Egal ob im Homeoffice oder im Büro: Mitarbeiter greifen über zahlreiche mobile Endgeräte auf Firmendaten zu, darunter Smartphones, Laptops und Tablets. Das wäre bereits eine große Herausforderung für die IT-Sicherheit, wenn sämtliche Endgeräte vom Unternehmen kontrolliert würden. Der Regelfall ist aber, dass Mitarbeiter ihre eigenen Geräte für die Arbeit verwenden: Rund 82% der Unternehmen erlauben die Nutzung privater Endgeräte für die Arbeit. Eine Kontrolle der Aktivitäten und Sicherheitsvorkehrungen durch das Unternehmen ist dabei je nach Unternehmenskultur schwieriger umzusetzen, weil es bei den Mitarbeitern auf Widerstand stößt.
Dennoch sollte die Nutzung privater Endgeräte nicht ohne eine Bring-Your-Own-Device (BYOD) - Richtlinie erlaubt werden, also gewisse Regelungen zur Sicherung der eigenen mobilen Geräte der Mitarbeiter, wenn diese auch für die Arbeit verwendet werden. Eine Mobile-Device-Management-Software dient dazu, die Gerätenutzung zu kontrollieren, ohne die Privatsphäre der Mitarbeiter zu verletzen. Im Zweifelsfall besteht dann aber immer noch die Möglichkeit, rein geschäftliche Firmengeräte zur Verfügung zu stellen.
Grundsätzlich ist die Nutzung privater Endgeräte sowohl für die Mitarbeiter als auch für das Unternehmen günstig: Die Firma spart Kosten, Zeit und Aufwand, weil sie keine Geräte zur Verfügung stellen muss; die Mitarbeiter können bequem mit ihren gewohnten Geräten arbeiten und sind teilweise sogar produktiver dadurch: In einer Kingston Studie haben 58% der befragten Unternehmen an, dass BYOD die Produktivität der Mitarbeiter steigere.
Natürlich kann es auch den umgekehrten Effekt haben: Wer sein eigenes Handy im Büro nutzt und damit auf private WhatsApp-Nachrichten, Spiele und soziale Medien zugreifen kann, verschwendet auch schnell Zeit mit Aktivitäten, die nichts mit dem Job zu tun haben.
Weitere Herausforderungen sind, dass das Unternehmen wenig, bis keine Kontrolle über die verwendeten Websites und Apps auf dem Gerät hat. Doch allein im Jahr 2020 nutzen 96% der Cyberangriffe auf Mobilgeräte Apps als Angriffsvektor. Das funktioniert besonders gut, weil 4 von 5 Apps Bibliotheken von Drittanbietern einbetten, die häufig Sicherheitslücken aufweisen.
Hinzu kommt, dass häufig sensible Unternehmensdaten auf den Geräten gespeichert werden. Selbst wenn diese passwortgeschützt sind, speichern viele Menschen ihre Passwörter bequem auf dem Gerät, um sie nicht ständig eingeben zu müssen. Hat jemand Zugang zum Gerät, hat er dann auch Zugang zu allen passwortgeschützten Konten und Dateien. So kommt es, dass 40% der Datenschutzverletzungen durch verlorene oder gestohlene Geräte verursacht werden.
Natürlich gibt es Möglichkeiten, diese Sicherheitsrisiken zu minimieren. Umgesetzt werden sie aber nur selten: Laut DsiN-Sicherheitsmotor Mittelstand 2016 ergreifen ganze 75% der kleinen und mittelständischen Unternehmen keine Sicherheitsmaßnahmen gegen Gefahren in der Nutzung mobiler Endgeräte. Bei Rent Your Admin ändern wir das, indem wir mögliche Mobile-Device-Management-Optionen für alle Unternehmen zugänglich und verständlich machen.
Wenn ein Unternehmen seinen Mitarbeitern erlaubt, private Endgeräte für die Arbeit zu nutzen, ist eine entsprechende BYOD-Sicherheitsrichtlinie essenziell für den Schutz der Unternehmensdaten.
