_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

BYOD und die Sicherheit des Unternehmensnetzwerks

15. 06. 2012 4 Min. Lesezeit CORE SYSTEMSai
BYOD und die Sicherheit des Unternehmensnetzwerks

Der Bring-Your-Own-Device-Trend wurde 2012 auch in tschechischen Unternehmen zur Realität. Mitarbeiter bringen ihre eigenen Smartphones, Tablets und Laptops mit — und die IT-Abteilungen müssen reagieren. Wie bringt man Produktivität und Sicherheit in Einklang?

Was BYOD ist und warum die IT es nicht ignorieren kann

BYOD bedeutet, dass Mitarbeiter ihre persönlichen Geräte für berufliche Zwecke nutzen. Laut einer Gartner-Umfrage von 2012 nutzen bis zu 40 Prozent der Mitarbeiter in großen Unternehmen mindestens ein privates Gerät, um auf Unternehmensdaten zuzugreifen. Dieser Trend lässt sich nicht aufhalten — er lässt sich nur steuern.

Die Haupttreiber sind klar. Mitarbeiter möchten auf Geräten arbeiten, die sie kennen. iPad und iPhone haben die Erwartungen der Nutzer verändert. Ein firmeneigenes BlackBerry ist nicht mehr die einzige Option. Android-Geräte sind erschwinglich und ihr Marktanteil wächst rasant.

Für Unternehmen bringt dies sowohl Vorteile als auch Risiken. Einerseits niedrigere Hardwarekosten und höhere Mitarbeiterzufriedenheit. Andererseits Kontrollverlust über Geräte, Risiko von Datenabfluss und komplexere Verwaltung.

BYOD-Sicherheitsrisiken

Wir haben fünf zentrale Risiken identifiziert, die uns bei unseren Kunden begegnen:

  • Verlust oder Diebstahl eines Geräts — ein Smartphone mit Zugang zu Firmen-E-Mail und Dokumenten steckt in der Jackentasche. Geräte gehen in Taxis, Restaurants und an Flughäfen verloren.
  • Ungesicherte WLAN-Netzwerke — ein Mitarbeiter verbindet sich mit öffentlichem WLAN in einem Café und greift auf das Intranet zu. Ein Man-in-the-Middle-Angriff ist trivial.
  • Veraltete Software — die Unternehmens-IT kann Updates auf verwalteten Computern erzwingen. Auf einem privaten Android-Telefon mit einer ein Jahr alten Betriebssystemversion ist das nicht möglich.
  • Malware — private Geräte haben möglicherweise keine Antivirensoftware. Nutzer installieren Apps aus inoffiziellen Quellen.
  • Geteilte Geräte — ein Mitarbeiter leiht sein Tablet den Kindern. Ein Kind löscht versehentlich Firmendaten oder versendet eine E-Mail.

Network Access Control als erste Verteidigungslinie

Die Grundlage ist Netzwerksegmentierung. BYOD-Geräte sollten niemals im gleichen Netzwerksegment wie Firmenserver und kritische Systeme sein. Wir empfehlen die Implementierung von 802.1X-Authentifizierung an allen Zugangspunkten.

In der Praxis bedeutet dies die Einrichtung von mindestens drei Netzwerkzonen:

  • Unternehmenszone — voller Zugang, nur verwaltete Geräte mit Zertifikat
  • BYOD-Zone — eingeschränkter Zugang, E-Mail und Webanwendungen über HTTPS, kein Zugriff auf Dateiserver
  • Gastzone — nur Internet, kein Zugang zu internen Ressourcen

Cisco ISE oder Microsoft NPS können anhand von Gerätezertifikat und Integritätsstatus automatisch das entsprechende VLAN zuweisen. Geräte ohne Zertifikat landen in der Gastzone.

Mobile Device Management

MDM-Lösungen wie MobileIron, AirWatch oder Good Technology ermöglichen der Unternehmens-IT die Verwaltung persönlicher Geräte — allerdings nur in dem Umfang, dem der Mitarbeiter zustimmt.

