Bring Your Own Device

Wenn schon BYOD, dann wie – und einigermaßen sicher?

Hinsichtlich der Nutzung privater Devices ist häufig von ganzheitlichen Konzepten die Rede, wobei es laut Anngret Podschelni von T-Systems kein allgemeingültiges Konzept gibt. Wichtig sei die Balance zwischen Sicherheit und Mitarbeiterselbstverantwortung sowie technischer Regulierung und Nutzungsrichtlinien.

Aufgrund der Erfahrungen bei T-Systems sei eine stufenweise Einführung von BYOD ratsam. Beginnend mit der Analyse der Ist-Situation müssten daraufhin die erwünschten Ziele im Gesamtkontext der mobilen Strategie definiert werden. Im nächsten Schritt sei es wichtig, die Sozialpartner frühzeitig einzubinden und die organisatorischen und technischen Regeln sowie Rahmenbedingungen für die Nutzung von BYOD festzulegen. „Abschließend empfehlen wir, über entsprechende Kommunikationsmaßnahmen die Regeln und Rahmenbedingungen für den Einsatz von BYOD transparent zu machen“, so Anngret Podschelni.

Die Ermittlung des Ist-Standes muss in den Augen der beiden Rechtsexperten Jan Pohle und Andreas Imping von DLA Piper damit beginnen, wer bereits mit privaten Endgeräten arbeitet und welche Nutzungsprofile dahinterliegen. Anschließend sollten die BYOD-Ziele bestimmt werden, z.B. Kostenreduzierung durch weniger Firmenhardware oder erhoffte Produktivitätssteigerungen. Der wichtigste Teil ist allerdings das Gewichten von Risiken, bevor der rechtliche Rahmen bestimmt werden kann. Dort geht es um das Abwägen der Risiken durch den Umgang mit sensiblen Firmendaten über viele unterschiedliche Endgeräte hinweg. Danach geht es an die Formulierung der Richtlinien, wobei auch die Sicherstellung der Akzeptanz dieser Vorgaben bei den Mitarbeitern ganz wichtig sei. Erst wenn diese Schritte durchlaufen sind, kann es an die Implementierung gehen.

Nicht nur Geräte schützen, sondern Daten

Neben diesen eher organisatorischen Faktoren verweisen andere Experten ganz konkret auf den Schutz der Geschäftsinformationen. So etwa Michael Rudrich, Regional Director CE bei Websense. Für ihn gilt es nicht nur, die privaten Geräte zu schützen, sondern auch die Firmendaten, sobald sie sich auf diesen Geräten befänden. „Die Grundlage dafür bietet ein Mobile-Device-Management-System. Damit lassen sich die Geräte zentral verwalten und die benötigten Applikationen, Daten und Konfigurationseinstellungen auf die Smartphones und Tablets übertragen“, so der Sicherheitsspezialist. Zur Absicherung der Geräte könne die IT dabei verhindern, dass Anwender mit ihren Geräten auf unerwünschte Webseiten zugreifen oder unbemerkt Malware downloaden. Verlöre ein Mitarbeiter sein Gerät, ließe es sich tracken, per Fernzugriff sperren oder die darauf gespeicherten Daten löschen.

Dies sei aber nur die halbe Miete. „Mit MDM lassen sich zwar die mobilen Geräte absichern, nicht aber die mobil vorhandenen Daten. MDM bietet keinen Schutz gegen mobile Angriffe wie Phishing-Attacken, Malware oder bösartige Apps.“ Deshalb muss das MDM laut Rudrich um zusätzliche Sicherheitsmaßnahmen ergänzt werden, die einen Echtzeitschutz gegen mobile Attacken bieten.

Ähnlich argumentiert Mathias Widler von Zscaler. Da es bei BYOD darum gehen muss, dass unternehmenskritische Daten auf dem privaten Gerät sicher sind und nicht ungehindert abfließen können, müsse sowohl die Verbindung ins Unternehmen als auch der Zugriff auf die Daten abgesichert erfolgen. Systemmanagement und Mobile Device Security sollten dazu miteinander verknüpft werden, da reines MDM derzeit nur eine Facette abbilde. Richtlinien alleine, versichert der Security-Spezialist, verfehlten oftmals das Ziel, weswegen zusätzlich spezielle Sicherheitslösungen zum Einsatz kommen müssten.

Wie umfangreich die Sicherheitsmaßnahmen insgesamt sein müssen, listet Acronis-Managerin Sandra Adelberger auf. Sie rät…

  • Lösungen für Mobile Device Management und Mobile File Management einzuführen: Unternehmen sollten sicherstellen, dass Mitarbeiter, die mit ihren persönlichen Geräten auf das Unternehmensnetzwerk zugreifen, in eine unternehmensweite Mobile-Device-Management-Lösung eingebunden sind und der Zugriff über ein sicheres Mobile-File-Management-System er­folgt.
  • Regelmäßige Sicherheits-Audits durchzuführen: Unternehmen, die von einer stärker vernetzten, datengesteuerten Arbeitsumgebung profitieren möchten, sollten regelmäßige Sicherheitsprüfungen obligatorisch machen. Dabei sollten sie die Geräte, die Verbindungen mit dem Netzwerk herstellen, überprüfen und sicherstellen, dass die Mitarbeiter, die diese verwenden, auch vernünftig mit vertraulichen Daten umgehen. Zudem sollten sie nach Schwachstellen in der Sicherheitsarchitektur forschen.
  • Ein zentrales Verwaltungs-Tool einzurichten: Die Verwaltung mobiler Geräte wird in Zukunft für jede IT-Abteilung eine wichtige Rolle spielen. Sie kann durch Integration in das zentrale Netzwerk-Verwaltungs-Tool erleichtert werden. Dies ermöglicht eine Kontinuität der gesamten Netzwerkadministration und stellt sicher, dass die Kontrollmöglichkeiten den gesetzlichen Vorschriften (Compliance) genügen.
  • Einfache Lösungen bereitzustellen: Mitarbeiter benötigen den Zugang zu den richtigen Werkzeugen, andernfalls werden sie auf unsichere Consumer-Produkte, die mühelos erhältlich sind, als Alternativen zurückgreifen. Mit den richtigen Lösungen können Unternehmen den Dateizugriff sicher verwalten. Damit können Synchronisierung und File-Sharing von der IT-Abteilung des Unternehmens verwaltet werden.
  • Einen Business-Continuity-Plan einzurichten: Jedes Unternehmen benötigt definierte Vorgaben für Wiederherstellungspunkte und -zeiten. Dafür ist es wichtig, einen umfassenden Business-Continuity-Plan für Notfälle einzurichten. Administratoren und (in einigen Fällen) Anwender benötigen Schritt-für-Schritt-Anleitungen für die Wiederherstellung eines ausgefallenen, geschäftskritischen Systems.

Bildquelle: Thinkstock/ Fuse

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok