice nachgerüstet werden sollten, um keine Datenlecks entstehen zu lassen.
Ein großes Sicherheitsproblem stellen nicht selten die Mitarbeiter dar. Wenn diese nicht richtig informiert oder geschult worden sind, verursachen sie die größten Sicherheitslücken. Und zwar indem sie etwa leicht zu erratende Passwörter verwenden, ungeschützte WLAN-Netzwerke nutzen, Familienmitgliedern unbedacht Zugang zu den Geräten verschaffen oder nicht-genehmigte Programme installieren – laut Gartner-Studie (2) geschieht letzteres auf mehr als 30 Prozent der privaten Mobilgeräte, die auch beruflich genutzt werden. Zudem leiten laut einer Studie von Iron Mountain (3) rund 60 Prozent der Mitarbeiter berufliche E-Mails auf private Accounts um, wobei ebenfalls Daten in die falschen Hände gelangen können. Hier sollte es aus Sicherheitsgründen sowohl genaue Regeln als auch technische Sperren geben, die beispielsweise die Installation bestimmter Anwendungen verhindern. Problem dabei: Dies wollen viele Mitarbeiter gar nicht, weil die IT-Administratoren ihrer Firma mit solchen Eingriffen häufig nicht nur weitgehende Einsicht in die Daten auf ihrem Gerät erhalten können, sondern die Nutzung des eigenen Device auch noch eingeschränkt wird. Und dies führt nicht unbedingt zu einer Akzeptanz der Maßnahme.
Bedacht werden sollte für die Vermeidung von Datenlecks darüber hinaus: Mobile Endgeräte gehen mitunter auch verloren oder werden gestohlen – umso wichtiger ist es, dass sie sehr gut mit PIN-Codes bzw. Passwörtern und möglicherweise anderen Sperren geschützt sind, die zum Beispiel eine Authentifizierung anhand des Fingerabdrucks erfordern. Auch die Festplatte sollte verschlüsselt werden.
Wer vor Schadsoftware und anderen Angriffen von außen geschützt sein will, muss vor allem darauf achten, dass das Betriebssystem immer auf dem neusten Stand ist. Hier sollten die Mitarbeiter darauf hingewiesen werden, dass sie Updates der jeweiligen Betriebssystem-Anbieter jederzeit sofort herunterladen und installieren sollen. Gleiches gilt für Antiviren-Programme, um vor Malware und anderen Attacken entsprechend geschützt zu sein. Zwar kann man bei manchen Systemen einstellen, dass Updates automatisch heruntergeladen und installiert werden sollen. Doch wer auf Nummer sicher gehen will, hat mehrere Möglichkeiten: Im Bereich Smartphone, Tablet und Sub-Notebook könnte die Lösung ein Mobile-Device-Management sein. Über dieses können IT-Administratoren zentral ein Update aufspielen lassen. Darüber hinaus gibt es noch die Möglichkeit, per Fernzugriff auf Firmendaten und andere Ressourcen zurückzugreifen – darauf kommen wir gleich noch einmal zurück.
Dass private und berufliche Daten auf mobilen Endgeräten ohne ganz genaue vorherige Absprachen und Unternehmensrichtlinien häufig völlig durcheinander gehen, ist eines der größten Probleme von BYOD. Nicht zuletzt die DSVGO schreibt aber vor, dass insbesondere personenbezogene Daten auf dem mobilen Gerät genauso sicher sein müssen, wie sie es auch innerhalb der unternehmenseigenen IT-Infrastruktur sind. Neuere iOS- und Android-Betriebssysteme für das Smartphone beispielsweise bieten zwar inzwischen die Möglichkeit, private und geschäftliche Bereiche voneinander zu trennen; generell lassen sich auf allen Endgeräten auch Sandbox-Lösungen einrichten, in denen sich Software ausführen lässt, ohne dass diese auf die eigentliche Systemumgebung Zugriff hat. Doch generell stellt sich auch bei dieser Lösung die Frage: Was passiert mit den Daten, wenn zum Beispiel der Mitarbeiter das Unternehmen wieder verlässt oder das Gerät gegebenenfalls entsorgt werden muss? „Ein Unternehmer muss immer wissen, welche Kundendaten wo sind“, sagt Reiner Matthiessen, Geschäftsführer von m2solutions. „Und sie müssen auch gelöscht werden können – und diesen Zugriff bekommt man bei privaten Geräten nicht.“ Selbst wenn der Mitarbeiter die Daten pflichtbewusst in den Papierkorb verschoben hat, befinden sie sich immer noch auf der Festplatte. Hier ist eine Software vonnöten, welche die Daten nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) mehrfach überschreibt, damit sie sich wirklich nicht mehr wiederherstellen lassen und keine sensiblen Daten nachträglich auf Umwege nach außen gelangen.
