Risikofaktor BYOD – wenn geschäftliche Daten mobil werden

Seit der Home-Office Pflicht fliessen Berufs- und Privatleben noch stärker ineinander und BYOD (bring your own device) – der Einsatz von privaten Geräten für berufliche Zwecke wird immer beliebter. Diese gemischte Nutzung von Inhalten bringt Risiken mit sich. Die IT Kontrolle wird erschwert und es besteht die Gefahr, wenn die Daten nicht sauber getrennt werden, dass Unternehmensdaten abfliessen können. Erfahren Sie im folgenden Blogartikel mehr über die BYOD Risiken und die Möglichkeiten der Datentrennung.

Die gemischte Nutzung von mobilen Endgeräten

Mobiles Arbeiten ist mehr denn je im Trend und das Berufs- und Privatleben fliessen immer stärker ineinander – vor allem auch was die IT anbelangt. Nicht nur auf der obersten Führungsebene, sondern auch bei Projektleitern, Aussendienstmitarbeitern und seit der Home-Office Pflicht bei jedem Mitarbeitenden, der von zu Hause aus arbeitet. BYOD wird heute in sehr vielen Unternehmen praktiziert und bedeutet, dass das private Gerät auch für Geschäftszwecke genutzt werden kann. Oder das geschäftliche Smartphone ist für die private Nutzung erlaubt. Diese gemischte Nutzung führt zu neuen Herausforderungen, insbesondere auch in Bezug auf den Datenschutz und die Datensicherheit.

Die Risiken von BYOD

Die neuen Nutzungsgewohnheiten des BYOD bringen zahlreiche sicherheitstechnische Herausforderungen mit sich:

1. Mitarbeiter/innen als Risikofaktor
   Smartphones verfügen oft nur über einen minimalen Standardschutz und wenn mit dem privaten Mobile sorglos umgegangen wird, können Sicherheitslücken entstehen. Zum Beispiel wenn das Gerät nicht mit einem PIN geschützt wird, beim Remote-Login keine Multi-Faktor Authentifizierung eingesetzt wird oder ganz einfach beim Verlust oder Diebstahl eines Smartphones. Dies kann ernsthafte Konsequenzen haben, wenn die IT-Sicherheit des Unternehmens dadurch kompromittiert und im schlimmsten Fall Unternehmensdaten gestohlen werden. Wenn durch Cyberkriminelle über ein privates Smartphone ein Schaden entsteht, stellen sich unangenehme Haftungsfragen auf der Arbeitgeberseite. Daher ist es wichtig Mitarbeitende auf das Themen Datenschutz und -sicherheit zu sensibilisieren.
   
   
2. Sicherheitslücken in mobilen Betriebssystemen
   Mobile Betriebssysteme sind ein weiteres Einfallstor für Schadprogramme (Malware) oder Stalkerware. Es gibt gleichermassen Sicherheitslücken bei iOs, als auch bei Android-Geräten. Viele Nutzer bekommen nichts davon mit, dass ihr Smartphone infiziert worden ist und viele nutzen auf ihren privaten Endgeräten keine Antiviren-Software.
   
   
3. Unsichere Apps
   Eine weitere Bedrohung für Ihr Smartphone und die darauf gespeicherten Informationen sind unsichere Apps aus diversen App-Stores. Diese Apps können mit Malware versehen sein oder enthalten PUA (potentially unwanted applications). Diese Software kann verschiedene unerwünschte Applikationen enthalten wie zum Beispiel Adware oder Spyware. Laden Sie deshalb nur Apps aus dem offiziellen Apple AppStore oder Google PlayStore herunter. Auf diesen Plattformen unterlaufen die Apps regelmässig Sicherheitsüberprüfungen.
   
   
4. Zugriffsberechtigungen
   Viele Apps greifen ungeniert auf die gespeicherten Informationen zu, wenn dies nicht in den Einstellungen unterbunden wird und können so an sensible geschäftliche Informationen, wie Kontaktdaten, Termine und Standortbestimmungen gelangen. Zum Teil geht es bei den Zugriffsberechtigungen nicht mehr nur darum, dem Nutzer die bestmögliche Anwendungserfahrung zu bieten, sondern auch darum, möglichst viele Nutzerdaten zu sammeln und diese anschliessend an «Werbepartner» zu verkaufen. Daher sollten die Berechtigungen so eingeschränkt werden, dass Apps nur jene Zugriffsrechte bekommen, die sie auch wirklich benötigen. Eine Telefon-App muss beispielsweise Zugriff auf Kontakte und Mikrofon haben, damit sie funktioniert – eine Taschenlampen App nicht.
   
