Was ist BYOD?
BYOD steht für „Bring your own Device“ und bezeichnet eine Unternehmensrichtlinie, die es Mitarbeitern erlaubt, ihre privaten Geräte zu Arbeitszwecken zu nutzen. BYOD war bereits vor COVID weit verbreitet und ist nun die Norm – selbst für Unternehmen, die gegenüber den potenziellen Sicherheitsrisiken dieser Richtlinie früher misstrauisch waren.
BYOD gibt es in vielen verschiedenen Varianten. Das Prinzip besagt, dass die Geräte den Mitarbeitern gehören und sowohl für geschäftliche als auch private Aufgaben genutzt werden. CYOD steht für „Choose your own Device“ und ist eine Variante, bei der Unternehmen ihren Benutzern die freie Wahl aus einem eingeschränkten Angebot an Geräten lassen. Die Geräte gehören entweder dem Unternehmen oder den Mitarbeitern – jegliche Änderungen daran müssen von der IT-Abteilung genehmigt werden. COPE steht für „Corporate-owned, personally enabled“ und bedeutet, dass die Geräte dem Unternehmen gehören und an die Mitarbeiter ausgegeben werden, die sie auch zu privaten Zwecken nutzen dürfen. Die Kategorie mit den meisten Einschränkungen wird als COBO, „Company-issued, Business-owned“, bezeichnet. Hierbei werden die firmeneigenen Geräte an die Mitarbeiter weitergegeben, die sie nur für geschäftliche Aktivitäten nutzen dürfen.
Welche Vorteile bietet BYOD?
Der größte Vorteil von BYOD ist das bessere Benutzererlebnis, das höhere Produktivität ermöglicht. Die Benutzer haben bereits Geräte gewählt, die zu ihren Anforderungen an die Bedienung und ihrem Umgang mit Technologie passen. Sie benötigen also keine Schulungen und können sofort damit arbeiten, ohne technisch angeleitet werden zu müssen. Sie kennen die Möglichkeiten und Funktionen ihrer Geräte, sodass sie ihre Arbeit reibungslos und schnell erledigen können. Zudem müssen die Mitarbeiter nicht mit einem Gerät zurechtkommen, das sie nicht verstehen oder nicht mögen. Das steigert Motivation und Arbeitsleistung.
Die meisten Benutzer halten ihre Geräte bei neuen Versionen gewissenhaft auf dem neuesten Stand, da sie dadurch auch neue Funktionen erhalten. Sie wurden bereits durch eine Welle von TV-Werbespots für die neuen Funktionen sowie deren Vorteile begeistert und integrieren diese Vorteile in der Regel auch völlig reibungslos in ihre Arbeitsabläufe. Innovationen, die im beruflichen Umfeld mitunter Verärgerung hervorrufen, werden bei privaten Geräten häufig schneller angenommen – was möglicherweise daran liegt, dass die Benutzer daran gewöhnt sind, ihre Smartphones und Tablets zu upgraden. Ein wichtigerer Grund ist wahrscheinlich, dass die Entwickler außerordentlich gut darin sind, die neuen Benutzererlebnisse intuitiv zu gestalten. Das führt dazu, dass innovative Technologien praktisch ohne Zutun des Arbeitgebers in die Hände der Mitarbeiter gelangen.
Häufig werden die erheblichen Kostenvorteile von BYOD angepriesen, doch deren tatsächliche Höhe kann sehr unterschiedlich sein. Laut dem Magazine Wired berichten die meisten Unternehmen von einer Ersparnis von etwa 300 US-Dollar pro BYOD-Benutzer im Jahr. Für Kleinunternehmen ist diese Summe eher unbedeutend – für mittelständische Unternehmen oder Konzerne mit hunderten oder tausenden von Mitarbeitern macht dies aber durchaus einen Unterschied.
Welche Gefahren drohen bei BYOD?
