Wir stellen fest, dass Sie gerade die Website in Großbritannien besuchen. Möchten Sie stattdessen unsere Hauptseite besuchen?

Ja bitte
Ein Mitarbeiter, der ein persönliches Gerät an seinem Arbeitsplatz benutzt.

Eigenes Gerät auf Arbeit verwenden: Sicherheitsmaßnahmen für persönliche Geräte am Arbeitsplatz

Aug 2023
Blog-Startseite

Alle Unternehmen, in dem Mitarbeiter Smartphones, Tablets oder persönliche Laptops an den Arbeitsplatz mitbringen können, benötigen eine Sicherheitsrichtlinie für private Geräte am Arbeitsplatz (kurz BYOD-Richtlinie). Fast jeder Mitarbeiter bringt ein mit dem Internet verbundenes Gerät mit zur Arbeit, das selbst dann, wenn es nicht aktiv mit dem Unternehmensnetzwerk verbunden ist, ein Sicherheitsrisiko darstellen kann.

Die Verwendung eines privaten Geräts für etwas so Harmloses wie das Senden einer Arbeits-E-Mail kann Schwachstellen im Netzwerk eines Unternehmens erzeugen. Die Sicherheit von BYOD stellt für Unternehmen jeder Größe eine Herausforderung dar, da Unternehmen eine gewisse Kontrolle über die Smartphones und Tablets ihrer Mitarbeiter ausüben müssen. Immerhin werden 40 % der Datenschutzverletzungen durch verlorene oder gestohlene Geräte verursacht. In Kulturbereichen, in denen die persönliche Freiheit im Vordergrund steht, können solche Maßnahmen jedoch auf Widerstand oder Ablehnung seitens der Mitarbeiter stoßen. Am besten ist ein behutsames, aber entschlossenes Vorgehen in dieser Frage.

Was können Unternehmen tun, um ihre Cybersicherheit unter diesen Bedingungen zu verbessern? Eine Möglichkeit besteht darin, BYOD vollständig zu untersagen und die entsprechenden Richtlinien strikt durchzusetzen. Der weltweite BYOD-Markt ist jedoch groß und wächst. Der Markt für das Jahr 2022 wird auf 350 Mrd. Dollar geschätzt. Der Trend zum Home-Office, der durch die Pandemie ausgelöst wurde, hat das Wachstum der Branche beschleunigt. Die Alternative ist, sich auf die Praxis einzulassen und gleichzeitig vernünftige BYOD-Richtlinien und Sicherheitsvorkehrungen zu treffen, um die Sicherheit sowohl für das Unternehmen als auch für die Mitarbeiter zu erhöhen. Die meisten Unternehmen haben festgestellt, dass dies die einfachere der beiden Optionen ist, nicht dass eine vernünftige BYOD-Strategie nicht auch Aufwand und Überlegungen erfordert.

BYOD-Sicherheitsrisiken

BYOD bedeutet, dass Unternehmen nominell weniger für Hardware und Software für ihre Mitarbeiter ausgeben. 82 % der Unternehmen erlauben ihren Mitarbeitern die Nutzung privater Geräte für die Arbeit. 71 % dieser Arbeitgeber sind der Meinung, dass dies den Mitarbeitern mehr Komfort bei der Nutzung von Geräten bietet, da sie mit ihren persönlichen Telefonen am besten vertraut sind. 58 % stellen fest, dass es produktiver ist. Allerdings sind nur 55 % der Ansicht, dass dadurch die Kosten gesenkt werden. Warum diese Diskrepanz? Wahrscheinlich liegt es an den Unternehmen, deren Sicherheitsrichtlinien BYOD zulassen, dass erschreckende 50 % der Datenverletzungen über mitarbeitereigene Geräte erfolgen. Kein Wunder, dass von den Unternehmen, die sich gegen die Einführung von BYOD-Richtlinien aussprechen, 26 % Sicherheitsbedenken als Hauptgrund anführen.

Beste Praktiken für BYOD-Sicherheit

Kollegen nutzen Laptops, Tablets und Mobiltelefonen zusammen

Jede BYOD-Richtlinie, die etwas taugt, wird folgende Elemente abdecken:

  • Zulässige Gerätetypen
  • Zulässige Nutzung: Auf welche Apps und Ressourcen dürfen Mitarbeiter von ihren Geräten aus zugreifen?
  • Mindestanforderungen für die Sicherheitskontrolle von Geräten: Welche Sicherheitsmaßnahmen verlangt das Unternehmen für BYOD-Geräte?
  • Vom Unternehmen bereitgestellte Komponenten: beispielsweise SSL-Zertifikate für die Geräteauthentifizierung
  • Rechte des Unternehmens in Bezug auf Modifikationen des Geräts: z. B. Fernlöschung bei Diebstahl oder Verlust des Geräts
  • Was geschieht mit den Unternehmensdaten auf den Geräten von Mitarbeitern, die das Unternehmen verlassen?
  • Wer ist Eigentümer der Apps und Daten auf dem Gerät? Werden den Mitarbeitern die Kosten für Apps oder monatliche Gebühren vom Unternehmen erstattet?
  • Welche Unterstützung bietet die IT-Abteilung den Gerätebesitzern?