   
5. Fehlender Datenschutz
   Fallen berufliche und private Daten auf dem Smartphone zusammen, ist dies auch aus Datenschutzsapekten problematisch. Zum Beispiel, wenn berufliche Kontakte in einer App verwendet werden, welche die Daten in die USA überträgt. Insbesondere Messenger-Programme kamen diesbezüglich in die Kritik. So verschaffen sich einzelne Messenger-Programme mit der Installation Zugriff auf Telefonnummern, Adressen und E-Mails – auch von Personen, die den Dienst gar nicht nutzen und dem Datenzugriff nie zugestimmt haben. Eines der prominentesten Beispiele: Angreifer konnten das Smartphone von Jeff Bezos per Video infiltrieren und die Kontrolle über das Gerät übernehmen, Daten entwenden, Chat-Verläufe abgreifen, in Chats teilnehmen und falsche Meldungen verbreiten.
   
   
6. Öffentliche WLAN-Verbindungen
   Sind Smartphones in ungesicherten öffentlichen WLAN-Netzen kann dies auch zum Sicherheitsrisiko werden. Über eine Man-in-the-Middle-Attacke können Cyberkriminelle die Kommunikation abhören. Daher sollte die Verwendung von öffentlichen WLAN-Netzwerken möglichst vermieden werden. Eine VPN-Verbindung ermöglicht den sicheren Zugriff auf das Firmennetzwerk. Hierzu auch der Blogartikel zur Informationssicherheit im öffentlichen Raum.

Beim BYOD-Ansatz wird die Kontrolle durch die IT deutlich erschwert. Veraltete mobile Betriebssysteme, gerootete Handys und ausgelassene Sicherheits-Patches machen es fast unmöglich, ein mitgebrachtes Device zu einem wirklich sicheren Bestandteil des Firmennetzwerks zu machen. Im schlechtesten Fall ist der IT nicht einmal bekannt, dass das Gerät überhaupt genutzt wird («Dark BYOD»).

Unternehmensdaten brauchen zusätzliche Barrieren und gleichzeitig soll aber auch eine saubere Trennung von privaten und beruflichen Inhalten die Privatsphäre des Nutzers schützen und die Digital Work-Life-Balance wahren. Hinzu kommt, dass bei einem Austritt aus dem Unternehmen die geschäftlichen Daten auf dem Smartphone entfernt werden müssen, ohne die privaten zu tangieren. All diesen Herausforderungen haben die Smartphone Hersteller bislang nicht ausreichend Bedeutung getragen, deshalb empfiehlt sich der Einsatz von entsprechenden Sicherheitslösungen, wie beispielsweise die BlackBerry Enterprise Mobility Suite.

Trennen Sie Berufliches und Privates

Um berufliche von privaten Daten auf mobilen Endgeräten effektiv zu trennen, empfehlen wir den Einsatz einer Mobile-Device-Management-Software. Solche Tools sind oft Bestandteil eines grösseren Enterprise Mobility Managements (EMM) . EMM sorgt für einen abgetrennten Bereich (Container) auf dem Smartphone. Der Container wird von der IT administriert und überwacht, um die IT-Compliance des Smartphones in Bezug auf Datensicherheit und Datenschutz sicherzustellen. Für den Nutzer bedeutet das, dass er auf seinem Smartphone Unternehmensdaten nur innerhalb einer geschützten und verschlüsselten Umgebung bearbeiten kann. Datenschutzrechtlich kritische Anwendungen wie WhatsApp erhalten zudem keinen Zugriff auf geschäftliche Kontakte. Zudem können Sie über verschiedene Betriebssysteme und Eigentümermodelle hinweg Ihre geschäftskritischen Tools mobilfähig machen – von Microsoft-Anwendungen bis hin zu eigenentwickelten Apps. All dies mit einer sicheren End-to-End-Sicherheit und mit einer ganzen Reihe von Multi-Faktor-Optionen für kritische Apps.

Brauchen Sie Unterstützung bei der Endpoint & Mobile Security?

Private mobile Endgeräte, welche mit dem Firmennetzwerk verbunden werden und über fremde Netze kommunizieren, stellen ein Risiko für Ihre Unternehmenssicherheit dar. InfoGuard bietet Ihnen Lösungen für den umfassenden Schutz Ihrer Endgeräte und für die gezielte User-Sensibilisierung. Nehmen Sie jetzt Kontakt mit uns auf und erfahren Sie mehr über die Möglichkeiten, wie Sie mobile Endgeräte (auch BYOD) sicher in Ihre Unternehmensinfrastruktur einbinden können.