Bring Your Own Device, also die Nutzung mobiler privater Endgeräte - Notebook, Tablet, Smartphone - für berufliche Zwecke, beschäftigt derzeit IT-Verantwortliche und Anwender gleichermaßen. Gleichzeitig steigt durch zunehmende Möglichkeit, vom Home Office aus zu arbeiten, die Zahl der Arbeitnehmer, die ihren eigenen, stationären PC zu Hause für berufliche Tätigkeiten nutzen. Das stellt IT-Verantwortliche vor Herausforderungen, die es zu meistern gilt.
Mit fünf Tipps will Fernzugriffsspezialist Ecos Technology hat Typps zum richtigen Umgang mit "BYOD" (Bring Your Own Device) zusammengestellt.
Während Mitarbeiter sich über die zusätzliche Flexibilität bei der Wahl ihrer Arbeitsmittel freuen würden, lösten die Sicherheitsbedenken bei Administratoren und IT-Leitern Bauchschmerzen aus, betonen die Experten von Ecos. Zu Recht, denn viele Unternehmen und Organisationen würden aktuell noch relativ leichtfertig mit den entstehenden Risiken umgehen. Während unternehmenseigene Endgeräte sowie das Firmennetzwerk selbst mit den üblichen Schutzmassnahmen ausgerüstet werden könnten, entziehe sich die Absicherung privater Devices zumeist dem Einfluss der IT-Abteilung. Unterschiedliche Plattformen und Betriebssysteme würden eine durchgängige Security-Strategie zusätzlich erschweren.
Daher gelte es erstens, BYOD nicht zu ignorieren, sondern frühzeitig in die Strategie einbinden. „Unternehmen und Organisationen jeder Grösse sollten unbedingt davon ausgehen, dass BYOD auch für sie früher oder später zum Thema wird. Einerseits ist es häufig der Wunsch der Mitarbeiter, eigene Geräte zu nutzen oder zumindest teilweise aus dem Home Office arbeiten zu können. Andererseits versprechen sich viele Arbeitgeber Kosteneinsparungen, da weniger Hardware angeschafft werden muss“, betont Paul Marx, kaufmännischer Geschäftsführer Ecos Technology. Es sei nicht zielführend, BYOD vermeintlich auszublenden, etwa durch ein Verbot der Nutzung privater Endgeräte, das langfristig in der Regel ohnehin nicht durchsetzbar sei. BYOD sollte stattdessen in jedem Fall innerhalb der allgemeinen IT-Sicherheitsstrategie berücksichtigt werden – je früher, desto besser.
Zweitens sei die Sensibilisierung der Mitarbeiter zwar hilfreich, schütze aber nur bedingt. Viele Anwender seien sich der Risiken im Umgang mit Firmendaten gar nicht bewusst. „Hinzu kommt: Gerade privat genutzte Geräte, die auch Bestandteil der Freizeitgestaltung sind, können zusätzlich zu einem eher lockeren, sorglosen Nutzungsverhalten verführen.“ Die Steigerung des Sicherheitsbewusstseins durch Information und Schulung der Mitarbeiter habe deshalb „selbstverständlich auch im Rahmen einer BYOD-Sicherheitsstrategie einen wichtigen Platz“. Mitarbeiter sollten sich darüber im Klaren sein, welche Konsequenzen beispielsweise ein Verlust von internen Daten für ihr Unternehmen haben kann. Allerdings würden sich Unachtsamkeit und absichtliches oder unabsichtliches Fehlverhalten seitens der Anwender nie mit Sicherheit ausschliessen lassen. „Von einer Vorgehensweise, die rein auf dem Vertrauen in das Anwenderverhalten basiert, muss deshalb dringend abgeraten werden.“
Drittens sollten keine internen Daten auf externen Geräten vorgehalten werden. Sensible Firmendaten wie Präsentationen, Konzepte oder Kundendaten sollten „unter keinen Umständen ungeschützt auf privaten Endgeräten gespeichert werden“. Täglich gingen Notebooks, Smartphones und Tablets verloren oder würden gestohlen. Die Gefahr des Missbrauchs von geschäftlichen Daten sei hoch. Zusätzlich würden datenschutzrechtliche Konsequenzen drohen. Die gleiche Problematik bestehe dann, wenn ein Mitarbeiter das Unternehmen verlasse beziehungsweise ihm gekündigt werde, er aber auf seinem privaten Notebook oder dem PC zu Hause Firmendaten gesichert hat. Wenn sich die Speicherung von Daten in Einzelfällen nicht vermeiden lasse, dann sei zumindest auf eine sichere, professionelle Verschlüsselung nach aktuellen Standards zu achten. Reine Consumerlösungen, die etwa beim Schutz privater Fotoalben ihre Berechtigung haben, würden diesen Anforderungen in der Regel allerdings nicht entsprechen.
Viertens sollten Unternehmen nicht allein auf Security-Software auf den Endgeräten vertrauen. Eine individuelle Absicherung und Pflege der einzelnen Endgeräte, etwa durch die Installation der neuesten Betriebssystem-Updates sowie den Einsatz von gängiger Security-Software, sollte als Basis-Schutz mittlerweile selbstverständlich sein. „Dennoch wäre es fatal, sich bei Geräten, die auch geschäftlich genutzt werden, allein darauf zu verlassen. Selbst die Suche nach seriösen Inhalten kann Anwender beispielsweise auf eine virenverseuchte Website führen und eine Infektion mit bislang unbekannter Schadsoftware zur Folge haben. Ganz zu schweigen davon, dass private Geräte zu Hause möglicherweise auch dazu genutzt werden, die obskursten Dinge von wenig vertrauenswürdigen Servern herunterzuladen.“
Fünftens sollte die klare Trennung zwischen privater und beruflicher Nutzung sichergestellt werden. „Der wohl wichtigste Ratschlag: Private Endgeräte sollten grundsätzlich als potenziell unsicher betrachtet werden.“ Daraus folge die Notwendigkeit einer hundertprozentigen Trennung von geschäftlichen und privaten Daten. In der Praxis würde sich dies „am ehesten durch einen sicheren Fernzugriff vom privaten Notebook oder PC aus einer geschlossenen und geschützten Umgebung heraus bewerkstelligen lassen“. Das bedeute, die Nutzung von Firmenanwendungen und Daten erfolgt nicht auf Basis des regulär auf dem Gerät installierten Systems, sondern vollständig separat und abgeschottet.
