Bring your own Device: Vorteile und Risiken von BYOD
Das Einbinden von privaten Endgeräten in die technischen Abläufe des Arbeitslebens nennt sich „Bring your own Device“ – oder kürzer: BYOD. Ein praktischer Trend, auch für die Seite des Unternehmens, denn bringen die Mitarbeiter ihre eigenen Geräte mit, müssen sie nicht erst im Unternehmen angeschafft werden. Doch auch dieser Trend birgt Gefahren: Der Datenschutz muss gewahrt, technische Aspekte berücksichtigt werden. Wir klären auf, welche Vorteile und Risiken durch BYOD entstehen.
Bring your own Device: Das spricht für BYOD
Die Geräte, die Mitarbeiter mit an ihren Arbeitsplatz nehmen, reichen vom USB-Stick übers Notebook bis hin zu Smartphone oder Tablet. Auch das Mitbringen von IoT-Geräten geschieht immer häufiger: Die Smartwatch und der Fitness-Tracker sind genauso dabei wie der E-Reader für die Mittagspause. Eine der aktuellsten Studien zur Thematik kommt aus dem Hause bitglass. Der Cloud-Security-Anbieter führte Anfang des Jahres eine Studie durch, die aufzeigte, dass die meisten Arbeitgeber, nämlich 74 Prozent, ihren Mitarbeitern das Mitbringen eigener Geräte gestatten.
Eine interessante Entwicklung, denn noch im November 2013 führte NetMediaEurope im Auftrag von Intel eine ähnliche Befragung bei 408 CIOs sowie IT-Managern in einigen europäischen Ländern durch. Das Ergebnis: 94 Prozent der befragten Unternehmen in Deutschland lehnte das Nutzen privater Geräte seinerzeit noch ab.
Mittlerweile ist es in vielen Unternehmen normal, dass Mitarbeiter auch ihre eigenen Geräte in den Arbeitsalltag einbinden. Es sprechen in der Tat diverse Gründe dafür, BYOD im Unternehmen anzuwenden:
- Kostenersparnis: Bringen Mitarbeiter ihre eigenen Geräte mit, sparen sich Unternehmen die Kosten für die teure Anschaffung moderner Geräte.
- Produktivität durch Einfachheit: Mitarbeiter kennen ihre eigenen Geräte sehr gut, können mit ihnen umgehen und sind sicher im Handling. Das steigert die Produktivität und verhindert das Buchen teurer Software-Schulungen.
- Zugriff von überall: Sind die Geräte ins Unternehmensnetzwerk eingebunden, können Mitarbeiter auf die Unternehmens-IT-Infrastruktur zugreifen. Das erleichtert etwa die Arbeit des Vertriebs, der sich von unterwegs Notizen machen möchte, oder erlaubt es, Mitarbeitern Home-Office-Tage einzuräumen. BYOD kann also Flexibilität und Mobilität eines Unternehmens steigern.
- Mitarbeiterzufriedenheit: Tatsächlich beziehen sich mehrere BYOD-Studien darauf, dass das Konzept „Bring your own Device“ die Zufriedenheit von Mitarbeitern steigert. Zufriedene Mitarbeiter sind produktiver.
Die Risiken von BYOD
Die oben verlinkte Studie von bitglass zeigt nicht nur, dass in über 70 Prozent Unternehmen mit dem Einsatz privater Geräte einverstanden sind, sondern sie führt auch Erschreckendes zutage: 47 Prozent der Befragten – also fast die Hälfte – erklärten, ihr Arbeitgeber hätte keine BYOD-Sicherheitsrichtlinie oder sie wüssten nicht, ob eine solche Richtlinie existiert. Das ist fatal, denn damit wird die komplette IT-Infrastruktur des Unternehmens unnötig Gefahren ausgesetzt.
Ohne Sicherheitsrichtlinie stöpseln Mitarbeiter ihre Smartphones an den Firmenrechner, ohne sich der Risiken bewusst zu sein. Werden Privatgeräte auf diese Art im Unternehmen eingebunden, entziehen sie sich dem IT-Management und es entsteht eine sogenannte Schatten-IT. Ein realistisches Beispiel-Szenario soll dies verdeutlichen:
Eine Schadsoftware hat sich auf dem Smartphone eines Mitarbeiters eingenistet. Der Mitarbeiter greift über dieses nicht mehr sichere Smartphone aufs Intranet zu, um sich Informationen zu holen, die er für seine Arbeit benötigt. Durch den Trojaner können Cyberkriminelle die Tastatureingaben des Mitarbeiters mitlesen. So erhalten diese Zugriff auf die Kontaktdaten, die Kennwörter, die Anruflisten etc. Die Schadsoftware könnte auch dafür genutzt werden, Daten zu verfälschen oder zu löschen.
Veraltete Betriebssysteme auf den Geräten bergen Gefahren, genauso wie genutzte Apps. Nicht nur systemeigene und lokal ausgeführte Anwendungen (Apps) sind in aller Regel installiert, sondern womöglich auch Cloud-Apps oder Apps für andere Dienstleistungen. Die Rechte, die Apps einfordern, sind oft weitreichend. So kann es sein, dass Apps komplette Adressbücher an Server übertragen, die wer weiß wo stehen.
Ein IT-Sicherheitskonzept mit einer BYOD-Richtlinie ist also unumgänglich, wenn private Geräte sicheren Einsatz in Unternehmen finden sollen. Für Updates sowie alle relevanten Sicherheitsmaßnahmen (Passwort-Sicherheit, Backups etc.) müssen klare Verantwortlichkeiten gesetzt werden. Es gilt, die Privatsphäre des Mitarbeiters zu wahren, jedoch auch Transparenz walten zu lassen – eine schwierige Mischung, die erneut zeigt, dass eine Richtlinie Pflicht ist. Selbstverständlich muss es dazu gehören, das Einhalten dieser Richtlinie ebenfalls zu kontrollieren. Einige Punkte, die Sie in Ihre Richtlinie einarbeiten können, wären beispielsweise:
- Zwei-Faktor-Authentifizierung (2FA): Neben der SIM-Karten- sollte auch eine Bildschirmsperre am Smartphone eingerichtet sein, um im Handy gespeicherte Informationen zu sichern. Solch ein zweiter Faktor könnte ein geheimes Passwort (Faktor: Wissen) oder auch ein Fingerabdruck oder die menschliche Stimme sein (Faktor: biometrische Charakteristika).
- Virtual Private Network (VPN): Die Integration des Geräts in die unternehmenseigene Infrastruktur kann nur erfolgen, wenn der Mitarbeiter per VPN auf Unternehmensdaten zugreift.
- Virenscanner: Auf jedem Mobilgerät ist ein Virenscanner Pflicht.
- Zugangssperren: Mitarbeiter erhalten grundsätzlich nur auf jene Informationen Zugriff, die sie zur Arbeit benötigen. Das gilt auch und insbesondere für den Zugriff über Mobilgeräte.
- Update-Politik: Alle Apps, aber auch das Betriebssystem haben immer auf dem neusten Stand zu sein. Updates werden sofort, idealerweise automatisch eingespielt bzw. nach einer Prüfung durch die IT-Abteilung, sodass keines übersehen werden kann.
- Trennung von Arbeit & privat: Sinnvoll ist es, Smartphones und Tablets in einen Privat- und einen Arbeitsbereich zu unterteilen. Dank Desktop-Virtualisierung lässt sich jedes Mobilgerät in diese zwei Bereiche teilen. Unternehmensdaten lagern ausschließlich im firmeneigenen Rechenzentrum. Sollten versehentlich Daten lokal auf dem Mobilgerät gespeichert worden sein, kann die IT-Abteilung diese über ihren Fernzugriff löschen. Eine solche Fern- oder Notlöschung ist ohnehin empfehlenswert, falls ein Gerät gestohlen werden sollte.
- Prozess des Mitarbeiteraustritts: Wenn Mitarbeiter einmal das Unternehmen verlassen, muss sichergestellt sein, dass die IT-Abteilung alle Zugangsrechte sperrt und die Unternehmensdaten von den BYOD-Geräten der ehemaligen Mitarbeiter entfernt werden. Personenbezogene Daten (z. B. Kundenlisten) müssen dann auch von den Geräten gelöscht werden, um die Vorschriften der Datenschutz-Grundverordnung (DSGVO) zu erfüllen.
- Verschlüsselung (Kryptografie): Festplatten von Mobilgeräten sowie der Inhalt ganzer Tablets und Smartphones kann zusätzlich verschlüsselt werden.
Arbeitsrechtliche Aspekte sollten ebenfalls beleuchtet werden. Hier gilt es insbesondere, das Kontrollrecht des Unternehmens mit der Privatsphäre des Arbeitnehmers überein zu bringen. Schriftliche Zusatzregelungen geben Sicherheit sowohl für die Unternehmen als auch für ihre Mitarbeiter.
BYOD: Lohnt sich das?
Bring your own Device bedeutet nicht: Mitarbeiter bringen unkontrolliert Smartphones, Speichermedien oder Tablets mit und agieren sorglos mit ihnen. Um BYOD wirklich ins Unternehmen zu integrieren, sind entsprechende Richtlinien als Ergänzung der IT-Sicherheitsstrategie unumgänglich. Erst, wenn alle Sicherheitsbedenken weitgehend ausgeräumt werden konnten, können die Vorteile von BYOD für Unternehmen und Mitarbeiter greifen.
Und vielleicht gibt es bald einen neuen Trend: Weg von BYOD, hin zu LYOD. LYOD steht für „Leave your own Device“. In einigen Unternehmen erhalten die Mitarbeiter beispielsweise Tablets gestellt. Das erfüllt den Wunsch der Mitarbeiter, mit neuen Geräten zu arbeiten, entspricht jedoch auch den Sicherheitsansprüchen des Unternehmens, wenn dadurch eine sichere, effizient arbeitende und allgemein akzeptierte IT-Umgebung geschaffen wird und dadurch der Datenschutz und die Datensicherheit gestärkt wird.
Wie handhaben Sie das in Ihrer Organisation: Dürfen Mitarbeiter eigene Geräte mitbringen oder verfolgen Sie eher den Ansatz, Ihren Mitarbeitern Geräte zu stellen, die auch privat Anwendung finden dürfen? Wenn Sie BYOD in Ihrem Unternehmen umsetzen, welche Punkte in Ihrer Sicherheitsrichtlinie empfinden Sie als besonders wichtig? Wie klappt die Umsetzung von BYOD oder LYOD bei Ihnen? Kommen Sie mit uns ins Gespräch – wir freuen uns über Ihre Erfahrungen in den Kommentaren!