Bei der Erstellung einer realistisch umsetzbaren Richtlinie ist es wichtig, alle Interessengruppen mit einzubeziehen, also vor allem die Mitarbeiter selbst. Im besten Fall wird Input aus allen Abteilungen eingeholt: Welche Daten und Anwendungen benötigen die Mitarbeiter? Welche Anwendungen werden am meisten benutzt? Wo sehen die Mitarbeiter Probleme?
Werden die Mitarbeiter einbezogen, neigen sie eher dazu, die Richtlinie zu akzeptieren - Immerhin geht es ein Stück weit um Kontrolle des Unternehmens über die privaten Geräte und Aktivitäten der Mitarbeiter. Bei der Planung der Richtlinie sollten folgende Fragen beantwortet werden:
Welche Gerätetypen lässt das Unternehmen zu?
Welche Apps und Ressourcen dürfen Mitarbeiter mit ihrem eigenen Gerät nutzen, welche nicht?
Welche Sicherheitsmaßnahmen wie Virenschutzprogramme, PINs, etc. müssen für jedes mobile Endgerät getroffen werden?
Welche Rechte hat das Unternehmen auf die Modifikation der Mitarbeiter-Geräte? Dürfen Daten im Falle von Diebstahl zum Beispiel aus der Ferne gelöscht werden? Dürfen bestimmte Apps aus der Ferne gesperrt oder installiert werden?
Über welche Apps dürfen Unternehmensdaten übermittelt werden, über welche nicht?
Was passiert mit den gespeicherten Unternehmensdaten auf dem privaten Endgerät, wenn ein Mitarbeiter das Unternehmen verlässt?
Wie wird sichergestellt, dass Mitarbeiter sich an die Richtlinien halten und verantwortungsbewusst mit ihrem Gerät umgehen?
Gerade die letzte Frage ist eine der größten Herausforderungen für das BYOD-Konzept. Denn egal wie hieb- und stichfest die Richtlinie ist: An der Umsetzung scheitert es häufig, weil es keine konkreten Angaben zur Verfolgung, Messung und Durchsetzung der Richtlinie gibt. Dann fehlen auch die Konsequenzen für einen Richtlinienverstoß, sodass die Mitarbeiter mit der Zeit immer lockerer damit umgehen.
Im besten Fall halten die Mitarbeiter sich nicht nur aus Angst vor den Konsequenzen an die Sicherheitsrichtlinien, sondern weil sie selbst verstehen, welche Sicherheitsrisiken bei der Nutzung ihrer eigenen mobilen Geräte für das Unternehmen entstehen.
Das geht nur durch regelmäßige Schulungen, in denen Mitarbeiter für mögliche Bedrohungen sensibilisiert werden und lernen, wie sie verantwortungsvoll mit ihren mobilen Endgeräten umgehen können.
In einer Studie von 2014 sahen 87% der befragten IT-Manager ungeschulte Mitarbeiter, die unvorsichtig mit ihren mobilen Endgeräten umgehen, als größte Bedrohung für Unternehmen an. Minimiert wird das Risiko nur durch gezielte Mitarbeiterschulungen.
Um die Sicherheitsrichtlinien für die Nutzung mobiler Endgeräte umzusetzen, ist eine Mobile-Device-Management-Software eigentlich unverzichtbar. Verschiedene Hersteller bieten entsprechende Software-Lösungen an, darunter Google, Microsoft Intune, Relution, Jamf und VMware.
In der Software werden alle mobilen Endgeräte registriert, um Richtlinien und Einstellungen drahtlos und aus der Ferne auf die Geräte zu übertragen. Das funktioniert natürlich nur mit kompatiblen Geräten, was die Umsetzungsmöglichkeiten von BYOD wieder eingeschränkt: Mitarbeiter müssen kompatible private Geräte besitzen. Je nach Anbieter sind verschiedene Funktionen möglich. Standard sind:
Standardanwendungen, Wlan- und VPN-Verbindungen, standardmäßige Sicherheitseinstellungen wie regelmäßige Updates können automatisch und aus der Ferne eingerichtet werden.
