BYOD (Bring Your Own Device)
28. Juni 2021
„Bring Your Own Device“ ist ein hochaktuelles Thema unserer Arbeitswelt. Die Pandemie hat viele Unternehmen dazu gezwungen, die MitarbeiterInnen ins Home Office zu schicken, obwohl die Infrastruktur noch nicht bereit dafür war und in vielen Fällen bis heute nicht ist. Da viele MitarbeiterInnen keinen Laptop hatten, wurde auf den privaten Geräten eine VPN-Verbindung installiert, um diese dann ins Unternehmensnetzwerk einzubinden: E-Mails am Handy, Dokumente am Tablet und der „Familien-PC“ im Firmenverbund. All das kann schwerwiegende Konsequenzen für ein Unternehmen mit sich bringen.
Wer BYOD in seinem Unternehmen sicher implementieren möchte, muss zunächst genau analysieren, welche Dienste und Daten für die jeweiligen MitarbeiterInnen notwendig sind. Man muss sich überlegen, welche MitarbeiterInnen in welchem Bereich worauf Zugriff haben und worauf nicht. In jedem Fall sollte dieses Vorhaben mit einem IT-Experten besprochen und ggf. umgesetzt werden.
Ungeschulte Mitarbeiter
Ungeschultes Personal ist die häufigste Ursache eines Sicherheitsvorfalls in einem Unternehmen. MitarbeiterInnen ist es oft nicht möglich, Gefahren rechtzeitig zu erkennen und angemessen darauf zu reagieren. Deshalb ist es wichtig, IT-Awareness zu schaffen und ALLEN MitarbeiterInnen ein grundlegendes Verständnis dieser Thematik zu vermitteln. Die meisten Sicherheitsvorfälle entstehen nicht mutwillig oder aus böser Absicht, sondern einfach deshalb, weil MitarbeiterInnen nicht wissen, worauf sie achten müssen. Hierbei ist es natürlich irrelevant, ob die MitarbeiterInnen im Home Office sind oder auf ihrem Arbeitsplatz im Büro sitzen.
Zentrale Punkte eines Awareness Trainings:
- Umgang mit Passwörtern
- Wie erkenne ich ein (Spear) Phishing-Mail?
- Was ist CEO Fraud?
- Wie gehe ich mit USB-Sticks um?
- etc…
Home Office
Grundsätzlich ist klar, dass ein ungeschütztes Endgerät im Unternehmen nicht angeschlossen wird – aber worin besteht der Unterschied, ob einem „Fremden“ das Anschließen ins Unternehmensnetzwerk gewährt wird oder ein „privater“ PC mit VPN verbunden wird?
Ein Unternehmensgerät unterliegt allen Sicherheitsrichtlinien, wie z.B. Endpoint Security, Passwortrichtlinien, Update Policy, etc. Bei privaten Rechnern ist das hingegen nicht der Fall. Geräte, die nicht geschützt sind und vielleicht sogar schon infiltriert wurden, bergen natürlich ein hohes Risiko und führen in den schlimmsten Fällen zur Verschlüsselung eines Unternehmens und/oder zum Verlust von Daten.
Daher ist es wichtig, nur jene Geräte mit dem Unternehmensnetzwerk zu verbinden, die auch den Sicherheitsrichtlinien des Unternehmens entsprechen und MitarbeiterInnen ein solches Gerät zur Verfügung zu stellen. Wenn sich Clients in einem fremden Netzwerk befinden, ist es umso wichtiger, diese durch einen „Next Generation Endpoint“ zu schützen. Althergebrachte Virenscanner sind längst überholt und bieten kaum noch Schutz.
Umgang mit Smartphones
Grundsätzlich muss bei der Installation einer App darauf geachtet werden, dass diese von einem vertrauenswürdigen Herausgeber stammt. Dabei ist es gleich, ob es sich um Android oder iOS handelt.
Sperrfunktion nutzen
Ganz gleich, ob mit einem PIN oder einer Biometrik-Funktion wie einer Gesichtserkennung oder einem Fingerabdruck: Es ist wichtig, die Sperrfunktion auf dem eigenen Gerät zu nutzen. Bei Verlust oder Diebstahl können die Daten vom Gerät nicht ausgelesen werden, ohne es vorher zu entsperren.
Funktionen und Vorteile:
- Entsperren der mobilen Endgeräte
- Bezahlen im App-Store
- Der Sensor ist direkt im Betriebssystem integriert
- Daten werden auf einem eigenen Chip gespeichert und sind vor Angriffen geschützt
Zugriffsberechtigung der Apps
Nach der Installation einer App sollte nicht unachtsam jeder Zugriff der Apps erlaubt werden. In manchen Fällen will die App auf Kontakte oder Fotos zugreifen, hat aber in keinster Weise etwas damit zu tun. Ein Beispiel: Warum sollte eine Wetter-App auf Kontakte zugreifen dürfen? Warum sollte die App eines Lieferdienstes Zugriff auf die Kamera oder das Mikrofon benötigen? All das sind Themen, über die sich App-Anwender Gedanken machen sollten.
Mehr Infos dazu bekommen Sie von:
Stefan Reisinger
IT Consultant
+43 50 756 336
s.reisinger@delta.at