Saktanong - stock.adobe.com
BYOD-Richtlinien erstellen und durchsetzen
Eine BYOD-Richtlinie ist für jedes Unternehmen entscheidend, das private Endgeräte im Netzwerk zulässt. Tipps für die Kommunikation und Durchsetzung der BYOD-Richtlinie.
Wenn Mitarbeiter ihre privaten mobilen Geräte für arbeitsbezogene Aufgaben nutzen dürfen (Bring Your Own Device, BYOD), kann das viele Vorteile mit sich bringen. Dazu gehören zum Beispiel schnellere Verbindungen zu Unternehmensressourcen und geringere Hardwarekosten, allerdings auch Risiken wie Sicherheitslücken, Supportkosten und potenzielle Haftungsfragen.
Unternehmen, die ihren Mitarbeitern erlauben, ihre persönlichen Geräte beruflich zu nutzen, sollten eine BYOD-Richtlinie mit klar definierten Vorgaben erstellen und Mechanismen etablieren, um sie durchzusetzen.
Eine BYOD-Richtlinie erstellen
Im ersten Schritt beim Erstellen einer BYOD-Richtlinie legen Unternehmen den Umfang der Kontrolle fest, die sie über die im Besitz der Mitarbeiter befindlichen Geräte ausüben möchten. Hier sind viele verschiedene Ansätze möglich.
So könnte ein Unternehmen persönliche Geräte wie Firmeneigentum behandeln und den Mitarbeitern im Gegenzug den Zugriff auf IT-Ressourcen über diese Geräte gestatten. Das andere Extrem besteht darin, keine Kontrolle über die Geräte selbst auszuüben und sich stattdessen auf Zugangskontrollen und die Begrenzung von Risiken zu konzentrieren, wie zum Beispiel dem Speichern von Unternehmensdaten auf BYOD-Geräten. Die optimale BYOD-Richtlinie liegt wohl irgendwo zwischen diesen beiden Extremen.
Eine BYOD-Richtlinie regelt Punkte wie die akzeptable Nutzung von IT-Ressourcen des Unternehmens auf mobilen Geräten, minimale Sicherheitskontrollen auf dem Gerät, die Notwendigkeit von Komponenten wie SSL-Zertifikaten (Secure Sockets Layer) für die Authentifizierung der Geräte und die Benutzeridentität sowie die Rechte des Unternehmens zur Änderung der Anwendungen und Daten auf dem Gerät. Am häufigsten zeigt sich dies darin, wie IT-Abteilungen mit verlorenen oder gestohlenen Geräten umgehen.
Richtlinien zur akzeptablen Nutzung könnten ein VPN für den Zugriff auf Unternehmenssysteme vorschreiben und das Speichern von Passwörtern für Geschäftsanwendungen verbieten. Weitere Sicherheitsmaßnahmen umfassen Vorgaben wie die Verschlüsselung gespeicherter Daten, den Schutz von Gerätekennwörtern oder die Registrierung von Geräten bei einer MDM-Plattform (Mobile Device Management) oder einer umfassenderen Lösung wie Unified Endpoint Management (UEM), die MDM-Funktionen beinhaltet. IT-Administratoren sollten sicherstellen, dass die Mitarbeiter alle Aspekte der BYOD-Richtlinie verstehen und ihnen zustimmen.
Schriftliche Richtlinien und die Zustimmung der Mitarbeiter reichen jedoch nicht aus, um die Datenbestände eines Unternehmens zu schützen. Selbst wohlmeinende Mitarbeiter können Fehler machen, zum Beispiel wenn sie vergessen, ein Gerätepasswort zu setzen, oder vertrauliche Informationen über eine unverschlüsselte Sitzung herunterladen. Richtlinien für mobile Geräte sollten über einen Durchsetzungsmechanismus verfügen, um sicherzustellen, dass sie derartige Aktionen verhindern.
Eine BYOD-Richtlinie durchsetzen
Die Chancen stehen gut, dass Unternehmen mit ihren vorhandenen Anwendungen eine BYOD-Richtlinie durchsetzen können. Dazu gehören auch die Office-365- oder Microsoft-365-Abonnements von Microsoft. Bevor eine IT-Abteilung diese Anwendungen einsetzt, sollte sie jedoch die folgenden Schlüsselfragen berücksichtigen:
- Reichen diese Anwendungen aus, um alle Sicherheitsanforderungen zu erfüllen?
