1. BYOD-Risiko Nummer eins: Ihre eigenen Angstellten
Das hört man natürlich nicht gerne, aber leider sind die eigenen Kolleginnen und Kollegen oft das schwächste Glied in der Sicherheitskette. Einer Untersuchung von Kaspersky zufolge lassen sich 46 Prozent aller erfassten Sicherheitsvorfälle auf „schlecht informierte oder gedankenlose Mitarbeiter“ zurückführen.
Das heißt: Entweder sorgen Mitarbeiter durch Passivität dafür, dass Sicherheitslücken nicht geschlossen werden. Oder sie verursachen sie aktiv.
Einige Beispiele gefällig? Da werden Android-Systeme gerootet, lächerliche Passwörter („123456“) vergeben, das iPad dem vierjährigen Neffen zum Spielen überlassen, ungesicherte WLAN-Netzwerke genutzt und vogelwilde Apps installiert.
Und natürlich wird gelegentlich auch ein Smartphone gestohlen beziehungsweise verloren. Den Verlust mobiler Endgeräte schätzt fast jedes zweite von 5.000 befragten Unternehmen als relevantes Sicherheitsrisiko bei BYOD ein (Stand: 2017).
Unsichere Datennutzung, Verlust des Endgeräts, IT-Anwenderfehler:
Das Triumvirat des Schreckens für mobile Sicherheit (Quelle: Kaspersky)
Das kann sehr ernste Konsequenzen haben: wenn nämlich die IT-Sicherheit des Unternehmens dadurch kompromittiert, Firmennetzwerke infiltriert und infiziert und im schlimmsten Fall geschäftsrelevante Unternehmensdaten geklaut, abgegriffen oder gelöscht werden.
Wenn durch Hacker, Cyberkriminelle oder Wirtschaftsspione über ein Mitarbeiterhandy Schaden entsteht, stellen sich arbeitnehmerseitig unangenehme Haftungsfragen – etwa, unter welchen Umständen ein Firmenhandy gestohlen wurde (beziehungsweise ein Privathandy mit Firmendaten), Stichwort: Fahrlässigkeit.
Lösung
Was hilft hier? Neben einer Nutzungsvereinbarung für BYOD, die den Einsatz der privaten Endgeräte schriftlich regelt und für Klarheit sorgt, hilft nur eins: die intensive Sensibilisierung der BYOD-Belegschaft für Datenschutzkonzepte, IT-Sicherheit im Allgemeinen und Mobile Security im Speziellen.
Im Weiteren gehe ich auf einzelne Risiken des BYOD-Konzepts ein.
2. Sicherheitslücken in mobilen Betriebssystemen
Ein mögliches Einfallstor für Schadprogramme (Malware) sind natürlich die mobilen Betriebssysteme selbst. Es gibt gleichermaßen mobile Sicherheitslücken bei Apple (iOS) als auch Sicherheitslücken bei Android-Geräten.
Lösung
Die eingesetzten Betriebssysteme müssen immer auf dem aktuellen Stand sein. Das heißt, dass die Beschäftigten selbst für die Installation von Korrekturauslieferungen (Patches/Updates) des jeweiligen mobilen Betriebssystems verantwortlich sind, wenn keine weiteren Maßnahmen getroffen werden.
Hierfür müssen Anwender*innen oft erst sensibilisiert werden, da viele darauf verzichten, auch die kleineren Betriebssystem-Updates zu installieren. Gerade diese Updates dienen aber häufig dazu, Sicherheitslücken zeitnah zu schließen.
Tipp: Die Updates können mit den richtigen Einstellung auch automatisch vorgenommen werden. Für iOS finden Sie hierzu Informationen unter: iPhone-Sicherheitseinstellungen – 5 Tipps für iOS 12.
Wenn Sie in Ihrem Unternehmen eine Mobile-Device-Management-Lösung oder ein Enterprise-Mobility-Management nutzen, können IT-Administratoren die Aktualisierung von Betriebssystemen und Apps auch erzwingen (sogenannte „Push“-Aktualisierungen).
Oops! BYOD-Risiko:
Wenn das private Smartphone kompromittiert ist, sind auch Unternehmensdaten in Gefahr
3. Schadprogramme, Malware und Cyberkriminalität
Viele Nutzer bekommen nichts davon mit, dass ihr mobiles Endgerät mit Schadcode infiziert wurde. In einer Bitkom-Studie zu Malware auf privaten Smartphones gaben allerdings 35 Prozent der Befragten an, im Verlauf der vergangenen zwölf Monate Malware auf ihrem Mobilgerät entdeckt zu haben. Trotzdem nutzen insgesamt nur 40 Prozent der Befragten eine Antiviren-Software für das Handy.
BYOD-Risiko Malware:
Über ein Drittel der befragten Nutzer hat im letzten Jahr unter Handymalware gelitten (Quelle: Bitkom)
Android-Nutzern wird dringend empfohlen, einen aktuellen Android-Virenscanner auf ihrem Smartphone oder Tablet zu nutzen. Allerdings gibt es auch unter iOS schädliche Software wie zum Beispiel Trojaner. Diese können Apple-Devices ausspähen oder über bestimmte Verbindungen Schadcode aus dem Internet nachladen.
