[datensicherheit.de, 07.05.2020] In der digitalen Welt sind Unternehmen weit mehr als ein Bürogebäude, in dem Mitarbeiter ein und aus gehen. Legt man den kontinuierlichen Strom an digitalen Daten zu Grunde, die von Mitarbeitern hinzugefügt, bearbeitet, verschoben, versendet, gespeichert oder gelöscht werden, kann man sich ein dynamisches, in gewisser Hinsicht fast lebendiges Gebilde vorstellen. Kommt es an irgendeiner Stelle im Datenkreislauf zu einer fehlerhaften Funktion, beispielsweise im Falle eines Verstoßes, wäre die gesamte Struktur betroffen. Der Lockdown im Zuge der Pandemie hat gezeigt, wie schnell dieser Pulsschlag moderner Unternehmen zum Erliegen kommen kann. Plötzlich musste der Datenstrom auf andere Weise – vom persönlichen Standort jedes einzelnen Zugriffsberechtigten aus – aufrechterhalten werden. Ein Notfall, für den nicht alle Unternehmen vorgesorgt haben. Dabei gibt es zahlreiche wahrscheinliche Szenarien, die es erforderlich machen, die Voraussetzungen dafür zu schaffen, dass die Belegschaft ohne Vorbereitung einfach von jedem beliebigen Ort aus arbeiten kann. Dazu gehören zum Beispiel Ereignisse wie schwere Schneestürme, unvorhergesehene Reparaturarbeiten im Bürogebäude, Streik bei den öffentlichen Verkehrsbetrieben oder eine unter den Mitarbeitern grassierende Erkältungswelle.

Für Unternehmen, in denen ohnehin nicht vorgesehen ist, dass Mitarbeiter außerhalb des Büros arbeiten, scheint es in guten Zeiten schlicht unwirtschaftlich, jedem einzelnen Mitarbeiter ein verwaltetes Ersatzgerät zur Seite zu stellen. Zu groß ist die Gefahr, dass die angeschaffte Hardware weitgehend ungenutzt vor sich hin altert. Gleichzeitig entsteht für die IT-Abteilung, die dafür fortlaufend aktuelle Softwareanwendungen und Sicherheitsupdates bereitstellen muss, ein spürbarer zusätzlicher Aufwand. Zwar nutzen die meisten Unternehmen bereits Cloudanwendungen, was eine hervorragende Voraussetzung für Fernarbeit ist. Allerdings ist die Nutzung nicht optimal: In der Regel halten Unternehmen ihre Mitarbeiter im Zuge dessen dazu an, von außerhalb über VPNs auf das Unternehmensnetzwerk und Cloud-Ressourcen zuzugreifen. Dies kann allerdings eine Reihe von Latenzproblemen verursachen, die es schwierig machen, den gesamten Web-Datenverkehr auf den Geräten der Benutzer – einschließlich ihrer persönlichen Anwendungen – bereitzustellen und zu nachzuverfolgen.

BYOD als flexibler Ausweg im Notfall

Ein flexibler Ausweg, der im Notfall sofort verfügbar ist, wäre, allgemein Bring Your Own Device (BYOD) – also das Arbeiten der Mitarbeiter über ihre eigenen Geräte – zuzulassen. Ein Schritt, vor dem vor allem Unternehmen mit branchenspezifischen regulatorischen Anforderungen eher zurückschrecken. Daher entscheiden sie sich meist für Mobile Device Management (MDM) Software, um das erforderliche Sicherheitsniveau herstellen zu können. Allerdings ist diese in datenschutzrechtlicher Hinsicht problematisch, da sie weit in die Privatsphäre der Nutzer eindringt. Eine Problematik, die sich mit Einführung der DSGVO noch weiter verschärft hat: Der Einsatz von MDM ist mittlerweile nur mit ausdrücklicher Einwilligung der einzelnen Mitarbeiter und dann nur innerhalb engmaschiger, nachvollziehbarer Kontrollprozesse möglich. Schlussendlich ist MDM kaum mehr praktikabel, da nicht vorausgesetzt werden kann, dass alle Mitarbeiter mit diesem Eingriff in ihre Privatsphäre einverstanden sind.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Zu MDM bestehen allerdings auch Alternativen, die auf der Datenebene ansetzen und es ermöglichen, die Datenschutzanforderungen zu erfüllen. Damit Unternehmen das Risiko einer Datenexposition, das beim Download auf private Geräte an entfernten Standorten und über ungesicherte Netzwerke entsteht, sicher managen können, sollten sie auf folgende Eigenschaften Wert legen:

