"Fehlverhalten muss Konsequenzen haben"

Wegen Bring Your Own Device (BYOD) haben es die Anwender mit immer mehr mobilen Endgeräten und Cloud-Speicherplätzen zu tun. Damit gehen eine wachsende Vielfalt an Datentypen und das Risiko von Datendiebstahl zum Beispiel durch verärgerte Mitarbeiter einher – in jedem Fall also eine größere Anfälligkeit gegenüber mobilen Gefahren. Oder wird dieses Thema nur aufgebauscht? Ein klares Nein entgegnet dem Paul Luehr, Managing Director beim Data Risk Management-Spezialisten Stroz Friedberg. „In den vergangenen drei Jahren hat sich die Zahl der Fälle mit mobilen Endgeräten bei uns in etwa verdoppelt", sagt der Experte für Computer-Forensik, dessen Firma auch ein eigenes Cybercrime-Labor betreibt. Unsere amerikanische Schwesterpublikation CIO.com sprach über die mobilen Gefahren durch BYOD mit Luehr, der früher in Diensten der Federal Trade Commission stand. Für die Wettbewerbsbehörde der USA fungieret Luehr als Supervisor für das Programm zur Bekämpfung von Internetbetrug.

Um die Sicherheitsgefahren durch BYOD gibt es viel Tamtam. Sind die Sorgen berechtigt? Oder ist das nur ein Hype?

Paul Luehr: Sowohl als auch. Im Allgemeinen unterteilen wir die Netzwerkbedrohungen in zwei Bereiche. Einmal haben wir die externen Gefahren – also Hacker, die von irgendwoher das Netzwerk penetrieren. Die Angreifen kommen immer noch auf ihren angestammten Pfaden daher, also nicht unbedingt über BYOD. Insofern haben diejenigen recht, die die Bedrohung als überschätzt darstellen.

Aber diese Wahrnehmung blendet eine andere Security-Ebene aus. BYOD-Strategien haben sicherlich das Risiko durch interne Bedrohungen erhöht. Die gefährlichste Person für ein Unternehmen ist mittlerweile wahrscheinlich der Mitarbeiter, der verstimmt das Firmengelände verlässt. Er hat Zugang zum Netzwerk. Dank BYOD stehen ihm zusätzliche Wege offen, sich einzuloggen und Daten zu verschieben. Ich würde sagen, dass diese Gefahr schon jetzt sehr groß ist.

Die 12 Typen des BYOD-Mitarbeiters
Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier.

1. Die Millennials
Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht.

2. Die Techies
Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen.

3. Die CEOs
Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln.

4. Die Generation X
Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal.

5. Die Sales-Mitarbeiter
"Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit.

6. Die Stundenarbeiter
In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben.

7. Die chronischen Nörgler
"Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen.

8. Die Sozialen Netzwerker
Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App.

9. Die schwarzen Schafe
In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter.

10. Die Freelancer
Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht.

11. Die Home Office Mitarbeiter
Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy.

12. Die CIOs
Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!

Stellen Sie einen Anstieg beim BYOD-Datenklau fest?

Paul Luehr: Absolut. Vor allem bei unseren Untersuchungen, die um Mitarbeiterfragen kreisen. Für viele dieser Fälle verwenden wir den Spitznamen „böser Abgänger". Jemand ist gegangen – und war sauer. Wechselt ein Mitarbeiter zur Konkurrenz, gibt es ja stets die Sorge, dass er geistiges Eigentum mitnehmen könnte. Wenn wir solche Fälle untersuchen, wird die BYOD-Front immer wichtiger. Das heißt, dass wir nicht nur die Server, Emails und Desktops inspizieren, sondern auch Smartphones sowie iCloud- und Dropbox-Accounts. Oder auch Gmail.

Social Media verstärkt Risiken

Die meisten Attacken zielen zwar immer noch direkt auf die Server, weil sich dort die wertvollsten und empfindlichsten Daten finden. Aber die mobilen Endgeräte sind immer mehr eine offene Flanke für Datenklau. Aus der Security-Perspektive ist BYOD jedenfalls eine vielfältige Herausforderung. Auch durch Social Media ändern sich Einstellungen und Verhalten. Die Grenze zwischen Büro und Zuhause verschwimmt. Die Leute gehen laxer mit Daten um, die sie mit nach Hause nehmen. Das kann zum Beispiel eine Liste mit Kreditkartennummern von Kunden sein oder ein Quellcode, mit dem sich das Unternehmen von der Konkurrenz abhebt. Mitgebrachte Daten werden auch häufiger auf mehreren Geräten und Ordnern verteilt. Gelegentlich geraten sie Freunden und Familienmitgliedern unter die Augen.