Die folgenden Bestimmungen müssen von den Entscheidungsträgern berücksichtigt werden, damit die besten Optionen umgesetzt werden können:

  • Regeln des gesunden Menschenverstands: Beschränkung der persönlichen Anrufe und Videoaufnahmen am Arbeitsplatz, keine Nutzung während der Fahrt
  • Wartung und Upgrades: Die endgültige Richtlinie sollte sicherstellen, dass Mitarbeiter Geräte und Anwendungen zuverlässig auf dem neuesten Stand halten
  • Bestimmungen für den Datentransfer: Unternehmensdaten müssen verschlüsselt und passwortgeschützt sein und nur über vom Unternehmen vorgegebene Anwendungen übertragen werden
  • Passwort-Bestimmungen: Die Verwendung von Passwörtern ist für den Schutz sensibler Informationen natürlich unverzichtbar. Auch eine Zwei-Faktor-Authentifizierung kann erforderlich sein

Datenschutzbestimmungen: Wie können Unternehmen den Datenschutz und die Privatsphäre der Mitarbeiter mit BYOD in Einklang bringen?

BYOD-Sicherheitsrichtlinie

Wie lassen sich kohärente und sichere BYOD-Praktiken am besten konzipieren? Bei der Ausarbeitung einer Richtlinie dieser Größenordnung sollten sowohl die Arbeitnehmer als auch die Interessengruppen einbezogen werden. Mithilfe einer Umfrage kann der Input der Mitarbeiter eingeholt werden, der eine gute Grundlage für die Planung der Richtlinie darstellt. Führungskräfte, Personalabteilung, IT-Betrieb, Finanzen und Sicherheit sollten alle in ein BYOD-Projektmanagementteam eingebunden und vertreten sein. Die Beiträge dieser Abteilungen sind wichtig.

Nach dem Versand einer Umfrage und dem Empfang der Antworten ist es von Vorteil u. a. zu analysieren, welche Daten und Anwendungen auf den Geräten der Mitarbeiter benötigt werden. Nach der Einführung der fertigen Richtlinie ist die Schulung ein wichtiger Schritt in diesem Prozess. Mitarbeiter aller Ebenen müssen zu dem Datenhandhabungsprotokoll, der Fehlerbehebung bei Geräten, der Vorgehensweise bei verlorenen oder gestohlenen Geräten, den zu verwendenden Apps und Anti-Phishing-Maßnahmen geschult werden, ebenso wie über weitergehende Anweisungen zur Wachsamkeit gegenüber Cyberbedrohungen.

Eine weitverbreitete Annahme besagt, dass Mitarbeiter, die nicht in Cybersicherheit geschult sind, die größte Gefahr für die Integrität der Unternehmensdaten darstellen. Im Jahr 2014 waren 87 % der IT-Manager der Meinung, dass die größte Bedrohung für Unternehmen von mobilen Geräten ausgeht, die von unvorsichtigen Mitarbeitern verwendet werden. Im Jahr 2020 nutzten 96 % der Angriffe auf Mobilgeräte Apps als Angriffsvektor. Dies liegt daran, dass die überwiegende Mehrheit der Anwendungen, fast 4 von 5, Bibliotheken von Drittanbietern einbetten, die Sicherheitslücken verursachen können.

Welche Apps sollte ein Unternehmen verwenden, das eine strenge BYOD-Richtlinie einführt? Eine Studie ergab, dass Arbeitnehmer täglich fünf oder mehr Apps nutzen. Unternehmen sollten eine spezielle sichere Messaging-Plattform, E-Mail, CRM und alle anderen Anwendungen, die ihre Mitarbeiter benötigen, einbeziehen. Stellen Sie sicher, dass Anwendungen, die anfällig sein könnten, ausdrücklich verboten sind.

Organisationen sollten auch über spezielle Verfahren für Mitarbeiter verfügen, die das Unternehmen aus welchen Gründen auch immer verlassen. Wenn ein Mitarbeiter das Unternehmen verlässt, muss sichergestellt werden, dass alle Daten von seinen Geräten entfernt werden und der Zugriff auf Unternehmensanwendungen ebenfalls unterbunden wird. Diese Pflicht bringt jedoch viele Schwierigkeiten mit sich und wird oft als Grund dafür angesehen, BYOD-Richtlinien aufzugeben und eigene Geräte bereitzustellen.

