CyberInsights
Der Blog rund um
Ihre Datensicherheit

BYOD: Chancen und Risiken für Unternehmen von „Bring your own Device”

DGC Cyberinsights Blog - BYOD - Bring your own device

Mit der verstärkten Remote-Arbeit aus dem Home-Office während der anhaltenden Pandemie hat sich auch der Einsatz privater Endgeräte mehr und mehr etabliert. Auch wenn diese Lösung für Unternehmen und Angestellte zunächst hilfreich erscheint, birgt das Konzept einige Risiken und Gefahren für die IT-Sicherheit. Wir zeigen Ihnen, wie sich der Einsatz eigener technischer Geräte mit der Wahrung von Datensicherheit vereinbaren lässt und worauf Unternehmen achten müssen.

„Bring your own Device” kurz erklärt

„Bring your own Device“ – kurz BYOD – bezeichnet ein Konzept aus dem IT-Bereich: Hierbei wird Mitarbeitenden erlaubt, eigene technische Geräte wie Laptops und Smartphones im Geschäftsalltag zu nutzen. Dabei ist es ihnen selbst überlassen, ob sie das Angebot annehmen möchten, etwa weil sie privat ein anderes Betriebssystem bevorzugen, oder ob sie weiterhin die vom Unternehmen bereitgestellte Hard- und Software nutzen. BYOD ist somit als eine Ergänzung zu sehen und stellt keine Verpflichtung dar, außerdem liegt es an den Mitarbeitenden selbst, die Kosten für die privaten Geräte zu tragen. Damit beide Seiten von BYOD profitieren und die Vorteile effektiv für sich nutzen können, müssen zunächst einige Sicherheitsvorkehrungen getroffen werden. Dazu gehört, die entsprechende Software auf die Geräte aufzuspielen, gesicherte Zugänge einzurichten und die Sicherheitseinstellungen anzupassen. So wird dafür gesorgt, dass das Risiko für Schatten-IT , also Soft- und Hardware, die an der IT-Abteilung vorbei ins Unternehmen eingeführt wird, möglichst gering ausfällt und alle Geräte ausreichend geschützt werden. Außerdem werden so potenzielle Sicherheitslücken von Vornherein vermieden.

Was Sie beim Thema Datensicherheit beachten sollten

Durch den Zugriff auf empfindliche Unternehmensdaten von privaten Endgeräten entstehen nicht selten Gefahren für die IT-Sicherheitslage eines Unternehmens. Prinzipiell kann jedes digitale Gerät, das über eine Netzwerkverbindung verfügt, ein Risiko für die IT-Sicherheit darstellen – ob aktuelle genutzte Hard- und Software oder Altgeräte, die sich noch im Netzwerk befinden. Private Geräte, die bei BYOD zum Einsatz kommen, sind dabei nur eingeschränkt kontrollierbar: Schließlich werden sie weiterhin auch in unternehmensfremden Netzwerken und für private Zwecke genutzt. Dadurch erhöht sich das Risiko für Schadsoftware wie Rootkits und gespeicherte Firmendaten laufen gegebenenfalls eher Gefahr, von Cyberkriminellen abgegriffen zu werden. Deshalb sollten Unternehmen, noch bevor sie die Nutzung von Fremdgeräten erlauben, ein umfassendes Sicherheitskonzept erarbeiten. In diesem können sämtliche Sicherheitsrichtlinien für den Umgang festgehalten werden, damit das Konzept „Bring your own Device“ erfolgreich eingeführt werden kann und dabei möglichst alle Risiken frühzeitig minimiert werden.

BYOD vs. COPE – Chancen und Risiken aus Unternehmensperspektive

Neben BYOD gibt es weitere Konzepte wie zum Beispiel „Corporate owned personally enabled“ (COPE): Hierbei dürfen Mitarbeitende die gestellten Endgeräte des Unternehmens auch privat nutzen. Bei BYOD ergeben sich jedoch für Unternehmen und Arbeitnehmer einige nicht zu unterschätzende Vorteile.

Vorteile von BYOD

  • Für Mitarbeitende: Mit dem eigenen Gerät sind Arbeitnehmer meist nicht nur vertrauter und sicherer im Umgang, häufig sind die privaten Geräte auch leistungsfähiger als veraltete Firmengeräte. Aufgrund der Tatsache, dass sich eigene Endgeräte ohnehin zuhause befinden, gestaltet sich das mobile Arbeiten nach dem BYOD-Konzept besonders flexibel.
  • Für Unternehmen: Der größte Vorteil für Unternehmen liegt in der Kosteneinsparung, da die Anschaffungskosten für Endgeräte wegfallen. Durch die erhöhte Flexibilität der Mitarbeitenden ergibt sich auch für die Geschäftsführung ein mobileres Arbeitsumfeld: Meetings sind kurzfristiger planbar und können ortsunabhängig stattfinden, ohne dazu eine Vielzahl an benötigten Geräten bereitstellen zu müssen. Im Idealfall führt eine durch das mobile Arbeiten herbeigeführte höhere Mitarbeiterzufriedenheit zu einer langfristigen Bindung an das Unternehmen.

