Bring Your Own Device: Das Desaster vermeiden

BYOD gefährdet mobile Sicherheit

Werden private Mobilgeräte zur geschäftlichen Nutzung herangezogen – neudeutsch gerne als Bring Your Own Device (BYOD) bezeichnet – sehen sich nicht wenige IT-Verantwortliche mit einer sicheren mobilen Administration überfordert.

Je mobiler das Geschäftsleben, umso größer das Sicherheitsrisiko. Die Formel geht auf, weil Smartphones und Tablets besonders leicht verloren gehen oder gestohlen werden. Die Kosten, die ein solcher Verlust verursacht, sind ärgerlich und übersteigen die für den Datenverlust sicherlich um ein Vielfaches – besonders wenn es sich um sensible Geschäftsdaten handelt. Das Bundesdatenschutzgesetz (BDSG, siehe Infokasten) macht übrigens keinen Unterschied bezüglich der Geräte, auf denen die Daten verarbeitet und gespeichert werden. Befinden sich personenbezogene Geschäftsdaten auf einem mobilen Device, muss dafür die Zugangs- und Zugriffkontrolle, die Protokollierung und die Verschlüsselung gesetzeskonform geregelt sein, ansonsten liegt ein Gesetzesverstoß vor.

BYOD = Bring Your Own Desaster

Sergej Schlotthauer, CEO beim deutschen Softwarehersteller Egosecure, warnt insbesondere vor einer Entwicklung, die mit der verstärkten Nutzung von mobilen Endgeräten einhergeht: Bring Your Own Device (BYOD). Aus IT-Sicherheitssicht ist BYOD eher ein Desaster, denn es ist nahezu unmöglich, mehrere tausend unterschiedliche Android-Distributionen abzusichern. Allein die hohe Anzahl der offiziellen Versionen ist bereits ein Problem, ganz zu schweigen von den Devices, die per Jailbreak bearbeitet oder gerootet wurden. „Um das Problem einmal zu verbildlichen: Die Aufgabe einer Bank ist es, Vermögenswerte zu sichern. Solange ihr Geld oder Edelsteine anvertraut werden, wird das keine Probleme bereiten. Was aber, wenn jemand Schiffe, Autos oder Viehherden als Vermögenswerte bei der Bank zur Sicherung hinterlassen möchte? Bei BYOD stellt sich ein ähnliches Problem dar, denn die IT-Abteilung kann nicht wissen, welches Gerät in welchem Zustand gesichert werden muss. Außerdem kommen ständig neue Geräte hinzu, weil die Anwender ja stets auf dem neuesten Stand sein wollen“, erklärt Schlotthauer.

Vor diesem Hintergrund kann die Empfehlung nur heißen, von BYOD abzusehen. Zunächst einmal sollte überlegt werden, welcher Mitarbeiter überhaupt mobile Geräte für seine Arbeit braucht. Danach stellt sich die Frage, welche Applikationen diese Mitarbeiter für ihre Arbeit benötigen. Auf Basis dieser Analyse können unternehmenseigene Geräte angeschafft werden, bei denen es möglichst wenig um die Themen Prestige und Image, dafür vielmehr um Nutzwert, Administrationsfähigkeit und Sicherheit geht. Diese Geräte müssen anschließend bestmöglich gesichert werden, um Angriffen von außen sowie ungewollten Datenverlusten vorzubeugen. Die Devices können dann zentral gesichert und verwaltet werden. Dabei ist die Anschaffung der Unternehmensgeräte deutlich günstiger als alle Bemühungen, private Geräte abzusichern. Ganz zu schweigen von den Kosten, die durch einen Datenverlust entstehen können, wenn über ein schlecht gesichertes Privatgerät Informationen verloren gehen.

Zentrale Administration der Mobilgeräte

Generell ist es für Anwenderunternehmen sinnvoll, einmal ein mobiles Betriebssystem auszuwählen und dann dabei zu bleiben. Dabei sollten keine automatischen Updates erfolgen, denn diese sind oft mit Problemen verbunden, die man im Vorfeld nicht kennen kann. Auch sollten die vorhandenen Sicherheitstools vor der Auswahl des Betriebssystems genau gesichtet werden – iOS ist für sich zwar sicher, da wenig zugelassen wird, allerdings gibt es aus diesem Grund auch wenig zusätzliche Security-Tools und Verschlüsselungen. Android ist zwar offener und damit potentiell unsicherer, allerdings gibt es dafür mehr Sicherheitslösungen, was die Nutzung damit flexibler macht. Oftmals eignet sich eine Gesamtlösung für den Schutz aller Endgeräte, egal ob diese mobil oder stationär genutzt werden. Denn damit kann die gesamte Sicherheitsarchitektur zentral mit einem Administrationskonzept verwalten werden.

Tipps zum Umgang mit mobilen Geräten im Arbeitsumfeld:

  1. Festlegen, welcher Mitarbeiter überhaupt mobile Geräte für seine Arbeit braucht
  2. Analysieren, welche Applikationen für die Arbeit benötigt werden
  3. Bestimmen, welche Daten von wem auf mobilen Geräten gespeichert werden dürfen
  4. Vor Auswahl des Betriebssystems die verfügbaren Sicherheitstools sichten
  5. Betriebssystem auswählen und an der Entscheidung festhalten
  6. Automatische Updates vermeiden und immer prüfen
  7. Sicherstellen, dass alle Daten auf mobilen Geräten verschlüsselt transportiert werden
  8. Finger weg von Bring Your Own Device

 Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok