Was ist Bring-your-own-device (BYOD)?

BYOD steht für Bring-your-own-device und bedeutet, dass Mitarbeiter ihre privaten Laptops und Smartphones mit auf die Arbeit bringen und mit dem Firmennetzwerk verbinden dürfen. BYOD ist unter Firmen weit verbreitet und bei Mitarbeitern deshalb beliebt , weil sie sich mit ihren eigenen Geräten mitunter wohler fühlen. Die Nutzung privater Geräte stellt für die Sicherheit der Netzwerkumgebung jedoch eine Herausforderung dar. Deshalb muss eine BYOD-Richtlinie gut durchdacht und ausformuliert sein, um Unternehmensdaten vor Diebstahl zu schützen.

Unternehmenseigene Geräte sind einfach zu kontrollieren, weil Administratoren genau beeinflussen können, was auf dem Gerät installiert ist. Darüber hinaus können sie Updates einspielen und Konfigurationen verändern. Bei BYOD müssen Administratoren Cybersicherheit und die Privatsphäre des Geräteinhabers abwägen.

BYOD-Sicherheit umfasst mehrere Komponenten, die alle so geplant werden müssen, damit sie den einzigartigen Anforderungen Ihres Unternehmens entsprechen und gleichzeitig nicht zu stark in die privaten Geräte der Nutzer eingreifen. Um eine vernünftige Cybersicherheitsstrategie umzusetzen, müssen Sie festlegen, auf welche Anwendungen und Daten ein privater Computer oder Smartphone zugreifen darf. Sie können auch Mindestanforderungen an die Sicherheit des Geräts definieren.

Beispielsweise könnte eine Nutzerin mit ihrem Smartphone E-Mails und andere geschäftsspezifische Daten abrufen. Bevor sie sich jedoch mit dem Netzwerk verbinden kann, muss sie Antivirensoftware installiert haben. Ein Antivirenprogramm schützt das Gerät vor Malware und stellt sicher, dass Ihr Unternehmen die rechtlichen Datenschutzvorgaben einhält. Diese Regel schützt Unternehmensdaten, aber greift nicht zu stark in das Gerät des Nutzers ein.

Mobile Geräte und Smartphone-Technologien entwickeln sich rasant weiter, weshalb Cybersicherheit stets mit diesen Veränderungen Schritt halten muss. Technologieentwicklungen folgen normalerweise spezifischen Trends, und je beliebter ein Trend ist, desto mehr Aufmerksamkeit schenken ihm auch Angreifer. Cybersicherheitsstrategien müssen demnach auch den Trends folgen.

BYOD-Strategien verändern sich ebenso mit dem Ziel, die Infrastruktur zu verbessern, ohne die Privatsphäre der Nutzer zu verletzen. Einige beliebte BYOD-Trends sind:

• Anforderungen an Geräte: Nutzer können sich nur mit Netzwerkressourcen verbinden, wenn sie bestimmte Mindestanforderungen für ihr Betriebssystem erfüllen, und dürfen nur bestimmte Geräte von spezifischen Herstellern verwenden. Diese Anforderung verhindert Angriffe durch versteckte Malware und veraltete Betriebssysteme.
• Verlorene Geräte müssen unverzüglich gemeldet werden: Idealerweise installieren Nutzer ein Tool, mit dem die Daten auf dem Gerät aus der Ferne gelöscht werden können, um Unternehmensdaten im Falle von Verlust oder Diebstahl eines Geräts zu schützen. Selbst wenn ein solches Tool nicht vorliegt, sollten Nutzer trotzdem melden, wenn ein Gerät nicht mehr in ihrem Besitz ist.
• BYOD-Richtlinien: Alle BYOD-Richtlinien sollten transparent sein, sodass Nutzer umfassend verstehen, was installiert und konfiguriert werden muss, damit sie ihre Geräte mit auf Arbeit bringen dürfen. Das gilt auch dann, wenn sie sich mit ihren Geräten von zuhause mit dem Netzwerk verbinden.

Unternehmen, die noch keine BYOD-Richtlinie haben, brauchen oft Hilfestellung, wo und wie sie anfangen können. Im Kern erlaubt eine BYOD-Richtlinie Angestellten ein Smartphone, Laptop, Tablet oder jedes andere tragbare Gerät auf die Arbeit zu bringen. Wenn es an ihrem Arbeitsplatz eine solche Richtlinie gibt, nutzen die meisten Angestellten diese Option auch und greifen zumindest mit einem ihrer privaten Geräte auf geschäftliche Anwendungen und Daten zu.

Während eine BYOD-Richtlinie die Produktivität steigern kann, ist sie aus der Perspektive von Cybersicherheit eine Herausforderung, weil Unternehmensdaten natürlich geschützt werden müssen. Unternehmen können jedoch mithilfe verschiedener Richtlinien und Strategien Standards etablieren, mit denen Mitarbeiter auf Geschäftsdaten zugreifen können und diese gleichzeitig geschützt sind.

Das Rückgrat einer guten BYOD-Richtlinie ist die Etablierung von Nutzungsregeln. Diese Regeln hängen von der jeweiligen Industrie und den gesetzlichen Vorgaben ab. Beispielsweise müssen Organisationen im Gesundheitsbereich strenge Gesetze einhalten, die die Verarbeitung von Patientendaten regulieren. In dem Fall unterliegt der Zugriff auf Daten speziellen Kontrollen. Das gleiche gilt für Finanzinstitutionen, die sensible Bankdaten von Kunden speichern.

Richtlinien für den Zugriff auf Daten sollten folgendes beinhalten:

• Websites, die nicht besucht werden dürfen.
• Fernzugriff auf Daten sollte über ein Virtual Private Network (VPN) erfolgen.
• Anwendungen, auf die über das Gerät zugegriffen werden darf, wie E-Mail, Kalendertermine, Nachrichtenapps und Geschäftskontakte.
• Die Übertragung und Speicherung von rechtswidrigen Inhalten sollten verboten sein, um die unabsichtliche Installation von Malware zu verhindern, die sensible Informationen stehlen könnte.

Organisationen, die gesetzliche Compliance-Vorgaben einhalten müssen, brauchen oft ein Monitoring der Aktivitäten. Nutzer haben üblicherweise keine Monitoring-Software auf ihren Geräten installiert, aber im Arbeitsumfeld ist es vorgeschrieben. Administratoren können Remote-Management-Tools auf dem Gerät installieren, um im Fall von Diebstahl oder Verlust aus der Ferne darauf zugreifen zu können. Diese Tools erlauben es den Administratoren außerdem, Software-Updates auf dem Gerät vorzunehmen, um Sicherheitslücken in veralteter Software zu schließen. Gleichzeitig können so auch Backups der auf dem Gerät gespeicherten Daten angefertigt werden, was ebenfalls eine gesetzliche Vorgabe ist.

Sobald Sie ihr Regelwerk etabliert und dokumentiert haben, ist der nächste Schritt, ihre Angestellten darüber zu unterrichten, sodass sie sich der Richtlinien bewusst sind. Eine solide Richtlinie muss hin und wieder überprüft und aktualisiert werden, damit aus bisherigen Erfahrungen gelernt werden kann.

Eine BYOD-Richtlinie hat Vorteile sowohl für Arbeitnehmer als auch Arbeitgeber. Der größte Vorteil aus Sicht der Unternehmen sind die niedrigeren Betriebskosten. Wenn Angestellte ihre eigenen Geräte mitbringen, müssen Firmen sie nicht mehr selbst kaufen, was die Kosten um mehrere tausend Dollar senken kann. Es ist nicht ungewöhnlich, dass Unternehmen dann für die Handyverträge aufkommen, aber diese Kosten sind immer noch niedriger als Hardware-Kosten.