Wird ein mobiles Endgerät gestohlen oder geht verloren, kann es aus der Ferne gesperrt bzw. die gespeicherten Daten gelöscht werden. So entsteht kein Datenschutzverstoß. Hierbei ist wichtig, die Daten regelmäßig auf einem anderen Datenträger zu sichern, damit diese nicht vollständig verloren gehen.
Egal ob es das Sperren bestimmter privater Apps während der Arbeitszeit ist oder die grundsätzliche Blockade riskanter Websites: Mit einer MDM-Software lässt sich das normalerweise umsetzen.
Über die MDM-Software können aus der Ferne Apps installiert und deinstalliert werden. So ist sicher, dass alle Geräte die notwendigen Anwendungen wie Messanger, E-Mail-Programm, CRM-System und Virenschutzprogramme installiert haben. Installiert der Mitarbeiter eine riskante App, kann sie theoretisch aus der Ferne wieder gelöscht werden.
Das Nutzerverhalten auf dem Gerät kann über die MDM-Software verfolgt werden, um Richtlinien-Verstöße zu erkennen.
Nicht nur die Unternehmensdaten, sondern auch die persönlichen Daten der
Mitarbeiter sind schützenswert. Eine gute MDM-Software ermöglicht die Trennung
der privaten und der firmenrelevanten Daten. Voraussetzung ist natürlich, dass die
Software entsprechend ausgewählt und eingerichtet wird.
Da die Auswahl an MDM-Software auf dem Markt enorm ist - vor allem mit enorm unterschiedlichen Funktionen - bietet Rent Your Admin einen MDM-Workshop an, in dem die aktuell besten MDM-Softwarelösungen vorgestellt werden. Darauf aufbauend kann eine bestimmte Software in einem Zusatz-Workshop als Testpilot ausprobiert werden.
Doch egal wie gut und sicher die Datentrennung und der Schutz der persönlichen Daten mit der MDM-Software funktioniert: Niemand hat gern das Gefühl, dass die Firma private Aktivitäten auf dem Smartphone oder Tablet überwacht und aus der Ferne darauf zugreifen kann. Je nach Unternehmenskultur ist es deshalb schwierig, die Akzeptanz der Mitarbeiter zu gewinnen. Lösungen sind entweder Schulungen, bei denen Mitarbeiter genau verstehen, worauf das Unternehmen Zugriff hat und worauf nicht, oder eben doch Firmengeräte.
Die sicherste Option zur Sicherung der mobilen Endgeräte der Mitarbeiter ist wohl, Firmengeräte zur Verfügung zu stellen, die ausschließlich für die Arbeit verwendet werden. Die privaten Daten und Aktivitäten der Mitarbeiter sind vollständig vom Unternehmen getrennt. Sicherheitsrichtlinien lassen sich übersichtlicher umsetzen und werden in der Regel eher akzeptiert.
Das Modell heißt dann nicht Bring-Your-Own-Device, sondern Corporate-Owned, Business Only (COBO). Da es für die Mitarbeiter umständlicher ist, zwei Geräte zu haben und die Anschaffung der Geräte und Verträge für Unternehmen kostenintensiver ist, bleibt das Modell trotz der hohen Sicherheit eher unbeliebt.
Weitere mögliche Modelle sind Corporate-Owned, Personally Enabled (COPE) und Choose Your Own Device (CYOD).
COPE bedeutet, dass das Unternehmen die mobilen Endgeräte zur Verfügung stellt, der Mitarbeiter dieses aber sowohl für die Arbeit als auch privat nutzen darf. Die Verwaltung ist für die Firma einfacher, da alle Geräte einheitlich sind. Hat der Mitarbeiter ein Problem mit der eingeschränkten Überwachung des Unternehmens, kann er immer noch ein privates Gerät anschaffen.
