BYOD: »Bring Your Own Device« bleibt ein Sicherheitsrisiko

Illustration: Absmeier Geralt

Der Homeoffice-Trend hat auch zu einem BYOD-Boom geführt. Doch welche Folgen hat das für die IT-Infrastruktur in den Unternehmen? Und was sagt eigentlich die DSGVO dazu? Die Frage nach einer weiteren Nutzung des »Bring Your Own Device«-Prinzips ist heute durchaus berechtigt.

»Bring Your Own Device« (BYOD) beziehungsweise »Bring dein eigenes Gerät mit« war für die meisten Unternehmen und IT-Leiter lange ein Schreckgespenst, das sie nicht in den von ihnen kontrollierten Umgebungen sehen wollten. Das hat sich seit Beginn der Corona-Pandemie sogar in zahlreichen kleinen und mittleren Unternehmen (KMUs) geändert. Innerhalb kürzester Zeit mussten viele ihrer Mitarbeiter statt wie bisher im Büro nun im Homeoffice den Großteil ihrer beruflichen Aufgaben erledigen.

Anzeige

 

Aber nur die wenigsten Betriebe waren auf diese Veränderungen gut vorbereitet. Sie hatten weder eine ausreichende VPN-Umgebung parat noch die für die Arbeit in den heimischen vier Wänden benötigte Hard- und Software. Gerade Hardware war in dieser Situation schnell vergriffen, auch weil die Lieferketten empfindlich gestört waren durch weltweite Lockdowns. Aus der Not heraus mussten viele Angestellte daher auf ihre privaten Endgeräte zurückgreifen, um überhaupt weiterarbeiten zu können. Die Nutzung von BYOD hat sich in dieser Zeit erheblich ausgebreitet.

 

Was IT-Leitlinien zur sicheren BYOD-Nutzung empfehlen

Im Sommer 2020 führte der IT-Sicherheitsanbieter Trend Micro weltweit Interviews mit 13.200 Remote-Arbeitern in 27 Ländern durch. 504 von ihnen fanden in Deutschland statt. Fast jeder zweite der hierzulande Befragten gab an, dass er »häufig oder immer« von einem persönlichen Gerät aus auf Firmendaten zugreift. International sind es »nur« 39 Prozent. Nun ist Mitte März 2022 in Deutschland die Pflicht zur Homeoffice-Nutzung wieder gefallen. Trotzdem arbeitet jeder vierte Arbeitnehmer weiterhin vor allem von daheim aus. Im April 2022 waren es laut Münchner Ifo-Institut immer noch 24,9 Prozent. Im Monat davor zählte das Marktforschungsinstitut 27,6 Prozent. Es kam zwar zu einem Rückgang, aber der fiel relativ gering aus.

Es bleibt das Problem, dass immer noch viele private Endgeräte in den Unternehmen zum Einsatz kommen. Die IT-Abteilungen stehen deshalb auch heute noch vor der Aufgabe, diese Hardware in ihre IT-Sicherheitsstrategien einzubinden. Die Wirtschaftskanzlei Freshfields Bruckhaus Deringer hat deshalb Leitlinien für einen sicheren Umgang mit den Themen Homeoffice und BYOD veröffentlicht, die dabei behilflich sind. Zu ihnen gehören allgemeine Tipps, wie öffentliche WLANs zu meiden oder auch zu Hause keine vertraulichen Dokumente herumliegen zu lassen.

Für private, aber auch beruflich genutzte Endgeräte kommen aber noch ein paar gezieltere Hinweise hinzu. So sollten sie mit einem Passwort gesichert sein, das unbefugte Zugriffe verhindert. Außerdem sollten alle erforderlichen und empfohlenen Sicherheits-Updates installiert sein. Von der Nutzung privater Speichermedien wie USB-Sticks zur Aufbewahrung betrieblicher Informationen raten die Autoren ab. Zudem empfehlen sie, mit den Kollegen nur über sichere Kanäle zu kommunizieren und die IT-Abteilung sofort zu informieren, sollte das verwendete Endgerät gestohlen, verloren gegangen oder kompromittiert worden sein.

 

Wie die Absicherung der Remote-Verbindungen gelingt

Nicht auf der Liste stehen jedoch Hinweise zur Absicherung von Fernverbindungen. Dabei haben sie eine besondere Bedeutung, wenn es um den Einsatz privater Hardware im geschäftlichen Umfeld geht. Nicht ausreichend abgesicherte Remote-Access-Verbindungen sind wie offene Hintertüren ins Firmennetz. Sie ermöglichen es Cyberangreifern, in das Netz einzudringen und sich von dort aus weiter auszubreiten. So richten sie schnell immensen Schaden an.

Abhilfe versprechen moderne VPN-Lösungen mit zentralem Management. Sie haben mehrere Vorteile, die wir im Folgenden kurz skizzieren:

  • Single Point of Administration: Dieser sorgt dafür, dass auch schnell wachsende Netze nicht zu komplex für einen sicheren und effizienten Betrieb werden.
  • Produktivitätssteigerungen: Zentral gesteuerte Lösungen befreien IT-Mitarbeiter und -Administratoren von sich wiederholenden Routineaufgaben, die ansonsten wertvolle und knappe Zeit fressen.
  • Kosteneinsparungen: Sie ergeben sich aus damit durchführbaren Maßnahmen wie vereinfachten Roll-outs der VPN-Clients sowie der benötigten Zertifikate.
  • Investitionsschutz: Gute Lösungen zum Management von VPN-Verbindungen lassen sich in bestehende Infrastrukturen einbinden. Bislang bereits getätigte Investitionen bleiben so erhalten.
  • BYOD-Unterstützung: Last, but not least sollte das zentrale Management eine Vielzahl unterschiedlichster Geräte mit diversen anzutreffenden Hard- und Software-Umsetzungen unterstützen.

 

Wo bei BYOD rechtliche Fallstricke durch die DSGVO drohen

Neben technischen Fragen spielen auch rechtliche Aspekte bei der BYOD-Nutzung eine Rolle. Die Webseite Dr. Datenschutz beschäftigt sich damit, was geschieht, wenn es zu einem Sicherheitsvorfall kommt und zu seiner Aufklärung ein beteiligtes, aber privat genutztes Endgerät untersucht werden soll. Die Frage ist durchaus berechtigt. Die Datenschutz-Grundverordnung (DSGVO) gibt vor, dass sicherheitsrelevante Vorfälle zügig und umfassend aufzuklären sind. Außerdem müssen Maßnahmen ergriffen werden, damit sie sich nicht wiederholen. Bei einem privat genutzten Gerät gelingt das nur schwer.

Laut Dr. Datenschutz besteht nämlich keine Pflicht des Arbeitnehmers, sein privates Gerät herauszugeben. Deshalb sollten zu verarbeitende Informationen nur auf den Netzlaufwerken des Unternehmens gespeichert sein. Per Notzugang lassen sich dann eventuell noch vorhandene dienstliche Inhalte aus der Ferne löschen. Außerdem empfiehlt die Seite den Abschluss einer »tauglichen Nutzungsvereinbarung«. Ist der Mitarbeiter nicht bereit, diese zu unterschreiben, dann müsse ihm eben doch ein dienstliches Gerät zugewiesen werden. Nur so lasse sich die von der DSGVO geforderte Freiwilligkeit der Entscheidung garantieren. Letztlich sollten sich Unternehmen genau überlegen, ob die potenziell eingesparten Kosten, die eine BYOD-Nutzung mit sich bringt, die Nachteile auch wirklich aufwiegen.

 

Welche Probleme durch die private Nutzung von Arbeitsrechnern entstehen

Auch die umgekehrte Situation, also die private Nutzung eines von der Firma bereitgestellten Computers, kommt seit Beginn der Pandemie häufiger vor. Das geht sogar so weit, dass manche Mitarbeiter ihren Arbeits-Laptop nach Angaben von Trend Micro zur Betrachtung pornografischer Inhalte missbrauchen. Rund acht Prozent der von dem Sicherheitsanbieter befragten Personen gaben dies offen zu. Ungefähr die gleiche Zahl tummelt sich auch zumindest gelegentlich im Darkweb.

Nach Ansicht des Arbeitsrechtsexperten Bert Howald kann das »üble Konsequenzen« haben. Er empfiehlt darum Arbeitnehmern, sich zu informieren, was erlaubt ist und was nicht. »Diese Vorgaben sollten sie peinlich genau einhalten, ansonsten begeben sie sich in eine gefährliche Grauzone, in denen eine Arbeitsvertragsverletzung droht«, so Howald in einem Beitrag für die Stellenbörse Monster.de.

 

Fazit

Wie man es auch dreht und wendet: BYOD bleibt ein zweischneidiges Schwert. Einerseits war die Nutzung privater Notebooks und anderer Hardware in den Anfangszeiten der Pandemie nahezu alternativlos. Das hat sich aber geändert. Jedes Unternehmen sollte sich nun genau überlegen, ob es die damit zusammenhängenden Risiken noch tragen will und welche Schritte es gegebenenfalls einleiten muss, um für die Sicherheit seiner Daten zu sorgen. Eine Möglichkeit besteht darin, zumindest die genutzten Fernverbindungen mit einer zentralen VPN-Management-Lösung sicher zu verwalten. Aber auch das ist nur ein erster Schritt in einer umfassenden Sicherheitsstrategie.

Jetzt mehr erfahren über zentral gemanagte VPN-Lösungen!

 

Textquelle: https://www.vpnhaus.com/de/2022/byod-warum-private-endgeraete-ein-sicherheitsrisiko-sind