BYOD in Unternehmen

Welche Risiken durch BYOD in Unternehmen entstehen und wie mit diesen umgegangen werden kann

man brings own device“Bring your own device“ (BYOD) bezeichnet die Nutzung privater mobiler Geräte, wie z.B. Tablet-PCs, Notebooks oder Smartphones, innerhalb von Unternehmensnetzwerken. Auf diesen mobilen Geräten wird auf vom Arbeitgeber bereitgestellte Ressourcen wie E-Mail, Kontakte, Kalender, Datenbanken sowie persönliche Einstellungen und Daten zugegriffen.

Die Nutzung privater IT-Geräte in Unternehmen hat ein hohes Kosteneinsparpotential, birgt jedoch eine Vielzahl von Risiken, die betrachtet werden müssen:

  • Komplexität und damit der Betriebsaufwand der IT-Infrastruktur steigt

Unternehmensnetzwerke sind häufig nicht heterogen ausgelegt. Ein heterogenes Netzwerk erfordert einen höheren Aufwand für die Administration von Strukturen, Protokollen und Diensten.

  • Probleme durch Inkompatibilitäten

Wenn Geräte, Systeme oder Programme inkompatibel sind, kann dies den Betriebsablauf stören.

  • Netzwerk kann gestört oder ausspioniert werden

Die mitgebrachten IT-Geräte bewegen sich im Netzwerk des Unternehmens. Es besteht das Risiko, dass das Unternehmensnetzwerk durch diese Geräte gestört wird oder die Geräte genutzt werden, um dieses auszuspionieren. Dies kann z.B. über Viren oder Trojaner erfolgen.

  • Unberechtigter Zugriff auf mitgebrachte Geräte und lokal gespeicherte Daten

Z.B. durch Diebstahl oder Schadsoftware kann unberechtigt auf die mitgebrachten Geräte und lokal gespeicherten Daten zugegriffen werden. Auch bei Verlust besteht die Gefahr, dass unberechtigte Personen Zugriff auf sensible Daten erhalten.

  • Verstoß gegen gesetzliche Vorschriften

Auch bei der Verarbeitung personenbezogener Daten auf privaten Geräten ist das Unternehmen die verantwortliche Stelle im Sinne des Datenschutzrechtes. Das Unternehmen ist damit für die ordnungsgemäße Datenverarbeitung verantwortlich. Darüber hinaus besteht gemäß BDSG die Pflicht, personenbezogene Daten zu löschen, wenn die Speicherung unzulässig ist oder die Daten nicht mehr für den Zweck benötigt werden, für den sie erhoben wurden.

  • Bei dem Austritt von Mitarbeitern werden unternehmenseigene Daten nicht gelöscht

Werden Daten nach dem Austritt eines Mitarbeiters nicht von dessen privaten mobilen Geräten, die zuvor im Unternehmen genutzt wurden, gelöscht, so kann diese Person weiterhin unberechtigt auf diese Daten zugreifen.

Um die Risiken, die BYOD für Unternehmen mit sich bringen, zu minimieren, ist es notwendig, eine Gesamtstrategie für den Umgang mit privaten mobilen Geräten in Unternehmen zu entwickeln. Es ist möglich, die Nutzung privater mobiler Geräte im Unternehmensnetzwerk komplett zu untersagen; wird BYOD jedoch gestattet, so sollten Details schriftlich vereinbart und geregelt werden. Dabei ist wichtig, dass festgelegt wird, wie eine Trennung von privaten und geschäftlichen Daten erfolgen soll und wer wann in welcher Form Zugriff auf die Informationen erhalten soll.

Im Folgenden werden zu den genannten Risiken Anregungen zu Umgang und Maßnahmen gegeben:

Risiko

Maßnahmenempfehlung

Komplexität und damit der Betriebsaufwand der IT-Infrastruktur steigt

Das Risiko, dass die Komplexität und der Betriebsaufwand der IT-Infrastruktur stark steigen, kann nur durch eine detaillierte Planung des Einsatzes von privaten mobilen Geräten im Unternehmensnetzwerk vermindert werden. Es muss bekannt sein, wie das Unternehmensnetzwerk aufgebaut ist, welche Komponenten enthalten sind und welche mobilen Geräte zum Einsatz zugelassen werden sollen.

Probleme durch Inkompatibilitäten

 

Das Risiko von Inkompatibilitäten zwischen Netzwerkkomponenten und privaten mobilen Geräten kann ebenfalls durch eine detaillierte Planung des BYOD-Einsatzes im Unternehmen, bevor dieses zugelassen wird, vermindert werden.

Netzwerk kann gestört oder ausspioniert werden

Die mobilen Geräte müssen vor Schadsoftware geschützt werden, damit diese keine Angriffe auf das Unternehmensnetzwerk erleichtern. Dies kann z.B. über Anti-Viren Software und Firewalls realisiert werden. Dabei ist es wichtig, dass diese stets auf einem aktuellen Stand gehalten werden.

