BYOD

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

BYOD steht für "Bring your own Device" (Bring dein eigenes Gerät "mit"). Mit der Verbreitung von Smartphones und Tablets wird der Unternehmens-IT auch immer öfter die Frage gestellt, wie sich private und berufliche Nutzung vereinbaren lassen bzw. wie privat erworbendes Wissen und Bedienkonzepte auch im Unternehmen genutzt werden können. Viele Firmen lassen daher private Geräte im Firmennetzwerk zu. Damit steigt das Risiko der Vermischung von privaten und beruflichen Informationen. Neben den reinen organisatorischen Maßnahmen durch Richtlinien sind daher IT-Konzepte zur Trennung beider Welten notwendig.

Eine weltweit angelegte Studie von 2014 ergab, dass 62 Prozent der Geschäftsführer und Mitarbeiter der befragten Unternehmen bei ihrer Arbeit persönliche Smartphones und Tablets einsetzen. allerdings ist nach dieser Studie die begleitende Sicherheit sehr unterschiedlich ausgeprägt. Im Gegensatz zu großen Firmen sahen 32 Prozent der befragten kleinen Unternehmen in BYOD-Konzepten keine Gefahr, etwa für kritische Firmendaten. Mehr als 80 Prozent der befragten Kleinfirmen waren nicht an Konzepten zur Verwaltung von Informationssicherheit für mobile Geräte interessiert[1]

IT-Sicherheit

BYOD räumt Anwendern mehr Rechte bei der Auswahl und Nutzung ihrer IT-Umgebung ein. Die Nutzung von Informationen funktioniert nur, wenn alle Daten zentral vorgehalten werden. Nicht anders ist es mit einem erheblichen Teil der Anwendungen. Dies hat eine grundlegende Zentralisierung der IT-Infrastruktur zur Folge. Sicherheitskonzepte müssen die neuen Geräte mit einbeziehen. Durch neuartige Mobile Device Management-Systeme (MDM-Systeme) kann eine solche heterogene Gerätelandschaft von zentraler Stelle aus sicher verwaltet werden. Allerdings ist auch mit diesen Systemem eine vollständige Abdeckung der mobilen Device-Landschaft nicht möglich, zudem ist der Einsatz von MDM-Systemen teuer.

Als Lösungsalternative zum MDM wurde durch die mit Windows 8 erreichbaren Homogenität des Betriebssystems eine vom Smartphone/Tablet bis hin zum PC durchgängig einheitliche Benutzer-Oberfläche möglich. Über die Funktion "Windows To Go" kann ein vollständig vorkonfiguriertes Windows auf einen USB-Stick gepackt werden. Die Zugriffe lokaler Laufwerke des (Heim)-Computers werden dabei geblockt und ein unvermitteltes Abziehen des USB-Sticks bewirkt die Sperrung der Windows-Instanz. Allerdings fehlen derzeit bei der vornehmlich für den privaten Endkunden entwickelten Windows 8-Abart für Tablets (Windows RT) sowohl diese Funktionalität als auch weitere Funktionen (z.B. Domänenmitgliedschaft), was eine Einbindung in Firmennetzwerke erschwert und einer Einbindungsstrategie entgegensteht.


Rechtliches

Hier ist zunächst zu klären, wie man private und geschäftliche Daten sauber voneinander trennt. Einserseits unterliegen private Daten dem Fernmeldegeheimnis, was einen Zugriff des Arbeitgebers verbietet. Die Firmendaten unterliegen andererseits der Verschwiegenheitspflicht der Arbeitnehmer. Sofern es sich hierbei um Kundendaten handelt, die via privatem Smartphone in die falschen Hände geraten könnten, greift das Bundesdatenschutzgesetz (BDSG). Bei Verlust ist ggf. mit möglichen Bußgeldern in fünf- bis sechsstelliger Höhe und Informationspflichten gegenüber den Geschädigten, also den betroffenen Kunden, zu rechnen.

Zudem entwickelt sich der BYOD-Arbeitgeber durch die explizite Erlaubnis der Nutzung privater Technik schnell zum Diensteanbieter nach Telekommunikations- und Telemediengesetz. Auch hinsichtlich Haftungsfragen sollte man klare, vertragliche Vereinbarungen mit den betroffenen Mitarbeitern treffen, beispielsweise für den Fall, dass dienstliche Handlungen/Software das private Gerät beschädigen oder das private Gerät dienstliche Einrichtungen/Software zerstört.


Szenarien

Idealtypisch

  • wäre eine Trennung der Daten auf dem Gerät [2], wobei hier eine strenge Unterteilung zwischen Unternehmensdaten und -anwendungen und privaten Daten und Anwendungen erfolgt (z. B. Containerlösung).
  • wäre auch eine gekapselte Anwendungssicht[3], die plattformübergreifend genutzt werden kann und der Administration eine zentrale Sicht auf die Endgeräte ermöglicht.

Viele IT-Sicherheitsexperten sind allerdings derzeit der Ansicht, in Deutschland funktioniert BYOD nur rechtssicher mit einer wasserdichten Containerlösung.

IT-Sicherheitskonzepte müssen dabei immer den Nutzer im Mittelpunkt haben, da Smartphones deshalb so populär sind, weil sie gerade keine Beschränkung haben.


Angriffspunkte

  • Mobile Geräte arbeiten oft ohne schützende Mechanismen und befinden sich beim Transport in einer ungesicherten Umgebung. Sie können entwendet oder zerstört werden.
  • Sie kommunizieren in verschiedenen Netzen mit unbekannten Verfahren.
  • Benutzer haben oft unbekannte (uneingeschränkte) Rechte.
  • Mobile Geräte sind bisher im IT-Sicherheitskonzept oft nicht berücksichtigt worden.


Malware

Da Handys in geschlossenen Netzen betrieben wurden, galten Sie als weitgehend geschützt. Durch die Vielzahl der Schnittstellen der heutigen Smartphones (E-Mail, Bluetooth, WLAN) sind alle Risiken, die für diese Schnittstellen am Computer gelten, auch auf das mobile Gerät übertragbar und Einfallstor für Malware.


Devicemanagement

Während einzelne Hersteller, wie Apple, Blackberry, Microsoft oder Nokia Risiken für das Betriebssystem durch eigene Entwicklungen steuern können, werden immer mehr Schwachstellen für Smartphones auf Android-Basis bekannt. Hierbei ist vor allem der Updateprozess für die jeweiligen Geräte eine (oft bisher nur rudimentär ausgeprägte) Aufgabe der Hersteller. Für ein Unternehmen, die BYOD betreiben, kompliziert dies das Update- und Patchmanagement.

Ein Überblickspapier[4] des BSI enthält Informationen zu diesen Herausforderungen und bietet konkrete Hilfestellungen für die sichere Nutzung von Smartphones im geschäftlichen und privaten Umfeld an.


Weblinks


Einzelnachweise

  1. SecuPedia Aktuell: BYOD: Kleine Unternehmen unterschätzen Gefahrenpotenzial
  2. BlackBerry® Balance™ Technologie
  3. Good Mobile Device Management
  4. Überblickpapier Smartphones - BSI 2011


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 20. Mai 2015 um 06:19 Uhr von Peter Hohl geändert. Basierend auf der Arbeit von Oliver Wege und M. Albert.

Anzeigen