Wenn Angestellte Geräte nutzen, mit denen sie schon vertraut sind, erhöht sich ihre Produktivität. Sie müssen die Geräte nicht mehr ihren individuellen Bedürfnissen anpassen, weil ihr privates Gerät schon so eingestellt ist, wie sie am effizientesten arbeiten. Die Schulungskosten sinken dadurch ebenfalls, weil die Angestellten nicht mehr in neue Geräte eingeführt werden müssen und die Anwendungen stattdessen in ihrem eigenen Tempo lernen.

Wenn ein Mitarbeiter die neueste Technologie haben will, kauft er ein neues Gerät, was auch die Technologie des Unternehmens verbessert und die Betriebsfähigkeit erhält. Anstatt selbst neue Ausrüstung anzuschaffen, macht sich die Organisation die Technikausstattung der Mitarbeiter zunutze. Alles in allem erhöht dies die Produktivität und stellt sicher, dass Angestellte mit den neuesten technischen Trends in Berührung kommen.

Auch wenn es Vorteile bringt, hat BYOD auch eigene Herausforderungen. Eine Organisation sollte diese Herausforderungen bedenken, bevor sie eine BYOD-Richtlinie plant und einführt.

Herausforderungen, mit denen Sie sich konfrontiert sehen könnten, sind zum Beispiel:

• Schlechte Kommunikation: Wie mit jeder Cybersicherheitsrichtlinie auch muss die BYOD-Richtlinie gut kommuniziert werden. Wenn ein Nutzer die Richtlinie nicht versteht, wird dies zu unerwünschtem Verhalten führen. Wenn Sie beispielsweise nicht klar definieren, welche Anwendungen installiert werden müssen – wie ein Antivirenprogramm –, hat der Nutzer möglicherweise nicht die notwendigen Cybersicherheitsmaßnahmen auf dem Gerät.
• Verlorene oder gestohlene Geräte: Da Nutzer ihre Geräte mit nach Hause nehmen, können Geräte mit Ihren vertraulichen Unternehmensdaten verloren gehen oder gestohlen werden. Manche BYOD-Richtlinien sehen vor, dass alle Geräte eine Software zum Löschen von Daten aus der Ferne installiert haben müssen, damit sensible Daten entfernt werden können, bevor sie in fremde Hände gelangen. Manche Geräte wie Apple iPhones verschlüsseln den Datenspeicher, aber Laptops und Tablets brauchen mitunter eine nachträgliche Verschlüsselung, um die Daten im Falle von Verlust oder Diebstahl zu schützen.
• Geräteverbindungen: Sich mit kostenlosen öffentlichen WLAN-Hotspots zu verbinden spart mobile Daten, weshalb viele Nutzer von mobilen Geräten nach solchen WLANs Ausschau halten, wenn sie unterwegs sind. Angreifer nutzen dies aus und versuchen, Nutzer zu täuschen und dazu zu bringen, sich mit einem schädlichen Hotspot zu verbinden. Sorgen Sie deshalb dafür, dass ihre Nutzer sich mit einem Virtual Private Network (VPN), den Ihre Firma geprüft und freigegeben hat, verbinden, um sich vor schädlichen Verbindungen und dem Abgreifen von Daten durch Dritte zu schützen.
• Schädliche Anwendungen: Nutzer haben auf ihren privaten Geräten die Freiheit, jegliche Programme zu installieren, die sie möchten. Dies macht ihre Daten jedoch angreifbar durch schädliche Anwendungen und Malware. Ihre Richtlinie sollte „geknackte“ Handys verbieten, weil die Handy-Sicherheit auf diesen Smartphones schlechter ist, da die Schutzvorkehrungen des Betriebssystems fehlen, und sie deshalb besonders anfällig für Datenverletzungen sind.
• Geräte ohne Passwortschutz: Manche Mitarbeiter verwenden ihre Geräte ohne Passwortschutz oder PIN. Dadurch kann jeder das Gerät einfach stehlen und auf die Daten zugreifen. Ihre BYOD-Richtlinie sollte Nutzer verpflichten, eine PIN oder ein Passwort zu verwenden, um eine zusätzliche Barriere zwischen Ihren Daten und einem Angreifer herzustellen.

