BYOD ohne Risiko: Private Geräte sicher nutzen

Checkliste des Security-Spezialisten ECOS Technology für sichere Nutzung privater Notebooks und PCs in Unternehmen und Organisationen

showimage BYOD ohne Risiko: Private Geräte sicher nutzen

www.ecos.de

Oppenheim, 11.06.2012 – Das Thema Bring Your Own Device (BYOD), also die Nutzung mobiler privater Endgeräte wie Notebooks, Tablet-PCs und Smartphones für berufliche Zwecke, beschäftigt derzeit IT-Verantwortliche und Anwender gleichermaßen. Gleichzeitig steigt durch die zunehmende Beliebtheit des Arbeitens im Home Office die Zahl derjenigen Arbeitnehmer, die regelmäßig oder gelegentlich auch ihren eigenen, stationären PC zu Hause für berufliche Tätigkeiten nutzen.

Während Mitarbeiter sich über die zusätzliche Flexibilität bei der Wahl ihrer Arbeitsmittel freuen, verursachen Sicherheitsbedenken bei Administratoren und IT-Leitern Bauchschmerzen. Und das zu Recht, denn viele Unternehmen und Organisationen gehen aktuell noch relativ leichtfertig mit den entstehenden Risiken um. Während unternehmenseigene Endgeräte sowie das Firmennetzwerk selbst mit den üblichen Schutzmaßnahmen ausgerüstet werden können, entzieht sich die Absicherung privater Devices zumeist dem Einfluss der IT-Abteilung. Unterschiedliche Plattformen und Betriebssysteme erschweren eine durchgängige Security-Strategie zusätzlich.

Die Experten der ECOS Technology GmbH (www.ecos.de), einem Hersteller von Lösungen für den sicheren Fernzugriff auf Daten und Applikationen, haben im Rahmen einer Checkliste fünf Aspekte zusammengestellt, die IT-Verantwortliche und Geschäftsführer bei der Umsetzung eines sicheren BYOD-Konzepts unterstützen. Denn neben wirtschaftlichen und rechtlichen Gesichtspunkten spielt bei dieser Thematik vor allem die Sicherheit schützenswerter Unternehmensdaten eine entscheidende Rolle.

1. BYOD nicht ignorieren, sondern frühzeitig in die Strategie einbinden

Unternehmen und Organisationen jeder Größe sollten unbedingt davon ausgehen, dass BYOD auch für sie früher oder später zum Thema wird. Einerseits ist es häufig der Wunsch der Mitarbeiter, eigene Geräte zu nutzen oder zumindest teilweise aus dem Home Office arbeiten zu können. Andererseits versprechen sich viele Arbeitgeber Kosteneinsparungen, da weniger Hardware angeschafft werden muss.

Es ist daher nicht zielführend, BYOD vermeintlich auszublenden, etwa durch ein Verbot der Nutzung privater Endgeräte, das langfristig in der Regel ohnehin nicht durchsetzbar ist. BYOD sollte in jedem Fall innerhalb der allgemeinen IT-Sicherheitsstrategie berücksichtigt werden – je früher, desto besser.

2. Sensibilisierung der Mitarbeiter ist hilfreich, schützt aber nur bedingt

Viele Anwender sind sich der Risiken im Umgang mit Firmendaten gar nicht bewusst. Hinzu kommt: Gerade privat genutzte Geräte, die auch Bestandteil der Freizeitgestaltung sind, können zusätzlich zu einem eher lockeren, sorglosen Nutzungsverhalten verführen.

Die Steigerung des Sicherheitsbewusstseins durch Information und Schulung der Mitarbeiter hat deshalb selbstverständlich auch im Rahmen einer BYOD-Sicherheitsstrategie einen wichtigen Platz. Mitarbeiter sollten sich darüber im Klaren sein, welche Konsequenzen beispielsweise ein Verlust von internen Daten für ihr Unternehmen haben kann. Allerdings lassen sich Unachtsamkeit und absichtliches oder unabsichtliches Fehlverhalten seitens der Anwender nie mit Sicherheit ausschließen. Von einer Vorgehensweise, die rein auf dem Vertrauen in das Anwenderverhalten basiert, muss deshalb dringend abgeraten werden.

3. Keine internen Daten auf externen Geräten vorhalten

Sensible Firmendaten wie Präsentationen, Konzepte oder Kundendaten sollten unter keinen Umständen ungeschützt auf privaten Endgeräten gespeichert werden. Täglich gehen Notebooks, Smartphones und Tablets verloren oder werden gestohlen. Die Gefahr des Missbrauchs von geschäftlichen Daten ist hoch. Zusätzlich drohen datenschutzrechtliche Konsequenzen.

Die gleiche Problematik besteht dann, wenn ein Mitarbeiter das Unternehmen verlässt beziehungsweise ihm gekündigt wird, er auf seinem privaten Notebook oder dem PC zu Hause aber Firmendaten gesichert hat.

Wenn sich die Speicherung von Daten in Einzelfällen nicht vermeiden lässt, dann ist zumindest auf eine sichere, professionelle Verschlüsselung nach aktuellen Standards zu achten. Reine Consumerlösungen, die etwa beim Schutz privater Fotoalben ihre Berechtigung haben, entsprechen diesen Anforderungen in der Regel allerdings nicht.

