[datensicherheit.de, 07.05.2020] In der digitalen Welt sind Unternehmen weit mehr als ein Bürogebäude, in dem Mitarbeiter ein und aus gehen. Legt man den kontinuierlichen Strom an digitalen Daten zu Grunde, die von Mitarbeitern hinzugefügt, bearbeitet, verschoben, versendet, gespeichert oder gelöscht werden, kann man sich ein dynamisches, in gewisser Hinsicht fast lebendiges Gebilde vorstellen. Kommt es an irgendeiner Stelle im Datenkreislauf zu einer fehlerhaften Funktion, beispielsweise im Falle eines Verstoßes, wäre die gesamte Struktur betroffen. Der Lockdown im Zuge der Pandemie hat gezeigt, wie schnell dieser Pulsschlag moderner Unternehmen zum Erliegen kommen kann. Plötzlich musste der Datenstrom auf andere Weise – vom persönlichen Standort jedes einzelnen Zugriffsberechtigten aus – aufrechterhalten werden. Ein Notfall, für den nicht alle Unternehmen vorgesorgt haben. Dabei gibt es zahlreiche wahrscheinliche Szenarien, die es erforderlich machen, die Voraussetzungen dafür zu schaffen, dass die Belegschaft ohne Vorbereitung einfach von jedem beliebigen Ort aus arbeiten kann. Dazu gehören zum Beispiel Ereignisse wie schwere Schneestürme, unvorhergesehene Reparaturarbeiten im Bürogebäude, Streik bei den öffentlichen Verkehrsbetrieben oder eine unter den Mitarbeitern grassierende Erkältungswelle.

Für Unternehmen, in denen ohnehin nicht vorgesehen ist, dass Mitarbeiter außerhalb des Büros arbeiten, scheint es in guten Zeiten schlicht unwirtschaftlich, jedem einzelnen Mitarbeiter ein verwaltetes Ersatzgerät zur Seite zu stellen. Zu groß ist die Gefahr, dass die angeschaffte Hardware weitgehend ungenutzt vor sich hin altert. Gleichzeitig entsteht für die IT-Abteilung, die dafür fortlaufend aktuelle Softwareanwendungen und Sicherheitsupdates bereitstellen muss, ein spürbarer zusätzlicher Aufwand. Zwar nutzen die meisten Unternehmen bereits Cloudanwendungen, was eine hervorragende Voraussetzung für Fernarbeit ist. Allerdings ist die Nutzung nicht optimal: In der Regel halten Unternehmen ihre Mitarbeiter im Zuge dessen dazu an, von außerhalb über VPNs auf das Unternehmensnetzwerk und Cloud-Ressourcen zuzugreifen. Dies kann allerdings eine Reihe von Latenzproblemen verursachen, die es schwierig machen, den gesamten Web-Datenverkehr auf den Geräten der Benutzer – einschließlich ihrer persönlichen Anwendungen – bereitzustellen und zu nachzuverfolgen.

BYOD als flexibler Ausweg im Notfall

Ein flexibler Ausweg, der im Notfall sofort verfügbar ist, wäre, allgemein Bring Your Own Device (BYOD) – also das Arbeiten der Mitarbeiter über ihre eigenen Geräte – zuzulassen. Ein Schritt, vor dem vor allem Unternehmen mit branchenspezifischen regulatorischen Anforderungen eher zurückschrecken. Daher entscheiden sie sich meist für Mobile Device Management (MDM) Software, um das erforderliche Sicherheitsniveau herstellen zu können. Allerdings ist diese in datenschutzrechtlicher Hinsicht problematisch, da sie weit in die Privatsphäre der Nutzer eindringt. Eine Problematik, die sich mit Einführung der DSGVO noch weiter verschärft hat: Der Einsatz von MDM ist mittlerweile nur mit ausdrücklicher Einwilligung der einzelnen Mitarbeiter und dann nur innerhalb engmaschiger, nachvollziehbarer Kontrollprozesse möglich. Schlussendlich ist MDM kaum mehr praktikabel, da nicht vorausgesetzt werden kann, dass alle Mitarbeiter mit diesem Eingriff in ihre Privatsphäre einverstanden sind.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Zu MDM bestehen allerdings auch Alternativen, die auf der Datenebene ansetzen und es ermöglichen, die Datenschutzanforderungen zu erfüllen. Damit Unternehmen das Risiko einer Datenexposition, das beim Download auf private Geräte an entfernten Standorten und über ungesicherte Netzwerke entsteht, sicher managen können, sollten sie auf folgende Eigenschaften Wert legen:

