Zwei Personen im Gespräch über etwas auf dem Tablet-Bildschirm

BYOD (Bring Your Own Device) – Worauf Unternehmen bei der Einführung achten sollten

Das eigene Smartphone, Tablet oder Laptop mit auf die Arbeit nehmen und für berufliche Zwecke nutzen – das ist in vielen Firmen bereits gang und gäbe. Die Integration von privaten mobilen Endgeräten in das firmeninterne Netzwerk birgt jedoch einige rechtliche und sicherheitsrelevante Fallstricke. Was genau sich hinter BYOD verbirgt, was man vor der Einführung bedenken sollte und welche Alternativen es gibt.


Was ist BYOD – vorübergehender Trend oder ernstzunehmende Entwicklung?

Hinter dem Akronym „BYOD“ verbirgt sich der Satz „Bring Your Own Device“. Es ist die Bezeichnung dafür, private Endgeräte wie Smartphones, Tablets oder Laptops bei der Arbeit für berufliche Zwecke einzusetzen. Damit zusammen hängt die Integration dieser Geräte in das firmeneigene Netzwerk. Mit „BYOD“ ist häufig auch die Richtlinie gemeint, die genau diese Nutzung privater Mobilgeräte im Unternehmen regeln soll. 

Der Trend zu BYOD kam bereits vor ein paar Jahren auf. Einige Firmen haben das Konzept umgehend eingeführt, andere zögern aus unterschiedlichen Gründen. Gerade Datenschutz- und Sicherheitsbedenken sind zu Recht Aspekte, die der Einführung von BYOD in Unternehmen schnell einen Riegel vorschieben.

Auf der anderen Seite ist ebenso Fakt: mobile Endgeräte sind aus unserem privaten wie beruflichen Alltag nicht mehr wegzudenken. Dass Mitarbeiter ihre eigenen Geräte mit in die Firma bringen, ist daher nicht überraschend und auch kaum zu verhindern. Sobald diese Geräte jedoch für berufliche Zwecke genutzt und dafür ins Firmennetzwerk eingebunden werden sollen, müssen klare Regelungen geschaffen werden. Das stellt insbesondere IT-Verantwortliche vor einige Herausforderungen.


Die Vorteile und der Nutzen von Bring Your Own Device

Doch zunächst zu den Vorteilen, denn BYOD ist nicht ohne Grund immer noch ein viel diskutiertes Thema. Das liegt daran, dass die Nutzung der eigenen mobilen Geräte viele Vorteile für die Mitarbeiter bringt, die auch dem Unternehmen zugutekommen. Mitarbeiter können praktisch von überall arbeiten, ohne von einem Gerät aufs andere wechseln zu müssen. Diese Flexibilität und Mobilität sind klare Vorteile, ebenso wie die dadurch steigende Mitarbeiterzufriedenheit.

Hinzu kommt, dass Mitarbeiter mit ihren eigenen Smartphones, Tablets und Laptops bestens vertraut sind und sich durch deren Nutzung ein Produktivitätsgewinn verzeichnen lässt. Zudem sind private Geräte häufig leistungsfähiger – aufgrund der Tendenz, für sich selbst die neuesten technischen Geräte zu verwenden.

Für Arbeitgeber bedeutet BYOD darüber hinaus, dass sie ihren Mitarbeitern keine mobilen Geräte zur Verfügung stellen müssen. Das senkt die Kosten im Hinblick auf die Anschaffung. Allerdings wird diese Kostensenkung auf lange Sicht durch den erhöhten Aufwand der Wartung und Verwaltung aufgewogen, wie im Folgenden deutlich werden wird.


Die 5 größten Sicherheitsrisiken von BYOD

Die Einbindung privater Geräte in das Firmen-Netzwerk sowie der Umgang mit firmeninternen Daten sind die Hauptgründe, warum viele Unternehmen mit der Einführung von BYOD zögern. Zu Recht, denn es gibt einige datenschutzrechtliche und sicherheitsrelevante Risiken zu bedenken.

Zusätzlich dazu, dass bei der Verwendung privater Geräte für berufliche Zwecke die Grenze zwischen persönlichen und unternehmenseigenen Daten zunehmend verschwimmt, sind private Geräte im Unternehmensnetzwerk aus Datenschutzgründen häufig nicht von der IT-Abteilung kontrolliert – was einige Sicherheitsprobleme darstellt.


Die fünf größten Sicherheitsrisiken im Überblick:

1) Kein Passwortschutz

Viele Anwender schützen Ihre mobilen Geräte nicht oder nur unzureichend mit Passwörtern. Häufig sind keine Bildschirmsperren eingerichtet und aus Bequemlichkeit werden einfache, und damit unsichere Passwörter gewählt.


2) Apps

Ohne Sicherheitsvorkehrungen sind Apps anfällig für Angriffe. Es gibt zahlreiche Apps, die gezielt private Daten auf dem Gerät auslesen. Apps haben häufig weitreichende Berechtigungen und machen keinen Unterschied zwischen personenbezogenen und firmeninternen Daten auf dem Gerät. 


3) Lizenzen

Dies betrifft vor allem Software, die Mitarbeiter für ihre Arbeit nutzen. Hat der Mitarbeiter beispielsweise eine Office-Lizenz auf seinem privaten Laptop, bedeutet das noch nicht, dass er diese auch für berufliche Zwecke nutzen darf. Bei vielen Software-Lizenzen, die privat genutzt werden, ist die kommerzielle Nutzung ausgeschlossen.


4) Zugriff Dritter

Der Zugriff auf das Gerät von unbefugten Dritten kann durch Diebstahl oder Schadsoftware geschehen. Selbst wenn ein gezielter Angriff ausbleibt – es werden immer wieder mobile Geräte gestohlen oder gehen verloren. Auch wenn es beim Diebstahl häufig um den Gerätewert an sich geht, besteht das Risiko, dass vertrauliche Firmendaten auf dem Gerät von Unbefugten ausgelesen werden.


5) Keine Verschlüsselung

Nur wenige Anwender kümmern sich gezielt darum, dass die Daten auf ihren Geräten verschlüsselt sind und sie ausschließlich verschlüsselte Verbindungen für Daten-Übertragungen nutzen. Aus Bequemlichkeit oder Unwissenheit werden Daten ohne Schutz über das Internet übertragen und können dort abgefangen werden.


Sicherheit bei BYOD verbessern durch eine zentrale Verwaltung der Geräte

Die größten Sicherheitsrisiken bei BYOD betreffen prinzipiell zwei große Bereich: Die Sicherheit der Daten auf dem Gerät und die Sicherheit bei der Übertragung von Daten. Für beide Bereiche kann man verschiedene Maßnahmen ergreifen. Die wichtigste Voraussetzung: Wenn mobile Geräte mit der unternehmenseigenen IT-Infrastruktur verbunden werden, ist es unumgänglich, dass diese Geräte zentral verwaltet werden. Für diese Verwaltung gibt es verschiedene Lösungen, die zum Teil in Ergänzung genutzt werden können.

Die Unterteilung des jeweiligen Geräts in Arbeits- und Privatbereich durch eine Virtualisierung ist eine empfehlenswerte Lösung. Diese Trennung ermöglicht die zuverlässige Verwaltung der Unternehmensdaten, die dann nur im firmeneigenen Rechenzentrum und nicht lokal auf dem Gerät gespeichert werden sollten. Durch die Virtualisierung kann die IT-Abteilung oder der Systemadministrator lokal gespeicherte Daten aus der Ferne löschen – bei unerlaubter Speicherung oder im Falle eines Diebstahls.

Außerdem gibt es Softwares zum Mobile Device Management (MDM), die dabei helfen, die Geräte zentral zu verwalten. Mögliche Einstellungen sind zum Beispiel die zentrale Vergabe von Zugriffsrechten oder die Regulation der Installation von freigegebenen Apps. Die Fern-Löschung von Daten bei Bedarf ist ebenso eine mögliche Funktion.

Weitere Software-Lösungen und Systeme ermöglichen unter anderem die Verwaltung von Software-Lizenzen, die Sicherung von Daten und Anwendungen in einer gesicherten Unternehmens-Cloud oder die Verschlüsselung der Geräte bzw. bestimmter Bereiche – sogenannte Container. Die konkrete Auswahl der Lösungen und Systeme ist in hohem Maße abhängig von den individuellen Anforderungen und Voraussetzungen des jeweiligen Unternehmens.


