Bring Your Own Device: der Tod des Firmenhandys?

Chip-Riese Intel als Erfinder des Trends

Der Begriff Bring Your Own Device, abgekürzt BYOD, wurde ursprünglich durch den bekannten Prozessorhersteller Intel geprägt. Das Unternehmen führte 2009 eine neue Richtlinie ein. Diese sollte die Mitarbeiter des Konzerns dazu ermutigen, ihre eigenen Geräte zur Arbeit mitzunehmen – und die Geräte auch mit dem Firmennetzwerk zu verbinden.

Weitere große Unternehmen wie der französische Pharmakonzern Sanofi und der britische Öl- und Gaskonzern Shell folgten dem Beispiel des Trendsetters aus den USA. Inzwischen betonten immer mehr Befürworter die Vorteile von Bring Your Own Device im Hinblick auf Produktivität und Nutzerfreundlichkeit. Erst rund zehn Jahre später – mit dem Ausbruch der Corona-Pandemie – erlebte Bring Your Own Device jedoch einen regelrechten Boom.

Bring Your Own Device als Herausforderung für IT-Teams

Der Trend kam jedoch auch Cyberkriminellen entgegen. Als Bring Your Own Device den Sprung in den Mainstream schaffte, hatten Online-Betrüger bereits etliche ausgeklügelte Strategien entwickelt, um Unternehmen um ihre Daten zu bringen. Die Kombination aus schlecht abgesicherten Netzwerken im Homeoffice und unsicheren Geräten macht Hackern und Datendieben bis heute die Arbeit zusätzlich leichter.

Diese Risiken hat Bring Your Own Device

• Ein mit Schadsoftware befallenes BYOD-Gerät erleichtert Cyberkriminellen nicht nur den Diebstahl von Firmendaten. Zudem kann es im schlimmsten Fall das gesamte Firmennetzwerk infizieren.
• Netzwerke außerhalb der Firmeninfrastruktur können gravierende Sicherheitslücken aufweisen, die den Diebstahl von Firmendaten erleichtern.
• Geht ein BYOD-Gerät verloren oder wird gestohlen, besteht ein hohes Risiko, dass sensible Unternehmensdaten in falsche Hände geraten.
• Ein Diebstahl von Firmendaten, die auf einem BYOD-Gerät gespeichert wurden, kann auch ein Haftungsproblem mit sich führen. Wenn das Unternehmen keine ausreichenden Sicherheitsvorkehrungen getroffen hat, können rechtliche und finanzielle Konsequenzen drohen. Diese reichen von der Verhängung von Bußgeldern und Strafen durch Datenschutzbehörden bis hin zu Schadensersatzforderungen betroffener Dritter.
• Sicherheitslücken in veralteter Software sind ebenso gefährliche Einfallstore für Cyberkriminelle. Ein BYOD-Gerät auf dem neuesten Stand zu halten, kann zeitaufwendig sein. Wer diese Wartungsarbeiten vernachlässigt, bringt die auf dem Gerät gespeicherten Unternehmensdaten schnell in Gefahr.

So gehen gute IT-Administratoren mit Bring Your Own Device um

• Klare Richtlinien für die Nutzung privater Geräte im Unternehmen müssen formuliert werden – einschließlich der erlaubten Anwendungen und der Datenschutzbestimmungen. Zudem müssen die Administratoren regelmäßig kontrollieren, ob diese Richtlinien auch eingehalten werden.
• Idealerweise sollten die Daten auf BYOD-Geräten verschlüsselt werden, um sie bei Verlust vor unbefugtem Zugriff zu schützen.
• Regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter für Sicherheitsrisiken sind Pflicht. Zu den wichtigsten Fähigkeiten von BYOD-Nutzerinnen und -Nutzern gehört die Erkennung von Social Engineering sowie unsicherer Netzwerke.

Ist Mobile-Device-Management-Software (MDM) die Lösung?

Die Softwareindustrie reagierte schnell auf den neuen Trend und das oft aufwendige Management von BYOD-Geräten in Firmennetzwerken. Das Ergebnis ist ein neuer Typ von Sicherheitssoftware mit der Bezeichnung „Mobile Device Management“, kurz MDM. MDM erlaubt es, externe Smartphones, Tablets und Laptops ähnlich zu verwalten wie Rechner, die sich in einem Firmennetzwerk befinden.

