BYOD-Risiken: Das sind die neun größten Gefahren

Von Oliver Haub am 14.3.2019
Oliver Haub
Vernetzen:

Unter BYOD („Bring Your Own Device“) versteht man den Einsatz privater Endgeräte wie Smartphones und Tablets in Unternehmen und/oder Institutionen. Der Ansatz verspricht Kosteneinsparungen und Produktivitätssteigerungen, ist aber nicht ohne Risiko. Wir zeigen die neun größten BYOD-Risiken.

BYOD-Risiken Risiko Bring your own device smartphone_720
Oops! BYOD-Risiko: Wenn das private Smartphone kompromittiert ist, sind auch Unternehmensdaten in Gefahr

 

1. BYOD-Risiko Nummer eins: Ihre eigenen Mitarbeiter

Das hört man natürlich nicht gerne, aber leider sind die eigenen Kolleginnen und Kollegen oft das schwächste Glied in der Sicherheitskette. Einer Untersuchung von Kaspersky zufolge lassen sich 46 Prozent aller erfassten Sicherheitsvorfälle auf „schlecht informierte oder gedankenlose Mitarbeiter“ zurückführen.

Das heißt: Entweder sorgen Mitarbeiter durch Passivität dafür, dass Sicherheitslücken nicht geschlossen werden. Oder sie verursachen sie aktiv.

Einige Beispiele gefällig? Da werden Android-Systeme gerootet, lächerliche Passwörter („123456“) vergeben, das iPad dem vierjährigen Neffen zum Spielen überlassen, ungesicherte WLAN-Netzwerke genutzt und vogelwilde Apps installiert.

Und natürlich wird das Smartphone gelegentlich auch verloren beziehungsweise gestohlen. Der Verlust mobiler Endgeräte schätzt fast jedes zweite von 5.000 befragten Unternehmen als relevantes Sicherheitsrisiko bei BYOD ein (Stand: 2017).

Kaspersky_BYOD-Risiko Mitarbeiter
Unsichere Datennutzung, Verlust des Endgeräts, IT-Anwenderfehler: Das Triumvirat des Schreckens für mobile Sicherheit (Quelle: Kaspersky)

Das kann sehr ernste Konsequenzen haben: wenn nämlich die IT-Sicherheit des Unternehmens dadurch kompromittiert, Firmennetzwerke infiltriert und infiziert und im schlimmsten Fall geschäftsrelevante Unternehmensdaten geklaut, abgegriffen oder gelöscht werden.

Wenn durch Hacker, Cyberkriminelle oder Wirtschaftsspione über ein Mitarbeiterhandy Schaden entsteht, stellen sich arbeitnehmerseitig unangenehme Haftungsfragen – etwa, unter welchen Umständen ein Firmenhandy gestohlen wurde (beziehungsweise ein Privathandy mit Firmendaten), Stichwort: Fahrlässigkeit.

Lösung

Was hilft hier? Neben einer Nutzungsvereinbarung für BYOD, die den Einsatz der privaten Endgeräte schriftlich regelt und für Klarheit sorgt, hilft nur eins: die intensive Sensibilisierung der BYOD-Belegschaft für Datenschutzkonzepte, IT-Sicherheit im Allgemeinen und Mobile Security im Speziellen.

Im Weiteren gehe ich auf einzelne Risiken des BYOD-Konzepts ein.

 

2. Sicherheitslücken in mobilen Betriebssystemen

Ein mögliches Einfallstor für Schadprogramme (Malware) sind natürlich die mobilen Betriebssysteme selbst. Es gibt gleichermaßen mobile Sicherheitslücken bei Apple (iOS) als auch Sicherheitslücken bei Android-Geräten.

Lösung

Die eingesetzten Betriebssysteme müssen immer auf dem aktuellen Stand sein. Das heißt, dass die Mitarbeiter selbst für die Installation von Korrekturauslieferungen (Patches/Updates) des jeweiligen mobilen Betriebssystems verantwortlich sind, wenn keine weiteren Maßnahmen getroffen werden.

