Gefahren, die durch BYOD oder COPE aus Sicht der Informationssicherheit entstehen

  • Unkontrollierte Nutzung trotz fehlender Betriebssystem-Updates: Viele Smartphones und Tablets werden mit veralteten Versionen von Android ausgeliefert oder erhalten keine regelmäßigen oder sogar überhaupt keine Updates. Anders als bei Betriebssystemen, die für Arbeitsplatz-Computer und Server konzipiert sind, bestimmt bei Android nicht mehr der Anwender allein über die Durchführung von Updates, sondern der Hersteller des Geräts kontrolliert diesen Prozess, weil dieser die Betriebsystem-Updates noch an die Geräte anpassen und testen muss. Nachträglich bekannt gewordene Schwachstellen im Betriebssystem werden somit in den wenigsten Geräten tatsächlich geschlossen.
  • Verlust des Gerätes: Da mobile Endgeräte oft klein sind und ständig transportiert werden (eben auch in den privaten Urlaub), können sie leicht vergessen werden, verloren gehen oder gestohlen werden. Ihr hoher Wiederverkaufswert macht einige Smartphones und Tablets für Diebe sehr attraktiv. Neben dem wirtschaftlichen Schaden wiegt der Verlust der Vertraulichkeit und Integrität der enthaltenen Daten besonders schwer. Über ein entwendetes mobiles Endgerät könnte ein Angreifer auf vertrauliche Informationen oder IT-Ressourcen der Institution zugreifen. Ebenso sind auf Smartphones häufig Zugangsdaten (z.B. im Zuge der Einrichtung eines E-Mail-Clients) gespeichert.
  • Keine oder unzureichende Trennung von privater und dienstlicher Nutzung, sodass dienstliche Daten durch die private Verwendung beeinflusst oder gefährdet werden (unsichere Konfiguration und große Angriffsfläche durch aktivierte Schnittstellen, unkontrollierte Installation von schad- oder schwachstellenbehafteter Software, unkontrollierte Nutzung durch Familienmitglieder ...)

Maßnahmen

Auf die Frage, wie man ein Android-Smartphone sicher macht, antworten Sicherheitsexperten seit Jahren spöttisch: "Besorg dir ein iPhone!" (oder ein Blackberry). Seien Sie sich immer darüber im Klaren, dass (ohne ein zentrales Mobile Device Management System) Smartphones und Tablets mit einem Standard-Android-Betriebssystem (bezogen auf die besonderen Risiken bei der privaten Nutzung und die Update-Problematik bei Android-Geräten, vgl. Mike Kuketz: "Update-Problematik bei Android", 2017) nicht so gut abgesichert werden können, wie etwa Arbeitsplatz-Computer oder Laptops. Gefährdungen durch konzeptionelle Schwächen, systembedingte Mängel oder ausgenutzte Schwachstellen im Betriebssystem können höchstens gemildert, jedoch nicht vollständig beseitigt werden (vgl. BSI: "Android - Konfigurationsempfehlung ...", 2018).

-> Überdenken Sie die Speicherung und Verarbeitung von sensiblen Daten (Passwörter, Personenlisten, E-Mail-Zertifikat etc.) auf mobilen Android-Geräten.

Die Verwendung von privaten Geräten für dienstliche Zwecke sollte mit dem Arbeitgeber abgestimmt sein. Mit einer BYOD-Strategie wird den Mitarbeitern eine sehr große Verantwortung übertragen. Diesem Kontrollverlust muss ein valides Vertrauen des Arbeitgebers in das Verantwortungsbewusstsein der Mitarbeiter gegenüberstehen.

-> Sollte sich der Arbeitgeber zur Zulassung von BYOD entschließen, ist es unbedingt anzuraten, auf der Basis dieses Vertrauens Regelungen über die genaue Ausgestaltung von BYOD mit den Mitarbeitern zu vereinbaren (vgl. DFN: "Bring Your Own Device", 2015, Bitkom: "BYOD: Bring Your Own Device", 2013, BSI: "Überblickspapier Consumerisation und BYOD", 2013, Datenschutzstelle Fürstentum Liechtenstein: "Checkliste für Benutzungsreglemente betreffend mobile Geräte", 2013).

Wenn sich der Arbeitgeber zur Zulassung von BYOD entschieden hat, auf Android-Endgeräte zur Speicherung und Verarbeitung dienstlicher Daten nicht verzichtet werden kann und keine zentrale Administration der Geräte (Mobile Device Management)1 aus organisatorischen Gründen zum Einsatz kommen kann, dann gelten die Empfehlungen auf der nachfolgenden Seite.

1 Es gibt auch MDM-Systeme für kleine Gruppe, z.B. von AppTec (Virtual Appliance für bis 25 Geräte kostenlos, ohne Support).