- Wie schwierig ist es, mobile Geräte mit diesen Anwendungen zu verwalten?
Unternehmen sollten prüfen, ob ihre bestehenden Lizenzinvestitionen ihnen die für die Geräteverwaltung erforderlichen Tools zur Verfügung stellen.
Das Microsoft Azure Active Directory (Azure AD) und die Office-365-Abonnements bieten App-basierten Schutz und die Durchsetzung von Richtlinien, einschließlich Maßnahmen zum Schutz vor Datenverlusten (DLP). Dazu gehören etwa das Entfernen von Funktionen wie Copy & Paste und Einschränkungen bei der gemeinsamen Nutzung von Anwendungsdaten. Dies bietet jedoch keine vollständige Verwaltung auf Geräteebene.
Darüber hinaus können Unternehmen, die Microsoft Azure AD und die Multifaktor-Authentifizierung von Microsoft einsetzen, eine zusätzliche Sicherheitsebene bereitstellen, um zu verhindern, dass sich Benutzer gegenüber Unternehmensanwendungen authentifizieren – es sei denn, ein Gerät erfüllt bestimmte Anforderungen wie die MDM-Anmeldung. Wenn einem Unternehmen diese Durchsetzungsmechanismen ausreichen und die Mitarbeiter unterstützte Geräte verwenden, könnte der Schutz von Microsoft Office 365 auf App-Ebene alle Anforderungen der BYOD-Richtlinie erfüllen.
MDM-Plattformen
MDM-Plattformen von Drittanbietern unterstützen ein breiteres Spektrum an Maßnahmen, um BYOD-Richtlinien durchzusetzen, einschließlich vollständigem Lifecycle-Management, App-Steuerung, Datenschutz, Zertifikatsverteilung, Gerätekonfiguration und Sperrung.
Die Durchsetzung von BYOD-Richtlinien beginnt bereits mit der Bereitstellung der Geräte. MDM-Plattformen können eine einheitliche Gerätekonfiguration sicherstellen, Anwendungen installieren und Konten auf Self-Service-Verwaltungsportalen erstellen. Wenn bestehende Richtlinien die Apps einschränken, die eine IT-Abteilung auf einem BYOD-Gerät bereitstellt, ist es möglich, ein MDM-System zu verwenden, das die Erkennung nicht autorisierter Apps berücksichtigt.
Die meisten MDM-Anwendungen unterstützen die Fernlöschung (Remote Wipe); die vollständige Löschung eines Geräts ist aber eine drastische Maßnahme und in vielen Fällen nicht notwendig. Da MDM-Anwendungen Daten selektiv löschen können, sind Geräteadministratoren in der Lage, Unternehmensdaten zu löschen, während persönliche Daten intakt bleiben.
Eine BYOD-Richtlinie kann auch verlangen, dass alle Geräte, die auf Unternehmenssysteme zugreifen, bei der IT-Abteilung registriert und mit einem SSL-Zertifikat zur Authentifizierung konfiguriert werden. MDMs, die die Verteilung von Zertifikaten unterstützen, können den Verwaltungsaufwand für diesen Vorgang minimieren. MDM-Systeme reduzieren diesen Aufwand weiter, indem sie Berichte über abgelaufene Zertifikate, widerrufene Zertifikate und andere Probleme bei der Zertifikatsverwaltung erstellen.
MDM-Systeme ermöglichen es IT-Administratoren auch, Betriebssystem-Updates und Patches für Geräte zu empfehlen und in einigen Fällen auch zu erzwingen. Natürlich stellt ein erzwungenes Betriebssystem-Update auf dem persönlichen Gerät eines Endbenutzers eine Gratwanderung zwischen Datenschutz und Sicherheit dar.
Allerdings kann es für eine starke Sicherheitslage erforderlich sein, dass Geräte, die auf Unternehmensdaten zugreifen, über ein Mindestmaß an Betriebssystem-Updates oder Patches verfügen. Mit MDM-Systemen können IT-Administratoren auch Richtlinien für die Einhaltung von Betriebssystemen erstellen, zum Beispiel Vorgaben für Mindestversionen des Betriebssystems, damit sich Geräte anmelden und weiterhin Zugriff auf Unternehmensanwendungen erhalten können.