Unberechtigter Zugriff auf mitgebrachte Geräte und lokal gespeicherte Daten

Es sollten Authentifizierungsmechanismen eingerichtet werden, um unberechtigten Personen den Zugriff auf unternehmenseigene Daten zu erschweren. Dies kann z.B. über eine Chipkarte und Passworte realisiert werden. Eine Zwei-Faktoren-Authentifizierung ist an dieser Stelle ratsam. Bei Passworten ist zu beachten, dass diese eine gewisse Komplexität aufweisen sollten, die vom Unternehmen vorgegeben wird. Darüber hinaus ist es neben einer Richtlinie zu Passworten sinnvoll, die Einhaltung dieser Vorschriften auch technisch zu unterstützen und Passworte, die nicht den Anforderungen entsprechen, gar nicht erst zuzulassen.

Wichtig ist es zudem, den Schutzbedarf der Informationen im Unternehmen zu kennen. Dies gilt auch für unternehmenseigene Informationen, die auf privaten mobilen Endgeräten der Mitarbeiter gespeichert werden. An dieser Stelle ist es sinnvoll einzuschränken, welche Informationen mit welchem Schutzbedarf auf den Geräten verarbeitet werden dürfen.

Darüber hinaus sollten Daten nur verschlüsselt gespeichert und private und geschäftliche Daten getrennt werden.

Reparaturen von privaten mobilen Geräten, die im Unternehmensnetzwerk genutzt werden, sollten nur firmenintern durchgeführt werden, d.h. diese mobilen Geräte sollten nicht in die Hände Fremder gegeben werden. Sollten z.B. Reparaturen extern erfolgen, sollten unternehmensspezifische Daten vorher gelöscht werden.

Da mobile Endgeräte schnell verloren gehen oder gestohlen werden können, muss zudem geregelt werden, wie in einem solchen Fall reagiert werden muss. Neben präventiven Maßnahmen wie bereits genannten Authentifizierungsmechanismen oder Verschlüsselung, müssen reaktive Maßnahmen eingerichtet werden. Typische reaktive Maßnahmen stellen Fernlöschung, Fernsperrung und Ortung von Geräten dar.

Verstoß gegen gesetzliche Vorschriften

Das BDSG regelt zusammen mit den Datenschutzvorschriften der Länder die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen des Bundes, öffentliche Stellen der Länder und nicht-öffentliche Stellen.

Der §9 BDSG behandelt die entsprechenden technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Einhaltung der Vorschriften dieses Gesetzes zu erfüllen.

Die Anlage zu §9 enthält acht Maßnahmen, die bei der automatisierten Verarbeitung von personenbezogenen Daten in einem Unternehmen zu treffen sind:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Trennungskontrolle

Die Maßnahmen zur Zugangs- und Zutrittskontrolle sind bei BYOD nur innerhalb des Unternehmensstandortes umsetzbar.

Bei dem Austritt von Mitarbeitern werden unternehmenseigene Daten nicht gelöscht

Es muss festgelegt werden, wie Daten nach Austritt eines Mitarbeiters von dessen privaten mobilen Geräten gelöscht werden. Es wäre möglich, die Daten noch vor Austritt von den mobilen Geräten des ausscheidenden Mitarbeiters zu löschen. Dies sollte schriftlich vereinbart werden. Eine weitere Möglichkeit wäre die Einrichtung einer Möglichkeit zur Fernlöschung der firmeneigenen Daten. Dies könnte auch bei Verlust eines Gerätes durchgeführt werden und würde vor unberechtigtem Zugriff schützen.

Risiken durch neue Web-Technologien

Eine zusätzliche Bedrohung bei der Nutzung mobiler Geräte geht von neuen Web-Technologien wie Cloud-Applikationen und -Services aus. Solche Applikationen besitzen oftmals weitreichende Berechtigungen auf mobilen Geräten, sodass Unternehmensdaten ungewollt übertragen werden könnten.

Viele Unternehmen nutzen Cloud-Lösungen, wie z.B. DropBox, gezielt zum Austausch von Unternehmensdaten. Oftmals werden die Risiken bei der Nutzung solcher Cloud-Lösungen jedoch unterschätzt und es liegt keine Richtlinie zur Nutzung öffentlicher Cloud-Lösungen vor.

 

Fazit

Für Anwender bringt der Einsatz von mobilen Geräten eine Vielzahl von Vorteilen mit sich und ist aus diesem Grund sehr beliebt. Darüber hinaus bringt das Konzept BYOD ein hohes Einsparungs- und Optimierungspotential mit sich. Voraussetzung ist jedoch, dass die organisatorischen und technischen Rahmenbedingungen für den Einsatz entsprechend analysiert und angepasst werden.

Für Unternehmen birgt der Einsatz mobiler Geräte Gefahren und Risiken und muss gut geplant werden. Ein erfolgreicher Einsatz setzt voraus, dass umfangreiche technische und organisatorische Maßnahmen definiert und umgesetzt werden.

 

Quellen:

[1] Bundesamt für Sicherheit in der Informationstechnik, BSI Grundschutz, online in: http://bsi.bund.de

[2] Bundesamt für Sicherheit in der Informationstechnik, Überblickspapier Consumerisation und BYOD, online in: https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_BYOD_pdf.pdf?__blob=publicationFile

[3] International Organization for Standardization, ISO 27001

[4] International Organization for Standardization, ISO 27002