10 BYOD-Sicherheitstipps für KMU
Indem Unternehmen eine BYOD-Richtlinie festlegen, ermöglichen Sie Ihren Mitarbeitern einen flexibleren Einsatz von Geräten für mehr Produktivität und Benutzerfreundlichkeit.
Die Nutzung privater Geräte für berufliche Zwecke ist jedoch auch mit Sicherheitsrisiken verbunden, die vertrauliche Unternehmensdaten gefährden könnten. Kleine wie große Unternehmen stehen damit gleichermaßen vor der Herausforderung, diese Risiken zu erkennen und insofern zu minimieren, dass das Firmeneigentum geschützt bleibt, ohne die Privatsphäre der Mitarbeiter zu beeinträchtigen.
In unserem heutigen Beitrag widmen wir uns den wesentlichen Sicherheitsbedenken bezüglich BYOD und geben Tipps, wie KMU diese ausräumen können.
Was ist BYOD?
BYOD steht für „Bring your own device“ und bedeutet nichts anderes, als dass Arbeitskräfte eigene Geräte für berufliche Zwecke verwenden dürfen. In der Vergangenheit gestatteten viele Unternehmen ihrem Personal lediglich den Einsatz betriebseigener Geräte. Doch der schnelle Siegeszug von Smartphones und Tablets bei den Verbrauchern hat dazu geführt, dass nahezu jeder Mitarbeiter heutzutage ein Privatgerät (oder zwei oder drei …) mit zur Arbeit bringt – ob es den Unternehmen gefällt oder nicht. Dabei ist es nahezu unvermeidbar, dass diese früher oder später auch für berufliche Aufgaben oder den Zugriff auf das Unternehmensnetzwerk genutzt werden.
Inzwischen wird BYOD am Arbeitsplatz nicht nur toleriert, sondern offen begrüßt. Für viele Betriebe sind Privatgeräte von Mitarbeitern für das Tagesgeschäft sogar unerlässlich. Laut Untersuchungen von Syntonic sind 87 % der Unternehmen darauf angewiesen, dass ihre Mitarbeiter über ihr Smartphone mobile Geschäfts-Apps nutzen. Dabei scheint dieser Trend auch weiterhin zuzunehmen. Global Market Insights schätzt, dass der BYOD-Markt bis zum Jahr 2022 auf 366,95 Milliarden USD ansteigt – dem nahezu Vierfachen im Vergleich zu 2014 mit 94,15 Milliarden USD.
Ein wichtiger Faktor für den Erfolg von BYOD ist, dass es für alle Beteiligten von Vorteil ist. Indem das Personal eigene Geräte mitbringen darf, können Unternehmen ihre IT-Ausgaben senken und gleichzeitig die Mitarbeitereinbindung abseits vom Arbeitsplatz stärken. Die Arbeitskräfte können hingegen auf den Geräten ihrer Wahl arbeiten, was wiederum ihre Zufriedenheit und Produktivität erhöht. Ein Gewinn für beide Seiten … von den IT-Verantwortlichen einmal abgesehen.
BYOD und Datenschutzrisiken
BYOD hat trotz seiner vielen Vorteile leider auch einige Schwächen. Für viele KMU besteht das größte Risiko darin, die Kontrolle über ihre Daten zu verlieren. Das Umsetzen von Sicherheitsrichtlinien auf Privatgeräten ist mit allen möglichen Hindernissen verbunden.
Viele Unternehmen verfolgen beispielsweise strenge Richtlinien hinsichtlich der Nutzung von Kennwörtern, VPNs und Software (insbesondere für Sicherheit und Datensicherung/-wiederherstellung). Beim BYOD-Ansatz ist es sowohl logistisch als auch technisch recht schwierig sicherzustellen, dass diese Vorschriften auch tatsächlich bei jedem Gerät eingehalten werden, das Arbeitskräfte mit zur Arbeit bringen. Wie Sie sich vorstellen können, entsteht dadurch ein erhöhtes Risiko für Datenverlust oder Malware-Infektionen.
Hier einige BYOD-Sicherheitsrisiken, denen Sie sich bewusst sein sollten:
- Verlust oder Diebstahl von Geräten: Betriebseigene Geräte werden in der Regel nur am Arbeitsplatz eingesetzt. Privatgeräte hingegen befinden sich meist immer dort, wo sich ihr Besitzer aufhält. Dadurch ist jedoch die Gefahr größer, dass es verloren gehen oder gestohlen werden könnte. Folglich steigt auch die Gefahr, dass die darauf gespeicherten oder damit abgerufenen Unternehmensdaten beeinträchtigt werden.
