Cyber Checks

Bring Your Own Device richtig umgesetzt – Chancen und Risiken

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren

Weitere Informationen

Warum ist BYOD ein aktuelles Thema?

Firmen kommen nicht ohne Arbeitsgeräte aus. Heutzutage ist dies typischerweise ein Laptop und ein Smartphone, manchmal ein Desktop-PC, wenn mehr Leistung benötigt wird. Also Geräte, die auch privat vorhanden sein müssten. Für viele Unternehmen bietet es sich daher an, eines oder mehrere der benötigten Geräte nicht selbst zu kaufen, sondern Mitarbeiter dazu anzuhalten, ihre eigenen zu verwenden. Am häufigsten ist dies das Smartphone, da einige Angestellte wenig Interesse daran haben, zwei Geräte mit sich herumzuschleppen.

Es gibt eine Reihe von Modellen, die in dieser Hinsicht von Firmen gefahren werden können, wie zum Beispiel COPE (Corporate Owned, Personally Enabled). Dies sind Geräte, die zwar der Firma gehören, aber privat verwendet werden können. Ein weiteres ist CYOD (Choose Your Own Device). In diesem Szenario bekommt der Mitarbeiter Geld von der Firma, um sich ein neues Gerät zu kaufen; dies ist dann auch tatsächlich ein privates Gerät, das jedoch für Firmenzwecke verwendet werden muss. Wenn der Mitarbeiter ein besseres Gerät haben will, kann er selbst die Differenz zahlen.

BYOD-Konzepte sind zwar nicht neu, aber sie erfreuen sich steigender Beliebtheit – und das aus gutem Grund. Für Firmen ist es in erster Linie ein Kostenfaktor. Zudem gibt es noch das Problem, dass Geräte oft nach mehreren Jahren zurückgegeben werden und dann entweder technisch nicht mehr auf einem akzeptablen Stand sind (zum Beispiel ist der Umstieg auf Windows 11 nicht ohne weiteres möglich ohne TPM), oder aber auch durch Abnutzung schlicht zum Wegwerfobjekt werden. Die Reparatur, Aufbereitung oder Entsorgung ist dann wieder ein weiterer Kostenfaktor, der an der Firma hängen bleibt. Letztlich geht es auch um Kosten für mögliche Einschulungen in unbekannte Systeme und Effizienzverluste durch ungewohnte Oberflächen bei Geräten, die den Mitarbeitern fremd sind.

Für die Nutzer stammt die Relevanz aus der Bequemlichkeit heraus. Themen des modernen Berufsalltags wie Remote Work oder Workation bestimmen die Nutzung und die damit geforderten Attribute von Geräten oft mehr als die Büroumgebung. Das Arbeitsgerät ist für viele längst zu einem ständigen Begleiter geworden, denn in der heutigen Zeit will man „mal schnell ein Dokument anschauen“ oder bekommt einen Anruf von einem wichtigen Kunden und muss einfach gewisse Unterlagen zur Verfügung haben. Es ist für viele heutzutage normal geworden, ein kleines mobiles Büro mit in den Urlaub zu nehmen. Alles ist Gepäck und nimmt Platz weg; da will man natürlich jedes unnötige Gerät vermeiden. Auch Themen wie persönliche Herstellerpräferenzen und Eingewöhnung in Betriebssysteme werden durch ein BYOD-Konzept deutlich erleichtert. BYOD kann die Zufriedenheit von Mitarbeitern auch deutlich steigern. Wir alle haben mit den Jahren gewisse Prozesse und Nutzungskonzepte verinnerlicht, ein Umstieg für eine neue bedeutet Dinge neu erlernen, ewiges Verfluchen der „schlechten Systeme“, Unmut über Effizienzverluste und verlangsamte Arbeitszyklen. Dies kann durchaus auch zu einem Sicherheitsrisiko werden: wenn ein System falsch bedient wird, kann dies ein Risiko für die Firma sein. Datenverlust oder ungewollte Manipulation sind dann durchaus mögliche Folgen. Bei vertrauten Systemen haben Nutzer weniger zu beklagen und machen weniger Eingabefehler.