Eine Richtlinie ist nur so stark wie die Fähigkeit eines Unternehmens, sie durchzusetzen, was leider voraussetzt, dass es für diejenigen, die sich nicht an die Richtlinie halten, Konsequenzen gibt. Jede Richtlinie muss konkrete Angaben zur Verfolgung, Messung und Durchsetzung der Rechenschaftspflicht enthalten, damit alle Teammitglieder darüber informiert sind. Mangelnde Aufsicht ist eines der Hauptprobleme bei der Einführung von BYOD. Unternehmen benötigen eine ausreichende Anzahl von Mitarbeitern im IT-Support, um die Mitarbeiter bei der Einrichtung zu unterstützen und zu überwachen.

Nach dem Festlegen der Systeme und Protokolle sollten Unternehmen der Schulung ihrer Mitarbeiter Vorrang einräumen. Für den Erfolg von BYOD ist es unerlässlich, den Mitarbeitern die Bedeutung einer akzeptablen Nutzung und einer grundlegenden Datensicherheitshygiene zu vermitteln.

Draufsicht auf drei Personen, die an einem Schreibtisch mit Laptops, Tablets und Papieren arbeiten.

BYOD-Sicherheitslösungen

Zu den Sicherheitslösungen, die in eine BYOD-Richtlinie aufgenommen werden sollten, gehören Folgende:

  • Verschlüsselung von Daten im Ruhezustand und bei der Übertragung
  • Virenschutz: entweder vom Unternehmen zur Verfügung gestellt oder von den Mitarbeitern zu installieren
  • Überwachung: Verfolgung des GPS-Standorts von Mitarbeitergeräten oder des Internetverkehrs usw.
  • Containerisierung: Geräte, die in persönliche oder finanzielle Bubbles mit Passwortschutz aufgeteilt sind
  • Schulungen zur Passworthygiene, einschließlich Anforderungen für regelmäßige Änderungen
  • Blacklisting: Blockieren oder Einschränken von Anwendungen, weil sie ein Risiko für die betriebliche Sicherheit darstellen oder die Produktivität beeinträchtigen – dies ist in der Regel auf den Geräten der Mitarbeiter nicht möglich, außer mit Containerisierung
  • Whitelisting: Erlaubt nur den Zugriff auf bestimmte zugelassene Anwendungen, in der Regel praktischer für vom Unternehmen bereitgestellte Hardware
  • Regelmäßige Backups sowie Aktualisierungen von Anwendungen und Betriebssystemen sind erforderlich
  • Regelmäßige Schulungen und Nachschulungen zum Schutz der Unternehmensdaten zu WLAN-Netzwerkzugang von BYOD-Hardware
  • Beschränkung des Datenzugriffs: Zur Verhinderung von Datenlecks muss der Datenzugriff streng kontrolliert werden, damit nur diejenigen, die für ihre Arbeit Zugang zu bestimmten Datensätzen benötigen, von ihren persönlichen Geräten aus Zugriff haben

Überwachungsinstrumente für Datenstandorte und Datenzugriffsmuster, um verdächtiges Verhalten wie den Zugriff von unsicheren oder verdächtigen Standorten (z. B. Nordkorea) zu erkennen

Eine Methode zur Verbesserung der Sicherheit von BYOD-Systemen ist die Ausgabe von verschlüsselten USB-Sticks und verschlüsselten SSDs an Mitarbeiter. Sie sind kostengünstiger als die Bereitstellung von Telefonen oder Tablets für die gesamte Belegschaft und wesentlich unkomplizierter als die Containerisierung aller Geräte, die die Mitarbeiter vor Ort mitbringen, und darauf gespeicherte Daten sind auch besser geschützt als auf herkömmlichen Speichergeräten. Wenn die Verschlüsselung von ausreichender Qualität ist, kann ein Dieb, der sich ein verschlüsseltes Laufwerk verschafft hat, nicht an privilegierte Daten herankommen.

#KingstonIsWithYou #KingstonIronKey

Das Kingston-Symbol „Ask An Expert – Experten fragen“ auf einer Leiterplatte mit Chipsatz

Fragen Sie einen Experten

Die Planung der richtigen Lösung erfordert gute Kenntnisse der Sicherheitsziele Ihres Projekts. Kingston Experten zeigen Ihnen wie's geht.

Fragen Sie einen Experten

Zugehörige Videos

Trisha schaut schockiert und konsterniert auf ihren Bildschirm, auf dem ein Totenkopf und ein Warndreieck zu sehen sind. 3:59

Schutz von Online-Konten

Maximierung der Online-Sicherheit durch Maßnahmen zum Schutz Ihrer Präsenz.

Zugehörige Artikel

Blog-Startseite