- Kommunikation über ungeschützte Geräte: Wie das Pew Research Center herausfand, verwendet nahezu jeder dritte Smartphone-Besitzer (28 Prozent) in den USA keine Bildschirmsperre oder andere Sicherheitsfunktionen. Sollten Arbeitskräfte Ihres Unternehmens zu dieser Risikogruppe gehören, besteht auch hier erhöhte Gefahr eines Datenverlusts, wenn deren Gerät in die falschen Hände fällt.
- Datenverlust: Sollte ein Gerät verloren, beschädigt oder gestohlen werden, sind jegliche darauf gespeicherten Daten weg – sofern keine Sicherungen in Echtzeit angelegt werden.
- Man-in-the-Middle-Angriffe: Ein öffentlicher WLAN-Zugang eignet sich hervorragend, um unterwegs noch etwas Arbeit hinter sich zu bringen. Leider sind sie auch bei Kriminellen beliebte Jagdreviere. Mit Man-in-the-Middle-Angriffen lassen sich nämlich problemlos über öffentliche Netzwerke übertragene Daten abfangen. Gemäß der oben erwähnten Studie von Pew Research Center nutzt über die Hälfte der erwachsenen Online-Anwender ungesicherte öffentliche WLAN-Netzwerke. Sogar jeder fünfte unter ihnen gibt zu, vertrauliche Informationen darüber zu versenden.
- Jailbreak- oder gerootete Geräte: Bei vielen erfahrenen Anwendern ist das Jailbreaken oder Rooten (das Entfernen von werksseitigen Funktionsbeschränkungen) von Geräten sehr beliebt, um anderenfalls nicht zulässige Software zu installieren. Hierdurch steigt jedoch auch das Risiko, dass ein Mitarbeiter bösartige Software auf seinem Privatgerät installiert. Im Jahr 2015 konnte KeyRaider die Anmeldedaten von über 225.000 Personen stehlen, die ein iOS-Gerät mit Jailbreak nutzten.
- Sicherheitslücken in Software: Bisher war es bei den meisten Unternehmen üblich, dass ihre Software auf einer einheitlichen Plattform (in der Regel Microsoft Windows) ausgeführt wird. Jetzt tummeln sich am Arbeitsplatz alle möglichen Betriebssysteme – von Windows und MacOS über Linux bis hin zu Android und iOS. Jede Plattform und die darauf laufende Software hat dabei ganz eigene Sicherheitsschwächen. Dürfen Mitarbeiter eigene Geräte mit beliebigem Betriebssystem verwenden, sind zwangsläufig auch Gefährdungen wie Datenverlust oder Malware-Angriffe wahrscheinlicher.
- Malware: Wie ausgeprägt ist das Sicherheitsbewusstsein Ihrer Mitarbeiter bezüglich Malware? Ein mit Malware infiziertes Privatgerät kann nicht nur für Datenverlust oder Ausfallzeiten sorgen, sondern seine schädliche Fracht – etwa Ransomware – auch noch an alle anderen Geräte übertragen, die mit dem Unternehmensnetzwerk verbundenen sind.
Was könnte eine BYOD-Sicherheitsrichtlinie abdecken?
Um die oben beschriebenen Risiken zu minimieren, sollten Sie unbedingt eine angemessene BYOD-Sicherheitsrichtlinie ausarbeiten, die sowohl den Anforderungen Ihres Unternehmens als auch denen Ihrer Mitarbeiter gerecht wird. Die Einzelheiten sind natürlich von Betrieb zu Betrieb unterschiedlich. Im Groben dürften folgende Punkte relevant sein:
1. Auf allen BYOD-Geräten Kennwortsperren vorschreiben
Verhindern Sie einen unzulässigen Zugriff auf Unternehmensdaten, indem Sie auf allen BYOD-Geräten die Verwendung von Kennwörtern vorschreiben. Diese müssen lang, einzigartig und zufällig sein. Weitere Informationen hierzu finden Sie auch in unserem Blogbeitrag zum sicheren Erstellen und Verwalten von Passwörtern.
