Kürzlich hat CompTIA Zahlen veröffentlicht nach denen 53% der in Privathand befindlichen Unternehmen BYOD grundsätzlich nicht gestatten. Das sind 19% mehr als noch im Jahr 2013 als es noch 34% der befragten Unternehmen waren. Wir haben mit Jim Rhodes, Mobile Solutions Supervisor bei AppRiver, darüber gesprochen welche besonders kritischen Punkte zu diesem Massenexodus geführt haben. Und darüber, was Unternehmen beachten sollten, wenn sie sich dennoch für BYOD entscheiden.

JV4FU1WD2L

Was glauben Sie hat den Trend verursacht, dass Unternehmen sich zunehmend von BYOD verabschieden? Sicherheitsüberlegungen? Juristische Bedenken?

„Wahrscheinlich eine Kombination aus beidem. Wenn Sie an mobile Endgeräte denken, ist es das oberste Interesse eines Unternehmens, die geschäftlichen Daten zu schützen, die auf dem jeweiligen Smartphone gespeichert sind. BYOD stellt einen Administrator vor erhebliche Herausforderungen, denn er hat sehr viel weniger Kontrolle über die eingesetzen Geräte. Das Gerät eines Nutzers kann gehackt oder als Root-Device genutzt werden, der Nutzer kann öffentliche Wi-Fis nutzen und sich unwillentlich bösartige Apps aus obskuren Stores herunterladen und so weiter. Auf der juritischen Seite kann es problematisch werden, wenn ein Arbeitnehmer das Unternehmen verlässt oder ihm gekündigt wird. Die Unternehmensdaten sind auf seinem Mobiltelefon gespeichert und müssen entsprechend gelöscht werden. Würde man einfach ein Kommando zum Löschen dieser Daten senden, ist nicht auszuschließen, dass auch persönliche Daten des Nutzers betroffen sind (Texte, Bilder, E-Mails). Für ein solchen potenziellen Verlust kann das Unternehmen haftbar gemacht werden.“

Welche Vorteile hat BYOD, wenn überhaupt?

„Meines Erachtens nach ist einer der Hauptgründe warum Unternehmen sich für BYOD entscheiden, dass es einfach kostengünstiger ist. Es fallen keine Anschaffungskosten für das Gerät an, das Unternehmen muss die monatlich anfallenden Gebühren nicht übernehmen und sich keine Gedanken über Updates machen. Der Benutzer kann sich das Gerät aussuchen, das er auch wirklich haben will, er ist allein für die vertraglichen Verbindlichkeiten und genutzten Dienste verantwortlich. Und das entsprechende Gerät bleibt im Besitz des Mitarbeiters, sollte dieser das Unternehmen verlassen.

Es gibt einen neueren Trend, CYOD. Sehen Sie hier mehr Vorteile?

„CYOD gibt dem zuständigen Administrator mehr Kontrolle über die einzelnen Geräte und damit auch über die darauf gespeicherten Daten. Geräte können beispielsweise so ausgewählt werden, dass sie die Sicherheitsrichtlinien im Unternehmen erfüllen. Ein Beispiel. Sollte es Teil der Unternehmens-Policy sein, dass nur Geräte gestattet sind, bei denen die Kamera inaktiv ist, werden nur Geräte angeboten, die diese Voraussetzungen mitbringen. Entscheidet sich ein Unternehmen für diese Variante hat es wesentlich mehr Kontrolle über die sich im Umlauf befindenden Geräte. Sie lassen sich einfacher für den geschäftlichen Einsatz konfigurieren, man kann eine MDM-Software installieren und die Geräte kontinuierlich überwachen. Und: Sollte ein Gerät verloren gehen oder gestohlen werden, kann man ein Remote-Wipe-Kommando senden, um die Daten zu löschen. Da es sich um ein Gerät ausschließlich zum professionellen Gebrauch handelt, bestehen hier im Unterschied zum BYOD keine juristischen Bedenken.“

Sollte ein Unternehmen sich dennoch für BYOD entscheiden, gibt es einige grundsätzliche Sicherheitsregeln, die es dabei beachten sollte:

  1. Identifizieren Sie mögliche Situationen, in denen Unternehmensdaten einem Risiko ausgesetzt sind. Dazu gehören:

Verlust oder Diebstahl des Gerätes

Privates Navigieren im Netz mit dem Risiko auf Malware-verseuchten Seiten zu landen