Lesen Sie dazu auch:
- Android-Schädlinge erkennen und entfernen (SPIEGEL online)
- Apples Strategie gegen iPhone-Virus (netzsieger.de)
- Mobile Malware steigt alarmierend an (IT-daily.net)
- Malware auf dem Smartphone – was tun? (connect.de; für Android-Geräte)
- Werbe-Apps: So löscht Ihr Malware oder Adware unter Android (androidpit.de)
4. Unsichere Apps
2018 kannten die Sicherheitsexperten von Kaspersky Lab 34 Millionen schädliche Android-Installationspakete. Smartphone-Nutzer installieren sich mobile Malware oft selbst, indem sie Apps aus dubiosen Quellen beziehen.
Da viele Nutzer des Lesens von Kleingedrucktem überdrüssig geworden sind, werden auch Zugriffsberechtigungen von Apps oft genug ohne genaues Hinsehen erteilt. Auch Produktivitäts-Apps können dadurch prinzipiell zum BYOD-Risiko werden, indem sie Daten auf dem mobilen Endgerät ausschnüffeln, Passwörter erspähen oder teure SMS senden.
Lösung
- Apps nur aus offiziellen und vertrauenswürdigen App-Stores beziehen
- Apps mit nur wenigen Zugriffen/Downloads besonders skeptisch betrachten
- Zugriffsberechtigungen kritisch hinterfragen: Wozu benötigt welche App wirklich Zugriff?
Lesen Sie hierzu auch:
- 9 alternative Android-Appstores (giga.de)
- Wie kann ich sichere von unsicheren Apps unterscheiden? (handysektor.de)
5. Jailbreak und Rooten
Fortgeschrittene User, denen Beschränkungen im mobilen Betriebssystem gegen den Strich gehen, verschaffen sich oft erweiterte Zugangsrechte. Diesen Vorgang nennt man bei Android-Devices „rooten“. Bei iOS-Geräten hat sich die Bezeichnung „Jailbreak“ durchgesetzt.
Während echte Jailbreaks für iOS immer seltener werden, ist das Rooten unter Android nach wie vor beliebt. Von einem gerooteten Android-Smartphone lässt sich nämlich die von vielen Herstellern installierte Bloatware entfernen. Hierbei handelt es sich um unerwünschte Programme, die die Performance des Smartphones verlangsamen und deswegen stören.
Außerdem lassen sich auf einem gerooteten Gerät auch Apps aus alternativen App-Stores installieren und die Nutzeroberfläche (UI) weitestgehend individualisieren.
Allerdings ist ein gerootetes System in Bezug auf Schadsoftware auch gefährlicher und damit ein ernstzunehmender BYOD-Risikofaktor. Wird das Gerät von einer Malware mit Root-Rechten infiziert, kann diese sehr viel Schaden anrichten.
Ein weiteres Problem bei gerooteten Geräten: Sie verstoßen oft gegen die Mobile Policy der Unternehmen und werden vom MDM entweder direkt blockiert oder sind verboten. Halten sich Mitarbeiter nicht an die BYOD-Nutzungsvorgaben, haften sie für eventuellen entstandene Schäden. Prädikat insgesamt: nicht empfehlenswert.
Lesen Sie hierzu auch:
- Darum brauchen Sie jetzt ein MDM-System (Everphone.de)
- Sicherheitslücke in iOS: Auch iPhone Xs (Max), Xr und iPhone 8 betroffen (handy.de)
- Android-Rooting: Vorzüge, Gefahren und Möglichkeiten (computerwoche.de)
- Android rooten: Vorteile und Nachteile (chip.de)
- Android rooten: Nachteile & Risiken (connect.de)
6. BYOD-Risiko Netzwerkverbindungen
Sind mobile Endgeräte in öffentlichen Netzwerken (zum Beispiel ungesicherten WLAN-Netzen) sichtbar, kann auch dies ein mögliches Sicherheitsrisiko im Rahmen von BYOD darstellen.
Denn: Über eine sogenannte Man-in-the-Middle-Attacke können Angreifer die kabellose Kommunikation abhören und sogar manipulieren. Dieses Vorgehen nennt man Snarfing. Auch andere Verbindungsarten, wie zum Beispiel Bluetooth, können für diese Art von Angriff genutzt werden, man spricht in diesem Fall von Bluesnarfing.
Nutzer sollten also beim mobilen Arbeiten in der Öffentlichkeit besondere Vorsicht walten lassen.
Hier einige Tipps:
- Standardmäßig WLAN deaktivieren
- Standardmäßig Bluetooth-Verbindung deaktivieren
- Automatische Anmeldung an bekannten WLAN-Hotspots ausschalten
- Zur Verbindung mit dem Firmennetzwerk ein verschlüsseltes VPN nutzen (Virtual Private Network)
- Kritische Daten nur über sichere Verbindungen abrufen/übertragen
Lesen Sie hierzu auch: Öffentliche WLAN-Hotspots – Risiken und Schutzmaßnahmen.
6. Datenschutz bei BYOD-Mischnutzung
Naturgemäß lässt sich in BYOD-Szenarien eine gemischte Nutzung privater und geschäftlicher Daten kaum vermeiden. Genau dies muss allerdings geschehen, wollen Anwender nicht unfreiwillig gegen die Datenschutzvorschriften der neuen EU-DSGVO verstoßen.
Dies ist zum Beispiel bereits der Fall, wenn Nutzer auf ihrem Smartphone sowohl Whatsapp gespeichert haben als auch Unternehmenskontakte. Denn: Whatsapp übermittelt personenbezogene Daten zu Servern ins EU-Ausland – ohne die Einwilligung des Betroffenen ein klarer Datenschutzverstoß.
Lesen Sie dazu auch: Whatsapp auf dem Firmenhandy – ja oder nein?
Lösung
Private und geschäftliche Daten müssen auf dem Gerät strikt voneinander getrennt werden. Dies kann durch eine sogenannte Container-App erreicht werden – diese richtet einen verschlüsselten Bereich auf dem Handy nur für die Geschäftsdaten ein.
7. Datenlecks/Datenverlust
Der Verlust des Endgeräts ist wie erwähnt eines der Hauptprobleme innerhalb von BYOD-Szenarien. Wenn das Mobilgerät in die Hände von Cyberkriminellen gerät, droht substanzieller Schaden für das Unternehmen: Erstens, wenn Unternehmensdaten nur auf dem verlorenen Gerät gespeichert waren. Und zweitens wenn die gespeicherten Daten abgegriffen werden können.
Aber auch, wenn sich ein Unternehmen von einem Mitarbeiter trennt, kann dies sicherheitsrelevant werden – insbesondere, wenn die Trennung nicht im Guten erfolgte.
Lösung
Wichtig ist entsprechend, den Zutritt zum Firmennetzwerk und zu sensiblen Daten nach Bedarf aufheben zu können – auch ohne physischen Zugang zum Device. Dies kann erfolgen, wenn das Gerät mit einer Container-Lösung versorgt beziehungsweise in ein MDM-System eingebunden ist.
8. BYOD-Risiko Steuerrecht
Einfach das Handy mit in die Arbeit bringen und ins Firmen-WLAN hängen? So einfach ist es dann doch nicht. Tatsächlich unterscheidet der deutsche Gesetzgeber zwischen beruflich und privat veranlassten Kosten. Arbeitgeber können Kosten, die für die berufliche Nutzung anfallen, von der Steuer absetzen.
Dies setzt allerdings voraus, dass die Mitarbeiter sämtliche Aufwendungen für ihre Mobilgeräte zweckgebunden erfassen. Ansonsten droht im Fall einer Steuerprüfung Ärger.
Lesen Sie hierzu auch:
- Kurz erklärt: „BYOD“ aus Sicht des Fiskus (creditreform-magazin.de)
- Firmenhandy-Mietmodelle aus Steuersicht (Whitepaper, Everphone.de)
- Bei Firmenhandys Kosten senken (Everphone.de)
9. BYOD-Risiko Urheberrecht
Wissen Sie im Rahmen von BYOD genau, welche Software Ihre Angestellten für welche Aufgabe nutzen? Auch hier ist Vorsicht geboten: Während so manche Produktiv-App für den privaten Einsatz kostenlos ist, fallen für Geschäftskunden Lizenzgebühren an. Andersherum deckt auch nicht jede Firmenlizenz die Nutzung auf einem Privatgerät mit ab. Wird die Lizenzierung nicht von der Rechtsabteilung geklärt und in eine entsprechend klare Nutzungsvereinbarung gegossen, begehen Ihre Mitarbeiter dann fortlaufend Verstöße gegen das Urheberrecht.
Lesen Sie hierzu auch:
Fazit BYOD-Risiken
Aus unternehmerischer Sicht erscheint es nicht so opportun wie noch vor ein paar Jahren, BYOD-Konzepte zu forcieren. Nicht zufällig kommt die EU-Kommission zu der Einschätzung, dass BYOD „ein großes Sicherheitsrisiko“ („a major security concern“, Quelle: Digital Transformation Monitor) ist.
Die EU-Kommission warnt schon seit 2017 vor BYOD-Risiken.
(Screenshot: European Commission Digital Transformation Monitor)
Rechtliche Fragen sowie die Sicherheitsfragen rund um den Einsatz von Privatgeräten sind substanziell und können Kernbereiche des unternehmerischen Handelns bedrohen. Auch für Arbeitnehmer gibt es zahlreiche BYOD-Risiken rund um Datenschutz und IT-Sicherheit.
Da der administrative Mehraufwand vermeintliche Kostenvorteile von BYOD aufhebt, ohne allerdings BYOD-Risiken restlos minimieren zu können, halte ich das Konzept insgesamt für nicht mehr empfehlenswert und würde Firmen eher zu einer CYOD-Variante mit Co-Payment raten. Das kommt bei den Angestellten gut an, ist für die IT einfacher und sicherer. Zudem lassen sich durch den Ansatz auch Firmenhandys als Corporate Benefits nutzen, was insbesondere für Millenials und die Generation Z sehr interessant ist.