BYOD: Mit einem Gerät in zwei Welten zuhause

Mit einem Container-Ansatz können Unternehmen den Einsatz von privaten Geräten für berufliche Tätigkeiten zuverlässig organisieren. Für ein sicheres BYOD ist eine konsequente Trennung beruflicher und privater Daten und Anwendungen unerlässlich.

Den Anfang machte häufig der Geschäftsführer, der mit seinem neuen Smartphone auf seine E-Mails zugreifen wollte. Ihm folgten Vertriebsmitarbeiter, die im Außendienst aktuelle Informationen vor Ort benötigten, und auch sie wollten der Einfachheit halber dafür ihre eigenen Geräte nutzen. So kam es zu BYOD (Bring Your Own Device). IT-Admini­stratoren bereitet das natürlich Kopfzerbrechen. Sie fürchten, durch BYOD die Kontrolle über die Unternehmensdaten zu verlieren. Mobile Systeme sind ohnehin schon eine Herausforderung, erst recht aber mobile Geräte, die dem Unternehmen nicht mal gehören.

Dennoch hat sich BYOD mittlerweile etabliert. Viele Unternehmen unterstützen den betrieblichen Einsatz privater Smartphones oder Tablets. Und es bringt ihnen ja auch Vorteile: So kann die Produktivität der Mitarbeiter steigen, weil mobile Geräte und Apps in der Regel sehr benutzerfreundlich sind; Mitarbeiter wollen auch beruflich schnell und flexibel mit den ihnen bekannten Tools arbeiten. Die Erlaubnis, private Endgeräte beruflich nutzen zu dürfen, kann Arbeitgeber zudem bei jüngeren Mitarbeitern attraktiver machen. Und nicht zuletzt sparen sich die Unternehmen Investitionen für aktuelle Smartphones und Tablets.

Freilich können Unternehmen mit BYOD die Ve­rantwortung für den Datenschutz nicht einfach abschütteln. Der Aufwand für Administration und Support dieser Geräte ist nicht zu vernachlässigen, und durch die Vielzahl unterschiedlicher Geräte und Betriebssysteme sowie die private und geschäftliche Nutzung entstehen neue Anforderungen hinsichtlich Management, Datenschutz und Sicherheit. Auch die Einrichtung der unerlässlichen Mobile-Device-Mana­gement (MDM)-Software für die Aktivierung, Verwaltung und Absicherung der Geräte ist alles andere als trivial.

Auch wenn man den Aufwand in Kauf nimmt: BYOD-Geräte kann man nicht so ohne Weiteres durch die IT kontrollieren oder zum Beispiel über das MDM-Tool Funktionen zur Ortung der Geräte oder zum Remote-Löschen von Daten implementieren, denn das jeweilige Gerät gehört ja nicht dem Unternehmen.

Herausforderungen bei BYOD

Für den Datenschutz stellt die Kombination aus privatem Endgerät und Kontrolle durch das Unternehmen immer eine Herausforderung dar. Einmal bei Sport, Spiel und Spaß aus der Hand gelegt, eröffnet ein Smartphone Zugang zum Firmennetz und damit auch auf kritische Daten. Viele Mitarbeiter werden die Grenze zwischen privater und beruflicher Nutzung in der Praxis nicht strikt einhalten. Außerdem nutzen Mitarbeiter zunehmend Cloud-Services für ihre tägliche Arbeit. Damit besteht die Gefahr, dass Benutzer nicht verifizierte Anwendungen auf ihren Geräten installieren, die Schadsoftware den Zugang zum Unternehmen eröffnen können.

Die unzureichende Trennung zwischen beruflicher und privater Sphäre wirkt sich natürlich auch in umgekehrter Richtung aus: So enthalten BYOD-Geräte private Daten des Mitarbeiters wie Familienfotos oder Informationen aus seinen sozialen Netzen. IT-Administra­toren können auf solchen privaten Daten unter Umständen zugreifen – unzulässig, aber technisch meist möglich.

