Unternehmen erlauben ihren Mitarbeitern heutzutage oft, ihre persönlichen IT- und TK-Geräte für die Arbeit zu nutzen. Oder sie dulden es zumindest. Die Praxis nennt man neudeutsch BYOD (Bring Your Own Device) . BYOD führt u.a. dazu, dass Mitarbeiter nicht über “veraltete” Technik die Nase rümpfen. Es kann Flexibilität und Bequemlichkeit bieten, birgt aber auch Sicherheitsrisiken, da privat mitgebrachte Geräte kaum über die hoffentlich strengen Schutzmaßnahmen der Firmenhardware verfügenkönnen. Die IT-Sicherheitsrichtlinien sollten folglich darauf abzuzielen, Rahmenbedingungen für die Verwaltung und Kontrolle der Nutzung von persönlichen Geräten der Mitarbeiter wie Laptops, Smartphones und Tablets festzulegen. Der Zugriff auf geschützte Ressourcen durch nicht verwaltete Geräte birgt bekanntlich ernste Sicherheitsrisiken wie Datenverlust oder Infektionen mit Malware. Das IT Security Unternehmen OPSWAT veröffentlichte jetzt einen Leitfaden zur Steigerung der BYOD-Sicherheit und benennt darin vier “unverzichtbare Maßnahmen” (s.u.).
Remote-Mitarbeiter verbinden ihre persönlichen Geräte oft mit ungesicherten WLANs. Dies macht die Geräte anfällig für das Abfangen von Daten. Besonders kritisch ist die gemeinsame Nutzung von Dateien und Ordnern über öffentliche Netzwerke. Ein weiteres Risiko besteht, wenn keine wirksamen Tools den Zugang zu schädlichen Websites blockieren und sicherstellen, dass die Verbindung verschlüsselt ist.
Nicht gescannte Dateien, die von Websites oder Messaging-Apps heruntergeladen werden, können Malware enthalten. Diese kann sich verbreiten, wenn Benutzer ihre Laptops mit dem Unternehmensnetzwerk verbinden. Das Zulassen ungesicherter Dateidownloads birgt ein großes Risiko, da Unternehmensnetzwerke und -daten unbefugtem Zugriff ausgesetzt sein können. Das Risiko steigt noch, wenn Familienmitglieder der Mitarbeiter diese Geräte oder die USB-Laufwerke ebenfalls nutzen.
Privat erworbene Geräte verfügen häufig nicht über das gleiche Maß an Sicherheitlösungen wie vom Unternehmen ausgegebene Geräte, die oft auch weniger regelmäßig Updates von Sicherheits-Features oder Betriebssystemen erhalten. Benutzer mit BYOD-Zugang können unwissentlich böswilligen Akteuren die Möglichkeit bieten, über Geräte mit kompromittierter Software auf Unternehmensressourcen zuzugreifen.
Eine häufige Folge von verlorenen, gestohlenen oder kompromittierten Geräten ist der Verlust von Daten. Wenn unbefugte Personen Zugang zu BYOD-Geräten erhalten, besteht für Unternehmen das Risiko, dass sensible Informationen und Daten nach außen dringen. Persönliche Geräte mit fehlender Verschlüsselung, Zugriffskontrolle und Datenschutz können zudem zu Problemen bei der Einhaltung von Standards wie DSGVO (Datenschutz) und PCI DSS (Schutz der Daten von Kreditkartennutzern) führen. Die rechtlichen Folgen sind besonders kritisch für Unternehmen des Finanz- und Gesundheit-Sektors.
1. Festlegung von BYOD-Richtlinien
Der erste wichtige Schritt auf dem Weg zu einer sicheren BYOD-Umgebung ist die formale Festlegung wesentlicher Elemente einer BYOD-Sicherheitsrichtlinie. Eine Benutzervereinbarung legt Mindeststandards dazu fest, was von den Mitarbeitern im Hinblick auf die Sicherheit ihrer persönlichen Geräte erwartet wird. Typische Elemente der Nutzungsvereinbarung sind Richtlinien zur akzeptablen Nutzung, Anforderungen an die Sicherheit sowie Haftung und Verantwortung, insbesondere für den Fall, dass Mitarbeiter ausscheiden oder ihre Geräte ersetzen (wg. Ausfall oder Verkauf).