Ebenso wichtig ist der Faktor Mensch: Sicherheits-Bewusstsein schaffen

Diese technischen Maßnahmen sind gut und wichtig, können jedoch nicht alle Bereiche kontrollieren. Mindestens ebenso wichtig bei der Einführung von BYOD ist der Faktor Mensch. Dabei geht es um die Kommunikation mit den Benutzern, ihrer Sensibilisierung für das Thema IT-Sicherheit und zugleich die Verpflichtung zu bestimmten Maßnahmen.

Dazu zählen beispielsweise klare Richtlinien zum Umgang mit Passwörtern und Bildschirmsperren oder die Verpflichtung zur Installation einer zuverlässigen Antivirus Software sowie zur regelmäßigen Aktualisierung von Betriebssystemen und Anwendungen. Information und Kommunikation sind hierbei die wichtigsten Werte: Welche Programme und Lizenzen sind für die berufliche Nutzung geeignet, wie werden Arbeits- und Privatbereich auf den Geräten getrennt, welche Maßnahmen muss jeder zur Datensicherheit berücksichtigen, etc.

Dies sind keine Einzelmaßnahmen. Mitarbeiter sollten durch regelmäßige Schulungen für die sicherheitsrelevanten Themen sensibilisiert und über ihre diesbezüglichen Aufgaben und Verpflichtungen informiert werden. IT-Sicherheit ist ein flexibler Bereich, der sowohl auf neue Bedrohungen von außen als auch sich ändernde Anforderungen des Unternehmens intern reagieren muss. Nur wenn die Mitarbeiter gut informiert sich, kann ein Konzept wie BYOD funktionieren. 


Alternativen zu Bring Your Own Device: CYOD und COPE

Zwei verbreitete Alternativen zu „Bring Your Own Device“ sind CYOD – „Choose Your Own Device” und COPE – „Corporate Owned Personally Enabled“. Bei CYOD wird den Mitarbeitern eine begrenzte Auswahl an mobilen Geräten vorgegeben. So können Mitarbeiter selber wählen, welche Geräte sie im Job nutzen möchten. Dabei handelt es sich jedoch um Firmengeräte, die zentral von der IT-Abteilung verwaltet werden. Fernwartung, Aktualisierung und Sicherung der Geräte liegt somit vollständig in der Hand der internen IT-Abteilung.

Bei CYOD dürfen die mobilen Geräte jedoch ausschließlich für berufliche und nicht für private Zwecke genutzt werden. Das Konzept COPE ist eine Art Zwischenlösung: Die Geräte gehören dem Unternehmen, dürfen aber vom Mitarbeiter auch privat genutzt werden. Damit das funktioniert, müssen jedoch auch hier wieder klare Regelungen zur Trennung der Daten und zum Umgang mit Datenschutz-Fragen getroffen werden.


BYOD muss gut überlegt, umfassend geplant und sicher umgesetzt werden

Die größte Herausforderung bei BYOD ist die Datensicherheit. Selbst unter Berücksichtigung der genannten Aspekte ist BYOD nicht vollständig abgesichert einzuführen. Außerdem sollte bedacht werden, dass die heterogene Hard- und Software im Unternehmensnetzwerk die Arbeit der IT-Abteilung erschwert und einen erhöhten Verwaltungsaufwand zur Folge hat.

Es gilt daher, im Vorhinein zu prüfen, ob sich der Einsatz von BYOD für das Unternehmen lohnt. Dafür sind Punkte wie die Anforderungen des Unternehmens, eine Risikoabschätzung, der erforderliche Administrationsaufwand und die effektiven Vorteile von dem Einsatz (privater) mobiler Endgeräte zu berücksichtigen. Das Interesse und der Schutz des Unternehmens stehen hierbei im Vordergrund.

Vor der Einführung von BYOD und eigentlich bei jeglichem Umgang mit mobilen Endgeräten gilt: Es muss eine zentrale Richtlinie von IT-Verantwortlichen und Geschäftsführung zum sicheren Umgang mit den Geräten und Daten geben. Die regelmäßige Risikobewertung ist eine Aufgabe, die kontinuierlich weitergeführt werden muss – ebenso wie die nachhaltige, regelmäßige Schulung und Sensibilisierung der Mitarbeiter in Bezug auf die IT-Sicherheit und Informationssicherheit.


geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security