Mit dem beispiellosen Anstieg mobiler Endgeräte ist „Bring Your Own Device“ (BYOD) zu einer komfortablen Möglichkeit im Arbeitsalltag geworden, auch außerhalb des Büros auf E-Mails und andere digitale Daten zugreifen zu können. Auch wer kein Geschäftshandy hat, ist oftmals bereit, das private Handy oder Tablet einzusetzen, um außerhalb des Büros produktiv zu sein. Natürlich bringt BYOD aber auch neue Sicherheitsrisiken mit. Bereits vor der Pandemie kämpften Unternehmen mit der Abwägung zwischen dem Wunsch der Mitarbeitenden nach Remote-Arbeit und den Schwachstellen, die sich für Cyberkriminelle hierdurch für den unbefugten Zugriff auf Unternehmensnetzwerke öffnen. Der dramatische Anstieg der Telearbeit in den letzten Jahren hat die BYOD-Dynamik noch einmal beschleunigt. 60 Prozent der Unternehmen haben ihre BYOD-Programme während der Pandemie ausgeweitet, so eine Branchenstudie von Palo Alto.
Viele Unternehmen haben sich für Mobile-Device-Management-(MDM)-Technologien entschieden, um zumindest etwas Kontrolle über berufliche Aktivitäten auf den Geräten der Mitarbeiter zu erlangen. Doch diese Methode kann die Privatsphäre der Mitarbeiter verletzen, weshalb viele Arbeitnehmer nicht bereit sind, die Software zu installieren. Denn damit wird die Kontrolle über das Gerät an den Arbeitgeber übertragen, der nun die Möglichkeit hätte, Apps und Daten auf dem Gerät je nach Umständen und Risikoniveau remote zu steuern. Obwohl diese Rechte nur für arbeitsbezogene Applikationen und Daten gelten, besteht auch das Risiko, dass persönliche Daten versehentlich gelöscht werden, was zu weitergehenden Datenschutzbedenken führt.
Darüber hinaus ermöglichen die meisten MDM-Tools Unternehmen den Zugriff auf sensible Mitarbeiterinformationen, auch über die virtuelle persönliche Partition hinaus. Durch die Implementierung von MDM-Lösungen bekommen Unternehmen beispielsweise häufig den Browserverlauf ihrer Mitarbeiter mit, was zu schwierigen Situationen führen kann, etwa wenn der Arbeitgeber erfährt, dass ein Teammitglied nach einer neuen Stelle sucht. Darüber hinaus erhalten Unternehmen über MDM auch Zugriff auf Standortdaten, so dass sie möglicherweise Mitarbeiter überwachen können, die sich krankmelden oder von zu Hause aus arbeiten. Unter diesen Umständen werden wichtige Grenzen des Datenschutzes leicht überschritten.
Sicherheit und Datenschutz: Neue Lösungen für die neue Normalität
Sicherheit und Datenschutz müssen in einem ausgewogenen Verhältnis zueinanderstehen, um eine Arbeitsumgebung zu schaffen, die technologiegestützte Prozesse erleichtert, ohne dem Datendieb Tür und Tor zu öffnen. Unternehmen sollten deshalb für stark vernetzte Umgebungen auf die Implementierung einer Authentifizierungstechnologie setzen, die sowohl Sicherheit als auch den Schutz der Privatsphäre der Mitarbeiter gewährleistet. Eine kryptografische Bindung der Identität an jedes Gerät schafft ein hohes Vertrauen in den authentifizierenden Benutzer und liefert den Beweis, dass es sich um einen autorisierten User sowie ein autorisiertes Gerät handelt. Dies beweist jedoch nicht automatisch, dass das Gerät vertrauenswürdig ist.
Unternehmen müssen deshalb auch sicherstellen, dass das Gerät die notwendigen Sicherheitsanforderungen erfüllt, zum Beispiel, dass die Firewall aktiviert ist. Nur wenn dafür gesorgt ist, dass die erforderlichen Sicherheitskontrollen auch tatsächlich durchgeführt werden, kann Vertrauen in das Gerät aufgebaut werden.
Es ist wichtig zu beachten, dass die Sicherheit der Geräte stetig der Veränderung unterworfen ist. Unternehmen verteilen Änderungen an Endgeräte, Mitarbeiter ändern selbst Einstellungen nach Geschmack – und Angreifer legen Security lahm. Aus diesem Grund sind kontinuierliche Überprüfungen erforderlich, um dafür zu sorgen, dass das Gerät über die Dauer der Nutzung hinweg sicher bleibt, und nicht nur zu Beginn der Authentisierung. Die Bindung des Geräts an eine Identität, in Kombination mit einer kontinuierlichen Überwachung der Sicherheitslage des Geräts, ist der Schlüssel zu einem sicheren Identitätsauthentisierungsprozess. Auf diese Weise können Unternehmen Sicherheitslücken in nicht verwalteten Endgeräten schließen, ohne die negativen Auswirkungen, die mit traditionellen MDM-Lösungen verbunden sind und die Privatsphäre der Mitarbeiter gefährden. Dies schafft ein ausgewogenes Verhältnis zwischen Sicherheit, Datenschutz und Benutzerfreundlichkeit.
Von Jasson Casey, Chief Technology Officer, Beyond Identity
