BYOD „sicher“ machen

Der IT-Trend "Bring Your Own Device" beschäftigt aktuell viele Unternehmen. Die Unternehmen ECOS Technology und Kaseya verfolgen unterschiedliche Ansätze für die sichere Nutzung privater Notebooks und PCs in Unternehmen und Organisationen und geben Tipps, um BYOD "sicher" zu machen. [...]

Das Thema Bring Your Own Device (BYOD), also die Nutzung mobiler privater Endgeräte wie Notebooks, Tablet-PCs und Smartphones für berufliche Zwecke, beschäftigt derzeit IT-Verantwortliche und Anwender gleichermaßen. Gleichzeitig steigt durch die zunehmende Beliebtheit des Arbeitens im Home Office die Zahl derjenigen Arbeitnehmer, die regelmäßig oder gelegentlich auch ihren eigenen, stationären PC zu Hause für berufliche Tätigkeiten nutzen.
„Der Einsatz privater IT-Systeme im Unternehmen ist für beide Seiten von Vorteil“, sagt Beate Wrobel, Marketing-Managerin bei Kaseya, einem Anbieter von Lösungen für das IT-Systemmanagement. „Der Mitarbeiter kann mit seinem gewohnten Smartphone oder Notebook arbeiten. Das Unternehmen wiederum muss weniger Geld für IT-Ausrüstung ausgeben und profitiert zudem von effizienteren und zufriedeneren Mitarbeitern.“
Laut Beate Wrobel müssen Unternehmen zwei Dinge akzeptieren: Bring Your Own Device ist keine reine Modeerscheinung, und es gibt zu diesem Trend keine Alternative. Der Grund dafür ist, dass immer mehr Mitarbeiter von Unternehmen, Behörden und öffentlichen Einrichtungen mobile, intelligente und vernetzte Geräte einsetzen, die alle Arten von Content darstellen und zur Bearbeitung zur Verfügung stellen. „Unternehmen sollten diese Entwicklung als ‚Business Enabler‘ betrachten, nicht als Gefahr oder Problem“, so Wrobel weiter. Mobile Systeme in Verbindung mit BYOD würden Mitarbeiter in die Lage versetzen, jederzeit, von jedem Ort und vom Endgerät ihrer Wahl aus auf Ressourcen im Corporate Network zuzugreifen. „Diese hohe Flexibilität kann maßgeblich zum Geschäftserfolg eines Unternehmens beitragen“, ergänzt Beate Wrobel.

BAUCHSCHMERZEN IN DER IT

Während Mitarbeiter sich über die zusätzliche Flexibilität bei der Wahl ihrer Arbeitsmittel freuen, verursachen Sicherheitsbedenken bei Administratoren und IT-Leitern Bauchschmerzen. Und das zu Recht, denn viele Unternehmen und Organisationen gehen aktuell noch relativ leichtfertig mit den entstehenden Risiken um. Während unternehmenseigene Endgeräte sowie das Firmennetzwerk selbst mit den üblichen Schutzmaßnahmen ausgerüstet werden können, entzieht sich die Absicherung privater Devices zumeist dem Einfluss der IT-Abteilung. Unterschiedliche Plattformen und Betriebssysteme erschweren eine durchgängige Security-Strategie zusätzlich.
Die Experten von ECOS Technology, einem Hersteller von Lösungen für den sicheren Fernzugriff auf Daten und Applikationen, haben im Rahmen einer Checkliste fünf Aspekte zusammengestellt, die IT-Verantwortliche und Geschäftsführer bei der Umsetzung eines sicheren BYOD-Konzepts unterstützen sollen. Denn neben wirtschaftlichen und rechtlichen Gesichtspunkten spielt bei dieser Thematik vor allem die Sicherheit schützenswerter Unternehmensdaten eine entscheidende Rolle.

