Überblickspapier vom BSI

Ratschläge für die BYOD-Policy

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Lizenzen, Administration und Geräte-Auswahl gehören zu den offenen Fragen bei BYOD. Das Bundesamt für Sicherheit in der Informationstechnik gibt Ratschläge.
Das BSI hat ein Überblickspapier zu BYOD und Consumerisation verfasst.
Das BSI hat ein Überblickspapier zu BYOD und Consumerisation verfasst.
Foto: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Der Trend zur beruflichen Nutzung privater Geräte beschäftigt das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. Die Behörde hat ein "Überblickspapier Consumerisation und BYOD" erarbeitet. Das BSI handelt darin rechtliche und technische Aspekte von BYOD (kurz für "Bring your own device") ab.

Grundsätzlich verbindet das Amt BYOD mit Vorteilen. Zufriedenheit und Motivation der Mitarbeiter steigen, wenn sie aktuelle Consumer-Endgeräte benutzen können, so das BSI. Hier gehe es zum einen um emotionale Faktoren - Endgeräte als Statussymbole - und zum anderen um praktische Vorteile. Es sei nutzerfreundlicher, mit nur einem Handheld statt mehreren zu arbeiten.

Unternehmen, die sich für BYOD entscheiden, müssen viele Punkte bedenken. Das BSI nennt unter anderem Folgendes:

  • Software-Lizenzen: Privat angeschaffte Software darf eventuell nicht beruflich genutzt werden. Jedes Unternehmen muss seine Situation aus rechtlicher Sicht umfassend beurteilen.

  • Design contra Sicherheit: Das BSI hält es für ein Grundproblem, dass viele Consumer-Endgeräte "eher auf schönes Design und einfache Bedienung hin optimiert sind". Oft aber entsprechen Konfigurationsmöglichkeiten und Sicherheitsfunktionen nicht dem technischen Standard, der für Geräte im professionellen Umfeld gilt. Das kann zu Problemen mit internen Sicherheitsvorgaben führen.

  • Auflösung des Informationsverbundes: Die "Durchlöcherung beziehungsweise Auflösung der Grenzen des Informationsverbundes" eines Unternehmens bezeichnet das BSI als größte Herausforderung bei BYOD. Dies beginne damit, dass sensible Daten auf Endgeräten verarbeitet werden, die häufig nicht so gut abgesichert werden können wie Arbeitsplatzrechner. Zudem befänden sich mobile Endgeräte oft außerhalb der geschützten Umgebung des Unternehmens.

  • Schwachstelle Consumer-Geräte: Probleme im Betriebssystem oder in den installierten Anwendungen gefährden Consumer-Endgeräte besonders stark, so das BSI. Denn zum einen müssen Updates üblicherweise vom Nutzer selbst initiiert werden, das geschieht nicht automatisch im Hintergrund.

Warum Consumer-Geräte unsicherer sind

  • Zum anderen haben Consumer-Handhelds kürzere Innovationszyklen. Hersteller konzentrieren sich daher eher auf die Einführung neuer Modelle als auf die langfristige Unterstützung älterer Geräte. Hinzu kommt, dass auf den eingesetzten Geräten unterschiedlicher Hersteller häufig verschiedene Varianten eines Betriebssystems installiert sind.

  • Unterschiedliche Sicherheitsniveaus: Arbeiten die Kollegen eines Unternehmens mit vielen verschiedenen Endgeräten und unterschiedlichen Betriebssystemen, lassen sich meist nicht alle Sicherheitsanforderungen auf allen Geräten gleichermaßen umsetzen. So unterstützen beispielsweise nicht alle Consumer-Endgeräte eine vollständige Geräteverschlüsselung. Auch mit der Rechtevergabe kann es Probleme geben. Mögliche Folge: es bestehen unterschiedliche Sicherheitsniveaus auf Geräten, die eigentlich für vergleichbare Aufgaben benutzt werden sollen.

Das Bundesamt für Sicherheit in der Informationstechnik will BYOD nicht so verstanden wissen, dass jeder Mitarbeiter jedes Gerät mitbringen darf. Unternehmen könnten durchaus bestimmte Gerätetypen ausschließen. Diese Praxis wird in der Branche manchmal als CYOD - für "Choose your own device" - diskutiert.