Mobile Endgeräte sind die Achillesferse der IT-Sicherheit, erst recht, wenn private Geräte dienstlich genutzt werden. Durch Bring your own device verursachen Mitarbeiter Sicherheits- und Compliance-Risiken. Firmen bieten Einfallstore für Cyber-Kriminelle und Datenschutzverletzungen.
Beim mobilen Arbeiten fehlen Sicherheitskomponenten wie Firewall, Proxy-Server oder Patch-Management, die das interne Netzwerk vor Angriffen und Datenverlust schützen. Damit sind Smartphone und Tablet außerhalb des Netzwerks schlechter geschützt als ein Rechner innerhalb des Firmenperimeters. Aber auch der Diebstahl eines Geräts ist eine Gefahr. Mitarbeitern kommt daher beim Thema Mobile Security eine zentrale Rolle zu: Er muss starke Passwörter verwenden, darf nicht wahllos Links anklicken oder unsichere Apps herunterladen. Zweifelhafte WLAN-Hotspots sind zu meiden und das Endgerät mit betrieblichen Daten sollte nicht unbeaufsichtigt sein. Der mobile Mitarbeiter ist somit ein großes Sicherheitsrisiko für Unternehmen. Denn mit seiner Rolle in der IT-Sicherheit ist er heillos überfordert, während Cyber-Kriminelle immer stärker aufrüsten und über jahrelange Erfahrung verfügen.
Mitarbeiter unterschätzen Mobile-Gefahren
Problematisch ist vor allem Gratis-WLAN. Denn die meisten Hotspots sind nicht verschlüsselt, um Nutzern einen möglichst einfachen Zugang zu gewährleisten. Zudem können die Namen der Hotspots frei benannt werden. Betrüger nutzen daher vermeintlich bekannte Namen, um User in ihr WLAN zu locken. Dadurch stehen alle Tore offen, um Zugangsdaten abzugreifen, den kompletten Datenverkehr mitzulesen oder sogar verschlüsselte Verbindungen vorzutäuschen.
Bring your own device hat so einige Tücken. Neben diesen IT-Sicherheitsrisiken bestehen für Mobilgeräte weitere Risiken bei Datensicherheit und DSGVO. Nutzt ein Mitarbeiter beispielsweise eine für private Zwecke erworbene App auch für dienstliche Aufgaben oder greifen Apps auf berufliche Kontaktdaten zu, kann das schwerwiegende Folgen haben: Bestimmungen zum Datenschutz, Urheberrecht oder Aufbewahrungspflichten sind nicht sichergestellt – und der Arbeitgeber haftet im Zweifel dafür.
Die DSGVO schreibt vor, dass personenbezogene Daten von Kunden, Geschäftspartnern und Mitarbeitern auf Mobilgeräten geschützt werden müssen. Unternehmen sind verpflichtet, entsprechende Schutzmechanismen vorzuweisen, zu dokumentieren und auch bei der Auswahl von IT-Lösungen zu beachten. Ansonsten drohen Strafzahlungen in Millionen-Höhe. Gerade Dienste wie Whatsapp verursachen ungewollte Datenlecks: Der Messenger-Dienst liest die Adressbücher der Mitarbeiter inklusive E-Mail-Kontakten und Telefonnummern von Kollegen, Kunden oder Partnern aus und gibt diese Daten an die Konzernmutter Facebook weiter.
Bei Mobiles Devices Privat und Beruflich trenen
Dienstlich genutzte mobile Endgeräte müssen daher technisch immer auf dem neuesten Stand sein, auch bei den Sicherheits-Updates. Zudem gilt es, Mitarbeiter für die Risiken zu sensibilisieren. Auf der sicheren Seite sind Unternehmen aber nur, wenn die auf dem jeweiligen Gerät vorhandenen privaten und dienstlichen Daten und Anwendungen strikt voneinander abgeschottet sind, wenn das Smartphone oder Tablet gewissermaßen aus zwei Systemen besteht. Realisieren lässt sich dieses Konzept mit einer sogenannten Container-Lösung. Der Container verhindert auch, dass Mitarbeiter aus dem sicheren Unternehmensbereich auf eine private App zugreifen und so Daten etwa mit Copy-and-Paste in den privaten Bereich übernehmen. Andere Anwendungen erhalten grundsätzlich keinen Zugriff auf die Inhalte des Containers – das heißt, Whatsaspp kann keine Kontaktdaten auslesen.
Kontrolle für den IT-Admin – Freiheit für den Mitarbeiter
Eine Container-Lösung schützt nicht nur die Daten und Anwendungen des Unternehmens, sondern im Fall eines geschäftlich genutzten Privathandys zugleich auch die Privatsphäre der Eigentümer. IT-Administratoren haben keinen Zugang zum Gerät und den privaten Daten wie etwa Fotos, sondern steuern immer nur den Container. Auf der anderen Seite können Unternehmen damit auch die rechtlichen Vorgaben für den Schutz der Unternehmensdaten einhalten, etwa bezüglich personenbezogener Daten von Kunden, Lieferanten, Geschäftspartnern und Mitarbeitern, die ja regelmäßig in E-Mails und Dokumenten enthalten sind. So lassen sich drohende Bußgelder vermeiden, die Aufsichtsbehörden aufgrund unzureichender organisatorischer und technischer Sicherheitsmaßnahmen verhängen können.
Unternehmen sind für Datensicherheit verantwortlich
Sicherheitsexperten schimpfen gerne über das Risiko Mensch. Unternehmen dürfen allerdings nicht den Fehler machen, die Verantwortung für die IT-Sicherheit den eigenen Mitarbeitern zuzuschieben. Vielmehr müssen sie Tools zur Verfügung stellen, mit denen diese komfortabel arbeiten können und die trotzdem sicher und Datenschutz-konform sind. Bislang konzentrieren sich Unternehmen bei IT-Entscheidungen meistens auf Funktionalitäten und Kosten, während die Anwenderfreundlichkeit zu kurz kommt. Eine vermeintlich sichere Lösung bringt aber keinen Schutz, wenn die Mitarbeiter sie nicht nutzen wollen oder können und deswegen umgehen.