Suchen

IT-Consumerisation & eGovernment

BSI warnt vor Kontroll- und Vertrauensverlust bei BYOD

Seite: 2/2

Firmen zum Thema

Die meisten mobilen Geräte seien zudem eher auf Design und einfache Bedienung optimiert, während die Konfigurationsmöglichkeiten und die vorhandenen Sicherheitsfunktionen nicht dem Stand der Technik von anderen Geräten entsprechen, die im professionellen Umfeld eingesetzt werden. Oft ließen sich dadurch Sicherheitsvorgaben der Institution nicht oder nur teilweise umsetzen.

BYOD: Das BSI sieht nur zwei tragbare Lösungen

Besonders kritisch sehen die Sicherheitsexperten BYOD, „da viele Benutzer erfahrungsgemäß nicht bereit sind, für ihre eigenen Geräte Einschränkungen hinzunehmen oder Zugriffe auf das Gerät durch den Arbeitgeber zu erlauben. Vor allem Sicherheitsmaßnahmen, bei denen Eingriffe erforderlich sind, durch die die Garantie für das Gerät erlischt, werden sich in der Regel nicht umsetzen lassen. Zusätzlich steigt die Heterogenität des Endgeräte-Parks, wenn eine BYOD-Strategie umgesetzt wird.“

Und weiter: „Wenn eine BYOD-Strategie nicht mit den Sicherheitsanforderungen des Unternehmens oder der Behörde vereinbar ist, beziehungsweise die nötigen Randbedingungen für die Mitarbeiter inakzeptabel sind, kann in der Regel in dieser Institution kein BYOD umgesetzt werden. Aus Sicherheitssicht kann BYOD zudem auch nicht bedeuten, dass beliebige Endgeräte uneingeschränkt eingesetzt werden dürfen.“

Das Bundesamt für die Sicherheit in der Informationstechnik sieht zwei typische und meist tragbare Lösungen:

  • Beschränkung auf ausgewählte Endgeräte-Typen: Die wenigsten Institutionen werden in der Lage sein, eine unbeschränkte Menge von verschiedenen Endgeräte-Typen, Betriebssystemen und Applikationen zu administrieren und deren Sicherheit im Blick zu behalten. Daher sollte auch bei einer BYOD-Strategie die Art der zugelassenen Endgeräte beschränkt werden, abhängig von den Ressourcen des IT-Betriebs.
  • Benutzertypen identifizieren: Ebenso sollten die verschiedenen Benutzertypen identifiziert werden. Nicht jeder Mitarbeiter möchte unbedingt eigene Geräte einsetzen und auch die Motivation, dies tun zu wollen, kann sehr unterschiedlich sein. Daher kann es sinnvoll sein, für die verschiedenen Personengruppen jeweils angepasste Spielregeln zu erstellen.

IT-affine Personen können auch Sicherheitsmaßnahmen umsetzen, die erklärungsbedürftig sind und bei denen sie selbst aktiv werden müssen. Viele Mitarbeiter wollen meistens nur unterwegs Termine einsehen oder im Internet arbeiten können. Hierfür lassen sich meist einfach sicherheitskonforme Lösungen finden. Wünsche, administrative Zugriffe aus der Ferne von einem Smartphone aus durchführen zu können, sind wesentlich schwieriger aus Sicherheitssicht zu lösen.

Artikelfiles und Artikellinks

(ID:37922660)