Dazu werden die BYOD-Geräte zunächst im MDM-System registriert. Anschließend können deren Berechtigungen über ein Administrationstool vielfältig angepasst werden. Die Trennung zwischen privater und dienstlicher Nutzung erfolgt anschließend über eine MDM-App. In dieser melden sich die Nutzerinnen und Nutzer auf ihrem BYOD-Gerät an, um auf die Unternehmensumgebung zuzugreifen.

Nach dem Login besitzen Nutzerinnen und Nutzer ausschließlich die von den Administratoren festgelegten, auf Sicherheit und Datenschutz ausgelegten Berechtigungen. Wer sein Gerät wieder nutzen will wie gewohnt, muss sich nur aus der MDM-App ausloggen.

Virtuelle Desktopinfrastruktur (VDI) als Alternative

VDIs sind Benutzerumgebungen, die auf einem Server ausgeführt werden. Sie laufen ausschließlich in der Cloud, wo auch die erstellten Dokumente der Nutzerinnen und Nutzer gespeichert werden. Auf dem Endgerät des Nutzers werden nur die für die Ausführung der virtuellen Desktopumgebung notwendigen Daten abgelegt. Die Benutzerumgebung selbst kann von den Administratoren detailliert an die Sicherheitsrichtlinien der Firma angepasst werden.

VDIs bieten somit ein hohes Plus an Sicherheit, da bei Verlust eines Bring-Your-Own-Device-Geräts die Unternehmensdaten auf dem Server bleiben. Zudem können die meisten virtuellen Desktops praktisch von jedem Gerät ausgeführt werden. Nutzerinnen und Nutzer müssen üblicherweise nur eine Webseite aufrufen und sich dort einloggen. Daraufhin wird der virtuelle Desktop geladen. Üblicherweise ist nicht einmal eine Installation einer App notwendig.

Ist die Internetverbindung unzuverlässig oder sehr langsam, ist das Arbeiten auf dem virtuellen Desktop jedoch kaum möglich. Dazu laufen virtuelle Desktopinfrastrukturen durch ihre cloudbasierte Funktionsweise generell langsamer als MDM-Lösungen. Grafikintensive Programme haben daher auf virtuellen Desktopinfrastrukturen häufig Performanceprobleme. Darüber hinaus sind virtuelle Desktopinfrastrukturen durch die anfallenden Serverkosten generell die kostenintensivere Option.

Mobile-Device-Management-Software und virtuelle Desktopinfrastrukturen im Vergleich

Pro Mobile-Device-Management-Software (MDM)

• Nutzerinnen und Nutzer können ihre privaten Geräte wie gewohnt bedienen und gleichzeitig von mehr Datenschutz profitieren. Und das alles, ohne sich in einen Cloud-Dienst einzuloggen, auf dem etliche Programme oft langsamer laufen als üblich.

Kontra Mobile-Device-Management-Software (MDM)

• Konsequent zwischen privaten und beruflichen Aktivitäten zu trennen, erfordert weiterhin Disziplin.
• Mobile-Device-Management-Software setzt generell die Installation einer App voraus.

Pro virtuelle Desktopinfrastrukturen (VDI)

• Unternehmen können nach Bedarf virtuelle Desktops hinzufügen oder entfernen – ohne in zusätzliche Hardware investieren zu müssen.
• Das Einloggen in einen virtuellen Desktop für berufliche Zwecke erleichtert es, berufliche von privater Nutzung zu trennen.

Kontra virtuelle Desktopinfrastrukturen (VDI)

• Probleme mit der Internetverbindung können die Produktivität stark beeinträchtigen.
• VDI-Lösungen sind oft kostenintensiv, da zu ihnen umfangreiche Softwarepakete gehören – wie etwa Management-Tools, Cloud-Umgebungen und Betriebssysteme.
• Zahlreiche VDI-Lösungen funktionieren zwar auch auf mobilen Geräten wie Smartphones und Tablets. Die virtuellen Desktops selbst lassen sich jedoch mit einem Touchscreen eher mühsam bedienen.

Gibt es ein Recht auf Bring Your Own Device?

In Deutschland gibt es noch keinen generellen gesetzlichen Anspruch auf Nutzung eigener Geräte für die Arbeit. Was erlaubt ist, wird in der Regel durch Unternehmensrichtlinien bestimmt. Konzerne wie Google, Salesforce, IBM und SAP bieten sogar eine Kostenbeteiligung bei der Anschaffung von BYOB-Geräten an. Viele kleinere Unternehmen folgen nach und nach ihrem Beispiel. Wer seinen Vorgesetzten überzeugen will, sollte auf die Vorteile für das Unternehmen wie höhere Produktivität und Flexibilität hinweisen.