1. Sichtbarkeit und Kontrolle über Daten
   Die Sichtbarkeit und Kontrolle über die Daten beim Zugriff durch nicht verwaltete Geräte sollte für Unternehmen stets gegeben sein. Andernfalls bestehen Gefahren durch unbefugten Datenzugriff, unzulässiger Weitergabe oder schlichtweg Verlust der unternehmenseigenen Daten. Von Vorteil ist eine Lösung, die über eine Data Loss Prevention (DLP) Funktion verfügt. Diese kann Datenverluste verhindern, indem sie sensible Informationen sowohl im Ruhezustand als auch beim Zugriff identifiziert und kontrolliert. So lässt sich sicherstellen, dass Daten nicht in die falschen Hände gelangen oder es zu einem Sicherheitsverstoß kommt.
2. Identitäts- und Zugriffsverwaltung mit MFA und UEBA
   Identitäts- und Zugriffsmanagement, wie zum Beispiel Multi-Faktor-Authentifizierung (MFA) oder Benutzer- und Entitätsverhaltensanalyse (UEBA), ist notwendig, um anormale Aktivitäten erkennen und gegen Sicherheitsbedrohungen vorgehen zu können. MFA erfordert für die Authentifizierung eine zweite Art der Identitätsüberprüfung, um sicherzustellen, dass der Benutzer derjenige ist, für den er sich ausgibt. Nach der Eingabe des Passworts wird der Benutzer aufgefordert, seine Identität zusätzlich durch ein SMS-Token zu verifizieren, das per E-Mail oder durch eine Textnachricht versandt wird.
   UEBA lernt kontinuierlich das typische Verhalten jedes einzelnen Nutzers, so dass anormale Aktivitäten sofort überprüft werden können. Wenn sich beispielsweise ein Benutzer, der sich normalerweise von München aus einloggt, plötzlich von Hamburg aus anmeldet, wird eine Warnung gesendet, um sicherzustellen, dass das Nutzerkonto des nicht kompromittiert wurde. Für den Fall, dass keine UEBA-Funktion besteht, sollte wenigstens Single Sign-On (SSO) genutzt werden, da dies Benutzer über alle Cloud-Anwendungen eines Unternehmens hinweg sicher authentifiziert.
3. Agentenlose Sicherheit
   Eine agentenlose Sicherheitslösung erfordert keine Installation von Software auf den einzelnen Geräten. Dies ist hilfreich, wenn die Belegschaft abrupt auf ihre Privatgeräte zurückgreifen muss, um den Betrieb aufrecht zu erhalten. Sie schützen darüber hinaus die Privatsphäre der Mitarbeiter. Unternehmensdaten können beispielsweise aus der Ferne gelöscht werden, während die persönlichen Daten erhalten bleiben. Sowohl Sicherheits- als auch Datenschutzanforderungen lassen sich auf diese Weise miteinander vereinbaren.
   Was ein Unternehmen ausmacht ist gewiss mehr als lediglich die Summe seiner Daten. Allerdings erweitern sich mit deren Verfügbarkeit rund um die Uhr die Möglichkeiten, Arbeitskraft zu nutzen. Auf der anderen Seite entsteht die Anforderung, die Datennutzung stets sicher zu gestalten. Der Einsatz von BYOD und geeigneter Sicherheitstools kann nicht nur dabei helfen, die Flexibilität, die Digitalisierung bietet, auszunutzen, sondern auch, die Arbeitskultur vielfältiger und innovativer zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen

datensicherheit.de, 18.02.2019
Wenn Kollegen zum Sicherheitsrisiko werden

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft

[datensicherheit.de, 11.04.2013] Fast drei Viertel (71 Prozent) aller Berufstätigen in Deutschland nutzen privat angeschaffte Geräte wie Computer und Handys für ihre tägliche Arbeit. Das hat eine repräsentative Umfrage im Auftrag des BITKOM ergeben. Danach nutzen 35 Prozent der Erwerbstätigen einen privat gekauften, tragbaren Computer für den Beruf, und 32 Prozent nutzen einen stationären Computer. 31 Prozent setzen ihr privates Handy ein und 19 Prozent ihr Smartphone. Bereits 8 Prozent gebrauchen einen privaten Tablet Computer für ihre tägliche Arbeit. „Nutzen Mitarbeiter private Computer und Handys im Job, müssen sie nicht mit mehreren Geräten hantieren und können auf wichtige Programme und Daten zugreifen“, sagt BITKOM-Präsident Prof. Dieter Kempf. „Allerdings können genau durch diese Zugriffsmöglichkeit die Geräte zum Risiko für Datensicherheit und Datenschutz werden.“ Nach den Ergebnissen einer weiteren BITKOM-Umfrage geben 27 Prozent aller deutschen Unternehmen an, dass Mitarbeiter mit ihren privaten Geräten Zugriff auf das interne Netzwerk der Organisation haben. Kempf: „Unternehmen müssen das Thema ‚Bring Your Own Device‘ in ihren Sicherheits- und Datenschutzkonzepten künftig viel stärker berücksichtigen.“

