Das Thema BYOD hat in den letzten Monaten offenbar an Bedeutung eingebüßt, weil viele Verantwortliche mittlerweile erkannt haben, dass die damit verbundenen technischen und rechtlichen Probleme inhärent nicht beherrschbar sind und am Ende - insbesondere in Europa - die Verantwortung für dieses weitgehend verantwortungslose Konzept ganz allein bei den IT-Experten hängen bleibt. Dies wurde insbesondere in den letzten Blog Artikel offensichtlich.

Die grundsätzlich ähnlichen Konzepte von BlackBerry BALANCE oder Samsung KNOX, die zur Trennung von geschäftlichen und privaten Inhalten genutzt werden können, bringen neuen Schwung in die Diskussion über sichere und seriöse BYOD Konzepte. Unabhängig davon, dass man die rechtlichen Hürden in Deutschland, die BYOD mit keiner seriösen Technologie lösen kann, ist Samsung KNOX konzeptionell mehr als fragwürdig.

Auch aus datenschutzrechtlicher Sicht kann es zu Schwierigkeiten bei Bring your own Device kommen. Anforderungen an den Datenschutz gibt es in Bezug auf die Zugriffskontrolle auf Unternehmensdaten, sowie im Umgang mit privaten Daten.

Daher muss aus datenschutzrechtlicher Sicht bei der Verarbeitung von Daten der Nutzer erfasst werden aufgrund von Vorschriften zu technischen und organisatorischen Maßnahmen, auf der anderen Seite jedoch ist der Arbeitgeber nicht berechtigt die bei der privaten Nutzung angefallenen personenbezogenen Daten zu kontrollieren. Denn grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beide gelten nur für das jeweilige Unternehmen

In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:

In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.

Wie beide Firmen letzte Wochen übereinstimmen mitteilten, wird das US-Unternehmen Good Technology von dem kanadischen Smartphone-Hersteller Blackberry übernommen. Der geplanten Übernahme stehen noch die notwendigen behördliche Genehmigungen der Kartelbehörden aus Ziel ist Anteilsmehrheit bis November 2015 abgeschlossen werden und könnten eine Marktmacht im BYOD Bereich bilden. Beide Unternehmen, die sich bereits oft juristisch bei Patentstreitigkeiten gegenüberstanden, arbeiten im Bereich des Enterprise Mobility Managements (kurz EMM) und könnten durch den Zusammenschluss eine neue Marktmacht bilden. Die Sicherheitslösungen der bisherigen Konkurrenten für den Einsatz von mobilen Endgeräten wie Smartphones oder Tablets ergänzen sich anscheinend perfekt. Blackberry COO Marty Beare sagte zur Bekanntgabe der Übernahmepläne: "Einige Leute wissen vielleicht nicht, dass Blackberry und Good seit über einem Jahrzehnt Lösungen für sichere Mobilität liefern. Unsere Branche ist sehr umkämpft und entwickelt sich ständig weiter, weshalb es nicht erstaunlich ist, dass wir bisweilen aggressive Positionen einnehmen. Sieht man aber genauer hin, haben wir eine gemeinsame Heimat im Sicherheitsbereich, und unsere Stärken ergänzen sich unglaublich gut."

Für die Kanadier ist die Fusion insbesondere eine Stärkung im Bereich der neuen Strategie von mobilen Sicherheitslösungen, die sie mittels Software abseits von den bekannten Hardware-Produkten anbieten. Der Zukauf von Good Technologies wird dabei ein weiteres immer wichtiger werdendes Geschäftsfeld mit einschließen: Die Absicherung von Wearables wie die Apple Watch oder Zukunftsprodukte wie Google Glas. Good hat Lösungen für Smartphones und Tablets die iOS, Android, Windows Phone, BlackBerry 10 und BlackBerry OS umfassen. Dazu gibt es Support für Apples Watch und für Android Wear. Dieser Bereich werde in Zukunft für Firmen im Kontext von Bring your Owner Device immer wichtiger werden, da sich Wearables mit Smartphones verbinden und verstärkt auch ihren Platz im Businessbereich finden werden.

In der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den Organisationen unterzugehen. Genau hier setzt eine der Kernideen von DORA an: den strukturierten und sicheren Informationsaustausch im Finanzsektor zu fördern. Die Botschaft dahinter ist klar – Sicherheit wird zur Gemeinschaftsaufgabe.

Der Gedanke ist so einfach wie kraftvoll: Wenn ein Unternehmen eine Bedrohung erkennt oder einen Angriff erlebt, können andere davon profitieren, diese Informationen schnell zu kennen. Ob es sich um neue Phishing-Muster, Zero-Day-Schwachstellen oder komplexe Supply-Chain-Angriffe handelt – je früher andere potenzielle Opfer gewarnt sind, desto besser können sie reagieren. DORA will diesen Austausch nicht nur ermöglichen, sondern systematisieren. Das Ziel: Angriffszeiten verkürzen, Verteidigungsmaßnahmen beschleunigen und die kollektive Widerstandsfähigkeit des gesamten Sektors steigern.