Aus der Sicht von Melani

Was Unternehmen bei BYOD beachten müssen

Uhr
von Coen Kaat

Mit jeder Generation werden Smartphones smarter – doch mit der Intelligenz steigt auch das Risiko. Malware, Trojaner und Ransomware sind längst mobile. Max Klaus, stellvertretender Leiter von Melani, sagt im Interview, was Unternehmen beachten sollten, wenn sie auf Bring your own Device setzen.

Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani). (Source: zVg)
Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani). (Source: zVg)

Sind die Zeiten der sorglosen Handynutzung vorbei?

Max Klaus: Die Zeiten der sorglosen Handynutzung sind spätestens seit dem Aufkommen von Smartphones vorbei. Smartphones sind nicht nur Telefone, sondern Computer, mit denen wir genauso im Internet surfen, Bankgeschäfte und so weiter erledigen können, wie mit einem herkömmlichen PC oder Laptop. Dementsprechend gelten bei Smartphones die genau gleichen Sicherheitsvorkehrungen – wie etwa ein Antivirenschutz – und Vorsichtsmassnahmen wie bei herkömmlichen Computern.

Was müssen Unternehmen heutzutage beachten?

Selbstverständlich muss die gesamte IT-Infrastruktur mit herkömmlichen Massnahmen wie etwa einer Firewall, Antivirenschutz, Back-up-Policy und so weiter gesichert sein. Vielerorts, vor allem in KMUs, wird oft vergessen, dass diese technischen Massnahmen zwingend von organisatorischen Massnahmen begleitet werden müssen. Business Continuity Management, kurz BCM, ist zwingend notwendig, um das Funktionieren des Betriebs sicherzustellen, auch wenn die IT für einige Zeit nicht verfügbar ist. Dabei muss es sich nicht unbedingt um einen Hackerangriff als Ursache für den IT-Ausfall handeln. Auch Umwelteinflüsse wie Überschwemmungen, Feuer oder Stromausfälle können zu derartigen Ausfällen führen. Gerade Unternehmen, die sehr stark vom Onlinehandel abhängig sind, sollten BCM frühzeitig implementiert haben. Das Gleiche gilt etwa für die Krisenkommunikation. Schon vor einem möglichen Ausfall oder Zwischenfall sollte ein Dokument bestehen, aus dem hervorgeht, wer in welcher Form und mit welchen Stellen kommuniziert.

Was empfehlen Sie Unternehmen mit einer Bring-your-own-Device-Policy?

Das Wichtigste ist, eine Policy zu haben und diese konsequent umzusetzen. Insbesondere sollte hier die Frage geklärt werden, auf welche Informationen (Netzteile) die BYOD-Geräte zugreifen dürfen. Weiter stellt sich auch die Frage nach der Administration dieser Geräte: Wie sind Back-ups und Updates sichergestellt? Wie und welche Daten werden mit dem BYOD-Gerät synchronisiert? Denkbar wäre etwa, dass auf privaten Smartphones und Tablets die Synchronisation mit Applikationen wie etwa iTunes unterbunden wird. Stattdessen findet eine "Over the air"-Synchronisation statt, wobei nur E-Mails, Kalender- und Kontaktdaten synchronisiert werden. So ist sichergestellt, dass Apps, die der User auf seinem Gerät installiert hat, keinen Zugang ins Firmennetz erhalten.

Wäre es sinnvoller, den Mitarbeitern Geschäftsgeräte mitzugeben, die unter der Kontrolle der IT-Administration sind?

In erster Linie muss jedes Unternehmen diese Frage für sich allein beantworten. Vorteile von Geschäftsgeräten sind sicher die einfachere Administration sowie die einfachere Inventarisierung der Geräte. Bei Geschäftsgeräten können zum Beispiel Software-Updates zentral gesteuert werden, sofern die Infrastruktur dies erlaubt.

Was sind die grössten Bedrohungen?

Die Bedrohungen sind sehr vielfältig und reichen von einfachen Spam-Wellen über Verschlüsselungstrojaner bis hin zu gezielten Spionageangriffen auf Unternehmen. Es ist sehr stark abhängig von der Motivation der Täterschaft sowie der Zielgruppe der potenziellen Opfer, wer konkret von einer Bedrohung betroffen sein könnte. Da die Angreifer mit ihrem Tun meistens Geld verdienen wollen, sind insbesondere Phishing-Angriffe auf E-Banking-Kunden oder Angriffe mit erpresserischem Hintergrund, wie DDoS-Angriffe auf Onlineshops oder Verschlüsselungstrojaner, sehr beliebte Angriffsformen.

Webcode
DPF8_84985