2. Eine Blacklist verbotener Anwendungen anlegen
Über eine Blacklist (also schwarze Liste) wird die Installation von bestimmten Anwendungen auf BYOD-Geräten untersagt, die nicht zu Arbeitszwecken dienen. Dazu gehören meistens Anwendungen, die ein hohes Sicherheitsrisiko darstellen, etwa zur Dateifreigabe oder Apps sozialer Netzwerke. Laut Appthority sind auf Android Facebook Messenger, WickR Me und WhatsApp sowie auf iOS Facebook Messenger, WhatsApp und Tinder die drei am häufigsten von Unternehmen untersagten Apps.
Der einfachste Weg zum Unterbinden von Apps auf Mobilgeräten sind Verwaltungsplattformen wie VMware oder AirWatch. Mit ihnen können IT-Administratoren leicht sicherstellen, dass die Sicherheitsrichtlinie auf den angemeldeten Geräten eingehalten wird. Dabei sollte jedoch bedacht werden, dass Mitarbeiter durch eine Blacklist in der Nutzung ihrer privaten Geräte eingeschränkt werden. Überlegen Sie sich also, wo für Sie Datenschutz aufhört und Privatsphäre anfängt, bevor Sie diesen Punkt in Ihre BYOD-Sicherheitsrichtlinie aufnehmen.
3. Datenzugriff beschränken
Eine der wirkungsvollsten Methoden, um IT-Sicherheitsrisiken zu minimieren, ist das sogenannte Prinzip der geringsten Rechte. Bei diesem Konzept haben Anwender nur auf jene Daten und Programme Zugriff, die sie unbedingt für ihre Funktion benötigen. Ein Kundenberater braucht beispielsweise nicht zwangsläufig die Berechtigung, auf seinem Computer neue Software zu installieren. Indem Sie sowohl auf betriebseigenen als auch BYOD-Geräten die Zugriffsrechte beschränken, können Sie Bedrohungen durch bestimmte Malware-Typen sowie die Auswirkungen im Falle einer Datenschutzverletzung so gering wie möglich halten.
4. In zuverlässige Antivirensoftware für Computer und Mobilgeräte investieren
Wie in einem früheren Artikel bereits angesprochen, sind KMU bevorzugte Ziele von Cyberkriminellen. Im Jahr 2017 entstanden KMU durch Malware-Angriffe durchschnittlich Kosten in Höhe von 68.000 USD. Das zeigt, wie wichtig es für Unternehmen jeder Größe ist, ihre BYOD-Geräte mit einer angesehenen Antiviren-Lösung zu schützen. Eine Anwendung, die Malware-Bedrohungen erkennt und aufhält, bevor sie Schaden anrichten können, ist unerlässlich, wenn Sie geschäftskritische Daten schützen und Ausfallzeiten vermeiden möchten. Sollten Sie noch auf der Suche nach einer bewährten Antivirus-Lösung sein, probieren Sie doch einmal Emsisoft Anti-Malware oder Emsisoft Mobile Security aus. Einen zuverlässigen Kundendienst, der sich dazu verschrieben hat, jederzeit den besten Support zu liefern, hätten Sie damit auch gleich noch gefunden.
5. Gerätedaten sichern
Eine gut durchdachte BYOD-Richtlinie ist zum Vermeiden von Sicherheitsverstößen definitiv viel wert. Sollte allerdings doch einmal etwas durch die noch so eng geknüpften Maschen Ihres Abwehrnetzes schlüpfen, müssen Sie über entsprechende Vorsichtsmaßnahmen verfügen, um Ihre Daten wiederherstellen zu können. Mit einer umfangreichen Sicherungsstrategie stellen Sie sicher, dass lokal auf den BYOD-Geräten gespeicherte Daten nicht gänzlich verloren sind – auch wenn das Gerät selbst (oder die Daten darauf) verloren, gestohlen oder beschädigt wurde.
6. Jegliche Software aktuell halten
Wie bereits erwähnt machen sich viele Angriffe Sicherheitslücken in Software zu Nutze. Um das zu vermeiden, müssen – nicht nur – KMU sicherstellen, dass die auf den Geräten ihrer Mitarbeiter installierten Betriebssysteme und Anwendungen immer auf dem neuesten Stand sind. Installieren Sie also aktuelle Patches immer, sobald Sie eine Meldung dazu erhalten, und aktivieren Sie wann immer möglich automatische Updates.
