Fachartikel aus PROTECTOR 1-2/2018, S. 89

BYOD Risiken erkennen

Nicht nur bei Top-Managern und IT-affinen Arbeitnehmern ist eine zunehmende Bereitschaft zu verzeichnen, die eigenen elektronischen Arbeitsmittel wie Laptops, Tablets oder Smartphones für die Arbeit im Unternehmen zu nutzen.

Bild: Pixelio.de/Lupo
(Bild: Pixelio.de/Lupo)

Dieser als „Bring Your Own Device“ (BYOD) bezeichnete Trend bringt den Arbeitgebern diverse Vorteile, etwa das Wegfallen von Anschaffungskosten von Geräten und damit in der Regel einhergehende reduzierte Wartungsaufwände. Nur wenige Unternehmen machen sich ernsthaft Gedanken, welch gefährliche Tür sie Ausspähungen aller Art öffnen, wenn sie BYOD erlauben oder aktiv fördern.

Im Fokus stehen leider auch hier die Kosten: Der Mitarbeiter trägt praktisch alle: Für die Geräte, die Software, den Strom. Er nimmt das hin, weil er dadurch keine zwei Geräte beaufsichtigen und herumtragen muss. Außerdem ist es praktisch, zwischen drei dienstlichen Mails auch mal schnell in Whatsapp herumzuposten. Für professionelle Spione ein „gefundenes Fressen“, das ein fester Bestandteil aller sorgfältig geplanten Angriffe durch Social- Engineering-Techniken ist, in dem BYOD- Geräte gezielt ausspioniert werden.

Zur Person
Fred Maro. 
Fred Maro leitet als Unternehmer die international aktiven Teams von FM-nospy.
• Krisenmediator mit hunderten internationalen Einsätzen
• Seit 20 Jahren Kopf der Fred Maro Gruppe
• Seit zehn Jahren Spezialist im Bereich Informationsschutz

Wenn man schon nicht darauf verzichten möchte, dass Mitarbeiter eigene Geräte im Betrieb verwenden, so sollte zumindest sichergestellt werden, dass auf dem Gerät selbst nie Vertrauliches liegt. Der Einsatz von hoch verschlüsselten USB-Sticks oder externen Festplatten ist heutzutage ein Kinderspiel.

Man muss als Unternehmen diese Maßnahmen nur wirklich wollen und durchführen. Überhaupt ist im Gegensatz zu Geräten, die rein für dienstliche Zwecke genutzt werden, das Risiko eines Diebstahls oder Manipulation bei privaten Geräten größer, da das Nutzerverhalten eine große Rolle spielt. Die parallele private Nutzung steht daher unter Umständen im Konflikt mit den gewünschten Sicherheitsmaßnahmen des Unternehmens.

Mögliche Auswege

Beruflich genutzte Geräte sollten unbedingt zur besseren Kontrolle zentral administriert werden, um den Aufbau einer „Schatten-IT“ zu verhindern. Ferner sollte der Netzzugang derart reglementiert sein, dass das wahllose Herunterladen von Apps oder sonstiger Software nach Möglichkeit unterbunden wird. Da Mitarbeiter durchaus erfinderisch sein können, müssen diese gerade hierzu sensibilisiert werden, da andernfalls durch das Umgehen der Maßnahme wie dem „Jailbreaking“, also das nicht-autorisierte Entfernen von Nutzungsbeschränkungen, potenzielle Einfallstore für den Angreifer geöffnet werden. Eine solche Sensibilisierung der Mitarbeiter muss dabei gründlich erfolgen, etwa in wiederholten Schulungen. Reine Hinweise reichen oftmals nicht aus.

Mehr auf Sicherheit.info

Schließlich sind auch Cloud-Anwendungen wie Speicherdienste zu nennen, die privat genutzt werden und über die auch schädliche Software in ein Unternehmensnetzwerk gelangen kann. So ist ein Vorfall bekannt, bei dem ein Laptop mit hoch vertraulichen Zeichnungen im Urlaub entwendet wurde. Der Bestohlene hatte vorab gebeten, auf Firmenkosten eine verschlüsselte externe Platte kaufen zu dürfen – dem Einkauf war das zu teuer.

Verschlüsselung spielt auch bei der Anmeldung am Gerät und im Firmennetzwerk eine wichtige Rolle. Generell sollten Anmeldungen etwa am Smartphone eine Zwei-Faktoren-Authentifizierung beinhalten. Sichere VPN-Verbindungen zum Netzwerk sind ebenso wie Virenscanner Pflicht. Eine weitere Möglichkeit, berufliches von privatem auf einem Gerät zu trennen, bietet die Unterteilung eines Smartphones oder Tablets in zwei Bereiche, mit zwei getrennten Betriebssystemen.

„Application Streaming“ bietet eine weitere Möglichkeit, berufliche Daten von privaten zu trennen, denn hier arbeitet der Nutzer mit einer Benutzeroberfläche einer Anwendung, die aus der Unternehmens-Cloud heraus bereitgestellt wird. Daten lassen sich lokal auf dem Gerät oder wieder in der Cloud ablegen, bei ersterer Variante ist ebenfalls eine sichere Verschlüsselung ratsam.