Am sichersten ist es daher, keine Daten auf den privaten Geräten lokal zu speichern. Dies ist möglich, wenn das Gerät des Mitarbeiters zu Hause nur die „Tür“ in die IT-Infrastruktur der Firma ist; wenn die verfügbaren Anwendungen und Datensätze nur virtualisiert als Bild, aber nicht tatsächlich auf dem privaten Endgerät vorhanden sind.
Hier ist zum einen ein sicherer Remote-Zugriff auf den Firmen-PC durch eine entsprechende Software und VPN-Verbindung möglich. Auch die Nutzung eines Terminalservers ist eine Lösung. Er sorgt dafür, dass alle Daten zentral auf einem Server oder Host gespeichert und auch die notwendigen Programme dort ausgeführt werden. Nutzer können jedoch dezentral über ihre Endgeräte und ein Netzwerk auf diese Ressourcen zurückgreifen und mit ihnen arbeiten.
Dies hat zum einen den Vorteil, dass keine Dateien lokal auf dem Endgerät gespeichert werden, sondern zentral, was auch eine große Bedeutung für den Datenschutz hat: Auf diese Weise weiß das Unternehmen jederzeit, wo sich zum Beispiel Kundendaten befinden und kann darüber Auskunft geben, wie es die DSGVO vorschreibt. Zum anderen brauchen alle Programme nur einmal installiert werden und können regelmäßig zentral auf dem Server aktualisiert werden. So werden auch die Lizenzkosten für die Programme gesenkt. Sofern das lokale und das entfernte Geräte über dasselbe Protokoll kommunizieren, kann eine Verbindung auch aufgebaut werden, wenn die beiden Geräte unterschiedliche Betriebssysteme nutzen. Beim Einsatz von individuellen Verschlüsselungsmechanismen sowie VPN können sichere Datenströme zu gewährleistet werden.
Wer BYOD in seinem Unternehmen sicher implementieren will, muss zunächst eine genaue Analyse durchführen: Bei welchen Mitarbeitern ist es sinnvoll, dass sie mit ihren eigenen Geräten Zugriff erhalten – und vor allem auf welche Bereiche ist der Zugriff sinnvoll und auf welche nicht? Die Sicherheitsanforderungen sind hier auch immer von der Branche abhängig: Im Finanzbereich sind sie beispielsweise höher als im Bildungssektor. Lohnt es sich für das Unternehmen zum Beispiel ein System mit Terminalserver zu etablieren? Dieser kann mitunter auch auf einem schon vorhandenen Server eingerichtet werden, wenn dessen Ressourcen ausreichend sind, sodass keine größeren Anschaffungen nötig sind. Die erforderlichen IT- und Sicherheitsmaßnahmen müssen in jedem Fall im Vorfeld gut durchdacht und mit IT-Experten besprochen werden. Auch Vereinbarungen mit den Mitarbeitern sind darüber hinaus für BYOD unerlässlich.
Dies alles könnte alternativ auch zu „CYOD“ führen – „Choose your own device“, was bedeutet, dass Mitarbeiter aus einem festgelegten Portfolio ihr Wunschgerät wählen dürfen – was verhindert, dass viele unterschiedliche Systeme in das Unternehmensnetzwerk integriert werden müssen. Das Gerät bleibt im Besitz des Unternehmens, die Mitarbeiter dürfen es aber auch privat nutzen – unter festgelegten Regeln natürlich. Aber auch hier sollte eine entsprechende Risiko-Analyse vorangestellt werden, ob es wirklich möglich ist, private und geschäftliche Daten sicher voneinander zu trennen. Matthiessen: „Unsere Empfehlung ist eine klare Trennung von beruflichen und privaten Mobilgeräten.“
Quellen
Verschaffen Sie sich einen Überblick über die tatsächliche IT-Sicherheit in Ihrem Unternehmen. Ein umfassender IT-Sicherheits-Check mit m2GUARD bringt Klarheit!