108x92_business_blog_logo_speechbubble.png

BYOD Security: Wie Sie private Geräte in das Firmennetzwerk sicher integrieren

Autor Michael Veronese am 1.3.2016

In BYOD, Consulting, Smartphones

Wenn ein selbständiger Consultant mit einer Handvoll Mitarbeiter ein einziges Gerät für Beruf und Privatleben nutzt weil er nicht zwei Geräte mit sich herumschleppen will, macht es für ihn auch wenig Sinn, den Mitarbeitern Firmengeräte zur Verfügung zu stellen. Die Lösung: Ein Bring your own Device-Modell, kurz BYOD.

Im Zuge der Consumerization der IT haben Führungskräfte festgestellt, dass Mitarbeiter produktiver sind und mehr Freude an ihrer Arbeit haben, wenn sie mit Geräten arbeiten, die sie aus ihrem Privatleben gewohnt sind. Wer also privat ein iPhone mit iOS-Betriebssystem nutzt, wird auch im Büro lieber ein solches Gerät verwenden als etwa ein Gerät mit Android- oder Windows-Betriebssystem und vice versa.

Kostenloses Whitepaper - Was Sie als Chef über IT Sicherheit wissen sollten - jetzt herunterladen

BYOD im Unternehmen existiert in zwei verschiedenen Ausprägungen: Der Mitarbeiter bringt entweder sein eigenes Gerät mit und bekommt eine SIM-Karte des Unternehmens zur Verfügung gestellt oder nutzt sein Gerät auch mit der eigenen SIM-Karte. Dieser Unterschied ist vor allem dann nicht unwesentlich, wenn es um Haftungsfragen geht. Neben der Security ist die Haftungsfrage ein entscheidender Faktor bei BYOD.

Weitere Informationen über BYOD erhalten Sie auch unter diesem Beitrag über BYOD in Unternehmen integrieren.

Security ist oberstes Gebot

Unternehmen, die BYOD in ihren Unternehmen befürworten, müssen sich darüber im Klaren sein, dass mit den privaten Geräten sowohl unternehmensfremde Daten in das Unternehmen gelangen aber auch unternehmenseigene Daten das Unternehmen verlassen können. Wer Mitarbeitern einfach erlaubt, die Geräte zu benutzen und in das Unternehmensnetzwerk zu integrieren, handelt grob fahrlässig und gefährdet nicht nur die Sicherheit des Unternehmens sondern riskiert auch juristische Auseinandersetzungen durch Haftungsansprüche. Genau formulierte BYOD-Richtlinien und ein Mobile Device Management(MDM), das eng mit der Unternehmens-Security verzahnt ist, sind unabdingbar.

Die Realität sieht jedoch anders aus: 70 Prozent der befragten Unternehmen einer Studie von Hewlett Packard haben keine BYOD-Richtlinien als Teil der IT-Strategie. Und das obwohl die Hälfte der IT-Entscheider in der Umfrage BYOD als eine Bedrohung für die IT-Sicherheit sieht. Hier gibt es Handlungsbedarf, da die Zahl der Mitarbeiter, die private Geräte beruflich nutzen, ständig steigt. Laut einer Untersuchung von Kaspersky verwenden 62 Prozent der Mitarbeiter ihre eigenen Geräte für berufliche Tätigkeiten. 92 Prozent haben sogar zugegeben, dass sie Unternehmensdaten auf ihren privaten Endgeräten speichern. Die größten Gefahren und Nachteile bei der Security von BYOD sind:

  • sensible Daten können das Unternehmen verlassen
  • Schadsoftware kann ins Unternehmen gelangen
  • keine Vereinheitlichung der IT-Infrastruktur möglich
  • ein höherer Aufwand bei der Verwaltung unterschiedlicher Endgeräte
  • auftretende Haftungsfragen bei Verlust, Diebstahl oder Schäden am Gerät

Gekommen um zu bleiben

BYOD ist kein Hype, der einfach wieder verschwinden wird. Vielmehr ist davon auszugehen, dass die Anzahl der privaten Geräte in den Unternehmen weiter ansteigen wird. Das liegt auch an den immer beliebteren Tablets, die längst Einzug in die Unternehmen gehalten haben. Wer die BYOD Security im Unternehmen maximieren will, muss aber eine Reihe von Maßnahmen ergreifen:

  • Richtlinien: Das Nutzungsverhalten aber auch die Security muss in einem Richtlinienkatalog definiert werden, der mit der IT-Strategie im Einklang steht
  • Verschlüsselung: Daten und Netzwerkverbindung sollten verschlüsselt werden, etwa über einen VPN-Server, eine performante Firewall und ein Intrusion Prevention (IPS)
  • Schutz bei Diebstahl: Wird das Gerät gestohlen, müssen die Inhalte unbrauchbar gemacht werden. Dafür gibt es Apps oder Lizenzangebote bei größeren Geräteflotten
  • Mobile Sicherheitspakete: Auch die Endgeräte selbst sollten mit Virenschutz und Internet-Security versehen sein.
  • Geräteverwaltung: Mit MDM können geschäftliche von privaten Applikationen getrennt, Upgrades eingespeist oder das Setup vereinheitlicht werden
  • Aufklärung: In vielen Unternehmen ist der Mensch die größte Sicherheitsschwachstelle. Mitarbeiter müssen über Gefahren bei BYOD informiert werden und technisch in der Lage sein, ihre Geräte abzusichern.

Wenn alle Richtlinien befolgt werden und die Security bei BYOD sichergestellt ist, werden Mitarbeiter dank BYOD nicht nur produktiver und zufriedener, die Arbeitgeber können auch Geld einsparen, weil sowohl die Anschaffung der Endgeräte wegfällt als auch eine etwaige Einschulung der Mitarbeiter. Darüber hinaus müssen die Geräte auch nicht in regelmäßigen Zyklen erneuert werden.

CYOD oder COPE als Alternativen

Wer sich nicht dazu durchringen kann, BYOD umzusetzen und Mitarbeitern aber gleichzeitig eine gewisse Mitbestimmung bei der Wahl der Endgeräte geben möchte, kann auch auf CYOD (Choose Your Own Device) oder COPE (Corporate-Owned, Personally Enabled) setzen. Beim ersten Modell kann sich ein Mitarbeiter aus mehreren Geräten dasjenige aussuchen, das am besten seiner dienstlichen Nutzung entspricht. Bei COPE ist der Mitarbeiter zusätzlich bis zu einem gewissen Grad auch für die Einrichtung und den laufenden Betrieb selbst verantwortlich. Die Vorteile dieser Modelle sind:

  • Das Gerät bleibt im Eigentum des Unternehmens
  • Es werden nur Geräte angeboten, die den Sicherheitsanforderungen entsprechen
  • Die Nutzung kann stärker reglementiert werden
  • Die IT-Abteilung kann technisch den privaten vom beruflichen Bereich trennen

Conclusio BYOD Security

Ob nun BYOD, CYOD oder COPE: Ohne konkrete Nutzungs- und Beschaffungsrichtlinien geht es nicht. Auch eine umfassende Security bei BYOD und ein effizientes Gerätemanagement sind ein absolutes Muss.

cta whitepaper datenschutz