Cybersicherheit | IT-Schutz | Hinweise | Tipps und Trends
Für viele IT-Geräte gibt es keine klare Trennung zwischen Berufs- und Privatleben. Arbeits-E-Mails werden schnell auf dem privaten Smartphone gecheckt. Die große Präsentation wandert auf dem USB-Stick vom Büro nach Hause und überarbeitet wieder zurück. Im pandemiebedingten Homeoffice ersetzt der private Laptop den firmeneigenen Desktop-Rechner.
Kurz: viele private Endgeräte finden Ihren Weg in das Arbeitsleben. Dies zu erkennen ist der erste Schritt, um von ihnen ausgehenden Sicherheitsrisiken minimieren zu können.
Der Schlüsselbegriff: BYOD – Bring Your Own Device
Bring Your Own Device bedeutet übersetzt „Bringen Sie Ihr eigenes Gerät mit“ – und zwar zur Arbeit. BYOD bezeichnet also die Nutzung privater Endgeräte im Berufsleben. Üblicherweise sind damit Smartphones, Tablets und Laptops gemeint.
Allerdings sind heute viele weitere private Endgeräte internetfähig oder werden im Arbeitsalltag schnell mal an die Unternehmens-IT angeschlossen. So greift die Smartwatch vielleicht auf das interne WLAN zu. Fitness-Tracker und E-Reader werden bei Bedarf per USB am Firmenrechner aufgeladen. Je komplexer diese Geräte sind, desto wichtiger wird es für Unternehmen, ihre Nutzung zu berücksichtigen.
Was BYOD für IT-Sicherheit und Datenschutz bedeutet
Die Vermischung von privater und beruflicher Nutzung kann für das betreffende Unternehmen zusätzliche Cyberrisiken bedeuten. Nur ein Beispiel: Die privat genutzten Geräte werden möglicherweise nicht so schnell per Update aktualisiert wie die Firmen-IT. Dadurch bleiben bekannt gewordene Sicherheitslücken bei den privaten Geräten länger bestehen und können durch Schadsoftware ausgenutzt werden. Per E-Mail oder beim nächsten Einloggen im Firmennetzwerk kann sich diese Schadsoftware dann im Unternehmen verbreiten. Die Konsequenzen sind unvorhersehbar. Es kann es sich um Ransomware handeln, die alle Daten verschlüsselt. Oder um Spyware, die gezielt wertvolle Betriebsgeheimnisse ausspäht.
Auch das Thema Datenschutz – genauer: der Schutz personenbezogener Daten – muss bei BYOD berücksichtigt werden. Zum Beispiel kann ein privates Smartphone, auf dem auch berufliche E-Mails gespeichert sind, verloren, gestohlen oder kurz einer anderen Person überlassen werden. In all diesen Fällen haben unbefugte Dritte potentiell Zugriff auf die beruflichen E-Mails und die darin enthaltenen personenbezogenen Daten.
Was sollten Unternehmen hinsichtlich BYOD tun?
Grundsätzlich sollte jedes Unternehmen klare Richtlinien für BYOD aufstellen. Also dazu, wie es selbst mit dem Thema umgeht und wie seine Beschäftigten damit umgehen sollen. Je klarer die Vorgaben der Richtlinie, desto besser können sich alle Beteiligten daran halten.
Einige typische Aspekte einer BYOD-Richtlinie:
Erstellen Sie diese Richtlinien in Absprache mit Ihrer IT-Abteilung, Ihrem externen IT-Dienstleistungsunternehmen oder einem spezialisierten IT-Sicherheits-Unternehmen wie Perseus.
Was sollten Arbeitnehmerinnen und Arbeitnehmer hinsichtlich BYOD tun?
Keine Frage: Falls es in Ihrem Unternehmen bereits BYOD-Richtlinien gibt, befolgen Sie diese natürlich. Aber in vielen Betrieben sind die beruflich und privat genutzten Geräte noch kein Thema.
Lassen Sie sich davon nicht abhalten, umsichtig zu agieren.
Orientieren Sie sich an den Grundregeln zur Erhöhung der Cybersicherheit:
Cyber security | IT protection | Information | Tips and trends
For many IT devices, there is no clear distinction between work and private life. Work emails are quickly checked on private smartphones. Important presentations are transferred from the office to home on a USB stick and then revised and sent back. In pandemic-induced home offices, private laptops are replacing company desktop computers.
In short, many private devices are finding their way into working life. Recognising this is the first step towards minimising the security risks they pose.
The key term: BYOD – Bring Your Own Device
BYOD stands for ‘Bring Your Own Device’ – to work, that is. BYOD refers to the use of private devices in professional life.
This usually refers to smartphones, tablets and laptops.
However, many other private devices are now internet-enabled or are quickly connected to the company’s IT system in everyday working life. For example, smartwatches may access the internal Wi-Fi network. Fitness trackers and e-readers are charged via USB on company computers when necessary. The more complex these devices are, the more important it is for companies to consider their use.
What BYOD means for IT security and data protection
The mixing of private and professional use can mean additional cyber risks for the company concerned. Just one example: privately used devices may not be updated as quickly as the company’s IT systems. This means that known security vulnerabilities on private devices remain unpatched for longer and can be exploited by malware. This malware can then spread throughout the company via email or the next time the user logs into the company network. The consequences are unpredictable. It could be ransomware that encrypts all data. Or spyware that specifically targets valuable trade secrets.
The issue of data protection – or more specifically, the protection of personal data – must also be taken into account with BYOD. For example, a private smartphone that also stores work emails can be lost, stolen or briefly handed over to another person. In all these cases, unauthorised third parties potentially have access to work emails and the personal data they contain.
What should companies do with regard to BYOD?
As a general rule, every company should establish clear guidelines for BYOD. These should cover how the company itself deals with the issue and how its employees should handle it. The clearer the guidelines, the easier it is for everyone involved to comply with them.
Some typical aspects of a BYOD policy:
Create these guidelines in consultation with your IT department, your external IT service provider or a specialised IT security company such as Perseus.
What should employees do with regard to BYOD?
There’s no question about it: if your company already has BYOD guidelines, you should follow them. But in many companies, the use of devices for work and private purposes is not yet an issue.
Don’t let that stop you from acting prudently.
Follow the basic rules for increasing cyber security: