Eigenes Gerät auf Arbeit verwenden: Sicherheitsmaßnahmen für persönliche Geräte am Arbeitsplatz

Beste Praktiken für BYOD-Sicherheit

Jede BYOD-Richtlinie, die etwas taugt, wird folgende Elemente abdecken:

• Zulässige Gerätetypen
• Zulässige Nutzung: Auf welche Apps und Ressourcen dürfen Mitarbeiter von ihren Geräten aus zugreifen?
• Mindestanforderungen für die Sicherheitskontrolle von Geräten: Welche Sicherheitsmaßnahmen verlangt das Unternehmen für BYOD-Geräte?
• Vom Unternehmen bereitgestellte Komponenten: beispielsweise SSL-Zertifikate für die Geräteauthentifizierung
• Rechte des Unternehmens in Bezug auf Modifikationen des Geräts: z. B. Fernlöschung bei Diebstahl oder Verlust des Geräts
• Was geschieht mit den Unternehmensdaten auf den Geräten von Mitarbeitern, die das Unternehmen verlassen?
• Wer ist Eigentümer der Apps und Daten auf dem Gerät? Werden den Mitarbeitern die Kosten für Apps oder monatliche Gebühren vom Unternehmen erstattet?
• Welche Unterstützung bietet die IT-Abteilung den Gerätebesitzern?

Die folgenden Bestimmungen müssen von den Entscheidungsträgern berücksichtigt werden, damit die besten Optionen umgesetzt werden können:

• Regeln des gesunden Menschenverstands: Beschränkung der persönlichen Anrufe und Videoaufnahmen am Arbeitsplatz, keine Nutzung während der Fahrt
• Wartung und Upgrades: Die endgültige Richtlinie sollte sicherstellen, dass Mitarbeiter Geräte und Anwendungen zuverlässig auf dem neuesten Stand halten
• Bestimmungen für den Datentransfer: Unternehmensdaten müssen verschlüsselt und passwortgeschützt sein und nur über vom Unternehmen vorgegebene Anwendungen übertragen werden
• Passwort-Bestimmungen: Die Verwendung von Passwörtern ist für den Schutz sensibler Informationen natürlich unverzichtbar. Auch eine Zwei-Faktor-Authentifizierung kann erforderlich sein

Datenschutzbestimmungen: Wie können Unternehmen den Datenschutz und die Privatsphäre der Mitarbeiter mit BYOD in Einklang bringen?

BYOD-Sicherheitsrichtlinie

Wie lassen sich kohärente und sichere BYOD-Praktiken am besten konzipieren? Bei der Ausarbeitung einer Richtlinie dieser Größenordnung sollten sowohl die Arbeitnehmer als auch die Interessengruppen einbezogen werden. Mithilfe einer Umfrage kann der Input der Mitarbeiter eingeholt werden, der eine gute Grundlage für die Planung der Richtlinie darstellt. Führungskräfte, Personalabteilung, IT-Betrieb, Finanzen und Sicherheit sollten alle in ein BYOD-Projektmanagementteam eingebunden und vertreten sein. Die Beiträge dieser Abteilungen sind wichtig.

Nach dem Versand einer Umfrage und dem Empfang der Antworten ist es von Vorteil u. a. zu analysieren, welche Daten und Anwendungen auf den Geräten der Mitarbeiter benötigt werden. Nach der Einführung der fertigen Richtlinie ist die Schulung ein wichtiger Schritt in diesem Prozess. Mitarbeiter aller Ebenen müssen zu dem Datenhandhabungsprotokoll, der Fehlerbehebung bei Geräten, der Vorgehensweise bei verlorenen oder gestohlenen Geräten, den zu verwendenden Apps und Anti-Phishing-Maßnahmen geschult werden, ebenso wie über weitergehende Anweisungen zur Wachsamkeit gegenüber Cyberbedrohungen.

Eine weitverbreitete Annahme besagt, dass Mitarbeiter, die nicht in Cybersicherheit geschult sind, die größte Gefahr für die Integrität der Unternehmensdaten darstellen. Im Jahr 2014 waren 87 % der IT-Manager der Meinung, dass die größte Bedrohung für Unternehmen von mobilen Geräten ausgeht, die von unvorsichtigen Mitarbeitern verwendet werden. Im Jahr 2020 nutzten 96 % der Angriffe auf Mobilgeräte Apps als Angriffsvektor. Dies liegt daran, dass die überwiegende Mehrheit der Anwendungen, fast 4 von 5, Bibliotheken von Drittanbietern einbetten, die Sicherheitslücken verursachen können.

Welche Apps sollte ein Unternehmen verwenden, das eine strenge BYOD-Richtlinie einführt? Eine Studie ergab, dass Arbeitnehmer täglich fünf oder mehr Apps nutzen. Unternehmen sollten eine spezielle sichere Messaging-Plattform, E-Mail, CRM und alle anderen Anwendungen, die ihre Mitarbeiter benötigen, einbeziehen. Stellen Sie sicher, dass Anwendungen, die anfällig sein könnten, ausdrücklich verboten sind.

Organisationen sollten auch über spezielle Verfahren für Mitarbeiter verfügen, die das Unternehmen aus welchen Gründen auch immer verlassen. Wenn ein Mitarbeiter das Unternehmen verlässt, muss sichergestellt werden, dass alle Daten von seinen Geräten entfernt werden und der Zugriff auf Unternehmensanwendungen ebenfalls unterbunden wird. Diese Pflicht bringt jedoch viele Schwierigkeiten mit sich und wird oft als Grund dafür angesehen, BYOD-Richtlinien aufzugeben und eigene Geräte bereitzustellen.

Eine Richtlinie ist nur so stark wie die Fähigkeit eines Unternehmens, sie durchzusetzen, was leider voraussetzt, dass es für diejenigen, die sich nicht an die Richtlinie halten, Konsequenzen gibt. Jede Richtlinie muss konkrete Angaben zur Verfolgung, Messung und Durchsetzung der Rechenschaftspflicht enthalten, damit alle Teammitglieder darüber informiert sind. Mangelnde Aufsicht ist eines der Hauptprobleme bei der Einführung von BYOD. Unternehmen benötigen eine ausreichende Anzahl von Mitarbeitern im IT-Support, um die Mitarbeiter bei der Einrichtung zu unterstützen und zu überwachen.

Nach dem Festlegen der Systeme und Protokolle sollten Unternehmen der Schulung ihrer Mitarbeiter Vorrang einräumen. Für den Erfolg von BYOD ist es unerlässlich, den Mitarbeitern die Bedeutung einer akzeptablen Nutzung und einer grundlegenden Datensicherheitshygiene zu vermitteln.