Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen

Michael Scheffler erörtert, warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint

[datensicherheit.de, 10.06.2019] Trotz der Notwendigkeit, private Mobilgeräte von Mitarbeitern im Unternehmensumfeld zu sichern, sieht die Realität offensichtlich häufig anders aus: Private Endgeräte würden sozusagen als „stille Teilnehmer“ in der Unternehmens-IT hingenommen. Gründe dafür und Herausforderungen der mobilen Sicherheit, aber auch die Klärung der Frage „warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint“ erörtert Michael Scheffler, „Regional Director CEEU“ bei Bitglass.

Private Mobilgeräte im Unternehmensumfeld als Einfallstore

Mitarbeiter nutzten sie wie selbstverständlich jederzeit auch für geschäftliche Zwecke und so böten private Mobilgeräte Hackern vielfältige Möglichkeiten für Datendiebstahl. Das Risikopotenzial hätten viele Unternehmen bereits erkannt, jedoch sei die Sicherung der mobilen Endgeräte mit einigen Hürden verbunden.
In den vergangenen zehn Jahren seien private Mobilgeräte wie Smartphones und Tablets ein fester Bestandteil des Unternehmensalltags geworden. Dies zeige durchaus positive Auswirkungen: Die Zufriedenheit der Mitarbeiter, die dadurch Arbeitsprozesse stärker nach ihren Präferenzen gestalten könnten, ließe sich steigern und auch die Effizienz könne sich im Zuge dessen verbessern.
Für böswillige Akteure hingegen eröffne sich mit Mobilgeräten im Unternehmensumfeld eine ganze Fülle von Wegen, um in die IT-Infrastruktur eines Unternehmens vorzudringen und sensible Daten zu erbeuten. In einer Umfrage von Bitglass unter „Black Hat“-Hackern im Jahr 2017 hätten 61 Prozent von ihnen nicht-verwaltete Geräte als die Top-Schwachstelle in Unternehmen angegeben. Scheffler: „Vereinfacht dargestellt, birgt jedes Endgerät ein individuelles Risikopotenzial. Dieses setzt sich zusammen aus Faktoren wie der Version des Betriebssystems, den darauf installierten Apps und nicht zuletzt aus dem Grad der Sorglosigkeit des Nutzers. Hacker, die gezielt in die IT-Umgebung eines Unternehmens eindringen wollen, müssen lediglich das Gerät mit dem niedrigsten Sicherheitsniveau als Einfallstor nutzen.“
Trotz der offensichtlichen Notwendigkeit, Mobilgeräte von Mitarbeitern zu sichern, sehe die Realität häufig anders aus. „In vielen Unternehmen werden private Endgeräte in der Hoffnung, dass schon nichts passieren wird, sozusagen als ,stille Teilnehmer‘ in der Unternehmens-IT hingenommen“, berichtet Scheffler. Dies habe vielfältige Gründe.

BYOD: Der häufig unterschätzte Aufwand

Das Verhaltensmuster „Bring Your Own Device“ (BYOD) sei tatsächlich mit deutlich mehr Aufwand verbunden, als der Wortlaut zunächst vermuten lasse. Vor allem die rechtliche Seite sorge bei deutschen Unternehmen für Kopfzerbrechen. Datenschutzrechtliche Auflagen verlangten die strikte Trennung von privaten und Unternehmensdaten auf den Endgeräten der Arbeitnehmer.
Es müsse gewährleistet werden, dass die Daten des Unternehmens problemlos gesichert werden könnten, darüber hinaus sollten private Daten von jeglicher Unternehmensnutzung unbeeinträchtigt bleiben.
Neben den Daten sei auch die Nutzung der Unternehmenssoftware eine entscheidende Frage: Softwareanbieter unterschieden zwischen privatem und gewerblichem Gebrauch. „Für Unternehmen bedeutet dies, sie müssen prüfen, inwieweit die Nutzung auf privaten Geräten mit ihrer erworbenen Lizenz abgedeckt ist“, betont Scheffler.
Auch könnten im Zuge dessen steuerrechtliche Fragen auftreten. Schließlich müssten auch personelle interne Bestimmungen sowie Haftungsfragen gelöst werden. Scheffler: „Ein hoher Aufwand, den viele Betriebe scheuen, da sich dieser für sie nicht lohnt.“