1. BYOD nicht ignorieren, sondern frühzeitig in die Strategie einbinden

Unternehmen und Organisationen jeder Größe sollten unbedingt davon ausgehen, dass BYOD auch für sie früher oder später zum Thema wird. Einerseits ist es häufig der Wunsch der Mitarbeiter, eigene Geräte zu nutzen oder zumindest teilweise aus dem Home Office arbeiten zu können. Andererseits versprechen sich viele Arbeitgeber Kosteneinsparungen, da weniger Hardware angeschafft werden muss. Es sei daher nicht zielführend, so ECOS, BYOD vermeintlich auszublenden, etwa durch ein Verbot der Nutzung privater Endgeräte, das langfristig in der Regel ohnehin nicht durchsetzbar ist. BYOD sollte in jedem Fall innerhalb der allgemeinen IT-Sicherheitsstrategie berücksichtigt werden – je früher, desto besser.

2. Sensibilisierung der Mitarbeiter ist hilfreich, schützt aber nur bedingt

Viele Anwender sind sich der Risiken im Umgang mit Firmendaten gar nicht bewusst. Hinzu kommt: Gerade privat genutzte Geräte, die auch Bestandteil der Freizeitgestaltung sind, können zusätzlich zu einem eher lockeren, sorglosen Nutzungsverhalten verführen. Die Steigerung des Sicherheitsbewusstseins durch Information und Schulung der Mitarbeiter hat deshalb ECOS zufolge auch im Rahmen einer BYOD-Sicherheitsstrategie einen wichtigen Platz. Mitarbeiter sollten sich darüber im Klaren sein, welche Konsequenzen beispielsweise ein Verlust von internen Daten für ihr Unternehmen haben kann. Allerdings lassen sich Unachtsamkeit und absichtliches oder unabsichtliches Fehlverhalten seitens der Anwender nie mit Sicherheit ausschließen. Von einer Vorgehensweise, die rein auf dem Vertrauen in das Anwenderverhalten basiert, muss deshalb dringend abgeraten werden.

3. Keine internen Daten auf externen Geräten vorhalten

Sensible Firmendaten wie Präsentationen, Konzepte oder Kundendaten sollten unter keinen Umständen ungeschützt auf privaten Endgeräten gespeichert werden. Täglich gehen Notebooks, Smartphones und Tablets verloren oder werden gestohlen. Die Gefahr des Missbrauchs von geschäftlichen Daten ist hoch. Zusätzlich drohen datenschutzrechtliche Konsequenzen. Die gleiche Problematik besteht dann, wenn ein Mitarbeiter das Unternehmen verlässt beziehungsweise ihm gekündigt wird, er auf seinem privaten Notebook oder dem PC zu Hause aber Firmendaten gesichert hat. Wenn sich die Speicherung von Daten in Einzelfällen nicht vermeiden lässt, dann ist zumindest auf eine sichere, professionelle Verschlüsselung nach aktuellen Standards zu achten.

4. Nicht allein auf Security-Software auf den Endgeräten vertrauen

Eine individuelle Absicherung und Pflege der einzelnen Endgeräte, etwa durch die Installation der neuesten Betriebssystem-Updates sowie den Einsatz von gängiger Security-Software, sollte als Basis-Schutz mittlerweile selbstverständlich sein. Dennoch wäre es fatal, sich bei Geräten, die auch geschäftlich genutzt werden, allein darauf zu verlassen, warnt ECOS. Selbst die Suche nach seriösen Inhalten kann Anwender beispielsweise auf eine virenverseuchte Website führen und eine Infektion mit bislang unbekannter Schadsoftware zur Folge haben. 

5. Klare Trennung zwischen privater und beruflicher Nutzung sicherstellen

Der wohl wichtigste Ratschlag: Private Endgeräte sollten grundsätzlich als potenziell unsicher betrachtet werden. Daraus folgt laut ECOS die Notwendigkeit einer hundertprozentigen Trennung von geschäftlichen und privaten Daten. In der Praxis wird sich dies am ehesten durch einen sicheren Fernzugriff vom privaten Notebook oder PC aus einer geschlossenen und geschützten Umgebung heraus bewerkstelligen lassen. Das bedeutet: Die Nutzung von Firmenanwendungen und Daten erfolgt dann nicht auf Basis des regulär auf dem Gerät installierten Systems, sondern vollständig separat und abgeschottet.

