Smartphones und Tablets sind am Arbeitsplatz zunehmend gang und gäbe. Es lässt sich kaum noch ein Unternehmen finden, in dem die Mitarbeiter entweder mit oder ohne Billigung der Geschäftsführung und der IT-Abteilung ihre mobilen Endgeräte nicht auch am Arbeitsplatz nutzen. Gerade aber dieser Trend zu Bring Your Own Device (BYOD) kann zu vielerlei Problemen führen.
Lesetipp: Sicherheit – das Trendthema heißt Firewall
hat deswegen mehrere Experten zu ihrer Meinung über BYOD befragt. Teilgenommen an der Umfrage haben sowohl Mitarbeiter von Security-Anbietern und -Herstellern als auch von Distributoren, IT-Dienstleistern und Systemhäusern, die IT-Sicherheit im Programm haben.
Essenziell für einen akzeptierten Einsatz von BYOD in einem Unternehmen ist dabei nach Ansicht von Michael Veit, Security Evangelist bei Sophos, dass private und geschäftliche Daten voneinander getrennt werden. Er empfiehlt den "Einsatz von Container-Apps, in denen Unternehmensdaten wie Dokumente, E-Mails und Kontakte sicher abgelegt sind und auf die der Mitarbeiter nur nach einer zusätzlichen Authentisierung Zugriff erhält". Wichtig sei zudem, dass die Gerät den Unternehmensvorgaben entsprechen, frei von Viren sind und aktuelle Updates erhalten haben.
Container für mobile Endgeräte
Container-Technologien hält auch Markus Minichmayr, CTO von Tapkey, für eine "elegante Lösung". Minichmayr: "Sie ermöglichen die Verwendung von Unternehmensdaten in einem isolierten, kontrollierten Bereich auf dem Gerät." Trotzdem gewähren sie seiner Ansicht nach den Nutzern "viele Freiheiten in der privaten Nutzung ihrer Geräte". Tim Berghoff, Security Evangelist bei , weist darauf hin, dass das "Mitbringen von eigenen Mobilgeräten Unternehmensnetzwerke für IT-Verantwortliche unübersichtlicher macht". Laut Berghoff erschwert dies "die Absicherung vor Angriffen und Schadprogrammen erheblich". Er empfiehlt deswegen "verbindliche Richtlinien für Mitarbeiter, die die Nutzung von Mobilgeräten im Netzwerk regeln".
Doch BYOD bringt auch große Gefahren mit sich: "Führt ein Unternehmen eine BYOD-Policy ein und nutzen Mitarbeiter ihr eigenes statt eines Geschäftshandys, dann kann es passieren, dass Mitarbeiter sich weniger in der Pflicht fühlen, die geschäftlichen Daten darauf zu schützen", glaubt Oliver Kunzmann, Senior Sales Engineer bei Avast. Seine Kollegen haben in diversen Experimenten festgestellt, dass der Factory Reset bei Android nicht immer zuverlässig funktioniert, und somit nach dem Verkauf des Geräts sensible unternehmenskritische Daten dort noch zu finden sind.
Mike Rakowski, Head of Business Unit Technology bei Also, sieht die größte Gefahr von BYOD darin, "die Kontrolle über die firmeninternen Daten zu verlieren". Man müsse sich fragen, "wer speichert was, wo und in welchem Cloud-Account"? Zusätzlich müsse definiert werden, welche Daten überhaupt auf das Mobiltelefon gelangen dürfen. Seiner Meinung nach macht deswegen entweder eine Lösung zum Mobile Device Management (MDM) oder zum Enterprise Mobility Management (EMM) Sinn.
Eine "konsequente Erstellung und Umsetzung von Sicherheitsrichtlinien in Kombination mit den passenden Tools", fordert Ralf Stadler, Director Business Unit Security bei Tech Data. Dann lassen sich seiner Ansicht nach auch private von geschäftlichen Daten trennen. Sein Credo: "Awareness, Awareness, Awareness!" Stadler rät darüber hinaus zu kontinuierlichen Schulungen der Mitarbeiter. Dies sei ein "Bereich, der gerne vernachlässigt wird". Es muss dabei aber nach Meinung von Carsten Böckelmann, Regional Sales Director DACH-NL bei Bitdefender, "darauf geachtet werden, dass die Richtlinien mit Bedacht erstellt werden". Nur so ließen sich geschäftskritische Daten identifizieren und schützen.
Lesetipp: Was bedeutet eigentlich Cyber Security?
Tipps zum Schutz von BYOD-Umgebungen
Angesprochen auf konkrete Maßnahmen, empfiehlt Thomas Uhlemann, Security Specialist bei Eset: "Verschlüsselung, getrennte Nutzerkonten (Android), VPN und Remote-Management sowie gesonderte, lokale Netzwerke für die Geräte". Wenn das nicht möglich ist, sollte man BYOD lieber "gleich ganz ausschließen". Die durch BYOD drohenden Gefahren bezeichnet er als "vielfältig".
Renold Gehrkem, Channel Account Manager bei Forcepoint, zählt seinerseits folgende Maßnahmen auf, die er für nötig hält: "Nur mit MDM, CASB (Cloud Access Security Broker), einer sicheren Authentifizierung und anderen Security-Lösungen lässt sich das Risiko minimieren." Daniel Wolf, Regional Director DACH bei Skyhigh Networks, ergänzt die Liste um "Zugriffseinschränkungen oder Download-Sperren, um die Nutzung zu begrenzen". Auch sollten "Parameter wie die Version des genutzten Betriebssystems, der Ort der Datenabfrage und das Authentifizierungszertifikat" geprüft werden.
Die größte Herausforderung für mobile Sicherheit stellt laut Oliver Kunzmann, Senior Sales Engineer bei , der Mitarbeiter selbst dar: "Und diese Herausforderung wächst, wenn Mitarbeiter ihre persönlichen Geräte für Geschäftszwecke nutzen. Auf einem Smartphone kann der Mitarbeiter alle möglichen Apps installiert haben – von Facebook, WhatsApp über Tinder bis hin zu Gaming-Apps. Haben sie daneben auch Geschäftsdaten auf dem Smartphone gespeichert können möglicherweise all die privaten Apps darauf zugreifen. "
Henning Ogberg, Senior Vice President Sales & Marketing bei Rohde & Schwarz Cybersecurity, sieht die Gefahr von BYOD vor allem darin, "vertrauliche Informationen und damit Wettbewerbsvorteile zu verlieren". Ein erster Schritt "auf dem Weg zum Schutz mobiler privater Geräte sind einfache Maßnahmen wie eine Bildschirmsperre samt PIN sowie das Deaktivieren von Nachrichten auf dem Sperrbildschirm".
Lesetipp: Warum klassische Anti-Viren-Lösungen obsolet sind, oder auch nicht
Geht mich nichts an? Doch!
Der größte Fehler einer IT-Abteilung ist nach Ansicht von Richard Werner, Business Consultant bei Trend Micro, BYOD als "geht mich nichts an" misszuverstehen. Werner: "Am Ende des Tages ist es ein Gerät, mit dessen Hilfe man mit Firmenkontakten kommuniziert." Deswegen empfiehlt er, ein Sicherheitskonzept zu erarbeiten und mit den Anwendern anzustimmen. (rw)