Suchen

IT-Consumerisation & eGovernment BSI warnt vor Kontroll- und Vertrauensverlust bei BYOD

Redakteur: Gerald Viola

Consumerisation und BYOD (Bring Your Own Device) führen zu großen Herausforderungen für die Informationssicherheit und den Datenschutz in Behörden und Unternehmen, sagt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein Überblickspapier stellt konkrete Hinweise, Best Practices und Handlungsempfehlungen vor.

Firmen zum Thema

Neu vom BSI: IT-Grundschutz-Überblickspapier zum Thema Consumerisation und BYOD
Neu vom BSI: IT-Grundschutz-Überblickspapier zum Thema Consumerisation und BYOD
(Foto: QUALIA studio - Fotolia.com)

Das Bundesamt: „Consumerisation“ beschreibt die Entwicklung, dass immer mehr IT-Systeme, Anwendungen und Dienste, die ursprünglich für die Nutzung im privaten Umfeld entwickelt wurden, auch im beruflichen Bereich zum Einsatz kommen. Die Grenze zwischen beruflicher und privater Nutzung von IT löst sich damit immer mehr auf.

Hinzu kommen Strategien von Unternehmen und Institutionen, ihre Mitarbeiter zur dienstlichen Nutzung privater technischer Geräte zu ermutigen oder sogar finanzielle Anreize hierfür zu schaffen. Dieser Trend ist unter dem Begriff „Bring Your Own Device“ bekannt geworden.

Bedienungskomfort versus Sicherheit und Datenschutz?

Eine der größten Herausforderungen für die Informationssicherheit durch Consumer-Geräte besteht nach Ansicht des BSI darin, dass die Grenzen des Informationsverbundes des Unternehmen durchlöchert oder aufgelöst werden. So würden schützenswerte Daten auf Geräten verarbeitet, die nicht so gut abgesichert werden können wie Arbeitsplatzrechner. Zudem befinden sich mobile Endgeräte häufig außerhalb der geschützten IT-Umgebung der Institution.

Werden in einem Informationsverbund viele verschiedene Geräte eingesetzt, ließen sich zudem nicht alle im Unternehmen geltenden Sicherheitsanforderungen auf allen Geräten in gleicher Weise umsetzen. Beispielsweise unterstützten nicht alle Modelle eine vollständige Geräteverschlüsselung oder ließen differenzierte Rechtevergaben zu. Dadurch könne es zu unterschiedlichen Sicherheitsniveaus auf Geräten kommen, die eigentlich für vergleichbare Aufgaben benutzt werden sollen.

Die meisten mobilen Geräte seien zudem eher auf Design und einfache Bedienung optimiert, während die Konfigurationsmöglichkeiten und die vorhandenen Sicherheitsfunktionen nicht dem Stand der Technik von anderen Geräten entsprechen, die im professionellen Umfeld eingesetzt werden. Oft ließen sich dadurch Sicherheitsvorgaben der Institution nicht oder nur teilweise umsetzen.

BYOD: Das BSI sieht nur zwei tragbare Lösungen

Besonders kritisch sehen die Sicherheitsexperten BYOD, „da viele Benutzer erfahrungsgemäß nicht bereit sind, für ihre eigenen Geräte Einschränkungen hinzunehmen oder Zugriffe auf das Gerät durch den Arbeitgeber zu erlauben. Vor allem Sicherheitsmaßnahmen, bei denen Eingriffe erforderlich sind, durch die die Garantie für das Gerät erlischt, werden sich in der Regel nicht umsetzen lassen. Zusätzlich steigt die Heterogenität des Endgeräte-Parks, wenn eine BYOD-Strategie umgesetzt wird.“

Und weiter: „Wenn eine BYOD-Strategie nicht mit den Sicherheitsanforderungen des Unternehmens oder der Behörde vereinbar ist, beziehungsweise die nötigen Randbedingungen für die Mitarbeiter inakzeptabel sind, kann in der Regel in dieser Institution kein BYOD umgesetzt werden. Aus Sicherheitssicht kann BYOD zudem auch nicht bedeuten, dass beliebige Endgeräte uneingeschränkt eingesetzt werden dürfen.“

Das Bundesamt für die Sicherheit in der Informationstechnik sieht zwei typische und meist tragbare Lösungen:

  • Beschränkung auf ausgewählte Endgeräte-Typen: Die wenigsten Institutionen werden in der Lage sein, eine unbeschränkte Menge von verschiedenen Endgeräte-Typen, Betriebssystemen und Applikationen zu administrieren und deren Sicherheit im Blick zu behalten. Daher sollte auch bei einer BYOD-Strategie die Art der zugelassenen Endgeräte beschränkt werden, abhängig von den Ressourcen des IT-Betriebs.
  • Benutzertypen identifizieren: Ebenso sollten die verschiedenen Benutzertypen identifiziert werden. Nicht jeder Mitarbeiter möchte unbedingt eigene Geräte einsetzen und auch die Motivation, dies tun zu wollen, kann sehr unterschiedlich sein. Daher kann es sinnvoll sein, für die verschiedenen Personengruppen jeweils angepasste Spielregeln zu erstellen.

IT-affine Personen können auch Sicherheitsmaßnahmen umsetzen, die erklärungsbedürftig sind und bei denen sie selbst aktiv werden müssen. Viele Mitarbeiter wollen meistens nur unterwegs Termine einsehen oder im Internet arbeiten können. Hierfür lassen sich meist einfach sicherheitskonforme Lösungen finden. Wünsche, administrative Zugriffe aus der Ferne von einem Smartphone aus durchführen zu können, sind wesentlich schwieriger aus Sicherheitssicht zu lösen.

Artikelfiles und Artikellinks

(ID:37922660)