BYOD bedeutet „Bring Your Own Device“ und meint, dass Mitarbeiter ihre eigenen Geräte wie Smartphones, PCs oder Tablets für die Arbeit nutzen und auf Firmendaten zugreifen können. Laut verschiedener Studien ist dies weit verbreitet, mehr als die Hälfte der Unternehmen und über 70 % der Mitarbeiter nutzen persönliche Geräte am Arbeitsplatz. Da private Geräte aber weniger stringent behandelt werden, was Update und Patches bzw. den Nutzerkreis (Familie) angeht, stellen diese ein optimales Sprungbrett für Cyberkriminelle in ein Unternehmensnetzwerk dar.
Datenlecks und -verluste
Wenn Mitarbeitende persönliche Geräte am Arbeitsplatz verwenden, kann jeder Zugriff auf das Unternehmensnetzwerk ein Risiko darstellen – unabhängig davon, ob Routinetätigkeiten wie das Einloggen in ein dienstliches E-Mail-Konto oder sensiblere Aktivitäten wie die Einsicht in Finanz- oder Personalakten durchgeführt werden.
Angreifer können sich Zugang zu einem verlorenen oder gestohlenen Gerät verschaffen oder ein Gerät über Phishing oder Malware kompromittieren, während es sich noch im Besitz des Mitarbeiters befindet. An diesem Punkt haben Angreifer drei Hauptoptionen, um Schaden anzurichten:
- Diebstahl von lokal auf dem Gerät gespeicherten Daten
- Verwendung der auf dem Gerät gespeicherten Anmeldeinformationen für den Zugriff auf das Unternehmensnetzwerk
- Zerstörung der Daten auf dem Gerät
Die zweite Option ist besonders gefährlich, da ein kompromittiertes Konto zunächst den Anschein erwecken kann, ein legitimer Benutzer zu sein, der auf Unternehmenssysteme zugreift. Die dritte Option kann durch Cloud-Backup-Systeme entschärft werden, aber nur, wenn diese sorgfältig eingerichtet werden, da sie sonst ebenfalls zu einem Angriffsvektor werden können.
Geräteinfektion
Smartphones werden häufig mit Malware infiziert, in den meisten Fällen sind sich die Smartphone-Benutzer jedoch nicht bewusst, dass ihr Telefon infiziert ist. Noch besorgniserregender ist die Tatsache, dass Benutzer von Mobiltelefonen, die eine große Anzahl von Anwendungen installieren und diese nur gelegentlich verwenden, möglicherweise unvorsichtig mit den Nutzungsbedingungen oder den Berechtigungen umgehen, die sie neuen Anwendungen gewähren.
Bei Desktop- oder Laptop-Computern stellen Schwachstellen im Betriebssystem das größte Risiko dar. Die meisten Benutzer aktualisieren ihr Betriebssystem nicht sorgfältig mit den neuesten Sicherheits-Patches. Eine der ersten Prioritäten bei jedem BYOD-Programm ist es, das aktuelle Betriebssystem auf den Geräten der Mitarbeitenden zu identifizieren und sicherzustellen, dass sie die neuesten Updates anwenden.
Und schließlich wird Antivirensoftware von den Nutzern auf ihren privaten Geräten ungleichmäßig eingesetzt. Einige Geräte sind möglicherweise überhaupt nicht geschützt, während andere durch kostenlose oder unbekannte Antivirenprogramme von zweifelhafter Wirksamkeit geschützt werden.
Vermischung von privater und geschäftlicher Nutzung
Bei BYOD ist es unvermeidlich, dass Mitarbeitende mit demselben Gerät sowohl berufliche als auch private Aufgaben erledigen. Ihr Unternehmen hat keine Kontrolle über den Besuch von Websites, die bösartig oder kompromittiert sein könnten, oder die Installation fragwürdiger Anwendungen. Die Geräte können von den Kindern des Mitarbeiters oder anderen Mitgliedern des Haushalts verwendet werden und können für die Verbindung mit ungesicherten drahtlosen Netzwerken genutzt werden – die Liste der potenziellen Bedrohungen ist endlos.
Compliance
Gemäß § 99 Urheberrechtsgesetz (UrhG) ist das Unternehmen eigenständig und verschuldensunabhängig verantwortlich, wenn Arbeitnehmende ein Urheberrecht verletzen. Dies könnte z. B. dadurch verletzt werden, dass Arbeitnehmende im Rahmen des BYOD-Modells eine Software beruflich einsetzen, die privat erworben wurden. Diese wäre damit allerdings nur für die private Nutzung lizenziert. Trotzdem wäre das Unternehmen persönlich hierfür haftbar. Und zwar dann, wenn nicht sichergestellt ist, dass ernsthafte und geeignete Schutzvorkehrungen getroffen worden sind, um Urheberrechtsverletzungen zu verhindern.
Um diese Risiken zu minimieren, ist es wichtig:
- Mitarbeitende aufzuklären: Durch Schulungen und Richtlinien sollten Mitarbeiter verstehen, welche Maßnahmen sie ergreifen können, um die Sicherheit ihrer Geräte zu gewährleisten.
- Trennung von persönlichen und geschäftlichen Daten: Es ist wichtig, klare Richtlinien zu haben, wie persönliche und geschäftliche Daten auf den Geräten getrennt werden können, um Datenlecks zu vermeiden.
- Sichere Netzwerkverbindung: Mitarbeiter sollten aufgefordert werden, sich nur über sichere Netzwerke zu verbinden und VPNs zu verwenden, um sicher auf das Unternehmensnetzwerk zuzugreifen.
BYOD bietet viele Vorteile für Mitarbeiter, erfordert aber auch klare Richtlinien und Schulungen, um potenzielle Risiken zu minimieren und die Sicherheit der Unternehmensdaten zu gewährleisten.