Wie jeder Sicherheitsexperte weiß, sind die Benutzer die größte Schwachstelle eines Unternehmens. Es ist gefährlich, Benutzern den Zugang zum Firmennetzwerk mit privaten unverwalteten Geräten zu erlauben, auf denen sich private und geschäftliche Daten befinden. Außerdem gibt es keine Möglichkeit, die Kontrolle über ein privates Gerät zu erlangen, das verloren geht oder gestohlen wird. Zudem ist niemals sicher, ob es sich beim angemeldeten Benutzer tatsächlich um den Mitarbeiter oder dessen Freunde bzw. Verwandte handelt.
Anwendungssicherheit ist ein großes Problem, denn die IT-Abteilung weiß nicht, welche Apps sich auf dem BYOD-Gerät befinden. Nahezu jede App besteht teilweise aus offenem Quellcode. Dieser ist nicht zwangsläufig anfällig. Wenn sich der Entwickler jedoch nicht über die neuesten Schwachstellen in diesem Quellcode informiert und entsprechende Maßnahmen ergreift, führt dies zu Problemen. Und das ist leider der Normalfall. In der Regel integrieren Entwickler offenen Quellcode einmal und denken beim Hinzufügen neuer Funktionen nicht wieder daran.
Ein weiteres Problem mit Apps auf BYOD-Geräten sind die übermäßigen Zugriffsrechte. Viele Apps übertreiben es und fragen nach unnötigen Rechten, möglicherweise weil die Entwickler eine Funktion planen, die sie im nächsten Quartal einführen wollen, oder weil sie nicht verstehen, wonach sie fragen. Und es gibt auch Entwickler, die böswillige Absichten damit verfolgen. Die genauen Gründe bleiben im Unklaren, doch das Risiko ist in jedem Fall dasselbe: eine potenzielle Kompromittierung von Unternehmensdaten. Die Benutzer müssen wissen, welche Zugangsberechtigungen sie den heruntergeladenen Apps einräumen – und sie müssen dafür sorgen, dass andere Personen, die die privaten Geräte mitbenutzen, die Berechtigungen ebenfalls kennen. Wenn ein Benutzer das Gerät an seine Kinder weitergibt, lässt sich nicht ausschließen, dass die Kinder unangemessene Berechtigungsanfragen erlauben.
Außerdem können die Netzwerke, in denen das BYOD-Gerät genutzt wird, anfällig sein. WLAN-Heimnetzwerke verfügen nicht über die gleichen Sicherheitskontrollen wie Firmennetzwerke. Ähnlich ist es bei öffentlichen Netzwerken in Cafés, Geschäften und an anderen Orten, von denen aus Remote-Nutzer auf Firmennetzwerke zugreifen. Unternehmen müssen davon ausgehen, dass die Mitarbeiter über unsichere Netzwerke auf vertrauliche Daten zugreifen, und die erforderlichen Maßnahmen ergreifen, um Angriffe über die wachsende Zahl von Einfallstoren abzuwehren.
Wird ein Firmengerät als verloren oder gestohlen gemeldet, kann die IT-Abteilung das Gerät „bricken“, also unbrauchbar machen. Bei einem privaten Gerät ist dies nicht möglich. Zudem kann die IT-Abteilung zwar den Zugang zum Firmen-VPN oder entsprechenden Apps blockieren, Kriminelle können jedoch trotzdem andere Schwachstellen auf dem Gerät (z. B. unsichere Apps) ausnutzen, um an Informationen zu gelangen, die eine Kompromittierung des Firmennetzwerks ermöglichen.
Außerdem lässt sich nicht garantieren, dass alle Benutzer jedes Update für das Betriebssystem installieren und keine Unternehmensdaten auf dem Gerät speichern. Und wenn ein Mitarbeiter das Unternehmen verlässt, gibt es keine Möglichkeit, heruntergeladene Unternehmensdaten auf dem Gerät zu löschen.
