Rymden - stock.adobe.com
BYOD-Sicherheitsrisiken effektiv minimieren und beherrschen
Die Nutzung privater Endgeräte birgt Risiken, die weit über Malware hinausgehen. Moderne Strategien müssen Identitätsmanagement und App-Schutz vereinen, um Firmendaten zu schützen.
BYOD kann zwar die Hardwarekosten senken und Mitarbeitern mehr Flexibilität bieten, jedoch gelangen dadurch auch Unternehmensdaten auf Endgeräte, die sich nicht vollständig im Besitz des Unternehmens befinden.
Die moderne BYOD-Sicherheitsfrage lautet nicht mehr nur, ob ein privates Smartphone auf Unternehmensressourcen zugreifen kann. Vielmehr geht es darum, wie das Unternehmen Identitäten, Apps und Daten auf einem Gerät schützt, das auch private Konten, Apps und Cloud-Dienste enthält.
Dies erfordert ein mehrschichtiges Kontrollmodell, das über ältere BYOD-Programme hinausgeht. Unternehmen können nun App-Schutz, bedingten Zugriff (Conditional Access), datenschutzkonforme Registrierungsmethoden, Mindestanforderungen an das Betriebssystem und selektives Löschen kombinieren, anstatt sich ausschließlich auf die vollständige Gerätesteuerung zu verlassen.
Warum BYOD besondere Risiken birgt
Bei BYOD befinden sich Arbeitsdaten, private Apps und private Konten auf demselben Endgerät, was zusätzliche Risiken schafft. Das Bedrohungsmodell beschränkt sich dabei nicht nur auf Malware. Es umfasst auch die Weitergabe zu vieler Daten über private Cloud-Dienste, nicht autorisierte Apps, unzureichende Identitätskontrollen sowie uneinheitliche Patch-Stände auf den privaten Geräten.
In der Regel treten die drei größten BYOD-Risiken in folgenden Bereichen auf:
- Unklare Sicherheitsprotokolle und Schatten-IT.
- Datenlecks durch nicht verwaltete oder bösartige Apps.
- Verlust, Diebstahl oder Kompromittierung von Geräten.
Unklare Sicherheitsprotokolle
Die meisten BYOD-Sicherheitsverletzungen sind auf das Verhalten der Nutzer und nicht auf Malware zurückzuführen. Mitarbeiter nutzen nicht genehmigte Apps, weil diese praktisch sind. Sie verwenden persönliche Zugangsdaten mehrfach und melden sich von Geräten aus an, die möglicherweise nicht den Sicherheits- oder Patch-Standards des Unternehmens entsprechen. Dadurch entstehen Risiken durch Schatten-IT, die Weitergabe sensibler Daten und den Diebstahl von Zugangsdaten, die ebenso wichtig sind wie klassische Gerätekompromittierungen.
Unternehmen sollten sich daher nicht allein auf Richtlinien verlassen. Sie sollten Benutzerschulungen mit Durchsetzungsmaßnahmen kombinieren. Dazu gehören eine starke Authentifizierung, Leitlinien für genehmigte Apps und Zugriffskontrollen, die nicht unterstützte Clients blockieren oder App-Schutz voraussetzen. So wird sichergestellt, dass Benutzer nur dann auf Unternehmensressourcen zugreifen können, wenn sie die erforderlichen Sicherheitsvorkehrungen getroffen haben.
In Microsoft-Umgebungen kann Conditional Access App-Schutz verlangen, bevor Zugriff gewährt wird. Die App-Schutzrichtlinien von Intune können zudem Arbeitsdaten schützen, selbst wenn das Gerät nicht vollständig verwaltet wird. So können Unternehmen Risiken reduzieren, ohne davon auszugehen, dass jedes private Gerät wie ein unternehmenseigener Endpunkt behandelt werden muss.
Mobile Malware
Malware, die auf mobile Geräte abzielt, stellt nach wie vor ein Risiko dar, doch unkontrollierte Apps und die Synchronisierung mit privaten Cloud-Diensten sind in BYOD-Umgebungen ebenso gefährlich. Das Problem besteht nicht nur darin, ob eine App bösartig ist. Es geht auch darum, ob Arbeitsdaten in private Speicher, private Messaging-Dienste oder Verbraucher-Apps gelangen können, über die das Unternehmen keine Kontrolle hat.
Moderne BYOD-Kontrollen sollten sich ebenso sehr auf Eindämmung wie auf Erkennung konzentrieren. Richtlinien zum App-Schutz können das Kopieren und Einfügen, die Datenfreigabe und das Speichern unter innerhalb verwalteter Apps einschränken. Apple User Enrollment und Android-Arbeitsprofile können zudem geschäftliche von privaten Daten trennen, sodass Unternehmen den geschäftlichen Bereich verwalten können, ohne private Apps und deren Nutzung offenzulegen.
Kompromittierung, Verlust oder Diebstahl von Geräten
Verlorene, gestohlene oder kompromittierte Geräte erfordern nach wie vor einen klaren Reaktionsplan.
Geräte, die im Rahmen von BYOD genutzt werden, gehen leicht verloren und sind schwer wiederzufinden. Das Risiko ist noch größer, wenn geschäftliche und private Daten vermischt werden. Sicherheitsteams benötigen einen Reaktionsplan für verlorene Geräte, das Ausscheiden von Mitarbeitenden und Geräte, die nicht mehr den Compliance-Anforderungen entsprechen.
Dieser Plan sollte die folgenden Punkte abdecken:
- Verschlüsselung
- Anforderungen an die Bildschirmsperre
- Mindestanforderungen an Betriebssystem- oder Patch-Stände
- Rechte zur selektiven Löschung
- Den Punkt, ab dem strengere Maßnahmen am Gerät gerechtfertigt sind.
Mitarbeiter sollten im Voraus wissen, welche Daten das Unternehmen entfernen kann, wie schnell die IT-Abteilung handeln kann und welche Schritte sie unternehmen müssen, wenn ein Gerät verschwindet.
So bewältigen Sie BYOD-Sicherheitsrisiken
BYOD-Sicherheit ist nicht mehr nur ein Problem der Geräteverwaltung. Unternehmen benötigen Kontrollen auf drei Ebenen:
- Identität und Zugriff.
- App- und Datenschutz.
- Gerätekonformität und Reaktion.
Für manche Unternehmen reichen App-Schutz, bedingter Zugriff und selektives Löschen. Andere benötigen eine umfassendere MDM- oder UEM-Registrierung, um Compliance- und Berichtserwartungen zu erfüllen. Der Schlüssel liegt darin, dieses Kontrollmodell in Richtlinien explizit festzuhalten, es den Mitarbeitern klar zu kommunizieren und den am wenigsten invasiven Ansatz zu wählen, der dennoch Unternehmensdaten schützt.
Dieser Artikel wurde im Mai 2026 von der ComputerWeekly-Redaktion aktualisiert, um Branchenveränderungen widerzuspiegeln und das Leseerlebnis zu verbessern. Der Beirag ist im Original in englischer Sprache auf Search Mobile Computing erschienen.
