Bring your own Device – die 7 größten Risiken für Unternehmen
Unter „Bring your own Device“, oft auch ByoD abgekürzt, versteht die Arbeitswelt den Einsatz privater Endgeräte, wie beispielsweise Laptops, Tablets, Smartphones und sogar USB-Sticks, für einen beruflichen Zweck. Unternehmen nutzen diese Option oftmals, um Kosten für Geräte einzusparen und auch viele Mitarbeiterinnen und Mitarbeiter kommen gerne darauf zurück. Schließlich kennen sie sich mit ihrem Gerät aus und der kurze Blick in den privaten Whatsapp-Account am eigenen Handy ist auch schnell getätigt. Doch vor allem für Unternehmen bringt das Bring your own Device Prinzip ohne Vorplanung einige Risiken mit sich.
1. Die eigenen Mitarbeiter*innen
Viele Sicherheitsvorfälle gehen leider immer wieder auf die Kappe von Mitarbeiterinnen und Mitarbeitern. Eine Untersuchung von Kaspersky aus dem Jahr 2019 belegt, dass mit 46% nahezu die Hälfte aller Sicherheitsvorfälle auf unbedachte oder ungeschulte Mitarbeiter*innen zurückzuführen ist. Nicht durchgeführte Updates, schwache Passwörter, ein nicht gesichertes WLAN, Zugang zum Gerät durch Familienmitglieder und Freunde oder schlicht der Verlust oder Diebstahl des Gerätes sind nur einige Beispiele. Im schlimmsten Fall können so Firmennetzwerke infiltriert oder Firmendaten gelöscht, gestohlen oder verschlüsselt werden.
Unter Umständen manipulieren fortgeschrittene Anwender ihre Geräte. Vereinfacht gesagt bedeutet das, dass Anwender sich durch sogenanntes „Rooting“ (bei Apple auch als “Jailbreak” bekannt) erweiterte Zugangsrechte zum Gerät verschaffen und so unerwünschte Programme vom Gerät entfernen oder die Nutzeroberfläche individualisieren können. Diese Geräte sind jedoch anfälliger für Schadsoftware.
Im Schadensfall müssen dann Haftungsfragen und die Umstände des Ereignisses geklärt werden. Abhilfe schafft in jedem Fall eine Nutzungsvereinbarung für ByoD-Geräte und die regelmäßige Schulung und Sensibilisierung der Mitarbeiter*innen bezüglich IT-Security.
2. Inkompatibilität mit der IT-Landschaft
Nicht selten ergeben sich bei ByoD-Geräten Probleme mit der heterogenen IT-Landschaft des Unternehmens. Auch die bereits erwähnten gerooteten Geräte funktionieren häufig nicht, wie sie sollen, da sie von diversen Systemen als potenzielle Gefahr eingestuft werden können und so direkt im Firmennetzwerk gesperrt werden.
3. Öffentliche Netzwerke
Vor allem in Zeiten von Corona arbeiten viele Menschen nicht mehr im Büro. Doch auch davor saßen viele Mitarbeiter*innen im Zug, in Cafés oder anderen Räumlichkeiten und nutzen die öffentlichen Netzwerke, um am Laptop oder Tablet zu arbeiten. Über sogenannte „Man-in-the-Middle“-Attacken können Kriminelle die Verbindung nicht nur abhören, sondern gegebenenfalls auch manipulieren. Um eine bessere Kontrolle über Verbindungen zu haben, sollten Ihre Mitarbeiter*innen an ihren Geräten das automatische Verbinden von WLAN und Bluetooth ausschalten und besonders wertvolle oder kritische Daten niemals in öffentlichen Netzwerken übermitteln.
4. Vermischung privater und beruflicher Daten
Schnell sind aus Bequemlichkeitsgründen Firmenkontakte auf dem Handy gespeichert. Ihr Mitarbeiter ruft den Kunden XY schließlich mehrfach die Woche an. Doch hier lauern vor allem in Bezug auf die DSGVO einige Risiken. Viele APPs greifen Kontakte ab und übermitteln diese ins Ausland, ohne Einverständniserklärung der Betroffenen. Dies stellt dann einen Datenschutzverstoß dar. Whatsapp ist ein Beispiel. Kaum ein Smartphonenutzer hat kein Whatsapp auf dem Handy , jedoch werden Kontaktdaten von der APP ins EU-Ausland übertragen. Abhilfe schaffen Container-APPs, zwei SIM-Karten oder schlicht keine Firmendaten auf dem Privathandy zu speichern.
5. Sicherheitslücken und Cyberkriminalität
Sicherheitslücken in mobilen Betriebssystemen oder heruntergeladenen APPs bieten ebenfalls gute Angriffspunkte für Cyberkriminelle. Ihre Mitarbeiter*innen sind für Updates auf privaten Geräten selbst verantwortlich. Und mit Sicherheit hat jeder schon einmal ein Update auf dem Handy verschoben, weil es zeitlich gerade überhaupt nicht gepasst hat.
