DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Bring Your Own Device

Sicherheit bei Bring your own Device

Mobile End­geräte sind inzwi­schen so aus­ge­reift, dass viele sich ein solches Gerät kaufen — und auch geschäftlich nutzen wollen. Wehe, Wehe schimpft die IT-Abteilung, das ist doch höchst unsicher!!! Bloß kein Bring Your Own Device!

Was man genau unter „BYOD“ ver­steht, das klärt der Beitrag von Frau Moretta: „Bring your own Device — Kon­su­me­ri­sierung in der IT “. Werfen wir doch einen Blick darauf, ob die kri­tische Ein­stellung der IT-Abteilung dem Wunsch der Mit­ar­beiter gegenüber, private Geräte mit dem ent­spre­chenden Cloud-Angebot beruflich ein­zu­setzen, wirklich fun­diert ist.

Sicherheit im mobilen Alltag

Zum einen sind die mobilen Geräte (wenn sie denn ein gutes Betriebs­system haben, wozu Android immer noch nicht gehört) inzwi­schen ziemlich sicher, und es gibt gute Sicher­heits­me­cha­nismen wie auto­ma­tische Updates, Sand­boxing für Apps, oder Ver­schlüs­selung von E‑Mails. Zum anderen sind immer weniger Per­sonen für immer mehr Pro­zesse und Systeme in der IT ver­ant­wortlich, so dass oft gar keine Zeit mehr bleibt, auf die IT zu schauen. Sollen wir also kom­plett auf die pri­vaten mobilen Geräte setzen – was eine Kon­se­quenz wäre – oder sie kom­plett ver­meiden – was viele IT-Abtei­­lungen machen oder zumindest machen würden?

Des Pudels Kern: Wo sind die Daten?

Die Antwort ist: kommt drauf an. Mobile End­geräte an sich sind ja gar nicht das Problem, sondern wo die Daten ent­lang­fließen und schließlich auch bleiben und das wird durch den mit dem Gerät ver­bun­denen Cloud Service bestimmt (Google bei Android, iCloud bei iOS zum Bei­spiel). Dabei ist man darauf gar nicht ange­wiesen und kann durchaus auch andere Dienste für E‑Mail, Kalender und Datei-Ablage nutzen. Ob nun der Fir­men­laptop mit VPN ver­schlüsselt die E‑Mails bekommt oder das Tablet via SSL, ist aus Sicher­heits­sicht egal — solange der E‑Mail-Server der des Unter­nehmens ist.

Ich zum Bei­spiel nutze als Datei-Ablage die Telekom Cloud, für E‑Mail meinen Firmen- und Hoch­schul­server und nur für Kalen­der­daten nutze ich den Standard-Service des Geräte-Betriebs­­­systems. Das ist aus meiner Sicht ein durchaus akzep­tabler Kom­promiss zwi­schen Sicherheit und Fle­xi­bi­lität.

Vor­sicht bei per­so­nen­be­zo­genen Daten!

Kri­tisch ist natürlich, wenn durch den Dienst per­so­nen­be­zogene Daten ins außer­eu­ro­päische Ausland gehen, viel­leicht auch noch ohne, dass man es merkt. Das ist etwa bei den Kar­ten­pro­grammen und Sprach­as­sis­tenten der Fall. Diese Funk­tionen sollte man dann besser nicht nutzen.

Meine Emp­fehlung:

Setzen Sie sich also mit den Geräten und den damit ange­bo­tenen Cloud-Diensten aus­ein­ander und finden Sie den rich­tigen Kom­promiss. Wenn Sie Geräte ver­bieten, und keine gute Alter­native anbieten, dann werden Ihre Mit­ar­beiter im Zweifel eher dienst­liche Daten auf pri­vaten Diensten nutzen, um schnell arbeiten zu können und die Daten ver­fügbar zu haben, als sich an Verbote halten…

Bild:  © Torsten Lohse / pixelio.de

Ein Kommentar zu Bring Your Own Device

Schreiben Sie einen Kommentar zu Katrin Böhme Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.