Bei all den positiven Aspekten, die BYOD-Konzepte mit sich bringen, ist natürlich auch vieles zu bedenken, gerade im Rahmen von IT-Sicherheit. Daher ist BYOD ein Thema über das man gut nachdenken sollte.

In diesem Artikel zeigen wir ein paar der Kernthemen auf und veranschaulichen mögliche Lösungsbeispiele. Gerne beraten wir Sie auch direkt, wenn Sie Fragen zu dem Thema haben oder Unterstützung dafür brauchen, ein Konzept auszuarbeiten.

Risiken und Herausforderungen

Als Firma, die sich um Cybersicherheit sorgt, gehen bei dem Thema BYOD zu Recht Alarmglocken an. Geräte, auf denen Nutzer Adminrechte haben, die nicht komplett unter der Kontrolle der Firma liegen, wo private Informationen mit sensiblen Firmeninformationen gemeinsam verarbeitet werden… das alles ist hochgradig bedenklich und muss gut durchdacht werden. In diesem Kapitel wollen wir ein paar der relevantesten Beispiele genauer betrachten. Zum Umgang mit Ihren individuellen Risiken und Herausforderungen zu diesem und anderen Themen rund um IT-Sicherheit beraten wir Sie gerne.

Heruntergebrochen gibt es drei Kategorien von Risiken: technische, organisatorische und rechtliche.

Beispiele für Technische Risiken

Bei den technischen Risiken geht es um die Verwaltung und die Absicherung des Gerätes selbst. Wir betrachten hier folgende Themen:

  • Malware‑Infektionen: Wie kann man ein privates Gerät vor Schadsoftware schützen, wenn der Nutzer selbstmächtig als Administrator auftritt und auch privat genutzte Software installieren kann? Was passiert im Privatgebrauch? Ist zum Beispiel die private Nutzung des Internets kompatibel mit den Sicherheitsanforderungen der Firma, oder werden Seiten angesehen, die vielleicht zu Risiken führen?
  • Ungepatchte oder veraltete Geräte: Wie kann eine Firma sicherstellen, dass die Geräte ordnungsgemäß auf dem erwarteten Patchlevel gehalten werden? Was ist, wenn die private Nutzung im Konflikt steht mit den Erwartungen der Firma? Beispielsweise bei privaten Programmiertätigkeiten, die bestimmte Versionen von Programmiersprachen benötigen
  • Vermischung privater und geschäftlicher Daten: Wie kann ich die Daten sauber und nachvollziehbar trennen? Was passiert, wenn der Zugriff auf die Daten entfernt werden soll, wie kann man garantieren, dass die Daten auch wirklich nicht noch auf dem Laptop verweilen? Was passiert, wenn die Person die Firma verlässt? Wie kann ich sichergehen, dass alle firmenrelevanten Themen auch wirklich vom Gerät entfernt wurden? Wie stelle ich Verschlüsselung sicher?
Beispiele für organisatorische Risiken

Hier geht es darum, wie Firmenprozesse eventuell durch BYOD-Konzepte neu durchdacht werden müssen, da neue Risiken und Themen aufkommen.