Grundsätzlich können Ihre Mitarbeiterinnen und Mitarbeiter auch die APPs auf ihren privaten Geräten installieren, die sie möchten. Dennoch sollten Sie ihnen ans Herz legen, APPs nur aus offiziellen APP-Stores herunterzuladen und besonders auch die Zugriffsberechtigungen zu hinterfragen. Viele APPs möchten z.B. den Zugriff auf Kontaktdaten, welcher oftmals für die eigentliche APP-Nutzung gar nicht nötig ist und bei eingespeicherten Firmenkontakten, wie bereits erwähnt, auch wieder heikel werden kann.
Sensibilisieren Sie am besten auch hier Ihre Mitarbeiter*innen, wie wichtig Updates sein können und wie sinnvoll es ist, nur die bekannten Stores zu nutzen. Für sie selbst, aber natürlich auch für das Unternehmen. Nutzen Sie eine Mobile-Device-Management-Lösung in Ihrem Unternehmen, können Ihre Admins oder Ihr Dienstleister Updates auch erzwingen.
Und das ist teilweise auch wirklich nötig. In einer Bitkom-Studie von 2019 gaben nur 40% der Teilnehmer an, eine Anti-Virus-Software auf dem eigenen Handy zu nutzen. Dabei gibt es viele gute Apps und Tools, wie z.B. den Android-Virenscanner, um mögliche Bedrohungen auf dem eigenen Handy zu finden. Die Maschen der Online-Kriminellen werden dabei immer dreister und besser durchdacht. Zuletzt wurden SMS im großen Stil versendet, deren Inhalt angeblich eine Sendungsverfolgung eines bestellten Pakets sei, inklusive Trackinglink natürlich. Ein Klick auf den Link installierte jedoch Malware auf dem Telefon. Aber auch per Mail können falsche Trackinglinks oder Log-In Aufrufe versendet werden. Auch hier schließt sich der Kreis zu Punkt 1. Ihre Mitarbeiter müssen entsprechend geschult werden, nicht auf die Maschen der Kriminellen hereinzufallen.
6. Kontrollverlust
Ein Kontrollverlust kann dadurch entstehen, dass, wie erwähnt, ein Gerät verloren geht oder gestohlen wird und so in die Hände von Kriminellen fallen kann. Aber auch, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet und der Arbeitgeber keinen Überblick hat, welche Daten der Mitarbeiter oder die Mitarbeiterin auf seinem oder ihrem privaten Laptop gespeichert hat. Dies kann besonders bei Firmengeheimnissen, Gehaltsabrechnungen oder sonstigen sensiblen Daten zum Problem werden. Sie können aber nicht einfach das Privatgerät einfordern und durchsuchen, denn damit verletzen Sie seine oder ihre Privatsphäre. Am besten ist es, wenn Sie das entsprechende Gerät in die erwähnte Mobile-Device-Lösung einbinden. So können Sie zumindest den Zugang zum Firmennetzwerk und zu sensiblen Daten auch aus der Ferne kappen. Heruntergeladene Dokumente bleiben dennoch ein Problem.
7. Recht, Recht und nochmal Recht
Bringen die Mitarbeiter*innen private Geräte mit ins Büro, verbinden sie diese mit dem Firmennetzwerk, laden sie diese an der Firmensteckdose auf und benutzen sie das Gerät beruflich, kann der Arbeitgeber die entstandenen Kosten in der Theorie steuerlich absetzen. In der Praxis tut dies kaum ein Arbeitgeber, denn dazu müssten die Mitarbeiter*innen die Kosten zweckgebunden genau erfassen.
Wissen Sie darüber hinaus so genau, welche APPs Ihre Mitarbeiter*innen für ihre Arbeit benötigen oder nutzen? Zwar gibt es viele kostenlose APPs, die die Arbeit erleichtern können, jedoch benötigen einige eine bezahlte Lizenz, wenn sie für Unternehmenszwecke genutzt werden. Hier können Verstöße gegen das Urheberrecht lauern. Andersherum funktioniert dies im Übrigen auch. Betriebliche Programme und Anwendungen dürfen nicht ohne Weiteres auf dem privaten Gerät dann auch für private Zwecke genutzt werden. Einige Bildbearbeitungsprogramme seien hier nur als Beispiel genannt.
Fazit
Das Bring your own Device Prinzip kann für Unternehmen eine deutliche Kostenreduzierung bedeuten, wenn weniger Arbeitsgeräte angeschafft werden müssen. Alle erwähnten Punkte sollten jedoch am besten in einer Vereinbarung vor Umsetzung festgehalten und von beiden Seiten unterschrieben werden. Nur, wenn die privaten Endgeräte sicher, die Mitarbeiter*innen geschult und Haftungsfragen geklärt sind, kann das ByoD-Konzept effektiv, effizient und für alle Beteiligten angenehm funktionieren.