Ist Bring Your Own Device die Zukunft?

Da unsere Arbeitsumgebungen und Arbeitszeiten immer flexibler werden, wird Bring Your Own Device noch etliche Jahre eine wichtige Rolle spielen. Am wahrscheinlichsten ist jedoch, dass Unternehmen auf lange Sicht eine Mischung aus BYOD und unternehmenseigenen Geräten nutzen werden. Etliche Branchen werden weiterhin stationäre Profirechner benötigen, die sich kaum im Homeoffice unterbringen lassen können.

Dies gilt vor allem für Branchen wie das Ingenieurwesen, die Videoproduktion oder die wissenschaftliche Forschung, in denen ohne leistungsfähige Spezialhardware wenig geht. Auch hier könnte jedoch in Zukunft ein hybrides Modell zum Einsatz kommen, bei dem einige Aufgaben aus der Ferne und andere an speziell ausgestatteten Arbeitsplätzen im Unternehmen erledigt werden.

Fünf Fragen zu Bring Your Own Device (BYOD) an Cybersecurity-Experte Markus Satzger

1. Markus, was sind Ihrer Erfahrung nach die größten Herausforderungen bei der Untersuchung von Vorfällen mit BYOD-Geräten?

Die größte Herausforderung besteht in der Trennung zwischen geschäftlichen und privaten Daten, da dies die Integrität der Beweise und den Datenschutz betrifft. Hinzu kommt die Vielzahl an Geräten und Betriebssystemen, die eine standardisierte forensische Untersuchung erschweren. Dazu sind oft eingeschränkte Zugriffsmöglichkeiten ein Problem, da BYOD-Geräte nicht immer vollständig kontrollierbar sind.

2. Welche rechtlichen Rahmenbedingungen und Datenschutzbestimmungen müssen bei der forensischen Analyse von BYOD-Geräten besonders beachtet werden?

Bei der forensischen Analyse von BYOD-Geräten muss vor allem die Datenschutz-Grundverordnung (DSGVO) streng beachtet werden. Eine klare Einwilligung des Mitarbeiters zur Untersuchung ist oft erforderlich, um rechtliche Risiken zu minimieren. Außerdem muss dafür gesorgt werden, dass nur notwendige Daten erhoben und analysiert werden. Das nennen Juristen den Grundsatz der Verhältnismäßigkeit.

3. Welche Maßnahmen empfehlen Sie, um die Risiken von BYOD zu minimieren, ohne die Flexibilität und Vorteile zu verlieren?

Ich empfehle die Implementierung von Mobile Device Management (MDM) und strikten Sicherheitsrichtlinien, um den Zugriff auf Unternehmensdaten zu kontrollieren. Zudem sollte eine klare Trennung zwischen privaten und geschäftlichen Daten durch Container-Lösungen erfolgen. Ebenfalls sind Schulungen der Mitarbeiter in Bezug auf Sicherheitsbewusstsein unerlässlich.

4. Wie gehen Sie in einem Szenario vor, in dem ein Mitarbeiter sein Gerät nicht für eine Untersuchung freigeben möchte?

In einem solchen Fall ist es wichtig, den Mitarbeiter auf die vertraglichen und rechtlichen Konsequenzen hinzuweisen. Zu Beginn sollte man versuchen, eine einvernehmliche Lösung zu finden, etwa durch eine eingeschränkte Analyse, die nur geschäftliche Daten betrifft. Letztlich könnte auch eine gerichtliche Anordnung in Erwägung gezogen werden, wenn der Verdacht auf schwerwiegende Verstöße besteht.

5. Welche Trends und Entwicklungen sehen Sie im Bereich BYOD, die die Arbeit eines IT-Forensikers in Zukunft beeinflussen könnten?

Ein wichtiger Trend ist die Zunahme von stark eingeschränkten Zero-Trust-Architekturen, die den Sicherheitsansatz bei BYOD verändern werden. Die Weiterentwicklung von Verschlüsselungstechnologien und Datenschutzfunktionen in mobilen Betriebssystemen machen die Arbeit von IT-Forensikern immer herausfordernder. Der Einsatz von Künstlicher Intelligenz (KI) sowohl bei der Angriffserkennung als auch in der forensischen Analyse wird immer bedeutender.