LÖSUNGEN FÜR MEHR SICHERHEIT

ECOS beispielsweise setzt einen solchermaßen geschützten Fernzugriff mit seinem Secure Boot Stick um. Die Lösung basiert auf einem USB-Stick und kann auf auf PCs und Notebooks eingesetzt werden. Der Zugriff auf Firmenserver oder Webanwendungen erfolgt durch ein speziell gehärtetes Linux, unabhängig vom lokal installierten Betriebssystem. Nach dem Login findet der Anwender seine gewohnte (Windows-) Benutzerumgebung vor, spezielle Fachkenntnisse sind nicht erforderlich. Selbst von einem hochgradig unsicheren und verseuchten System kann so auf Firmendaten zugegriffen werden. Eventuell vorhandene Trojaner, Viren oder andere Schadprogramme haben keine Chance, da das lokale Betriebssystem gar nicht aktiviert wird.
Der ECOS Secure Boot Stick dient gleichzeitig als Zwei-Faktor-Authentisierung und bietet so zusätzliche Sicherheit: Die Anmeldung ist nur in Kombination mit persönlichem Stick und entsprechendem Passwort möglich. Ein Verlust oder Diebstahl des Sticks allein stellt dadurch kein Sicherheitsrisiko dar.
Kaseya verfolgt einen anderen Ansatz, um BYOD „sicher“ zu machen: Nämlich eine Mobile-Device-Management-Lösung (MDM), die auf die Anforderungen von Unternehmenskunden zugeschnitten ist. Mit ihr müssen sich sowohl private Endgeräte verwalten lassen als auch Systeme, die ein Unternehmen oder eine öffentliche Einrichtung selbst angeschafft hat. „Erst ein effizientes Mobile Device Management, wie beispielsweise Kaseya MDM, erlaubt es, mobile Geräte aller Art auf einfache und sichere Weise in ein Unternehmensnetz einzubinden, ohne zeitaufwändigen und damit kostspieligen Support durch die IT-Abteilung“, so Beate Wrobel.
Auch unter dem Aspekt Sicherheit sei ein zentrales Management von Mobilgeräten unverzichtbar: Mit einer Mobile-Device-Management-Lösung könne die IT-Abteilung Regeln („Policies“) erstellen, die für jeden Mitarbeiter und jedes Endgerät den Zugang zu Anwendungen und Unternehmensinformationen regeln, abhängig von der Zugangsberechtigung des Beschäftigten. Idealerweise steht eine MDM-Lösung zudem in Form eines Moduls für eine übergreifende IT-Systemmanagement-Plattform zur Verfügung. „In diesem Fall kann der Anwender alle IT-Systeme, gleich ob Server, Desktop-Systeme oder mobile Geräte,  mithilfe einer integrierten Lösung verwalten“, sagt Beate Wrobel. „Das fehlerträchtige und aufwändige Nebeneinander unterschiedlicher Managementplattformen gehört somit der Vergangenheit an.“

KOSTENLOSES WEBINAR DES ISF

In einem kostenlosen, englischsprachigen Webinar gibt das herstellerunabhängige Information Security Forum (ISF, http://www.securityforum.org ) CTOs, ISOs, CISOs, IT-Security Managern, Administratoren und IT-Verantwortlichen am 27. Juni um 10 Uhr Einblicke in Best-Practice Strategien, Policies und Management Tools seiner Mitglieder zum Thema BYOD. Das ISF will zeigen, wie Unternehmen die Vorteile der Konsumerisierung nutzen, gleichzeitig aber die Risiken minimieren können.
Die Registrierung zum Webinar ist unter https://www2.gotomeeting.com/register/675733314 möglich. (rnf)

Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*