  • Beschädigung, Verlust oder Diebstahl von Geräten: Wie muss ein Nutzer sich verhalten, wenn sowohl Firmendaten als auch private Daten vorhanden sind und das Gerät verloren geht? Wenn es privat genutzt wird und im privaten Rahmen verloren geht, etwa auf einer Urlaubsreise? Was ist, wenn das Gerät durch private Nutzung Schaden nimmt?
  • Kontrollverlust über Unternehmensdaten: Wie kann ich sicherstellen, dass Daten nicht noch in einer privaten Cloud liegen oder über private E-Mail-Konten verschickt werden?
  • Schatten-IT: Ein privates Gerät wird in das private Netzwerk eingespeist. Längst sind Smart-Home-Systeme und private Server wie zum Beispiel ein NAS oder private Cloudanbindungen Standard geworden. Wie wird damit umgegangen, dass die Geräte nun in ein unkontrollierbares eigenes Netzwerk integriert werden?
Beispiele für rechtliche und Compliance-Risiken

Auch was Richtlinien und Gesetze angeht, kann ein privat genutztes Gerät Risiken aufweisen.

  • DSGVO / GDPR: Auf privaten Rechner könnten privat genutzte Apps laufen, die gegebenenfalls Datenzugriff auf sensible Firmendaten haben, wie wird damit umgegangen? wie werden die Nutzer versichert, dass privates auch privat bleibt? Wie ist es andersherum mit sensiblen Privatinformationen und Geräteüberwachung?
  • Aufbewahrungspflichten: besonders in den Bereichen HR und Finance müssen Fristen für die Aufbewahrung von Nachweisen eingehalten werden. Wie wird dies sichergestellt?
  • Schwierigkeiten bei Auditierbarkeit: Wenn der Rechner privat verwendet wird, wie kann der Zustand überprüft werden, ohne in die Privatsphäre des Nutzers einzudringen?
  • Unangebrachte Privatdaten: Von Urlaubsfotos mit zu viel Alkohol über Filme und Computerspiele sowie privat genutzte Abbildungen, bis hin zu anstößigen Inhalten kann auch privaten Geräten alles vorhanden sein. Wie wird im jeweiligen Fall damit umgegangen?

Lösungsansätze für ein erfolgreiches BYOD-Konzept

1. Klare Richtlinien (BYOD-Policy)

Bevor ein BYOD-Konzept gestartet wird, muss die Firmenspitze eine durchdachte Richtlinie verabschieden. Diese Richtlinie muss einige Fragen klären. Hier ein paar der wichtigsten Themen, die in jedem Fall bedacht werden müssen:

Thema Was ist zu beachten?
Strategie Als Erstes muss geklärt werden, ob BYOD ein Zugeständnis oder eine Anforderung ist. Dies ist wichtig, da es alle anderen Themen und den Umgang damit stark beeinflusst. Es hat mitunter auch Einfluss auf die Arbeitsverträge.
Welche Geräte sind erlaubt? Wichtig ist, dass Firmensoftware sauber läuft, damit die Mitarbeiter ihre Aufgabe erledigen können. Dies sollte zu 2 Richtlinien führen: einmal eine Orientierung für Mitarbeiter, die die technischen Grundlagen festlegt und einmal eine Klarstellung, dass Behelfslösungen oder Notlösungen nicht/unter bestimmten Bedingungen erlaubt sind. Aufgelistet werden sollten mindestens Hardwareanforderungen und erlaubte Betriebssysteme. Es kann auch Unterschiede zwischen Aufgabenbereichen geben.
Trennung von privat und geschäftlich Es sollte geklärt werden, wie Nutzer private Inhalte und geschäftliche Inhalte trennen sollten. Zwei getrennte Nutzeraccounts können helfen, aber die Frage bleibt, wie es verlässlich umgesetzt werden kann. In vielerlei Hinsicht ist dies auch ein Schulungsthema.

Dies sollte auch Inhalt des Geräteaudits sein.
Notwendige Konfiguration Gewisse Applikationen und Konfigurationen müssen eingehalten werden. Diese sollten detailliert aufgelistet werden, im Idealfall auch gleich mit Erklärung, warum es wichtig ist und wie man es umsetzt. Genauere Details hierzu gibt es in den technischen Maßnahmen.

Dies sollte dann auch Inhalt des Geräteaudits sein.
Nutzung von Apps Es sollte geklärt werden, welche Apps installiert werden müssen und welche nicht installiert werden dürfen.