Klicken auf Links in E-Mails aus unbekannten Quellen/von unbekannten Absendern

Installieren von Malware

Rooting/Hacking des Gerätes

Installieren von spezifischen ROMs

Nutzen öffentlicher Wi-Fis

  1.  Verhindern Sie direkte Verbindungen von einem Mobilgerät ins Unternehmensnetzwerk. So oder so werden dann vertrauliche und sensible Informationen auf dem Gerät des Mitarbeiters gespeichert; das zu kontrollieren ist schlicht unmöglich. Nutzen Sie stattdessen ausschließlich gesicherte Verbindungen (HTTPS, VPN) wenn ein Mitarbeiter mobil auf Unternehmensressourcen zugreifen will. Das schützt die Unternehmensdaten, wenn öffentliche Hotspots benutzt werden.
  1. Gestatten Sie, dass ein Administrator remote auf das entsprechende Gerät zugreifen kann. Wenn Sie zum Beispiel den Zugriff für unterschiedliche mobile Betriebssysteme gestatten, brauchen Sie unter Umständen auch verschiedene MDM-Lösungen. Einige Lösungen haben mehr, andere weniger Funktionen, um Geräte und Daten zu überwachen. Microsoft Exchange ActiveSync und BlackBerry Enterprise Server bieten eine Funktion, mit der sich das komplette Gerät im Bedarfsfall sperren lässt. Andere Optionen wie Divide oder Good stellen einen Container bereit, der die verschiedenen geschäftlich genutzten Applikationen enthält. Das Unternehmen verwaltet dann nur den Container. Die persönlichen Daten des Nutzers bleiben davon unberührt.
  1. Verlangen Sie zwingend Passwörter und Verschlüsselung auf dem jeweiligen Gerät einzusetzen. Passwörter sollten verpflichtend sein, um das Gerät entsperren zu können oder doch wenigstens die geschäftlich genutzten Anwendungen. Die On-Device-Verschlüsselung sollte für alle sensiblen Daten eingesetzt werden.
  1. Blockieren Sie das Herunterladen von Apps aus unbekannten Quellen. Auch wenn die Sicherheitsmaßnahmen der bekannten Marktplätze nicht perfekt sind, sind sie doch ein erster Schritt, um eine potentielle Malware-Infektion zu verhindern.
  1. Denken Sie darüber nach, eine Liste der erlaubten Geräte zusammenzustellen. Bei weitem nicht alle auf dem Markt befindlichen Geräte unterstützen die oben genannten Sicherheitsvorkehrungen.
  1. Überlegen Sie sich sehr genau, ob Sie Geräte zulassen wollen, die bereits gerooted oder gehackt worden sind. Bei diesen Geräten sind die Zugriffsrechte für den Nutzer so weit gefasst, dass er sogar Teile des Betriebssystems modifizieren kann, die sonst geschützt sind. Eine böswillige App kann das ausnutzen und sensible Datenbestände gefährden.
  1. Erwägen Sie eine Cloud-basierte Speicherlösung für Unternehmensdaten; das vereinfacht Backups und minimiert den Schaden, sollten Geräte verloren gehen oder gestohlen werden.
  1. Verzichten Sie nicht auf eine unternehmensweit gültige und bindende BYOD-Policy. Eine dahingehend klar und durchgängig formulierte Sicherheitsrichtlinie enthält, was von den Mitarbeitern erwartet wird. Der Plan sollte sowohl die unterstützten Geräte verzeichnen als auch die einzuhaltenden Sicherheitsmaßnahmen, Unternehmensdaten zu schützen. Dazu gehört auch eine Mobile Device Management-Software und das Nennen von möglichen Konsequenzen, sollte diese unerlaubt deinstalliert werden. Weiterhin sollten Sie ausführen, welche Anforderungen an das Backup gestellt werden. Gleichzeitig sollten Sie eindeutig klar stellen, dass das Unternehmen nicht für ein ordnungsgemäßes Backup der persönlichen Daten des Mitarbeiters verantwortlich ist.
  1. Formulieren Sie bis ins Detail, ob und wie Remote Wipe eingesetzt wird.  Erwähnen Sie dabei unbedingt, was unter Umständen mit auf dem Gerät gespeicherten persönlichen Daten im Falles des Geräteverlusts oder Diebstahls passiert.

Leave a Comment