Hierfür müssen Anwender oft erst sensibilisiert werden, da viele darauf verzichten, auch die kleineren Betriebssystem-Updates zu installieren. Gerade diese Updates dienen aber häufig dazu, Sicherheitslücken zeitnah zu schließen.

Tipp: Die Updates können mit den richtigen Einstellung auch automatisch vorgenommen werden. Für iOS finden Sie hierzu Informationen unter: iPhone-Sicherheitseinstellungen – 5 Tipps für iOS 12.

Wenn Sie in Ihrem Unternehmen eine Mobile-Device-Management-Lösung oder ein Enterprise-Mobility-Management nutzen, können IT-Administratoren die Aktualisierung von Betriebssystemen und Apps auch erzwingen (sogenannte „Push“-Aktualisierungen).

Wie verwalten Sie Firmenhandys sicher und datenschutzkonform? Lesen Sie dazu  unser kostenloses Whitepaper „Mobile Device Management“ – klicken Sie einfach  hier für den Download.

 

3. Schadprogramme/Malware/Cyberkriminalität

Viele Nutzer bekommen nichts davon mit, dass ihr mobiles Endgerät mit Schadcode infiziert wurde. In einer Bitkom-Studie zu Malware auf privaten Smartphones gaben allerdings 35 Prozent der Befragten an, im Verlauf der vergangenen zwölf Monate Malware auf ihrem Mobilgerät entdeckt zu haben. Trotzdem nutzen insgesamt nur 40 Prozent der Befragten eine Antiviren-Software für das Handy.

 

BYOD-Risiken Smartphone Malware Bitkom
BYOD-Risiko Malware: Über ein Drittel der befragten Nutzer hat im letzten Jahr unter Handymalware gelitten (Quelle: Bitkom)

 

Android-Nutzern wird dringend empfohlen, einen aktuellen Android-Virenscanner auf ihrem Smartphone oder Tablet zu nutzen. Allerdings gibt es auch unter iOS schädliche Software wie zum Beispiel Trojaner. Diese können Apple-Devices ausspähen oder über bestimmte Verbindungen Schadcode aus dem Internet nachladen.

Lesen Sie dazu auch:

 

4. Unsichere Apps

2018 kannten die Sicherheitsexperten von Kaspersky Lab 34 Millionen schädliche Android-Installationspakete. Smartphone-Nutzer installieren sich mobile Malware oft selbst, indem sie Apps aus dubiosen Quellen beziehen.

BYOD-Risiko Malware Download App Store
Vorsicht bei der Auswahl von Apps und App-Stores

 

Da viele Nutzer des Lesens von Kleingedrucktem überdrüssig geworden sind, werden auch Zugriffsberechtigungen von Apps oft genug ohne genaues Hinsehen erteilt. Apps können dadurch prinzipiell zum BYOD-Risiko werden, indem sie Daten auf dem mobilen Endgerät ausschnüffeln, Passwörter erspähen oder teure SMS senden.

Lösung

  • Apps nur aus offiziellen und vertrauenswürdigen App-Stores beziehen
  • Apps mit nur wenigen Zugriffen/Downloads besonders skeptisch betrachten
  • Zugriffsberechtigungen kritisch hinterfragen: Wozu benötigt welche App wirklich Zugriff?

Lesen Sie hierzu auch:

 

5. Jailbreak und Rooten

Fortgeschrittene User, denen Beschränkungen im mobilen Betriebssystem gegen den Strich gehen, verschaffen sich oft erweiterte Zugangsrechte. Diesen Vorgang nennt man bei Android-Devices „rooten“. Bei iOS-Geräten hat sich die Bezeichnung „Jailbreak“ durchgesetzt.

Während echte Jailbreaks für iOS immer seltener werden, ist das Rooten unter Android nach wie vor beliebt. Von einem gerooteten Android-Smartphone lässt sich nämlich die von vielen Herstellern installierte Bloatware entfernen. Hierbei handelt es sich um unerwünschte Programme, die die Performance des Smartphones verlangsamen und deswegen stören.