Dieses Thema kann auch gut in Verbindung gebracht werden mit Sicherheitssystemen. Also, wenn etwas vom gewählten Schutzprogramm erkannt wird, dann darf es nicht installiert werden. Das Thema sollte zumindest in die Schulung einfließen.
Einschränkungen privater Nutzung In Verbindung mit den erlaubten und nicht erlaubten Apps sollte auch generell geklärt werden, inwiefern private Nutzung eingeschränkt werden muss, bis das Gerät nicht mehr im geschäftlichen Kontext verwendet wird. Dies sollte im Zweifel auch geschult werden.
Zuständigkeiten und Verhalten bei Beschädigung, technischen Problemen oder Verlust, Diebstahl Es sollte geklärt werden, wo Verantwortlichkeiten liegen. Besonders wenn eher invasive Applikationen wie Schutzprogramme installiert werden müssen, wollen Nutzer häufig auch Unterstützung bei Problemen. Natürlich muss auch geklärt werden, dass Daten von Geräten gelöscht werden sollten, diese verloren gehen (und sollte es noch möglich sein).

Dies kann auch durchaus als Verkaufsargument genutzt werden, um Angestellten die Einführung von BYOD schmackhafter zu machen: Unterstützung und vielleicht sogar Ersatz bei Problemen mit dem Privatgerät.

In jedem Fall sollte es geschult und kommuniziert werden.
Wie wird damit umgegangen, wenn einzelne Nutzer BYOD ablehnen? Zu guter Letzt muss geklärt werden, was die Alternative ist, wenn Nutzer die Anforderungen nicht erfüllen können oder wollen. Dies wird stark davon abhängen, ob BYOD als ein Zugeständnis oder eine Anforderung behandelt wird.
Ausscheiden aus dem Unternehmen Es sollte geklärt werden, wie sichergestellt werden kann, dass Daten von Geräten entfernt werden, wenn das Gerät oder der Nutzer aus dem Dienst ausscheiden. In kleineren Unternehmen kann es durch ein manuelles Audit umgesetzt werden; in größeren Unternehmen braucht man davor bessere Herangehensweisen. Getrennte Nutzeraccounts können helfen.
2. Technische Maßnahmen

Die Richtlinie sollte auch eine eindeutige Klärung darüber enthalten, was die Firma installieren wird und warum. Die Firma muss sich entscheiden, wie weit sie sich in die Systeme einmischen will. Grundsätzlich empfehlen wir, zumindest Standards für den Geräteschutz zu verlangen.

Sollten nur einige Nutzer in das BYOD-Konzept fallen, so wird empfohlen, diese in der Firma netzwerktechnisch zu segregieren, sollte dies sinnvoll möglich sein.

Thema Was ist zu beachten?
Virenschutz/EDR Die Firma sollte in jedem Fall Kontrolle über mögliche Angriffe auf alle Geräte zentral behalten. Ob Logs eines lokalen Schutzprogramms an einen zentralen Logserver weitergeleitet werden (im Idealfall ein SIEM), oder ob ein spezielles Programm, das von der Firma verwaltet wird, installiert werden muss, sollte geklärt werden. Im ersteren Fall sollte es eine Liste akzeptierter Programme geben, um sicherzustellen, dass die Erkennungsrate und die Anbindungsmöglichkeit an ein SIEM gewährleistet sind.

Viele solche Programme geben keinerlei Auskunft über vorhandene Dokumente und Aktivitäten, die nicht als Gefahr erkannt werden. Dies sollte klargestellt werden und als Verkaufsargument intern verwendet werden.
MDM / MAM (Mobile Device/Application Management) Sehr viel invasiver ist ein MDM oder MAM. Also Applikationen, die dabei helfen, Geräte zentral zu verwalten. Die Kernfrage, die es gilt, hier zu beantworten, ist: wie kann man sicherstellen, dass die Software auf dem Gerät auf dem neuesten Stand ist? Da gibt es unterschiedliche Herangehensweisen, aber keine ist so effizient wie eine zentralisierte Steuerung. Sollte man sich dagegen entscheiden, solche Applikationen zu verwenden, dann bieten sich regelmäßige Audits an.