1. Sichtbarkeit und Kontrolle über Daten
   Die Sichtbarkeit und Kontrolle über die Daten beim Zugriff durch nicht verwaltete Geräte sollte für Unternehmen stets gegeben sein. Andernfalls bestehen Gefahren durch unbefugten Datenzugriff, unzulässiger Weitergabe oder schlichtweg Verlust der unternehmenseigenen Daten. Von Vorteil ist eine Lösung, die über eine Data Loss Prevention (DLP) Funktion verfügt. Diese kann Datenverluste verhindern, indem sie sensible Informationen sowohl im Ruhezustand als auch beim Zugriff identifiziert und kontrolliert. So lässt sich sicherstellen, dass Daten nicht in die falschen Hände gelangen oder es zu einem Sicherheitsverstoß kommt.
2. Identitäts- und Zugriffsverwaltung mit MFA und UEBA
   Identitäts- und Zugriffsmanagement, wie zum Beispiel Multi-Faktor-Authentifizierung (MFA) oder Benutzer- und Entitätsverhaltensanalyse (UEBA), ist notwendig, um anormale Aktivitäten erkennen und gegen Sicherheitsbedrohungen vorgehen zu können. MFA erfordert für die Authentifizierung eine zweite Art der Identitätsüberprüfung, um sicherzustellen, dass der Benutzer derjenige ist, für den er sich ausgibt. Nach der Eingabe des Passworts wird der Benutzer aufgefordert, seine Identität zusätzlich durch ein SMS-Token zu verifizieren, das per E-Mail oder durch eine Textnachricht versandt wird.
   UEBA lernt kontinuierlich das typische Verhalten jedes einzelnen Nutzers, so dass anormale Aktivitäten sofort überprüft werden können. Wenn sich beispielsweise ein Benutzer, der sich normalerweise von München aus einloggt, plötzlich von Hamburg aus anmeldet, wird eine Warnung gesendet, um sicherzustellen, dass das Nutzerkonto des nicht kompromittiert wurde. Für den Fall, dass keine UEBA-Funktion besteht, sollte wenigstens Single Sign-On (SSO) genutzt werden, da dies Benutzer über alle Cloud-Anwendungen eines Unternehmens hinweg sicher authentifiziert.
3. Agentenlose Sicherheit
   Eine agentenlose Sicherheitslösung erfordert keine Installation von Software auf den einzelnen Geräten. Dies ist hilfreich, wenn die Belegschaft abrupt auf ihre Privatgeräte zurückgreifen muss, um den Betrieb aufrecht zu erhalten. Sie schützen darüber hinaus die Privatsphäre der Mitarbeiter. Unternehmensdaten können beispielsweise aus der Ferne gelöscht werden, während die persönlichen Daten erhalten bleiben. Sowohl Sicherheits- als auch Datenschutzanforderungen lassen sich auf diese Weise miteinander vereinbaren.
   Was ein Unternehmen ausmacht ist gewiss mehr als lediglich die Summe seiner Daten. Allerdings erweitern sich mit deren Verfügbarkeit rund um die Uhr die Möglichkeiten, Arbeitskraft zu nutzen. Auf der anderen Seite entsteht die Anforderung, die Datennutzung stets sicher zu gestalten. Der Einsatz von BYOD und geeigneter Sicherheitstools kann nicht nur dabei helfen, die Flexibilität, die Digitalisierung bietet, auszunutzen, sondern auch, die Arbeitskultur vielfältiger und innovativer zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen

datensicherheit.de, 18.02.2019
Wenn Kollegen zum Sicherheitsrisiko werden

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft

[datensicherheit.de, 14.10.2013] In immer mehr Unternehmen komen Smartphones und Tablet-PCs zu Einsatz, jedoch unterschätzen viele dabei die Risiken und Gefahren durch Schadprogramme, Geräteverlust oder Spionage, so eines der Ergebnisse der G Data Mobile Device Management Studie 2013. Nur sechs von zehn Firmen sehen generelle Sicherheitsrisiken, die durch die Nutzung von Mobilgeräten entstehen. Dabei gehen 83 Prozent aller Unternehmen von einer hohen Schadenswahrscheinlichkeit durch den Verlust eines Mobilgerätes aus. Eine effektive Absicherung gegen die Gefahren ist aber längst nicht überall selbstverständlich: Wie die G Data Studie zeigt, setzen nur 68 Prozent aller befragten Firmen auf den Einsatz einer Sicherheitslösung für ihre smarten Alleskönner. Knapp ein Drittel der Unternehmen sind so leichte Beute für Daten-diebe. Für die G Data Mobile Device Management Studie befragte der deutsche IT-Security-Hersteller insgesamt 4.000 deutsche Firmen aus dem KMU-Segment.

Mobile-Sicherheitsrisiken werden ignoriert

Viele Unternehmen ignorieren die Risiken, die durch den Einsatz von Smartphones und Tablets entstehen, nur etwa jedes sechste Unternehmen geht von einem hohen oder höheren Gefährdungspotential aus. Dabei können gerade diese Geräte schnell zu einem Sicherheitsrisiko werden. Gelingt eine Infektion des Gerätes mit Spionagesoftware, so sind Cyber-Kriminelle problemlos in der Lage einen Zugang zum Firmennetzwerk zu erhalten oder an sensible Firmendaten zu gelangen – wie beispielsweise Geschäftskontakte, E-Mails oder vertrauliche Dokumente.

Geräteverlust als Top-Gefahr für deutsche Unternehmen

Während generelle Risiken von einigen Firmen ignoriert werden, bedeutet ein Verlust oder Diebstahl des mobilen Begleiters für mehr als acht von zehn Unternehmen eine hohe oder sehr hohe Wahrscheinlichkeit eines Schadens.

Sicherheitssoftware im Unternehmenseinsatz

Eine Security Lösung gehört zur Basisausstattung von Netzwerken und Mobilgeräten, aber nur 68 Prozent der deutschen KMUs findet dies wichtig. Wie die G Data Mobile Device Management Studie zeigt, haben Firmen hier einen akuten Nachholbedarf, denn die Nachlässigkeit von fast einem Drittel der befragten Unternehmen spielt Kriminellen und Spionen geradewegs in die Hände.

Über die G Data Mobile Device Management Studie 2013

Der deutsche IT-Security-Hersteller befragte für seine Studie insgesamt 4.000 deutsche Unternehmen aus dem KMU-Segment und verschiedener Branchen. Fast die Hälfte der im Juli und August befragten Firmen beschäftigt zwischen 51 und 200 Mitarbeiter.