7. Verwendung einer App zum Remotezurücksetzen durchsetzen
Je nach Software kann ein autorisierter Benutzer beim Remotezurücksetzen das Gerät per Fernzugriff auf seine Werkseinstellungen zurücksetzen, sämtliche Daten darauf löschen und/oder die gespeicherten Daten mehrmals überschreiben, um selbst eine professionelle Wiederherstellung zu unterbinden. Das Durchsetzen einer derartigen App auf BYOD-Geräten bietet Ihnen eine Notfalllösung gegen Datendiebstahl, falls das Privatgerät des Mitarbeiters verloren geht oder gestohlen wird.
8. BYOD-Geräte überwachen
Etliche Unternehmen nutzen im Rahmen ihrer BYOD-Sicherheitsstrategie auch Überwachungsmöglichkeiten. Hierzu gehört beispielsweise die Installation von Anwendungen, mit denen Administratoren den GPS-Standort und/oder Internetdatenverkehr der BYOD-Geräte nachverfolgen können. Diese Systeme sind ohne Frage sehr nützlich, um verdächtigte Aktivitäten aufzuspüren. Andererseits sind sie ein recht großer Eingriff in das Persönlichkeitsrecht. Es gilt also auch hier wieder das richtige Gleichgewicht zwischen dem Schutz Ihrer Daten und der Privatsphäre Ihrer Mitarbeiter zu finden.
9. Übertragung vertraulicher Daten über ungesicherte Netzwerke verbieten
In Ihre BYOD-Sicherheitsrichtlinie könnten Sie auch Beschränkungen hinsichtlich der Nutzung ungesicherter Netzwerke (z. B. öffentliche WLAN-Zugänge) aufnehmen. So dürfen sich Mitarbeiter beispielsweise zu Arbeitszwecken nur über vertrauenswürdige Netzwerke einwählen. Idealerweise verwenden sie dazu ein VPN, um die übertragenen Daten zu verschlüsseln und Datenlecks zu vermeiden. Dabei sollten möglichst keine kostenlosen VPN-Lösungen genutzt werden. Wie CSIRO in einer Studie herausgefunden hat, enthalten 38 % der kostenlosen VPN-Produkte für Android eine Form von Malware.
10. Geräteverschlüsselung vorschreiben
Zu guter Letzt sollten Sie auch eine Geräteverschlüsselung in Betracht ziehen. Auf diese Weise werden alle auf dem Gerät gespeicherten Daten verschlüsselt, damit unberechtigte Personen nicht so leicht Zugriff darauf haben. Moderne iOS- und Android-Geräte sind standardmäßig verschlüsselt. Für Windows-Geräte gibt es zum Beispiel das Microsoft-Tool BitLocker (allerdings nur in den Pro-, Enterprise- und Education-Versionen von Windows 10 und nicht in Windows 10 Home) oder Software von Drittanbietern, wie das kostenlose Open-Source-Programm VeraCrypt.
Das richtige Gleichgewicht zwischen Flexibilität, Privatsphäre und Datenschutz finden
Die BYOD-Sicherheit ist in gewissem Maße ein Balanceakt. Auf der einen Seite müssen KMU mögliche Risiken minimieren, die sich durch das Zulassen von Privatgeräten für Arbeitszwecke ergeben. Auf der anderen Seite dürfen sie jedoch auch die Privatsphäre ihrer Mitarbeiter nicht missachten. Eine BYOD-Sicherheitsrichtlinien muss also den schmalen Grat zwischen Datenschutz und Achtung der Persönlichkeitsrechte finden.
Für viele Unternehmen ist ein kooperativer Ansatz die beste Lösung. Fragen Sie Ihre Mitarbeiter, welche Anforderungen sie haben, und bieten Sie Unterstützung für die am häufigsten genutzten Geräte an. Bedenken Sie dabei auch, dass sich das Zulassen von Privatgeräten nur schwer wieder rückgängig machen lässt, wenn die Mitarbeiter erst einmal auf den Geschmack gekommen sind. Nehmen Sie sich Zeit, um eine gut durchdachte BYOD-Richtlinie auszuarbeiten. Seien Sie auch bereit, diese mit der Zeit an die einzigartigen Anforderungen und Einsatzbereiche der BYOD-Geräte in Ihrem Unternehmen anzupassen.
Sie möchten Ihren Mitarbeitern auch die Freiheit geben, Privatgeräte für ihre Arbeit zu nutzen, ohne Ihre IT-Sicherheit zu gefährden? Dann schützen Sie Ihre Windows- und Android-BYOD-Geräte mit Unternehmenslösungen von Emsisoft.
Wir wünschen eine schöne (Malware-freie) Zeit.
Übersetzung: Doreen Schäfer