Ein Problem bleibt dann jedoch: Es ist nicht möglich, manuell alle Applikationen, die auf unterschiedlichen privaten Rechnern vorhanden sein können, zu überprüfen.
Kontainerlösung (Trennung privat vs. geschäftlich) Gerade für Smartphones bietet es sich an, sogenannte Containerlösungen zu nutzen, um eine klare Trennung zwischen Privatem und Geschäftlichem zu erlangen. Leider ist es so, dass Container sich auf unterschiedlichen Betriebssystemen sehr unterschiedlich auswirken. Man sollte dies testen, bevor man es nutzt. Unsere persönlichen Erfahrungen mit diesen Applikationen sind durchwachsen.
VPN oder Zero Trust Network Access (ZTNA) Was für Home-Office gut ist, ist für Geräte, die allgemein auch privat verwendet werden, nicht falsch. Nutzern ein VPN anzubieten hilft, da man so den Traffic des Gerätes weiterhin über die Firmenfirewall schleifen kann, was zumindest grundlegend eine Abgrenzung zu anderen Geräten im privaten Netzwerk und eine firmengerechte Überwachung des Datenstroms so möglich ist.
Passwort Policy Es sollte gewisse Vorschriften geben, wie Gerätepasswörter geschaffen sind, und dies sollte auch auditiert werden, da es ansonsten nur schwer ist, die Einhaltung zu garantieren. Dies muss zumindest Teil der Schulung sein.

Dies ist auch ein wichtiges Schulungsthema.
Geräte Verschlüsselung Das Aktivieren von lokaler Festplattenverschlüsselung sollte in jedem Fall durchgesetzt werden. Es ist einfach umzusetzen und hat eine große Hebelwirkung.
Umgang mit lokalem Administrator Natürlich kann einem Nutzer nicht die Adminrechte auf seinem eigenen Gerät weggenommen werden. Der Umgang hiermit muss geklärt werden. Zumindest sollte der Rechner nicht standardgemäß als Administrator ausgeführt werden, auch Benutzerkontensteuerung (UAC) unter Windows kann zumindest mit dem Security-Aspekt helfen und liefert eine auditierbare Oberfläche. Dies ist auch ein wichtiges Schulungsthema.

Gerne helfen wir Ihnen dabei, individuelle, umsetzbare Kontrollen und Prozesse zu entwickeln, die sich nahtlos in die Sicherheitsstrategie Ihres Unternehmens einfügen. Kontaktieren Sie uns noch heute für ein kostenloses Erstgespräch.

Woran kann die Einführung von BYOD scheitern?

Die Einführung eines BYOD-Programms von Anfang an hat seine Stolpersteine, aber die Einführung in einen laufenden Betrieb kann zu einer echten Herausforderung werden. Zu den relevantesten Hürden gehören nicht nur fehlende Richtlinien, sondern auch Richtlinien, die zu komplex oder kompliziert sind und daher nicht oder nur mit viel Mühe oder Problemen befolgt werden können. Es sollte daher sichergestellt werden, dass Prozesse und Erwartungen an Nutzer entsprechend überdacht werden und laufend neue Erfahrungen und Feedback eingebracht werden, um die Richtlinien zu verbessern.

Die Richtlinien sollten durch entsprechende regelmäßige Schulungen kommuniziert werden. Diese Schulungen haben die Aufgabe, die Prozesse den Nutzern näher zu bringen. Der Fokus sollte dabei darauf liegen, den Nutzern zu zeigen, was genau von ihnen zu erwarten ist, wie Kommunikationsstrukturen aussehen und was erlaubt und nicht erlaubt ist. Wichtig ist dabei besonders, die technische Umsetzung für Nicht-Techniker zu erklären. Es lohnt sich auch, im Zuge der Schulungen Feedback einzuholen.