Für die Verwaltung der BYOD-Geräte setzen Unternehmen meist auf Mobile-Device-Management (MDM)-Lösungen. Damit lassen sich zentral Sicherheitseinstellungen und Richtlinien für Smartphones und Tablets festlegen, Konfigurationen verändern oder Zugriffsrechte definieren. Verlorene oder gestohlene Geräte können gesperrt oder aus der Ferne zurückgesetzt werden. Zum Funktionsumfang solcher Lösungen gehören auch Maßnahmen gegen Missbrauch wie das Deaktivieren der Kamera, das Setzen von Passwörtern oder die Abwehr von Rooting oder Jailbreak.

Lösungen für Mobile Application Management (MAM) regeln, auf welche Anwendungen die Nutzer zugreifen dürfen, beispielsweise Unternehmens-Apps oder Apps aus öffentlichen App-Stores. MAM gewährleistet, dass die Installation und der Zugriff auf alle Apps nur nach den Unternehmensrichtlinien erfolgen. Unternehmen können dadurch auch einzelne Applikationen und deren Daten verteilen, ohne direkten Zugriff auf das Gerät haben zu müssen.

MDM und MAM als zentrale Säulen

MDM und MAM sind zentrale Säulen von Enterprise Mobility Management (EMM), das einen umfassenden Ansatz für das Management und die Sicherung mobiler Geräte, Anwendungen und Informationen sowie deren Integration in die IT bietet. Für das Thema BYOD sind EMM-Lösungen jedoch oft nicht geeignet. Im Vordergrund muss die strikte Trennung von dienstlich und privat und die Sicherung der betrieblichen Daten stehen, ohne die Privatsphäre des Nutzers zu beeinträchtigen. Genau das ist die Aufgabe von Container-Lösun­gen.

Diese setzten bei der grundlegenden Problematik von BYOD an, die ja darin besteht, dass ein und dasselbe BYOD-Gerät zwei ganz unterschiedliche Anwendungsszenarien abdecken muss – es ist ein Dual-Use-Sys­tem, das dafür eigentlich nicht konzipiert ist; die doppelte Nutzbarkeit hat sich erst später in der Praxis ergeben. Auf Geräte-Ebene lassen sich private und berufliche Dinge nie konsequent trennen, es handelt sich ja physisch immer um ein Gerät. Ein sicheres BYOD-Management muss daher die Ebene der Daten und Anwendungen ins Visier nehmen: erst auf dieser Ebene lassen sich berufliche und private Dinge isolieren.

Anstatt das Gerät zu kontrollieren, liegt der Fokus beim Container-Ansatz auf der Sicherung der beruflichen Anwendungen und Daten auf dem mobilen Endgerät. Mit Hilfe von Containern lassen sich die Daten eines Unternehmens auf dem mobilen Gerät in einer strikt abgeschotteten Umgebung betreiben und verwalten. Berufliche E-Mails, Kontakte, Kalender, Notizen, Aufgaben und Dokumente kommen in einen verschlüsselten Container. Dadurch wird verhindert, dass Daten unkontrolliert ab- oder einfließen beziehungsweise manipuliert werden. Sensible Unternehmensdaten können also nicht im selben Verzeichnis liegen wie die Urlaubsfotos des Mitarbeiters. Umgekehrt wird durch die strikte Trennung die Privatsphäre der Mitarbeiter geschützt, besonders im Hinblick auf die Europäische Datenschutz-Grundverordnung.

Daten im Container verschlüsselt

Der gesicherte Container ist sowohl für COPE- (Gerät wird vom Unternehmen gestellt) als auch für BYOD-Szenarien geeignet. Dank moderner Kryptografie-Technologien sind die Daten im Container, auf dem mobilen Gerät und auch bei der Übertragung zuverlässig verschlüsselt. Damit lassen sich Man-in-The-Middle-Attacken verhindern.

Eine sicher konfigurierte Container-Lösung verhindert beispielsweise, dass Unternehmensinformationen per Copy and Paste auf Social-Media-Kanälen landen. Ein Nutzer kann aus dem Unternehmensbereich heraus nicht auf seine privaten Apps zugreifen. Schwachstellen am Gerät oder Fehler des Nutzers lassen sich dadurch weitestgehend ausschalten. Erst Container ermöglichen ein sicheres und risikoloses BOYD.