Schließlich sollten Firmen MDM-Plattformen für die Gerätekonfiguration und Sperrfunktionen ins Auge fassen. Die IT-Abteilung möchte vielleicht Kameras, Bluetooth, GPS und WLAN für einige Benutzer sperren. Wenn die Administratoren eine Verschlüsselungsrichtlinie festlegen, benötigen sie eine MDM-Lösung, die diese Richtlinie durchsetzen kann.
Programme von Apple und Google
Mittlerweile bieten Apple mit dem User Enrollment und Google mit dem Android Enterprise Work Profile auch neue BYOD-Programme für ihre mobilen Betriebssysteme an. Bei diesen Programmen handelt es sich um Anmeldemethoden, mit denen die IT-Abteilung Unternehmensanwendungen und -daten pflegen und schützen können. Gleichzeitig schränken sie die Zugriffsrechte für Administratoren innerhalb der MDM-Plattform ein. Beide Programme vereinen Datenschutz und Sicherheit, um IT-Administratoren und Benutzern das zu geben, was sie brauchen.
Eine gute BYOD-Richtlinie hat zwei Hauptmerkmale: klar definierte Vorgaben und einheitliche Mechanismen für das Durchsetzen der Vorgaben. Eine BYOD-Richtlinie sollte die zulässige Nutzung, Sicherheitskontrollen und die Rechte des Unternehmens zur Änderung des Geräts regeln. Bestehende Unternehmensanwendungen wie Microsoft Exchange ActiveSync und Zertifikatsverwaltungssysteme können für die Durchsetzung von Richtlinien ausreichen. Wenn ein Unternehmen mehr Kontrolle über die Geräte und Managementberichte über die BYOD-Nutzung benötigt, ist eine vollständige MDM-Plattform möglicherweise die bessere Option.
Welche Geräte sind für die BYOD-Verwaltung erlaubt?
Eine BYOD-Richtlinie ist wichtig, aber genauso wichtig ist eine Strategie für die Art der Geräte, die die IT-Abteilung im Rahmen dieser Richtlinie zulässt. Nicht alle Geräte sind gleich.
Nutzer haben eine große Auswahl an Geräten, die sie verwenden können. Die IT-Abteilung kann dabei eine wichtige Sicherheitsebene nicht kontrollieren: die Software des Geräts und den Stand der Sicherheits-Updates. Sie kann auch nicht mit Sicherheit feststellen, ob das Gerät in Zukunft mit Updates versorgt wird. Ein MDM-System kann einen Teil der Kontrolle behalten, indem es der IT-Abteilung erlaubt, Compliance-Richtlinien mit Mindestanforderungen an die Softwareversionen für die Anmeldung der Geräte sowie den Zugriff auf Anwendungen zu erstellen.
IT-Administratoren können den Anwendern auch eine Liste empfohlener Geräte für Apple- und Android-Geräte bereitstellen. Apple-Geräte sind in der Regel bedenkenloser zu empfehlen, da der Support von Apple gut funktioniert. Bei den gewählten Geräten sollte Apple noch das neueste Betriebssystem-Build unterstützen. Google hat eine Webseite mit Empfehlungen für Android Enterprise eingerichtet, auf der Administratoren Geräte sehen können, die Google als gute Optionen für Android-Nutzer in Unternehmen ansieht. Google prüft, ob die Geräte auf dieser Liste strenge Anforderungen an Hardware und Software erfüllen und beispielsweise für mindestens drei Jahre Betriebssystem-Updates und Patches unterstützen. Jedes Gerät auf dieser Liste wird überprüft, ob es eine ordnungsgemäße Verwaltung und Registrierung über ein MDM unterstützt.
Diese Richtlinien sind für Endbenutzer mit Geräten frustrierend, die die Mindestanforderungen an die Betriebssystemversion oder andere Kriterien nicht erfüllen. Die IT-Abteilung kann diesen Anwendern helfen, indem sie beispielsweise überprüft, ob ihr Gerät mit dem neuesten Betriebssystem kompatibel ist oder es andere Optionen gibt, ihr Gerät in einen konformen Zustand zu versetzen. Oder die Benutzer müssen entweder ihr persönliches Gerät aufrüsten – vielleicht mit einem Zuschuss ihres Unternehmens – oder sich für ein vom Unternehmen bereitgestelltes Gerät entscheiden.