Als Bring Your Own Device (BYOD) wird im Fachjargon der Einsatz von privaten Geräten im Job bezeichnet, wenn der Mitarbeiter dabei Zugriff auf die internen IT-Ressourcen (Anwendungen, Speicherplatz etc.) seines Arbeitgebers hat. Der BITKOM hat dazu einen aktuellen Leitfaden herausgegeben. Die Publikation gibt einen Überblick über rechtliche, technische und organisatorische Anforderungen, die jede Organisation erfüllen sollte. Dazu gehören:

• Datenschutz-Anforderungen: Bei der Nutzung privater Geräte sollten private und geschäftliche Daten strikt getrennt werden. Zudem sollte u.a. vereinbart werden, wie mit Daten des Arbeitgebers auf den Geräten verfahren wird, wenn ein Mitarbeiter das Unternehmen verlässt.
• Anforderungen an die IT-Sicherheit: Die sichere Einbindung privater Geräte in das interne Unternehmensnetzwerk erfordert eine Reihe von Maßnahmen, darunter Vorgaben für die Auswahl der Geräte, die Organisation des Supports oder die Einrichtung eines sicheren Zugangs zum Netzwerk zum Beispiel mit Hilfe digitaler Zertifikate. Andernfalls könnten sich Cyberkriminelle Zugriff auf sensible Unternehmensdaten verschaffen.
• Lizenzrechtliche Anforderungen: Zu klären ist, ob Software des Unternehmens auf den privaten Geräten laufen darf und umgekehrt. Ist das nicht der Fall, könnte es zu Nachvergütungsansprüchen gegenüber dem Arbeitgeber oder dem Arbeitnehmer kommen.
• Arbeitsrechtliche Fragen: Bei BOYD wird vom Grundsatz abgewichen, dass der Arbeitgeber dem Arbeitnehmer die erforderlichen Arbeitsmittel zur Verfügung stellt. Zu klären ist daher, ob dem Mitarbeiter ein Nutzungsentgelt zu zahlen ist oder wie verauslagte Kosten für Providergebühren, Software-Updates oder Reparaturen erstattet werden.

Der BITKOM-Leitfaden „Bring Your own Device“ kann im Internet heruntergeladen werden unter http://www.bitkom.org/de/publikationen/38337_75275.aspx.

[datensicherheit.de, 19.07.2012] Symantec hat eine Reihe wichtiger Updates für das Geräte- und Datenmanagement von mobilen Endgeräten entwickelt. Mit diesen erweiterten Lösungen gelingt es Unternehmen Bring-Your-Own-Device-Initiativen (BYOD) sicher umzusetzen und so Business-E-Mail und -Apps kontrolliert auf iOS- und Android-Plattformen auszurollen.

Bild: Symantec

Mobile Malware

Verantwortliche können dank der Updates die Geräte und die Apps verwalten sowie die dort abgelegten Informationen schützen.
Unternehmen möchten im Rahmen ihrer BYOD-Initiativen auch Android-Geräte in ihr Netzwerk einbinden. Symantec hat seine Lösungen für Mobile Computing gezielt erweitert, damit Firmen auch diese Geräte und darauf installierte Apps zentral verwalten und die Informationen sichern können.

Die Erweiterungen umfassen:

• Symantec Mobile Security für Android: Sie ist ab sofort verfügbar und schützt Android-Systeme vor Schadcode, indem sie Apps analysiert und Schadcode-Infektionen erkennt.
• Symantec Mobile Management for Configuration Manager: Sie wurde um eine Technologie von Odyssey Software erweitert, die Symantec Anfang des Jahres übernommen hatte. Die Software lässt sich in die Altiris IT Management Suite von Symantec und den Microsoft System Center Configuration Manager integrieren.
• Symantec Mobile Management: Sie liefert dank der Integration von NitroDesk TouchDown eine sichere E-Mail-Lösung für Android-Geräte. Neben Android- und iOS- können nun auch Windows-7-Phone-Geräte verwaltet werden.
• Nukona App Center von Symantec: Damit lassen sich Daten nun auf iOS-Geräten mit einer nach FIPS-140-2 zertifizierten Verschlüsselung schützen.
• Symantec PGP Viewer für Android: Sie bringt die populäre E-Mail-Verschlüsselung des PGP Universal Servers nun auch auf Android-Geräte.