Außerdem lassen sich auf einem gerooteten Gerät auch Apps aus alternativen App-Stores installieren und die Nutzeroberfläche (UI) weitestgehend individualisieren.

Allerdings ist ein gerootetes System in Bezug auf Schadsoftware auch gefährlicher und damit ein ernstzunehmender BYOD-Risikofaktor. Wird das Gerät von einer Malware mit Root-Rechten infiziert, kann diese sehr viel Schaden anrichten.

Ein weiteres Problem bei gerooteten Geräten: Sie verstoßen oft gegen die Mobile Policy der Unternehmen und werden vom MDM entweder direkt blockiert oder sind verboten. Halten sich Mitarbeiter nicht an die BYOD-Nutzungsvorgaben, haften sie für eventuellen entstandene Schäden. Prädikat insgesamt: nicht empfehlenswert.

Lesen Sie hierzu auch:

 

6. BYOD-Risiko Netzwerkverbindungen

Sind mobile Endgeräte in öffentlichen Netzwerken (zum Beispiel ungesicherten WLAN-Netzen) sichtbar, kann auch dies ein mögliches Sicherheitsrisiko im Rahmen von BYOD darstellen.

Denn: Über eine sogenannte Man-in-the-Middle-Attacke können Angreifer die kabellose Kommunikation abhören und sogar manipulieren. Dieses Vorgehen nennt man Snarfing. Auch andere Verbindungsarten, wie zum Beispiel Bluetooth, können für diese Art von Angriff genutzt werden, man spricht in diesem Fall von Bluesnarfing.

Nutzer sollten also beim mobilen Arbeiten in der Öffentlichkeit besondere Vorsicht walten lassen.

Hier einige Tipps:

  • Standardmäßig WLAN deaktivieren
  • Standardmäßig Bluetooth-Verbindung deaktivieren
  • Automatische Anmeldung an bekannten WLAN-Hotspots ausschalten
  • Zur Verbindung mit dem Firmennetzwerk ein verschlüsseltes VPN nutzen (Virtual Private Network)
  • Kritische Daten nur über sichere Verbindungen abrufen/übertragen

Lesen Sie hierzu auch: Öffentliche WLAN-Hotspots – Risiken und Schutzmaßnahmen.

 

6. Datenschutz bei BYOD-Mischnutzung

Naturgemäß lässt sich in BYOD-Szenarien eine gemischte Nutzung privater und geschäftlicher Daten kaum vermeiden. Genau dies muss allerdings geschehen, wollen Anwender nicht unfreiwillig gegen die Datenschutzvorschriften der neuen EU-DSGVO verstoßen.

Dies ist zum Beispiel bereits der Fall, wenn Nutzer auf ihrem Smartphone sowohl Whatsapp gespeichert haben als auch Unternehmenskontakte. Denn: Whatsapp übermittelt personenbezogene Daten zu Servern ins EU-Ausland – ohne die Einwilligung des Betroffenen ein klarer Datenschutzverstoß.

Lesen Sie dazu auch: Whatsapp auf dem Firmenhandy – ja oder nein?

Lösung

Private und geschäftliche Daten müssen auf dem Gerät strikt voneinander getrennt werden. Dies kann durch eine sogenannte Container-App erreicht werden – diese richtet einen verschlüsselten Bereich auf dem Handy nur für die Geschäftsdaten ein.

Mehr zu diesem Thema erfahren Sie in unserem Whitepaper „Bring Your Own Device  und DSGVO”, das Sie hier kostenlos herunterladen können.

 

7. Datenlecks/Datenverlust

Der Verlust des Endgeräts ist wie erwähnt eines der Hauptprobleme innerhalb von BYOD-Szenarien. Wenn das Mobilgerät in die Hände von Cyberkriminellen gerät, droht substanzieller Schaden für das Unternehmen: Erstens, wenn Unternehmensdaten nur auf dem verlorenen Gerät gespeichert waren. Und zweitens wenn die gespeicherten Daten abgegriffen werden können.