CYOD funktioniert ähnlich wie COPE, allerdings stehen dem Mitarbeiter mehrere mögliche Firmengeräte zur Auswahl, die er sowohl privat als auch zu geschäftlichen Zwecken nutzen darf. Der Verwaltungsaufwand ist durch die Vielfalt der Geräte für das Unternehmen höher, allerdings sind die Mitarbeiter flexibler und es ist immer noch deutlich einfacher umzusetzen als BYOD.
Zum Schluss noch eine Liste der Best Practices, die deine Sicherheitsrichtlinie für die mobilen Endgeräte deiner Mitarbeiter enthalten sollte.
Unternehmensdaten sollten grundsätzlich nur mit vorgegebenen Anwendungen verschlüsselt übertragen werden. Gespeicherte Dateien sollten durch sichere Passwörter geschützt sein.
Regelmäßige Backups sind notwendig, damit die gespeicherten Daten auf dem mobilen Endgerät nicht verloren sind, falls es mal verloren gehen oder gestohlen werden sollte.
Entsprechende Programme sollten standardmäßig auf allen für das Unternehmen verwendeten Apps installiert sein.
Mitarbeiter sollten wissen, wie sie sichere Passwörter erstellen und vor allem, wie sie sicher mit ihren Passwörtern umgehen. Sind alle Passwörter in einer ungeschützten Notiz oder einem Screenshot auf dem Gerät gespeichert, ist das eine riesige Sicherheitslücke.
Um Angriffe durch Sicherheitslücken in Apps zu verhindern, sollten automatische Updates auf allen Geräten aktiviert werden. So bleiben sie immer auf dem neuesten und sichersten Stand.
Selbstverständlich sollte das Firmenhandy durch eine PIN oder ein Passwort geschützt sein, damit niemand es unbefugt entsperren und benutzen kann. Man kann einstellen, wie lang der Bildschirm entsperrt bleibt - Am besten ist eine möglichst kurze Dauer, damit keine Gefahr entsteht, wenn das Gerät mal entsperrt liegen gelassen wird.
Durch Containerisierung werden private und firmenrelevante Bereiche durch Passwortschutz voneinander getrennt.
Bestimmte Anwendungen können durch Blacklisting eingeschränkt oder blockiert werden. Whitelisting bedeutet dagegen, dass alle Apps bis auf einige wenige (auf der “Whitelist”) blockiert sind. Das lässt sich nur auf firmeneigenen Geräten oder privaten Mitarbeiter-Geräten mit klarer Containerisierung umsetzen.
Durch eine Überwachung des GPS-Standorts kann ein verlorenes oder gestohlenes Gerät schnell wiedergefunden werden. Sind private und Firmendaten richtig getrennt oder wird das Gerät ausschließlich für die Arbeit genutzt, ist auch eine Überwachung der Internetaktivitäten sinnvoll, um Richtlinienverstöße und die Nutzung riskanter Seiten zu bemerken.
Wie erstelle ich sichere Passwörter? Welche Daten müssen wie geschützt werden? Welche Sicherheitsrisiken bietet mein mobiles Gerät? Was bedeutet die Nutzung einer MDM-Software für mich und mein privates Gerät? Wie gehe ich verantwortungsvoll mit Firmendaten um? Wozu das ganze überhaupt? Mitarbeiterschulungen sind die Grundlage für sämtliche IT-Sicherheitsvorkehrungen im Unternehmen, denn nur durch die Compliance aller Mitarbeiter bleiben alle mobilen Geräte effektiv geschützt.
Kommt ein neuer Mitarbeiter ins Unternehmen, muss er über die Sicherheitsrichtlinien aufgeklärt werden und seine mobilen Geräte müssen entsprechend eingerichtet werden. Das passiert beim IT-Onboarding. Genauso wichtig ist das IT-Offboarding, wenn ein Mitarbeiter das Unternehmen verlässt, damit dieser über sein mobiles Gerät keinen unbefugten Zugriff auf sensible Unternehmensdaten behält. Gleichzeitig sollte sein privates mobiles Gerät aus der MDM-Software entfernt werden, falls es registriert war.