4. Nicht allein auf Security-Software auf den Endgeräten vertrauen

Eine individuelle Absicherung und Pflege der einzelnen Endgeräte, etwa durch die Installation der neuesten Betriebssystem-Updates sowie den Einsatz von gängiger Security-Software, sollte als Basis-Schutz mittlerweile selbstverständlich sein. Dennoch wäre es fatal, sich bei Geräten, die auch geschäftlich genutzt werden, allein darauf zu verlassen. Selbst die Suche nach seriösen Inhalten kann Anwender beispielsweise auf eine virenverseuchte Website führen und eine Infektion mit bislang unbekannter Schadsoftware zur Folge haben.

Ganz zu schweigen davon, dass private Geräte zu Hause möglicherweise auch dazu genutzt werden, die obskursten Dinge von wenig vertrauenswürdigen Servern herunterzuladen (man denke hier etwa auch an die Nutzung durch Kinder des Arbeitnehmers).

5. Klare Trennung zwischen privater und beruflicher Nutzung sicherstellen

Der wohl wichtigste Ratschlag: Private Endgeräte sollten grundsätzlich als potenziell unsicher betrachtet werden. Daraus folgt die Notwendigkeit einer 100-prozentigen Trennung von geschäftlichen und privaten Daten. In der Praxis wird sich dies am ehesten durch einen sicheren Fernzugriff vom privaten Notebook oder PC aus einer geschlossenen und geschützten Umgebung heraus bewerkstelligen lassen. Das bedeutet: Die Nutzung von Firmenanwendungen und Daten erfolgt dann nicht auf Basis des regulär auf dem Gerät installierten Systems, sondern vollständig separat und abgeschottet.

ECOS beispielsweise setzt einen solchermaßen geschützten Fernzugriff mit dem Secure Boot Stick um. Die Lösung basiert auf einem USB-Stick und kann auf auf PCs und Notebooks eingesetzt werden. Der Zugriff auf Firmenserver oder Webanwendungen erfolgt durch ein speziell gehärtetes Linux, vollkommen unabhängig vom lokal installierten Betriebssystem. Nach dem Login findet der Anwender seine gewohnte (Windows-) Benutzerumgebung vor, spezielle Fachkenntnisse sind nicht erforderlich. Selbst von einem hochgradig unsicheren und verseuchten System kann so ohne Bedenken auf Firmendaten zugegriffen werden. Eventuell vorhandene Trojaner, Viren oder andere Schadprogramme haben keine Chance, da das lokale Betriebssystem gar nicht aktiviert wird.

Der ECOS Secure Boot Stick dient gleichzeitig als Zwei-Faktor-Authentisierung und bietet so zusätzliche Sicherheit: Die Anmeldung ist nur in Kombination mit persönlichem Stick und entsprechendem Passwort möglich. Ein Verlust oder Diebstahl des Sticks allein stellt dadurch kein Sicherheitsrisiko dar.

Über ECOS Technology:
Die ECOS Technology GmbH hat sich auf die Entwicklung und den Vertrieb von IT-Lösungen für den sicheren Fernzugriff (Remote Access) spezialisiert, die in unterschiedlichsten Branchen eingesetzt werden. Anwender in Unternehmen, Organisationen und öffentlichen Einrichtungen sowie berechtigte externe Mitarbeiter, Lieferanten oder Kunden können damit von einem beliebigen Rechner mit Internetanschluss aus auf zentrale Daten und Applikationen im Firmennetzwerk zugreifen. Kernprodukte sind die Lösungen ECOS Mobile Office und ECOS Secure Boot Stick. Auf USB-Stick-Basis ermöglichen sie den hochsicheren Zugriff aus einer geschützten Umgebung heraus. Durch besondere Sicherheitsmerkmale wie eine 2-Faktor-Authentisierung sowie modellabhängige Features wie die Verbindung auf Applikationsebene, eine integrierte Firewall oder ein speziell gehärtetes Linux-Betriebssystem genügen sie höchsten Ansprüchen an den Datenschutz. Das Produktportfolio von ECOS umfasst darüber hinaus unter anderem eine zentrale Managementlösung sowie hochperformante, virtuelle Security-Appliances für die Bereiche UTM, OTP und PKI. ECOS beschäftigt sich bereits seit 1983 mit der IT-Sicherheit im Rahmen von Netzwerk-Infrastrukturen. Das deutsche Unternehmen hat seinen Hauptsitz in Oppenheim bei Mainz.

Weitere Informationen: http://www.ecos.de

Kontakt:
ECOS Technology GmbH
Paul Marx
Sant-Ambrogio-Ring 31
55276 Oppenheim
+49-(0)6133-939-250
paul.marx@ecos.de
http://www.ecos.de

Pressekontakt:
FX Kommunikation / Felix Hansel PR-Beratung
Felix Hansel
Stuhlbergerstr. 3
80999 München
089-6230-3490
hansel@fx-kommunikation.de
http://www.fx-kommunikation.de