Manche Firmen reagieren darauf mit rigiden BYOD-Richtlinien. Ist das eine sinnvolle Maßnahme?

Paul Luehr: In einem zeitgemäßen BYOD-Umfeld braucht es sicherlich vernünftige und umfassende Regelungen und Prozeduren. Aber für sich betrachtet sind sie oft nicht gut genug. Die meisten Regelwerke benötigen ein Update. Sie müssen drei Dinge berücksichtigen: erstens die verschiedenen Orte, an denen Mitarbeiter ihre Geräte benutzten – zum Beispiel daheim; zweitens die Wege, über die Daten wandern können; drittens die diversen neuen Kommunikationstypen wie Facebook, Twitter und Textnachrichten. Die Richtlinien sollten auch durch hochwertige Schulungen und Übungen gestützt werden.

Kürzlich haben mein Laborchef und ich auf der Basis der von uns beobachteten Datendiebstähle die zehn wichtigsten Sicherheitsfragen zusammengestellt. Dazu zählt, dass es auf individueller Ebene überhaupt keine Konsequenzen für Fehlverhalten bei der Security gibt. Unserer Meinung nach wäre es sinnvoll, IT-Sicherheit nicht zu einem abstrakten Gegenstand der Personalpolitik zu machen, sondern sie auch in den Katalog zur jährlichen Leistungsmessung aufzunehmen.

Ein vergrätzter Ex-Mitarbeiter würde trotzdem Chaos stiften. Ist das eher eine Baustelle für die Personalabteilung als für die IT?

Paul Luehr: Gute Richtlinien kommen von oben und über die HR-Abteilung. Es sollte Folgen für gutes und schlechtes Verhalten geben. Das ist die menschliche Seite der Medaille. Aber darum alleine geht es nicht. Man benötigt auch eine ganze Reihe von Netzwerk-Kontrollen. Weder kann die HR alles auf die IT abwälzen noch umgekehrt. Im Grunde bewerten wir als gravierendstes Problem, das IT-Sicherheit in den Führungsetagen der Firmen nicht ernst genug genommen wird.

Entstehen durch BYOD versteckte rechtliche Kosten?

Paul Luehr: Ja. Im Falle problematischer Mitarbeiterabgänge geschieht durch den zusätzlichen Sammel- und Kontrollaufwand, der durch die Anzahl an mobilen Endgeräten entsteht. Es gibt immer mehr Daten, Datentypen, Geräte, Speicherorte. Statt einer einzigen forensischen Abbildung für Laptop oder Desktop sind jetzt vier oder fünf Stück nötig. Ist die Unordnung besonders groß, muss man in einer Datenwirrwarr auf Heimrechnern und in privaten Email- und Cloud-Accounts eintauchen.

Aber die Kosten für das Sammeln der Daten sind es nicht alleine. Bevor sich Staatsanwälte diese Informationen überhaupt ansehen, sind zusätzliche Gatekeeping-Schritte erforderlich. Viele Mitarbeiter verlangen, dass ihre persönlichen Daten strikt von den Firmendaten getrennt werden, die Gegenstand des Rechtsstreites sind. Die Firmen müssen dann forensische Labore wie unseres anheuern, um die Spreu vom Weizen zu trennen.

Inwiefern führt BYOD zu Sicherheitslücken?

Paul Luehr: Vor allem durch so genannte Cross-Pollination von Passwörtern. Mitarbeiter benutzen wahrscheinlich die gleichen oder ähnliche Passwörter für die Arbeit wie am heimischen Rechner. Wir hatten dazu vor kurzem ein Telefonat mit dem FBI. Im einem der größten und prominentesten Fälle von Datendiebstahl inspizierte das FBI eine Liste mit veröffentlichten Kundennamen, Adressen und Passwörtern.

IT-Promi im FBI-Visier

Die Ermittler kannte einen der Namen: einen hochangesehenen IT-Manager einer wichtigen Technologiefirma. Das FBI rief dort an und teilte mit, dass der private Email-Account des Mannes gehackt worden sei. Möglicherweise lohne sich ein Check, ob das auch das Unternehmen betreffen könnte. Tatsächlich loggte sich die Führungskraft mit denselben Daten von Daheim ins Firmennetzwerk ein. Zum Glück hatte es noch keine Attacke gegeben und das Leck konnte geschlossen werden – aber nur dank Zufall, Glück und der Aufmerksamkeit eines Ermittlers. Cross-Pollination geschieht häufig, wenn Arbeitsgeräte wie persönliche Devices behandelt werden und umgekehrt.

Gibt es bei der mobilen Sicherheit einen blinden Fleck?