Ein weiteres wichtiges Thema ist technische Unterstützung. Viele unterschiedliche Geräte mit unterschiedlichen Konfigurationen und Programmen können eine IT-Abteilung schnell überfordern, da schnelle Standardlösungen wie ein neues Aufsetzen per Image bei Geräten, auf denen private Daten liegen, nicht möglich sind. Zudem fehlen möglicherweise zentralisierte Hilfsprogramme wie eine Domänenanbindung oder ein einheitliches Mobile Device Management (MDM), die für eine effiziente Unterstützung der Nutzer durch die IT-Abteilung unerlässlich sind. Dies muss mit bedacht werden, wenn die Richtlinien geschrieben werden.

Es ist wichtig anzuerkennen, dass die Einführung von BYOD nicht nur ein technisches Projekt ist. CyRiSo unterstützt Sie gerne dabei, diese und andere Hürden frühzeitig zu erkennen und Strategien zu entwickeln, um diese aus dem Weg zu räumen. Kontaktieren Sie uns noch heute für ein kostenloses Erstgespräch.

 Ein paar Tipps für die erfolgreiche Einführung eines BYOD-Konzepts in eine Firma

Damit die Einführung eines solchen Konzepts so sauber wie möglich abläuft, ist es wichtig, von Anfang an alle Schritte transparent mit allen Mitarbeitern zu kommunizieren.

Gerade bei größeren Unternehmen lohnt es sich, Gruppen zu definieren und mit einem Teilbereich anzufangen. Dies hilft dabei, den generellen Betrieb am Laufen zu halten, während Richtlinien, Erwartungen und Prozesse in Ruhe angepasst werden können.

Es ist auch relevant, IT, HR und die Rechtsabteilung von Anfang an mit einzubeziehen, um sicherzustellen, dass Prozesse und Richtlinien praktisch und gesetzlich umsetzbar sind. Es ist auch wichtig, um die unterschiedlichen Dokumentationen und Kommunikationswege von Anfang an in die richtigen Hände zu legen.

Um sicherzustellen, dass die Umsetzung auch aufrechterhalten wird, sollten Kernfaktoren definiert werden, die in kleinen, aber regelmäßigen Sicherheitsreviews betrachtet werden können. Dies kann stichprobenartig oder allgemein durchgeführt werden.

BYOD als Chance, wenn Sicherheit stimmt

BYOD kann Produktivität steigern, Kosten senken und Mitarbeiterzufriedenheit steigern – wenn Sicherheit, Prozesse und Compliance von Beginn an berücksichtigt werden. Es gibt Hürden und Themen, die Unternehmen für sich klären müssen – aber wenn ein BYOD-Konzept korrekt umgesetzt wird, bringt es viel Positives. Für junge Unternehmen ist BYOD eine gute Möglichkeit, schnell zu starten und viele Themen schnell aufzubauen. Hier braucht man eine Strategie, die auf Flexibilität setzt und Richtlinien und Sicherheit sollten mit diesen Grundideen im Hintergrund auch entsprechend angepasst werden. Gerne helfen wir Ihnen dabei ein passendes Konzept aufzubauen.

Call to Action

Wenn Sie mehr über BYOD-Konzepte erfahren wollen, dann zögern Sie nicht, uns für ein kostenloses Erstgespräch mit unseren Experten zu kontaktieren.

Schauen Sie auch bei unserer Cyber-Check-Plattform auf cyriso.io vorbei, um einen unserer kostenlosen Checks selbst durchzuführen oder sich von einem Experten begleiten zu lassen.

Das könnte Sie auch interessieren

Weitere Beiträge