Aber auch, wenn sich ein Unternehmen von einem Mitarbeiter trennt, kann dies sicherheitsrelevant werden – insbesondere, wenn die Trennung nicht im Guten erfolgte.

Lösung

Wichtig ist entsprechend, den Zutritt zum Firmennetzwerk und zu sensiblen Daten nach Bedarf aufheben zu können – auch ohne physischen Zugang zum Device. Dies kann erfolgen, wenn das Gerät mit einer Container-Lösung versorgt beziehungsweise in ein MDM-System eingebunden ist.

8. BYOD-Risiko Steuerrecht

Einfach das Handy mit in die Arbeit bringen und ins Firmen-WLAN hängen? So einfach ist es dann doch nicht. Tatsächlich unterscheidet der deutsche Gesetzgeber zwischen beruflich und privat veranlassten Kosten. Arbeitgeber können Kosten, die für die berufliche Nutzung anfallen, von der Steuer absetzen.

Dies setzt allerdings voraus, dass die Mitarbeiter sämtliche Aufwendungen für ihre Mobilgeräte zweckgebunden erfassen. Ansonsten droht im Fall einer Steuerprüfung Ärger.

Lesen Sie hierzu auch:

 

9. BYOD-Risiko Urheberrecht

Wissen Sie im Rahmen von BYOD genau, welche Software Ihre Angestellten für welche Aufgabe nutzen? Auch hier ist Vorsicht geboten: Während so manche Produktiv-App für den privaten Einsatz kostenlos ist, fallen für Geschäftskunden Lizenzgebühren an. Andersherum deckt auch nicht jede Firmenlizenz die Nutzung auf einem Privatgerät mit ab. Wird die Lizenzierung nicht von der Rechtsabteilung geklärt und in eine entsprechend klare Nutzungsvereinbarung gegossen, begehen Ihre Mitarbeiter dann fortlaufend Verstöße gegen das Urheberrecht.

Lesen Sie hierzu auch:


Fazit BYOD-Risiken

Aus unternehmerischer Sicht erscheint es nicht so opportun wie noch vor ein paar Jahren, BYOD-Konzepte zu forcieren. Nicht zufällig kommt die EU-Kommission zu der Einschätzung, dass BYOD „ein großes Sicherheitsrisiko“ („a major security concern“, Quelle: Digital Transformation Monitor) ist.

European Commission BYOD RisikenDie EU-Kommission warnt schon seit 2017 vor BYOD-Risiken.
(Screenshot: European Commission Digital Transformation Monitor) 

 

Rechtliche Fragen sowie die Sicherheitsfragen rund um den Einsatz von Privatgeräten sind substanziell und können Kernbereiche des unternehmerischen Handelns bedrohen. Auch für Arbeitnehmer gibt es zahlreiche BYOD-Risiken rund um Datenschutz und IT-Sicherheit.

Da der administrative Mehraufwand vermeintliche Kostenvorteile von BYOD aufhebt, ohne allerdings BYOD-Risiken restlos minimieren zu können, halte ich das Konzept insgesamt für nicht mehr empfehlenswert und würde Firmen eher zu einer CYOD-Variante mit Co-Payment raten. Das kommt bei den Angestellten gut an, ist für die IT einfacher und sicherer. Zudem lassen sich durch den Ansatz auch Firmenhandys als Corporate Benefits nutzen, was insbesondere für Millenials und die Generation Z sehr interessant ist.

Was halten Sie von einzelnen Risikofaktoren – oder habe ich welche übersehen? Ich freue mich auf Ihren Kommentar.

 

Leitfaden für Mobilgeräteverwaltung

 

Themen: Mobile Device Management, EU-DSGVO, Bring Your Own Device, Datenschutz, Choose Your Own Device, Mobile Security

Phone as a Service

everphone ist die One-Stop-Lösung für Firmensmartphones und -tablets. Im Blog schreiben wir über alles rund um Enterprise Mobility.

Mobile Device Management HR

E-Mail-Abonnement

Beliebte Beiträge