Heimische Unternehmen gehen viel zu leichtfertig mit Daten um. Das zeigt eine aktuelle Studie von Deloitte und Sora. Die Eingliederung privater Geräte in gesicherte Firmennetzwerke braucht klare Regeln.
Smartphones sind allgegenwärtig. Vom Aufstehen bis zum Schlafengehen widmen Österreicher laut einer Studie dreieinhalb Stunden täglich ihrem Smartphone. Auch im beruflichen Alltag sind die Computer im Hosentaschenformat ständig präsent. Selbst im beruflichen Umfeld haben sie längst einen fixen Platz. Als BYOD (Bring your own Device) wird der Einsatz von einem Gerät für privaten und beruflichen Einsatz bezeichnet. Sicherheitsexperten warnen jedoch davor.
IT-Abteilungen in Firmen setzen Firewalls, Virenscanner und Content-Filter ein, um die im Netzwerk befindlichen Geräte durch Angriffe von außen zu schützen. Mit dem Einsatz betriebsfremder Smartphones und Laptops werden jedoch Netzwerke und alle darin befindlichen Geräte angreifbar. Sofern diese nicht auch entsprechend abgesichert sind.
"Von der Nutzung privater Geräte im beruflichen Kontext ist auf jeden Fall abzuraten. Zum einen wird Identitätsdiebstahl und das Einschleppen von Schadsoftware dadurch begünstigt. Zum anderen gewöhnt man sich an den leichtfertigen Umgang mit sensiblen Informationen", sagt Gilbert Wondracek, Senior Manager bei Deloitte Österreich.
BYOD bringt Unternehmen auf den ersten Blick eine Kostenersparnis. Mitarbeiter müssen nicht mehr mit Firmenhandy und -Laptop ausgestattet werden, sondern bringen ihre Hardware selbst mit. Mitarbeiter schätzen wiederum, dass sie nicht mehrere Geräte mit sich herumtragen müssen. Auch das Umsteigen auf ein unbekanntes Gerät oder Betriebssystem fällt damit weg. Ein Gewinn für beide Seiten.
Firmen unterschätzen dabei aber die Gefahrenquellen im eigenen Unternehmen durch Mitarbeiter oder ehemalige Beschäftigte. Nur elf Prozent der Befragten gaben an, dass sie Angriffe durch ehemalige Mitarbeiter befürchten. Die auf dem privaten abgespeicherten Firmendaten, werden nahezu gar nicht von den befragten Unternehmen als mögliche Gefahr gewertet. "Wir beobachten deutlich häufiger Informationsmitnahmen durch Mitarbeiter oder Racheaktionen von ehemaligen Kollegen. Offensichtlich wird dieses Risikopotenzial noch massiv unterschätzt", erklärt Wondracek. Vielmehr werden Angriffe durch individuelle Einzeltäter oder durch den Mitbewerb befürchtet.
IT-Betriebsvereinbarungen unabdingbar
Dabei ist es durchaus möglich, private Geräte sicher in das Firmennetzwerk einzugliedern. Dabei bedarf es aber auch klaren Regeln, wie private und berufliche Daten sauber getrennt werden. Hier gibt es bereits von führenden Sicherheitsanbietern wie Cisco und Sophos entsprechende Software-Anwendungen, die auf einem Gerät installiert werden können. Auch einige Smartphone-Hersteller haben auf den Trend BYOD reagiert und bieten entsprechende Apps an, um die Daten geschützt in einem virtuellen Safe aufzubewahren. Samsung Knox ist ein solcher Sicherheitscontainer. Mit PIN, Passwort oder biometrischer Authentifizierung kann der Anwender schnell vom persönlichen in den geschäftlichen Arbeitsbereich wechseln.
Außerdem kann mit einer Betriebsvereinbarung vorab festgehalten werden, wie in einem Fall einer Kündigung mit den Daten auf den privaten Geräten des Mitarbeiters umgegangen wird. Die Wirtschaftskammer empfiehlt zudem auch, zu klären, wer für einen etwaigen Schadem am Gerät verantwortlich ist und was passiert, wenn doch eine Schadsoftware in den Betrieb eingeschleust wird.