Rawpixel.com - Fotolia
3 Sicherheitsrisiken von BYOD und wie man sie vermeidet
Ein BYOD-Modell ist bequem und flexibel, wirft aber auch Sicherheitsfragen auf. Wir zeigen die wichtigsten mobilen BYOD-Sicherheitsrisiken und wie man sie bewältigen kann.
Die wachsende Beliebtheit von BYOD mag zu geringeren Kosten für Unternehmen und größerer Flexibilität für mobile Nutzer führen. Aber Sicherheitsbedenken trüben das positive Bild.
Die Grenzen zwischen einem Arbeitsgerät und einem persönlichen Gadget in einer Work-from-Home-Welt verschwimmen zunehmend. Dies bringt Unternehmen in eine gefährliche Lage. Eine Umfrage von Kaspersky (PDF) aus dem Jahr 2020 ergab, dass 73 Prozent der Angestellten keine Anleitungen zur Cybersicherheit für die Remote-Arbeit erhalten hatten. Mitarbeiter, die von zu Hause aus arbeiten, nutzen auch vermehrt Online-Dienste für ihre Arbeit, wie Videokonferenzen und andere Services, die von den IT-Abteilungen nicht zugelassen wurden.
Bei der Ausarbeitung einer BYOD-Richtlinie müssen IT-Administratoren die Sicherheit in den Vordergrund stellen und zahlreiche Aspekte wie die Compliance-Verpflichtungen des Unternehmens im Auge behalten. Ein Sicherheitsverstoß im Zusammenhang mit BYOD kann zum Verlust wichtiger Informationen führen und dem Image einer Firma ernsthaft schaden. Oft handelt es sich bei den Sicherheitsproblemen um Diebstahl, Hacking, unbefugten Zugriff oder unberechtigte Offenlegung von Informationen. Jeder einzelne dieser Punkte kann zu Gerichtsverfahren gegen Unternehmen oder Provider führen.
In einer idealen Welt würden Unternehmen Eigentümer aller Endpunkte sein und diese absichern. Die privaten Geräte der Mitarbeiter sind aber der direkten Kontrolle der IT entzogen und erfordern neue Überlegungen, um die Privatsphäre der Beschäftigten zu schützen. Das wiederum erschwert das Management und die Sicherheitsbelange weiter. Zu diesem Idealzustand wird es jedoch nie kommen, und viele Unternehmen erlauben ihren Angestellten, eigene mobile Geräte mit an den Arbeitsplatz zu bringen.
Warum BYOD ganz besondere Risiken birgt
Die Sicherheit ist bei jeder Strategie für mobile Geräte ein vielschichtiges Thema. Die Sicherheitslage bei BYOD-Geräten ist aber komplizierter als bei unternehmenseigenen Endpunkten. Abgesehen von den Geschäftsdaten enthalten die mobilen Geräte der Mitarbeiter oft auch persönliche Informationen des Benutzers. Deshalb sind die Installation von Anwendungen und die Verwendung von Tools, mit denen Firmen sensible Unternehmensdaten verwalten können, der Schlüssel, um BYOD-Sicherheitsbedrohungen abzuwehren.
Dieser Ansatz erfordert umfangreiche interne Sicherheitsexpertise und belastet das Unternehmensbudget erheblich. Firmen wiederum ignorieren häufig die mit BYOD verbundenen Risiken und nutzen die Vorteile, die es bietet, ohne an die potenziellen Konsequenzen zu denken.
Zum Beispiel setzen sich viele Unternehmen unwissentlich Datendiebstahl aus, indem sie die Angestellten dazu ermutigen, ihre eigene Apple- oder Google-ID zu verwenden. Diese persönlichen Logins synchronisieren Daten mit der Cloud für alle Geräte, die mit diesem Konto verbunden sind, es sei denn, die Benutzer oder IT-Admins konfigurieren die Dienste so, dass dies verhindert wird. Deshalb kann jeder Mitarbeiter mit seinem individuellen Passwort Unternehmensdaten auf sein eigenes Gerät herunterladen. Wenn Mitarbeiter ihren Arbeitsplatz verlassen, nehmen sie auf diese Weise sensible Unternehmens- und vertrauliche Kundendaten mit.
Werden dieses Problem und andere Schwachstellen nicht erkannt und behoben, kann dies zu einer kostspieligen Sicherheitskrise führen.
1. Unklare Sicherheitsverfahren
Was BYOD von anderen Richtlinien für mobile Geräte unterscheidet, ist die Kontrolle, die Mitarbeiter dadurch erhalten. Doch die Datensicherheit in die Hände von unerfahrenen Benutzern zu legen, kann Unternehmen teuer zu stehen kommen. 2019 berichtete Kaspersky Labs, dass 90 Prozent aller Sicherheitsverstöße in gewissem Maße auf Social Engineering zurückzuführen sind.
In einigen Fällen können Mitarbeiter die Sicherheit gefährden, indem sie die Kontrolle durch die IT bewusst unterlaufen. Von Mitarbeitern ist häufig zu hören, dass sie unter Umgehung der IT-Abteilung schneller arbeiten können. Dies hat zum Wachstum der Schatten-IT geführt: die Nutzung von IT-Geräten, -Anwendungen und -Systemen ohne das Wissen der IT-Abteilung.
Bei einer Umfrage unter 800 Angestellten und IT-Managern großer Unternehmen hat die Softwarefirma Beezy festgestellt, dass 40 Prozent der Beschäftigten Collaboration- oder Kommunikationsanwendungen nutzen, die nicht von ihrem Arbeitgeber genehmigt wurden. Dieser Trend hat sich im Zuge der Pandemie noch verstärkt, da immer mehr Mitarbeiter von zu Hause aus arbeiten, dem Blickfeld der IT-Abteilung entzogen.
Häufig lassen sich Sicherheitsverstöße darauf zurückführen, dass Unternehmen wenig Zeit und Mühe aufwenden, um ihr Personal in Sicherheitsverfahren zu schulen und weiterzubilden. Es reicht nicht aus, wenn neu eingestellte Mitarbeiter einfach nur ein Merkblatt über Sicherheitsmaßnahmen lesen.
Wenn Benutzer sich nicht an Vorgaben wie sichere Passwörter halten, können die Folgen katastrophal sein. Der unbefugte Zugriff Dritter auf die WordPress-Hosting-Umgebung von GoDaddy aufgrund eines kompromittierten Passworts im November 2021, hat die E-Mails von bis zu 1,2 Millionen WordPress-Kunden offengelegt. Um den Schaden zu verhindern, der durch einen scheinbar kleinen Fehler entstehen kann, müssen Organisationen strenge Sicherheitsrichtlinien für alle Mitarbeiter und Benutzer, die auf die Daten eines Unternehmens zugreifen können, klar kommunizieren und durchsetzen.
All dies zeigt, dass Gerätesicherheit und Gerätebesitz zusammenhängen, was bedeutet, dass Unternehmen ihre Endpunkte nur dann wirklich schützen können, wenn sie sie besitzen. Trotzdem wird der Trend zu BYOD-Geräten unvermindert anhalten. Infolgedessen müssen Unternehmen jedes Gerät in ihrem Unternehmensnetzwerk überwachen und die IT-Mitarbeiter alarmieren, sobald ein Gerät gefährdet ist.
Mobile Malware
Android-Geräte und iPhones stehen immer stärker im Fokus von Malware. Jeden Tag laden Smartphone-Nutzer unbeabsichtigt Schadsoftware auf ihre Geräte herunter, die es Angreifern ermöglicht, ihren Standort exakt zu ermitteln, sensible Daten zu stehlen und sogar Sicherheitsprogramme im Handumdrehen zu deinstallieren.
Die gleichen Sicherheitsrisiken bestehen auch in Unternehmen mit BYOD-Geräten. Datenlecks werden zu einem großen Risiko, wenn ein Mitarbeiter Informationen mit einem bösartigen Programm eines Drittanbieters teilt, das sich im App-Store versteckt. So geriet etwa Pokémon GO in die Kritik, als die große Beliebtheit des Spiels Hacker dazu veranlasste, eine Android-Version hochzuladen, die einen Remote Access Trojan (RAT) enthielt. So konnten die Cyberkriminellen die vollständige Kontrolle über das BYOD-Smartphone übernehmen.
IT-Abteilungen müssen entscheiden, ob sie ihren Mitarbeitern das Herunterladen von Apps, die nicht zur Arbeit gehören, auf ihre Geräte gestatten, zumal sich in diesen harmlos aussehenden Programmen im App-Store Malware verstecken kann. Aber natürlich schränkt BYOD ein, was IT-Administratoren auf einem benutzereigenen Mobilgerät vorschreiben können. Auf den Geräten kann sich zudem vorinstallierte Malware befinden, zum Beispiel xHelper, das sich immer wieder neu installiert.
Hacking, Verlust oder Diebstahl von Geräten
Unternehmen können sich fatalen Folgen gegenübersehen, wenn Geräte verloren gehen, gehackt oder gestohlen werden. Die südkoreanische Kryptowährungsbörse Bithumb war 2017 mit diesem Problem konfrontiert, als ein Hacker auf den Heimcomputer eines Mitarbeiters zugriff und persönliche Daten von 30.000 Kunden stahl.
Mobile Geräte können leichter verloren gehen als andere Endpunkte, was mobiles BYOD besonders riskant macht. Die Risiken, die mit dem Verlust oder Diebstahl von Mobilgeräten einhergehen, sind sogar noch größer, wenn die Mitarbeiter die Sicherheitsverfahren ihres Unternehmens nicht befolgen oder ihre Anwendungen mit einem schwachen Passwort schützen. Mit immer ausgefeilteren Hacking Tools können selbst starke Passwörter und biometrische Lesegeräte von hartnäckigen Kriminellen geknackt werden.
Im Idealfall sollte der Benutzer die IT-Abteilung so schnell wie möglich alarmieren, wenn ein Gerät verloren geht oder gestohlen wird, so dass die Admins es sofort sperren oder löschen können. BYOD-Geräte lassen sich in solchen Situationen jedoch schwieriger kontrollieren und schützen, da sie oft sowohl geschäftliche als auch persönliche Daten enthalten. Für das Erstellen einer erfolgreichen BYOD-Richtlinie ist es wichtig, geschäftliche und persönliche Daten zu trennen sowie einen Plan zu entwickeln, falls Geräte kompromittiert werden. IT-Administratoren sollten sich mit folgenden Fragen befassen: Können sie ein verlorenes Gerät löschen, wie lange müssen sie damit warten, oder sollten sie nur bestimmte Komponenten des Geräts löschen, wenn die Managementplattform dies erlaubt.
Der Umgang mit BYOD-Sicherheitsrisiken
Wenn ein BYOD-Gerät in irgendeiner Weise kompromittiert wird, kann es zu Datenlecks und Datendiebstahl kommen. Daher ist es von entscheidender Bedeutung, dass die IT eine klare und sichere Richtlinie für das Management mobiler Geräte implementiert. Folgende Punkte sollten abgedeckt werden: Verschlüsselung von BYOD-Geräten und Unternehmensdaten, Blacklisting nicht zugelassener Anwendungen, regelmäßige Sicherung von Gerätedaten und Bereitstellung aktueller Sicherheitsverfahren für die Beschäftigten.
Um Malware zu bekämpfen, empfiehlt es sich, dass Unternehmen auch in Cloud-basierte Tools zum Schutz vor Malware investieren. Andere Gegenmaßnahmen sollten sich auf die Geräteauthentifizierung konzentrieren, etwa Multifaktor-Authentifizierung per Fingerabdruck- oder Iris-Scans. Außerdem gilt es, auf optimale Passwörter zu achten.
Damit es zu keinen Datenlecks bei Unternehmens-Apps kommt, sollte das IT-Sicherheitsteam die Kommunikation zwischen Firmenservern und den BYOD-Geräten verschlüsseln, indem sie den Mitarbeitern eine vom Unternehmen genehmigte mobile App für ihre persönlichen iPhones, Android-Geräte und Tablets zur Verfügung stellt.
Dies wird teuer und zeitaufwendig sein und möglicherweise die Mitarbeiter einschränken, die ihre BYOD-Gadgets nutzen wollen. Es ist allerdings die einzige Möglichkeit für ein Unternehmen, sich vor finanziellem Schaden zu schützen und seinen guten Ruf in der Branche zu wahren.