MDM-Software kommt schnell an ihre Grenzen

Als geeignete Lösung, die Datensicherheit auch auf privaten Geräten mit vertretbarem Aufwand zu gewährleisten, erscheine vielen Unternehmen der Einsatz von „Mobile Device Management“ (MDM). Dieses ermögliche die Mobilgerätenutzung im Einklang mit den Sicherheitsrichtlinien des Unternehmens. „Auf den Geräten wird eine Software installiert, die dafür sorgt, dass der Nutzer das Gerät nur mit eingeschränkten Befugnissen und einige Anwendungen nur mit begrenztem Funktionsumfang nutzen kann. Im Falle eines Verlusts oder Diebstahls hat die IT-Verwaltung die Möglichkeit, sämtliche Unternehmensdaten auf dem Gerät aus der Ferne zu löschen“, erläutert Scheffler.
Wenn es um den Einsatz im BYOD-Kontext geht, gerate MDM-Software jedoch schnell an ihre Grenzen. Ursprünglich sei diese für die Nutzung in regulierten Branchen entwickelt worden, in denen Mitarbeitern meist vom Unternehmen Mobilgeräte zur geschäftlichen Nutzung zur Verfügung gestellt würden. „Handelt es sich hingegen um zahlreiche verschiedene Gerätemodelle mit entsprechend unterschiedlichen Betriebssystemen, können Schwierigkeiten bei der Kompatibilität auftreten“, so Scheffler. Bei den Nutzern mache sich dies mit Funktionsstörungen, wie zum Beispiel App-Abstürzen bemerkbar. Zudem seien nicht alle Verwaltungsfunktionen der Software für jeden Gerätetyp verfügbar.
Neben den Risiken in Bezug auf die Funktionalität habe MDM auch sehr häufig mit der Zurückweisung seitens der Mitarbeiter zu kämpfen – und dies nicht nur auf Grund der verringerten Performance. Die Software räume der IT-Verwaltung weitreichende Zugriffsrechte ein. Diese könnten theoretisch auch in böser Absicht missbraucht werden – mit Hilfe von MDM wäre es für berechtigte Nutzer wie die IT-Abteilung kein Problem, das Surfverhalten zu beobachten, in den E-Mail-Verkehr einzugreifen und Dateien auf dem Gerät zu löschen oder dieses auf Werkseinstellungen zurückzusetzen.
Wie aus der Umfrage zum aktuellen „BYOD Security“-Report von Bitglass hervorgeht, sei die Hälfte der Befragten (51 Prozent) davon überzeugt, dass die Akzeptanz von MDM-Software deutlich höher wäre, wenn die IT-Verwaltung nicht die Möglichkeit zu einem derart tiefen Einblick in die Privatsphäre hätte.

„Mobile Application Management“-Lösungen etwas weniger invasiv

Ähnlich verhalte es sich mit „Mobile Application Management“-Lösungen (MAM), die im Vergleich zu MDM etwas weniger invasiv seien. Damit könnten unternehmenseigene Apps auf den Endgeräten der Mitarbeiter sicher bereitgestellt und unternehmenseigene Daten notfalls aus der Ferne gelöscht werden.
Allerdings übernähmen „Mobile Application Manager“ auch die Kontrolle über den Austausch von Daten zwischen den mobilen Apps auf dem Gerät, was zu Funktionseinbußen des Geräts und anderer Anwendungen führen könne.
„So benannten die 400 der für den ,BYOD Security‘-Report Befragten ,Bedenken über die Einhaltung der Privatsphäre‘ mit 36 Prozent als die größten Vorbehalte, die Mitarbeiter gegen MAM hegen“, berichtet Scheffler.
Nachteile durch MDM und MAM entstünden außerdem auch der IT-Abteilung: Für sie sei es mit einem erhöhten Aufwand verbunden, zunächst jedes einzelne Gerät mit der Software auszustatten und anschließend trotz vereinzelter technischer Schwierigkeiten sicherzustellen, „dass die Datensicherheit auf allen Installationen in ausreichendem Maße gegeben ist“.

Datensicherheit mit „Mobile Information Management“ ermöglichen!

Das Vorhaben, private Mobilgeräte zu sichern, scheine im Unternehmenskontext stets mit Verlusten verbunden. Mit MDM- und MAM-Lösungen könnten Datensicherheit, Benutzerkomfort, Effizienz und Vertrauen nur suboptimal miteinander in Einklang gebracht werden, was schließlich für Frust auf Unternehmens- als auch Mitarbeiterseite sorge.
„Geräte sichern zu wollen, wirkt letztendlich wie ein Selbstzweck, der im Zeitalter der Daten längst überholt ist“, so Scheffler.
Der Ausweg aus dem Dilemma führe über den Blick auf das Wesentliche: Der unmittelbare Schutz der Daten. Auf dieser Ebene setzten Lösungen an, die aus dem „Mobile Information Management“ (MIM) hervorgegangen seien. Sie verschlüsselten alle Daten, die sich im Umlauf befinden, und kämen ohne Installation auf den Endgeräten aus.
Der IT-Abteilung böten sie ohne Einschränkung die Funktionen, die auch MDM mit sich bringe, wie „Data Loss Prevention“ und das Datenlöschen via Fernzugriff.
Für die Nutzer bleibe der Bedienkomfort erhalten und ihre Privatsphäre sei keinem Risiko ausgesetzt. Schefflers Fazit: „Auf diese Weise kann Datensicherheit auf eine für alle Beteiligten zufriedenstellende Weise erzielt werden.“

Foto: Bitglass

Michael Scheffler: Verschlüsselung aller im Umlauf befindlichen Daten empfohlen

Weitere Informationen zum Thema:

bitglass, 15.11.2018
„Bitglass 2018 BYOD Report: More Than Half of Companies See Rise in Mobile Security Threats“

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 06.12.2018
Datenzentrierte Sicherheit mit Cloud Access Security Brokern

datensicherheit.de, 20.09.2018
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

datensicherheit.de, 08.08.2018
Passwort-Missbrauch: Phishing wesentliches Risiko für Datenverlust in Unternehmen