Erlaubte und verbotene Aktivitäten grenzen ein, welche arbeitsbezogenen Aufgaben die Mitarbeiter auf ihren privaten Geräten ausführen dürfen, z. B. erlaubte Anwendungen, Zugriff auf E-Mails oder interne Dokumente. Aktivitäten, die ein Risiko für das Unternehmen darstellen können, müssen verboten werden, wie etwa das Speichern sensibler Daten auf persönlichen Geräten oder das Herunterladen nicht autorisierter Dateien.
Die Festlegung „erlaubter Geräte“ definiert, welche persönlichen Geräte wie Smartphones, Tablets und Laptops zulässig sind, einschließlich bestimmter Modelle, Marken und Betriebssysteme (z. B. iOS, Android, MacOS, Windows), um sicherzustellen, dass die Geräte mit der Sicherheitskonfiguration des Unternehmens kompatibel sind.
2. Mobile Device Management
Bei Mobile Device Management handelt es sich um sowohl Technologie wie Methodik. MDM dient der Bereitstellung, Verwaltung und Kontrolle von Geräten, die für die Arbeit in Unternehmen verwendet werden, überdies dem Roll-out von Anwendungen, Betriebssystemen etc. auf die verwalteten Endgeräte. Neben der Steuerung von Unternehmensgeräten kann ein flexibles MDM-Programm auch die privaten Geräte von Mitarbeitern auf einem BYOD-Programm registrieren. MDM-Software versorgt die Geräte mit Profildaten, VPNs, erforderlichen Anwendungen und Ressourcen sowie Tools zur Überwachung der Geräteaktivität.
3. Festlegung einer Richtlinie für Wechselmedien
Die Verwendung von Wechselmedien wie USB Sticks oder externen Festplatten zur Datenübertragung und -sicherung birgt erhebliche Sicherheitsrisiken. Solche Geräte können Malware in ein Netzwerk einschleusen, was zu Datenverletzungen oder Systemunterbrechungen führen kann. Viele Unternehmen entschließen sich, dies strikt zu untersagen. Wird es doch zugelassen, sollte eine physische Lösung Wechseldatenträger der Mitarbeiter vor Ingebrauchnahme scannen, um ihre Sicherheit zu gewährleisten.
4. Implementierung von Sicherheitslösungen
BYOD-Geräte können durch Endpunktsicherheitslösungen geschützt werden. Ein Endpoint-Security-Tool dieser Art erzwingt wichtige Sicherheitsmaßnahmen auf den Geräten, um Bedrohungen abzuwehren. MFA (Multi-Faktor-Authentifizierung) schützt die Vertraulichkeit, indem Benutzer mehrere Verifizierungsebenen wie Passwort, OTP-Code für ein zweites Gerät (One-time password) oder biometrische Daten angeben müssen. Datenverschlüsselung schützt sensible Daten sowohl im Ruhezustand als auch bei der Übertragung. Durch die Verschlüsselung lesbarer Daten während ihres gesamten Lebenszyklus können Unternehmen sicherstellen, dass Informationen für unbefugte Benutzer unverständlich bleiben, falls Geräte verloren gehen, gestohlen werden oder kompromittiert werden.
Endpoint Compliance setzt Richtlinien durch und stellt sicher, dass die Geräte vor dem Zugriff auf Unternehmensressourcen konform sind. Zu diesen Richtlinien gehören häufig Anti-Malware-Scan-Zeitpläne, Schwachstellen- und Patch-Management, Keylogging-Blocker und die Verhinderung von Bildschirmaufnahmen. Einige Compliance-Vorgaben verbieten die Installation von Software auf transienten Geräten von Drittanbietern, wodurch die Installation von Endpunktlösungen untersagt wird.
Mangelnde Awareness bleibt das größte Risiko
Entscheidend für die BYOD-Sicherheit ist aber die Schulung und Sensibilisierung der Mitarbeiter zu Aspekten wie Passworthygiene, Sicherheitseinstellungen für Geräte, sicheren Surfgewohnheiten und Abwehr der neuesten Cyberbedrohungen. Mittels Phishing-Simulationen können Unternehmen das Bewusstsein der Benutzer testen und den Mitarbeitern zu helfen, Phishing-Versuche zu erkennen und darauf zu reagieren. Die Planung der Reaktion auf Vorfälle erfordert es, Rollen und Verantwortlichkeiten sowie mögliche Konsequenzen und Handlungsschritte festzulegen, die während und nach einem BYOD-Sicherheitsvorfall gelten sollen. Ein umfassender Reaktionsplan beinhaltet eine klare Befehlskette, vom Sicherheitsteam bis zu anderen Beteiligten, und Kommunikationsprotokolle, um die Folgen eines Sicherheitsvorfalls abzumildern.