Neue Security-Projekte durch Hybrid Work Warum „Bring Your Own Security“ nicht vergessen werden darf

Bring Your Own Device ist in vielen Unternehmen Alltag geworden, trotzdem werden nicht alle Folgen der betrieblichen Nutzung privater Geräte gesehen. Dienstleister sollten ihre Kunden auf die Risiken durch das ungewollte „Bring Your Own Security“ hinweisen.

Anbieter zum Thema

Mit privaten Geräten kommen auch unbekannte und unkontrollierbare Sicherheitslücken in das Unternehmensnetzwerk.
Mit privaten Geräten kommen auch unbekannte und unkontrollierbare Sicherheitslücken in das Unternehmensnetzwerk.
(Bild: Moon Safari-stock.adobe.com)

Die Zeiten sind vorbei, in denen Bring Your Own Device (BYOD) als Option diskutiert wurde, um den Beschäftigten die Möglichkeit zu geben, mit den Geräten ihrer Wahl zu arbeiten. Inzwischen ist BYOD in vielen Unternehmen Realität, ja eine Art Notwendigkeit geworden, um kurzfristig die vielen, neuen Home-Offices in Pandemiezeiten auszustatten.

Wie eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergab, setzen viele Unternehmen keine MDM-Lösung (Mobile Device Management) ein, um die Endgeräte im Home-Office zu managen. Ein weiteres Problem: Mit den betrieblich genutzten Privatgeräten kommt oftmals auch private IT-Sicherheit zum Einsatz, eine große Unbekannte.
Wie eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergab, setzen viele Unternehmen keine MDM-Lösung (Mobile Device Management) ein, um die Endgeräte im Home-Office zu managen. Ein weiteres Problem: Mit den betrieblich genutzten Privatgeräten kommt oftmals auch private IT-Sicherheit zum Einsatz, eine große Unbekannte.
(Bild: BSI)

Wie die Wirtschaftsumfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) zum Thema Home-Office gezeigt hat, nutzen nur 42 Prozent der Unternehmen ausschließlich betriebliche IT für die Home-Offices. Die Mehrzahl der Unternehmen setzt damit auf BYOD, und das nicht nur temporär.

Mit den privaten Geräten kommen unbekannte und unkontrollierbare Sicherheitslücken in die betriebliche Datenverarbeitung, davor wird seit langem gewarnt. Was aber nicht vergessen werden darf: Mit der privaten IT kommt auch ungewollt die private IT-Sicherheit ins Spiel. Auch diese ist erst einmal unbekannt und unkontrollierbar. Das sollten Security-Dienstleister deutlich machen und für sich nutzen.

Die Folgen von BYOD: Auch BYOS gehört dazu

Neben BYOD gibt es also auch Bring Your Own Security (BYOS). In aller Regel ist es aber nicht so, dass BYOS eine Folge davon ist, dass die Beschäftigten am liebsten ihre eigene Security-Anwendung nutzen würden. Je nach Endgerät wurde die Security-Anwendung darauf mitgeliefert, oder der oder die Beschäftigte hat zu privaten Zwecken eine kostenlose Security-App auf dem eigenen Smartphone oder Tablet installiert.

Eine Umfrage des Digitalverbands Bitkom macht deutlich, wie es um die private Smartphone-Sicherheit steht: Mit 96 Prozent haben fast alle Smartphone-Nutzer eine Bildschirmsperre eingestellt, neun von zehn (90 %) haben einen SIM-Karten-Schutz aktiv. Dabei sperrt sich das Handy, sobald die SIM-Karte entfernt wird. Schon deutlich weniger (61 %) nutzen eine Lokalisierungsfunktion zum Aufspüren des Smartphones, wenn das Gerät verloren geht oder gestohlen wird.

Mehr als jeder Zweite (55 %) erstellt auch regelmäßig Backups seiner Smartphone-Daten – entweder in der Cloud (31 %) oder auf externen Datenspeichern (27 %). Virenschutzprogramme haben nur 43 Prozent installiert. Jeder Sechste (16 %) deckt seine Smartphone-Kamera ab, und 13 Prozent nutzen einen Passwort-Safe zur zentralen Verwaltung von Passwörtern auf dem Smartphone.

Das klingt nicht nur nach unzureichenden Sicherheitsmaßnahmen von Privatnutzern, es handelt sich um ein Unternehmensrisiko. Die lückenhafte Sicherheit erfolgt zwar auf privater Ebene, aber dank BYOD betrifft sie auch die Unternehmen als Arbeitgeber. Ein weiteres Problem ist: Als Unternehmen hat man ohne weiteres keine Übersicht über die aktuellen Sicherheitsfunktionen auf den privaten Geräten, man kann sie nicht steuern, die sicherheitsrelevanten Informationen nicht auswerten.