Symantec Mobile Security für Android

Laut dem im Februar 2012 veröffentlichten „State of Mobility Report“ von Symantec sind 67 Prozent der befragten Unternehmen besorgt darüber, dass sich Malware von mobilen Geräten auf ihr Netzwerke ausbreiten könnte. Zudem stellte der jüngste Internet Security Threat Report von Symantec heraus, dass mögliche Schwachstellen von mobilen Geräten in 2011 um 93 Prozent zugenommen haben und dass insbesondere Android-Betriebssysteme verstärkt bedroht sind.
Um Android-Geräte im Firmennetz vor feindlichen Apps oder Schadcode aus dem Internet zu schützen, hat Symantec Mobile Security für Android entwickelt. Die Software Mobile Security für Android nutzt eine Technologie, die Millionen von Android-Apps in den weltweiten Appstores beobachtet und analysiert. Sie greift zudem auf die Erkenntnisse aus dem Analysenetz Global Intelligence Network von Symantec und die Malware-Erkennungstechnologie der Software Norton Mobile Security zurück, die bereits Millionen von Android-Geräten schützt.

Symantec Mobile Management für Configuration Manager

Die Integration der Software Odyseey Athena von Odyssey Software in die Lösung Mobile Management for Configuration Manager von Symantec ist nun abgeschlossen. Symantec bietet damit drei Optionen für das Mobile Device Management (MDM): eine Standalone-Lösung, integriertes MDM in der Altiris IT Management Suite von Symantec und ein MDM, das sich in den Microsoft System Center Configuration Manager integrieren lässt. Diese Optionen bieten Unternehmen ein skalierbares MDM und einheitliches Endpoint-Management für die beiden am stärksten verbreiteten Managementplattformen.

Symantec Mobile Management

Alle Mobile-Management-Produkte von Symantec können nun den führenden E-Mail-Client für Android „NitroDesk TouchDown“ integrieren. Firmen sind in der Lage, professionelle E-Mail-Dienste auf ihre Android-Geräte auszurollen und so diese Plattform sicher in ihr Netzwerk einzubinden. Dieser bestimmte E-Mail-Client löst eine Reihe von Sicherheits- und Management-Problemen, da es dadurch möglich ist, geschäftliche und private Daten voneinander zu trennen.
Symantec Mobile Management bietet nun auch ein natives, Agenten-basiertes Enterprise Management für Windows-Phone-7-Geräte, neben dem bereits bestehenden Support über Android- und iOS-Geräte. Damit können Unternehmen wichtige Sicherheits- und Managementaspekte über die meisten Plattformen hinweg durchgängig und einheitlich konfigurieren. Dies gilt für mobile Apps genauso wie für die Geschäftsdaten, die Unternehmen nun plattformübergreifend sichern und steuern können.

Nukona App Center von Symantec

Das Nukona App Center von Symantec ist in der Lage, Daten und Apps auf iOS-Geräten mit einer nach FIPS-140-2 zertifizierten Verschlüsselung zu sichern. Damit ist Symantec momentan der einzige Hersteller, der diesen Verschlüsselungsstandard für iOS unterstützt. So lassen sich selbst strenge Compliance-Anforderungen auf iOS-Geräten einhalten, wodurch diese Geräte nun auch bei Regierungen und in streng regulierten Branchen, beispielsweise dem Finanz- oder Gesundheitssektor, eingesetzt werden können. Das Nukona App Center bietet sicheres Applikations- und Content-Management für iOS- und Android-Geräte – und unterstützt nun auch Apps von Drittanbietern wie Appcelerator und Phonegap.

Symantec PGP Viewer für Android

Nach dem großen Erfolg von Symantec PGP Viewer für iOS bietet Symantec den PGP Viewer nun auch für Android an. Die Lösung erlaubt es, verschlüsselte E-Mails auf Android-Geräten zu lesen. Der PGP Viewer für Android nutzt den PGP Universal Server von Symantec für die Benutzerregistrierung und für das Key-Management. Die App ist als Download auf dem Marktplatz Google Play verfügbar.