Paul Luehr: Textnachrichten stehen neuerdings im Fokus, und zwar auf bisher unbekannte Weise. Früher musste man sich nur um Emails und elektronische Dokumente wie PowerPoint-Präsentationen, Word-Dateien und Excel-Spreadsheets Gedanken machen. Man chmal auch um technische Zeichnungen. Es genügte, die File-Server und die Email-Server zu durchleuchten, dazu noch den Arbeitsplatz des Mitarbeiters. Mobile Endgeräte verändern das Szenario. Kurznachrichten erscheinen nur auf den Mobiltelefonen und sonst nirgends im Firmennetzwerk. Die Service-Provider können auf Nachfrage nur Verbindungszeiten und Nummer nennen, eventuell noch das Datenvolumen. Aber sie speichern die Inhalte von einzelnen SMSen nicht.

Blinder Fleck SMS

Abtrünnige Mitarbeiter tauschen sich mit ihren neuen Arbeitgebern deshalb immer häufiger via SMS aus anstatt über private Email-Accounts. Wertvolle Daten können besser denn je versteckt werden. Wer besonders ruchlos vorgeht, gestaltet die Nachrichten auf Systemen wie Snapchat so, dass sie automatisch wieder vom Handy verschwinden.

Könnten die mobilen Gefahren den BYOD-Siegezug stoppen?

Paul Luehr: Wenn Firmen vor mobilen Geräten ihre Augen verschließen, infiltrieren sie die Arbeitsplätze sowieso. Schlauer ist es, die Wirklichkeit zu akzeptieren und mobile Endgeräte und BYOD als Teil der Zukunft anzuerkennen. Darauf lassen sich vernünftige Regeln und Praktiken aufbauen. Man kann nicht alle Aktivitäten kontrollieren. Aber man sollte sie erahnen und Konsequenzen so weit es geht regeln.

BYOD: Gekommen, um zu bleiben

Bring Your Own Device (BYOD) wird für die Unternehmen eine Dauerbaustelle bleiben – oder es den CIOs passt oder nicht. So interpretiert jedenfalls Ovum die Lage. Die Analysten gehen noch einen Schritt: Das eigentliche Phänomen sei „Bring Your Own Everything“ (BYOX), weil die Mitarbeiter neben privaten Endgeräten auch immer mehr eigene Apps für die Arbeit nutzen. Neben Email- und Kalender-Funktionen werden demnach neue Cloud-Productivity-Apps wie Enterprise Social Networking, File Sync & Share und Instant Messaging/Voice over IP immer beliebter – auf Firmen und Privatgeräten. Wie Ovum bedauert, nutzen die Mitarbeiter diese Apps häufig auf eigene Faust. Jede vierte bis jede dritte Anwendungen sei nicht über gemanagte Unternehmenskanäle auf die Smartphones und Tablets der Mitarbeiter gekommen, hat Ovum in einer neuen Studie herausgefunden. „Die IT-Abteilungen halten offenbar nicht Schritt mit den veränderten Bedürfnissen und Verhaltensmustern der neuen und konsumerisierten Belegschaften“, sagt Ovum-Analyst Richard Absalom. „Wenn Mitarbeiter zur Erledigung ihrer Jobs selbst nach Apps suchen, liefert die IT nicht die richtigen Tools oder kein Nutzererlebnis, das gut genug ist.“ In jedem Fall sei BYOD kein vorübergehendes, sondern ein dauerhaftes Phänomen. 70 Prozent der Mitarbeiter, die ein eigenes Smartphone oder Tablet haben, nutzen dieses laut Ovum auch für berufliche Zwecke und rufen Unternehmensdaten damit ab. 15 Prozent tun das ohne Wissen der IT-Abteilung, 21 Prozent trotzt expliziter BYOD-Verbot ihrer Arbeitgeber. Weil die Tablet-Verkäufe laut Ovum weiterhin rasant steigen, verstärkt sich auch der BYOD-Trend weiter. Die Aktivitäten der Mitarbeiter werden nach Einschätzung Absaloms bleiben – egal, was der CIO davon hält. Deshalb sollten die IT-Chefs jetzt klare strategische Antworten finden, anstatt sich von den Entwicklungen überrollen zu lassen. „Sich der konsumerisierten Mobilität in den Weg stellen zu wollen, ist ein nutzloses und schädliches Unterfangen“, befindet Ovum-Mann Absalom. „Den Unternehmen wäre mehr damit gedient, wenn sie BYOD als Instrument für eine gesteigerte Motivation und Produktivität der Mitarbeiter betrachteten und Enterprise Mobility vorantrieben.“