Diesen Umstand kann sich aber kein Unternehmen leisten. Wenn man Kosten reduzieren will oder muss, indem man BYOD im Home-Office zulässt, darf sich dies nicht auf die Security auswirken, tut es aber, wenn man keinen geeigneten Security-Ansatz wählt.

Vorsicht vor Security-Zoo und Datenpannen

Als Unternehmen muss man mit einer großen Vielfalt von Security-Lösungen bei BYOD rechnen, wobei der Stand der (meist kostenlosen) Security dem Schutzbedarf eines Unternehmens häufig nicht gerecht wird.

Die Vielfalt der Security-Apps, denen man bei BYOS begegnet, und der Mangel an Transparenz und Kontrolle ist nicht das einzige Problem. Wollte man die sicherheitsrelevanten Daten der Security-Apps zentral auf Unternehmensebene sammeln und auswerten, hätte man unweigerlich auch Sicherheitsinformationen darunter, die sich auf die private Nutzung der privaten Geräte beziehen. Als Arbeitgeber kann man da schnell in ein Datenschutzproblem gelangen, das man lieber nicht riskieren sollte.

Man denke nur an die Probleme, wenn private E-Mails in die betriebliche Kontrolle gelangen. Ähnlich kann es auch bei den Sicherheitsprotokollen sein, die viel über einen Nutzer und dessen Privatsphäre verraten können.

Newsletter

Ihre täglichen News aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

BYOS liefert Argumente für Zero Trust und SASE

Die Marktforscher von Gartner sagen, dass „Bring Your Own PC“ die Security der Unternehmen innerhalb der nächsten fünf Jahre verändern wird.

Rob Smith, Senior Research Director bei Gartner, erklärte dazu: „CISOs und Sicherheitsverantwortliche sollten davon ausgehen, dass die Notwendigkeit, BYOPC zu unterstützen, von einer langfristigen Work-from-Home-Strategie abhängt, und auch davon ausgehen, dass sie Sicherheitstools unterstützen, die für eine BYOPC-Umgebung benötigt werden“, so Rob Smith. „Sie müssen ihre Sicherheitspraktiken priorisieren, einschließlich der Aktivierung der Multifaktor-Authentifizierung (MFA) für den gesamten Zugriff auf alle Unternehmensressourcen, unabhängig davon, ob virtuell oder nicht, und ob in der Cloud oder vor Ort.“

Da private Endgeräte häufig mit Malware oder Ransomware infiziert und die Nutzer Opfer von Phishing-Angriffen werden, muss die IT den Zugriff einschränken und kontrollieren, durch Investition in kritische Sicherheitstechnologien wie MFA, Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA ), virtuelle Desktopinfrastruktur und Desktop as a Service.

SASE (Secure Access Service Edge) zum Beispiel ermöglicht jedem Endpunkt den geschützten Zugriff auf jede Anwendung über jedes Netzwerk. SASE bietet mehrere Funktionen wie SD-WAN, sichere Web-Gateways, CASB, Firewall der nächsten Generation und ZTNA.

„Ohne Investitionen in diese Technologien sieht sich die IT mit viel höheren potenziellen Kosten in Form von Ransomware konfrontiert“, meinte der Gartner-Analyst Smith. Joe Skorupa, Distinguished Research Vice President bei Gartner, ergänzte: „Da SASE-Dienste Cloud-nativ sind – dynamisch skalierbar, global zugänglich, mandantenfähig und mit Zero-Trust-Netzwerkzugriff – lassen sie sich schnell einführen.“

Offensichtlich liefert die Herausforderung BYOS gute, weitere Argumente für die Einführung von Zero Trust und SASE. Die um sich greifenden Ransomware-Attacken und die dadurch verursachten Schäden liefern die Begründung, warum man die Investitionen in übergreifende Security-Konzepte nicht scheuen darf.

Es zeigt sich: Erlaubt oder duldet man BYOD, hat man in aller Regel BYOS als Folge. Das Ausrollen von betrieblichen Sicherheitslösungen auf die privaten Geräte würde zu vielen Problem führen, nicht nur bei privater Nutzung der privaten Geräte. Viel sinnvoller ist es deshalb, der Security auf den privaten Geräten nicht den Status einer IT-Sicherheitslösung zuzugestehen und mit einem Zero-Trust-Ansatz zu antworten, auch wenn noch so viele private Security bei den Geräten an Bord sein sollte. Als Security-Dienstleister sollte man dies nutzen und entsprechende Security-Projekte als Antwort auf BYOS vorschlagen.

(ID:47950311)