Zentrale MDM-Funktionen für BYOD:

  • Remote Wipe — Fernlöschung von Firmendaten bei Geräteverlust (nicht das gesamte Gerät, nur der Firmencontainer)
  • Passwort-Erzwingung — das Gerät muss eine PIN oder ein Passwort bestimmter Komplexität haben
  • Verschlüsselung — Erzwingung der Speicherverschlüsselung
  • App-Blacklisting — Blockierung gefährlicher Anwendungen
  • Containerisierung — Firmendaten und -Apps befinden sich in einem separaten Container, der verschlüsselt und unabhängig verwaltet wird

Containerisierung ist für BYOD entscheidend. Der Mitarbeiter behält die volle Kontrolle über den persönlichen Teil des Geräts. Das Unternehmen hat die Kontrolle über die Firmendaten. Beim Ausscheiden eines Mitarbeiters wird nur der Firmencontainer gelöscht.

VPN und verschlüsselte Kommunikation

Jeder Zugriff von einem BYOD-Gerät auf Unternehmensressourcen sollte über einen VPN-Tunnel laufen. Per-App-VPN ist die ideale Lösung — VPN wird nur für Firmen-Apps aktiviert, während privater Datenverkehr direkt läuft.

Für E-Mail empfehlen wir ActiveSync mit erzwungenem SSL und Richtlinien, die eine PIN auf dem Gerät erfordern. Exchange 2010 SP2 unterstützt bereits granulare ActiveSync-Richtlinien, einschließlich Einschränkungen auf bestimmte Geräte.

Rechtliche und Compliance-Aspekte

BYOD wirft auch rechtliche Fragen auf. Das Unternehmen muss eine klare BYOD-Richtlinie haben, die von den Mitarbeitern unterzeichnet wird. Die Richtlinie sollte abdecken:

  • Welche Daten auf einem persönlichen Gerät gespeichert werden dürfen
  • Was bei Verlust eines Geräts passiert (Remote Wipe)
  • Wer für den Datentarif und Gerätereparaturen zahlt
  • Was mit Firmendaten beim Ausscheiden eines Mitarbeiters geschieht
  • Monitoring — was das Unternehmen auf einem persönlichen Gerät nachverfolgen kann und was nicht

Im tschechischen Rechtsumfeld ist es wichtig, das Datenschutzgesetz zu beachten. Ein Unternehmen darf die persönlichen Aktivitäten eines Mitarbeiters auf dessen eigenem Gerät nicht überwachen. Genau deshalb ist Containerisierung so wichtig — das Unternehmen verwaltet nur seinen eigenen Container.

Unsere Erfahrungen aus Implementierungen

In den letzten Monaten haben wir BYOD-Lösungen für drei mittelgroße tschechische Unternehmen implementiert. Die häufigsten Fehler, die uns begegnet sind:

Direkter Zugriff auf Dateiserver. Kunden wollten Netzlaufwerke auf Tablets einbinden. Das ist ein Sicherheitsalbtraum. Die Lösung ist ein Webportal für den Dokumentenzugriff mit Authentifizierung und Audit-Protokoll.

Eine einheitliche Richtlinie für alle Geräte. Das iPad eines Managers und das Android-Telefon eines Aushilfsmitarbeiters bergen die gleichen Risiken, erfordern aber unterschiedliche Sicherheitsniveaus. Richtlinien müssen nach Rolle und Gerätetyp abgestuft sein.

Kein Monitoring. Ohne Zugriffsprotokollierung ist es unmöglich, ein kompromittiertes Gerät zu erkennen. Mindestens Anmeldeprotokolle und der Zugriff auf sensible Daten sind ein Muss.

Zusammenfassung

BYOD ist keine Frage des Ob, sondern des Wann und Wie. Unternehmen, die es ignorieren, gehen ein größeres Risiko ein als solche, die es aktiv steuern. Die zentralen Säulen sind Netzwerksegmentierung, MDM mit Containerisierung, VPN und eine klare Richtlinie. Investitionen in BYOD-Sicherheit zahlen sich in Form zufriedener Mitarbeiter und kontrolliertem Risiko aus.

byodsecuritymdmnetworking
Teilen:

CORE SYSTEMS

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

IPv6-Umstellung in der Unternehmensinfrastruktur

IPv4-Adressen gehen zur Neige. Wie Sie Ihre Unternehmensinfrastruktur auf IPv6 vorbereiten und was das für...

Wie man sein Heimnetzwerk absichert

Ein praktischer Leitfaden zur Absicherung Ihres Heimnetzwerks — Router, DNS, VPN, Segmentierung.

Integration von Java-Anwendungen mit Active Directory

Benutzerauthentifizierung und -autorisierung in Java EE über LDAP/Active Directory. JNDI, Spring Security.