Die Risiken durch BYOD hängen eng mit den Herausforderungen zusammen, die eine Organisation ohnehin hat. Eine der Herausforderungen von BYOD ist beispielsweise der Schutz von Daten vor Diebstahl, aber dieses Risiko haben Sie auch, wenn Sie Nutzern erlauben, Unternehmensdaten auf ihren Geräten zu speichern. Malware ist ebenfalls ein Risiko, aber dagegen hilft die richtige Antivirensoftware.

Compliance ist eines der größten Risiken. Sollte es einem Angreifer gelingen, sensible Daten von einem gestohlenen oder gehackten Gerät zu stehlen, kann es zu Klagen oder Geldstrafen kommen, weil gesetzliche Vorgaben nicht eingehalten wurden oder der Datenschutz von Kunden verletzt wurde. Gerichtsverfahren sind kostspielig und können Gewinne durch Schäden an Ihrer Marke und Ihrem Ruf auch langfristig negativ beeinflussen.

Bei BYOD verwalten Nutzer ihre Geräte selbst, nicht die Administratoren des Unternehmens. Zwar verstehen Nutzer ihre eigenen Geräte normalerweise gut, aber wenn sie sie doch nicht richtig verwenden und aktuell halten, macht das ihr Gerät anfälliger für Malware und anderen Angriffen, insbesondere wenn der Nutzer nicht über das notwendige Wissen verfügt, häufige Bedrohungen zu erkennen.

Wenn Administratoren BYOD nicht richtig überwachen, kann es zur Bildung einer Schatten-IT kommen. Schatten-IT-Geräte sind Laptops, Smartphones und Tablets, die nicht autorisiert sind, sich mit dem Netzwerk zu verbinden. Wenn sich diese Geräte trotzdem mit dem Netzwerk verbinden, können sie zur Datenexfiltration und zum Abfangen von Daten genutzt werden.

Eine effiziente BYOD-Richtlinie zu entwickeln kann Monate dauern, aber wenn Sie sich die Zeit nehmen und die Richtlinie sorgfältig ausarbeiten, können sie die Änderungen auch besser kommunizieren und Ihre Daten besser schützen. Sie brauchen möglicherweise Unterstützung dabei, was alles in der Richtlinie enthalten sein soll. Dabei können Ihnen Experten helfen und einen Umsetzungsplan entwickeln.

Einige Tipps zur Entwicklung einer BYOD-Richtlinie sind:

• Erstellen Sie Verhaltensrichtlinien: Eine Verhaltensrichtlinie (auch „Acceptable Use Policy“ oder AUP) definiert, welche Webseiten, Software und Netzwerkverbindungen erlaubt sind.
• Etablieren Sie Sicherheitsregeln: Ihre Daten zu schützen ist eine der wichtigsten Komponenten einer guten BYOD-Richtlinie. Legen Sie genau fest, welche Cybersicherheitsmaßnahmen auf einem Gerät eingesetzt werden müssen, damit es nicht anfällig für virtuelle und physische Angreifer ist.
• Installieren Sie Remote-Management-Werkzeuge: Administratoren müssen in der Lage sein, Software zu aktualisieren und Daten im Falle von Verlust oder Diebstahl aus der Ferne zu löschen. Remote-Management-Software gibt Administratoren Zugriff auf das Gerät, um Updates einzuspielen.
• Setzen Sie Multi-Faktor-Authentifizierung (MFA) ein: Sollte ein Gerät in die Hände eines Angreifers gelangen, fehlen ihm immer noch beide Authentifizierungsfaktoren, um Zugriff auf das Unternehmensnetzwerk und -daten zu erlangen.
• Bilden Sie Ihre Angestellten regelmäßig weiter: Nutzer müssen häufige Angriffsarten kennen und wissen, wie Bedrohungen Daten von mobilen Geräten stehlen. Weiterbildungen reduzieren das Risiko einer Datenverletzung.