Wenn ein BYOD-Gerät mit einem Jailbreak entsperrt wird, hat der Benutzer keine Einschränkungen mehr. Der Begriff Jailbreak wird auch als Rechteausweitung oder Rooting bezeichnet. In jedem Fall lassen sich damit Änderungen am Betriebssystem vornehmen und eingebaute Beschränkungen aufheben. So kann beispielsweise ein gerootetes Smartphone als WLAN-Netzwerk eingesetzt werden, auf das andere Geräte zugreifen können. Einem gerootetem Gerät fehlen die Schutzmechanismen, die vom Hersteller integriert wurden, um die Nutzung ungeprüfter Apps und die Injektion von Malware zu verhindern. Unternehmen können gerootete Geräte aus dem BYOD-Programm ausschließen, allerdings gibt es auch gute Gründe, dies nicht zu tun. Einerseits handelt es sich bei Benutzern, die ihre Geräte rooten, meist um Poweruser. Andererseits wäre es auf einem umkämpften Arbeitsmarkt falsch, diese Benutzer auszuschließen, die sich so sehr für Technologie begeistern, dass sie ihre Geräte rooten. Im Vergleich zu Powerusern stellen normale Benutzer eine größere Gefahr da, wenn sie dubiose Apps herunterladen, schwache Kennwörter verwenden oder diese mehrfach verwenden und ihre angemeldeten Geräte an Familienmitglieder und Freunde verleihen.
Ebenso sollte die Einhaltung von Vorschriften berücksichtigt werden. BYOD-Geräte, auf denen regulierte Daten gespeichert sind, liegen im Verantwortungsbereich des Unternehmens, obwohl niemand garantieren kann, dass die vertraulichen Daten nicht in unbefugte Hände geraten.
Und auch wenn es viele überzeugende Anwendungsszenarien für ein BYOD-Modell gibt, sollte unbedingt darauf geachtet werden, dass Innovationen dadurch nicht behindert werden. Scheut ein Unternehmen die Einführung wegweisender Technologien, weil es aufgrund der BYOD-Umgebung Datenverlust oder Probleme mit der Interoperabilität befürchtet, schränkt es seine eigene Innovationsfähigkeit ein.
Was sollte eine BYOD-Richtlinie enthalten?
Es gibt keine universelle Vorlage für eine BYOD-Richtlinie. Jedes Unternehmen muss eine individuelle Lösung finden. Zunächst sollten die Abteilungen zu diesem Thema befragt werden, um zu verstehen, wie die unterschiedlichen Benutzergruppen mit ihren mobilen Geräten arbeiten. Daraus lässt sich ableiten, was die Richtlinie umfassen sollte. Rechnen Sie damit, die Richtlinie schrittweise zu implementieren und regelmäßig an den Bedarf in Bezug auf Sicherheit, Flexibilität und Unterstützung für die Mitarbeiter anzupassen.
Eine BYOD-Sicherheitsrichtlinie muss Endgeräte-unabhängig sein, damit sie auch auf neue Geräte und Plattformen erweitert werden kann. Andernfalls wird Ihr Sicherheitsteam gezwungen sein, die Richtlinie ständig zu erneuern, was wiederum die Durchsetzung erschwert. In den meisten Fällen sollte es unterschiedliche BYOD-Richtlinien für Vollzeitbeschäftigte, Auftragnehmer und Praktikanten geben.
Nicht alle Geräte sind für ein BYOD-Programm geeignet, zum Beispiel nicht dringend benötigte Geräte oder solche mit veralteten Betriebssystemen. Legen Sie fest, was erlaubt ist, was vom Unternehmen gepflegt und gewartet wird und wofür der Benutzer verantwortlich ist.
Empfehlen Sie ausdrücklich den Einsatz von Multifaktor-Authentifizierung (MFA). Bei modernen Smartphones ist diese Sicherheitsoption bereits ab Werk aktiviert. Sie sollten dies jedoch in die Sicherheitsrichtlinie mitaufnehmen, sodass Benutzer, die ihre Sperrbildschirme abgeschaltet oder MFA anderweitig deaktiviert haben, von dieser Voraussetzung für BYOD wissen.
In der Richtlinie sollte eindeutig geklärt sein, wer die Verantwortung für welche Daten auf dem Gerät trägt und mit wessen Telefonnummer die Daten verbunden sind. Legen Sie fest, was mit den Daten passiert, wenn der Benutzer des mobilen Geräts das Unternehmen verlässt. Und schließlich sollten Sie auch über eine durchdachte Datenschutzrichtlinie verfügen, die nicht nur das Unternehmen, sondern auch die Benutzer schützt.