Gerade im Hinblick auf die compliancerelevante Informationssicherheit müssen Unternehmen große Sorgfalt wallten lassen. Firmen müssen die Verfügbarkeit, Vertraulichkeit und Integrität ihrer Daten jederzeit nicht nur auf Grund gesetzlicher Vorgaben sicherstellen. Dies kommt insbesondere bei Initiativen wie dem Bring your own Device (BYOD) zum tragen, wenn Unternehmen der Zugriff auf die Daten teilweise aus der Hand genommen wird.

Dabei spielt es prinzipiell kaum eine Rolle, welche Smartphones für den Unternehmenszweck ausgewählt werden oder welche Smartphones Mitarbeiter mit ins Unternehmen bringen und ins Netzwerk schleusen. Gefährdet sind alle Geräte, unabhängig vom laufenden Betriebssystem. Ein Lieblingsangriffsziel der Datendiebe hat sich jedoch heraus kristallisiert: Smartphones mit Googles Betriebssystem Android.Was man bisher nur von stationären PCs und Noteboks kannte, Viren, Würmer, Trojaner (Malware allgemein) wird zunehmend auch für Smartphone-Besitzer zum Problem. Besonders beim Unternehmenseinsatz mobiler Geräte stellt dies die hiesigen IT vor völlig neue Herausforderungen. Nicht nur das Mobile Device Management verlangt eine eingehende Auseinandersetzung mit dem Thema, auch die Gewährleistung der Datensicherheit mit möglichst geringer Benutzereinschränkung auf den privaten Geräten muss hierbei das Ziel sein. Richteten sich frühere Malware-Angriffe vorzugsweise per SMS oder Bluetooth primär auf eine Sabotage des mobilen Systems durch Blockieren oder Abstürzen, liegt der heutige Fokus der Malware-Programmierer auf dem Ausspähen von Daten und dem Entwenden von (Betriebs)Geheimnissen.

BYOD ist ein internationaler Trend, der zunehmend auch in deutschen Unternehmen Einzug hält. Der Begriff bezeichnet den Umstand, dass Mitarbeitern erlaubt wird, anstelle firmeneigener Laptops/Notebooks, Tablet-PCs und Smartphones, private Geräte einzusetzen. Der Trend, Privateigentum zu betrieblichen Zwecken einzusetzen, ist nicht neu. Auch andere Gegenstände werden bereits seit längerer Zeit auf Geheiß des Arbeitgebers dienstlich mitgeführt und eingesetzt. Als Beispiel dient der private PKW, der auch als Dienstfahrzeug eingesetzt wird. In Bezug auf Mobilgeräte ergeben sich jedoch neue rechtliche Fragen, insbesondere aus dem IT- und TK-Recht sowie aus dem Datenschutzrecht.

Vorteile und Risiken von BYOD 

Die Vorteile von BYOD liegen insbesondere in Kostenersparnissen des Unternehmens und dem vielfachen Wunsch der Mitarbeiter, ihre (moderneren) Geräte, mit deren Umgang sie vertraut sind, auch beruflich einsetzten zu können und nicht zugleich sowohl private als auch Firmengeräte mit sich führen zu müssen.

Immer wieder kommt es zu spektakulären Sicherheitslücken bei der Verwendung von Smartphones. Spätestens, wenn die Daten von zehntausenden Benutzern gehackt werden, sind die Nachrichten voll von entsprechenden Meldungen. Für die betroffenen Smartphonebesitzer hat dies oftmals weitreichende Folgen. Liegen auf dem mobilen Endgerät doch häufig Zugangsdaten zu verschiedenen Emailkonten, die Adressen von Freunden und schlimmstenfalls auch Daten zum Online-Banking. Mit der Einhaltung einiger einfacher Sicherheitsregeln lässt sich der Schaden jedoch erheblich begrenzen oder vermeiden.

Nicht alle Daten gehören aufs Smartphone Auch wenn es bequem erscheint: Zugangsdaten für Onlinebanking oder Bezahldienste sollten nicht auf dem Smartphone gespeichert werden. Besonders hoch ist hier die Gefährdung, wenn diese Daten im Notizbuch abgelegt werden. Dort sind sie für jeden, der auf das Gerät zugreifen kann, ohne Mühe auslesbar. Auch die Browser auf dem Smartphone sollten diese Passwörter nicht speichern, um einen Missbrauch zu verhindern.

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass Sicherheit nur Bürokratie ist. Dabei ist Security Awareness einer der entscheidendsten Faktoren für die Informationssicherheit überhaupt. Die meisten Sicherheitsvorfälle haben menschliche Ursachen – sei es ein Klick auf einen schädlichen Link, das Teilen sensibler Daten oder das Ignorieren von Sicherheitswarnungen. Wenn Awareness-Programme nicht hängen bleiben, bleiben Lücken offen, die keine Firewall der Welt schließen kann.

Der Schlüssel zu wirksamer Awareness liegt darin, die Perspektive zu wechseln: weg von der Pflichtveranstaltung, hin zu einer Erfahrung, die relevant, verständlich und einprägsam ist. Genau das verlangt ein didaktisches Re-Design: Storytelling statt Paragrafen, Rollenrelevanz statt Gießkanne, Interaktion statt Vorlesen, Kontinuität statt Jahresmarathon, Vorbild statt Verordnung – und Messbarkeit statt Bauchgefühl.

Das Thema BYOD hat in den letzten Monaten offenbar an Bedeutung eingebüßt, weil viele Verantwortliche mittlerweile erkannt haben, dass die damit verbundenen technischen und rechtlichen Probleme inhärent nicht beherrschbar sind und am Ende - insbesondere in Europa - die Verantwortung für dieses weitgehend verantwortungslose Konzept ganz allein bei den IT-Experten hängen bleibt. Dies wurde insbesondere in den letzten Blog Artikel offensichtlich.

Die grundsätzlich ähnlichen Konzepte von BlackBerry BALANCE oder Samsung KNOX, die zur Trennung von geschäftlichen und privaten Inhalten genutzt werden können, bringen neuen Schwung in die Diskussion über sichere und seriöse BYOD Konzepte. Unabhängig davon, dass man die rechtlichen Hürden in Deutschland, die BYOD mit keiner seriösen Technologie lösen kann, ist Samsung KNOX konzeptionell mehr als fragwürdig.