Nachteile und Gefahren von BYOD

Wo unterschiedliche Endgeräte und Betriebssysteme aufeinandertreffen, steigt die Heterogenität und Komplexität der IT-Landschaft. Daraus entstehen weitere Risiken in Bezug auf die Cybersicherheit. Neben Folgen wie Datenverlust und Hackerangriffen gibt es auch rechtliche Konsequenzen, wenn Unternehmen mit ihrem BYOD-Konzept die in Deutschland geltende Datenschutz-Grundverordnung (DSGVO) verletzen. So dürfen gemäß DGSVO beispielsweise keine firmeninternen Daten auf privaten Geräten gespeichert werden, ohne für deren Schutz zu sorgen. Unternehmen sind daher gut beraten, entsprechende Maßnahmen zur Absicherung zu ergreifen. Die Einrichtung einer verschlüsselten Cloud ist also sinnvolle Voraussetzung für ein erfolgreiches BYOD-Konzept, ebenso wie die Installation umfassender Virenscanner-Softwares auf jedem Endgerät.   

Lösungen für ein sicheres BYOD-Konzept

Um ein sicheres BYOD-Konzept zu entwickeln, sind bei der Erstellung einige wichtige Aspekte zu beachten:

1. Firmeninterne Sicherheitsrichtlinien

Mit der Etablierung einer firmeninternen Sicherheitsrichtlinie können Unternehmen den wachsenden Anforderungen an die Datensicherheit gerecht werden. Ziel sollte es sein, wesentliche Fragen hinsichtlich des Umfangs von „Bring your own Device“ im Unternehmen zu klären:

  • Welche Arten von Endgeräten (Smartphones, Tablets, Laptops, Drucker) dürfen benutzt werden?
  • Welche Regeln gelten für Passwörter? Wie müssen diese aufgebaut werden?
  • Welche Antiviren-Programme müssen installiert sein?
  • Wie und wo werden Daten gespeichert?
  • Sind alle Funktionen des Geräts zulässig oder müssen beispielsweise Sprach-Assistenten deaktiviert werden?
  • Welche Anwendungen dürfen im Arbeitskontext verwendet werden, sind Kommunikations-Apps wie WhatsApp zulässig?

Um Mitarbeitende für die Relevanz der genannten Punkte sowie den richtigen Umgang mit vertraulichen Daten zu sensibilisieren, zahlen sich Security Awareness Trainings durch erfahrene Experten aus. So sind Unternehmen imstande, eine sichere Umsetzung des BYOD-Konzepts vorzubereiten und durchzuführen.  

2. Grundlage für sichere Systeme schaffen

Ergänzend zu den Sicherheitsrichtlinien benötigen Unternehmen ein auf BYOD ausgelegtes Sicherheitskonzept, damit ein vorschriftsmäßiger Gebrauch von privaten Geräten am Arbeitsplatz gewährleistet werden kann. Die IT-Abteilung muss jederzeit den Überblick über verwendete Geräte und Anwendungen haben, um Schwachstellen rechtzeitig erkennen und schließen zu können. Darüber hinaus sollten Systemschnittstellen abgesichert werden, um auch in einer heterogenen IT-Landschaft für maximale Sicherheit zu sorgen und unautorisierte Zugriffe zu verhindern.

Bei der Erstellung und Etablierung solch eines passenden Konzeptes können Unternehmen von der Expertise erfahrener Dienstleister wie der Deutschen Gesellschaft für Cybersicherheit (DGC) profitieren. Im Rahmen von sogenannten Cyber Security Partnerschaften werden sie umfassend bei der Einführung neuer Sicherheitsstandards unterstützt, die bei Bedarf auch das Thema BYOD einschließen.

3. Daten verschlüsseln

Um für Datensicherheit zu sorgen, muss auf den Endgeräten die Trennung von privatem und firmenbezogenem Netzwerk sichergestellt werden. Das gelingt beispielsweise über eine VPN-Verschlüsselung. Diese ermöglicht den Zugriff auf das geschützte Firmennetzwerk und lässt Anwender auf sicherem Weg Daten abrufen und speichern, unabhängig vom Standort des Geräts. Andere Tools zur Verschlüsselung helfen dabei, Daten sicher in die Cloud zu laden oder Daten aus dieser herunterzuladen – ohne, dass sie abgefangen oder Cloud-Inhalte eingesehen werden können.

Fazit von „Bring your own Device”

Bei richtiger Umsetzung kann ein „Bring your own Device“-Konzept Unternehmen mehr Flexibilität, Kosteneinsparungen und eine höhere Mitarbeiterzufriedenheit einbringen. Dabei muss jedoch die IT-Sicherheit des Unternehmens ständig im Blick behalten werden, denn mit der Nutzung privater Geräte steigen auch die Anforderungen an umfassende Konzepte zum richtigen und regelkonformen Umgang. Hierbei sind Unternehmen nicht auf sich alleine gestellt. Erfahrene Sicherheitsdienstleister wie die DGC unterstützen bei der Optimierung der IT-Sicherheit – auch im Hinblick auf BYOD.

Wir beraten Sie zu allen Fragen rund um die Sicherheit Ihrer Systeme. Vereinbaren Sie gleich einen Termin zum kostenlosen Erstgespräch.

Folgen Sie uns auf