Mobile Geräte im Unternehmen - Risiken der verschwindenden Privatsphäre

Mobile Geräte im Unternehmen

Risiken der verschwindenden Privatsphäre

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 20 Minuten

Die Grenzen zwischen Arbeitsumfeld und Privatsphäre scheinen zunehmend zu verschwimmen. Die strikte Trennung von privatem, geschäftlichem und sogar einem öffentlichen Leben kann kaum aufrecht erhalten werden. Diese Tendenz hat Konsequenzen.

Durch die zunehmende Präsenz und den Einzug Smartphones, Tablets, Net- und Notebooks und anderer Smartdevices im Alltag werden Menschen verstärkt dazu verführt, ihre privaten Geräte häufiger auch zu geschäftlichen Zwecke zu nutzen. Daher wird oft von IT-Consumerization gesprochen. Mit dem Einsatz solcher privater mobiler Endgeräten und Gadgets im Geschäftsumfeld, mit reinem Anspruch auf solide Sicherheit, kann es unbewusst oder vorsätzlich zu Risiken im Zusammenhang mit der Vertraulichkeit der Geschäftstätigkeit, wie auch umgekehrt zu Vorfällen, die den Schutz der eigenen Privatsphäre gefährden, kommen. Zudem können Mitarbeitende unter Umstände gegen geltende Unternehmensregeln und den Datenschutz im Unternehmen verstossen.

Die hauptsächlichen Motive für die allgegenwärtige Nutzung privater, mobiler Endgeräte durch die Mitarbeitenden sind in den Aspekten der Bequemlichkeit, des Bedienkomforts, der Mobilität und Flexibilität wie auch der Produktivität sowie Convenience and Commodity (zum Beispiel auch beim Arbeiten ausserhalb des Büros) zu finden. Und natürlich auch, weil vor allem eine jüngere Generation heute erwartet, dass das Equipment und die Technologie sich dort befindet, wo sie selbst sind. Undenkbar, dass heute noch jemand bis Arbeitsschluss wartet, um die vielen Funktionalitäten seines Smartphones oder Tablets und anderer Gadgets zu nutzen.

Doch: Wann ist überhaupt Arbeitsschluss, wenn die Trennung zwischen Arbeitszeit und Privatleben aufgelöst ist? Ohne sich zeitlich einzugrenzen gilt also, was im Privatleben Vorteile, Effizienz, Mobilität, Spass und Zerstreuung bringt, soll nun auch im Geschäftsumfeld angeblich Nutzen stiften?

Trotz vieler augenscheinlicher Vorzüge, kann die Invasion privater mobiler Devices im Geschäftsumfeld problematisch sein, weil diese Consumer Devices eigentlich nicht für den Einsatz in einem sicheren Unternehmensumfeld gemacht sind. Oft fehlen elementare Sicherheitsvorkehrungen wie Zugriffsschutz, Verschlüsselung oder Virenschutz. Zudem verfügen diese Geräte über offene, ungesicherte Schnittstellen zu Social-Media-Providern wie auch öffentlichen Cloud- und Collaboration-Diensten und privaten E-Mail-Accounts. Des Weiteren sind auch die auf den Geräten genutzten Programme – Apps genannt – nicht für den geschäftlichen Einsatz geprüft. Gewisse Apps können Daten, die sich auf dem Gerät befinden, unbemerkt an Dritte schicken.

So entsteht ein unkontrollierbares Risiko, dass sensitive Geschäftsinformationen die geschützte Geschäftssphäre verlassen, publik werden und missbraucht werden könnten. Die Komplexität durch die Gerätevielfalt führt womöglich zu schwindender Standardisierung. Rechtsunsicherheit aufgrund fehlender Erfahrung kann kostspielige Verfahren verursachen. Darüber hinaus entstehen neue Angriffsvektoren und Szenarien, deren Ausmass schwer zu prognostizieren ist.

Paradigmenwechsel

Egal, von welchen Konzepten zur Einbindung privater Devices wir sprechen, im Wesentlichen handelt es sich bei den Sicherheitsproblemen immer um Variationen desselben Grundmotivs:

Um die Einflüsse dieser Verschmelzung – früher scharf getrennter Sphären – auf die Sicherheit besser zu verstehen, lohnt es sich einen Blick auf die technologische und gesellschaftliche Entwicklung zu richten.

Technologisch

Früher Heute
Einzelner Gerätetyp Mehrere Gerätetypen
Fixer, nicht mobiler Arbeitsplatz Mobiler Arbeitsplatz und Home Office
Zugriff auf LAN Mehrere Access Points wie LAN, WiFi, VPN, Mobiler Datenverkehr, EDGE, GPRS, UMTS und LTE
Vom Unternehmen zur Verfügung gestellt Mix aus BYOD, COPE, CYOD und vom Unternehmen zur Verfügung gestellt
Vom Unternehmen entwickelte Lösungen, die lokal sind Software as a Service (SaaS), sowohl lokal wie auch remote

Gesellschaftlich und Kulturell

Spannungsfeld mobile Geräte im Unternehmen

Unternehmen   Mitarbeiter / User
Will ein attraktiver Arbeitgeber sein   Will die neuesten Geräte: Eigene oder die der Firma
Möchte die Mobilität (Flexibilität) der Belegschaft erhöhen.   Möchte mobil von verschiedenen Standorten aus arbeiten (Büro, zu Hause, unterwegs)
Berücksichtigt Risiken der mobilen Technologie   Will zeitlich flexibel arbeiten (Jederzeit)
Sucht kostengünstige Lösungen (TCO)   Möchte schnell, mobilen Zugriff auf Unternehmensdaten, Ressourcen
Geschäfts-Notwendigkeit unterscheidet Benutzer Gruppen   Gleichen Zugang unabhängig von Gerät und Ort verwendet (Kohärenz)
Sucht eine Lösung für geschäftliche Zwecke nicht unbedingt kompatibel zu den privaten Anwendungsfälle der Mitarbeitenden   Kosteneffizient (aus persönlicher Perspektive, bei selbst bezahltem Gerät)
  Einflussfaktoren auf die Verwendung von mobilen Geräten im Unternehmen  
Technologie   Compliance, Gesetze und Regulations
Hohes Innovationstempo   Verschärfte Gesetze und Regularien
Hoher Innovationsrhythmus   Neue Standards und Best Practices (Cybersecurity)
Innovation tritt in Wellen auf   Erhöhte Awareness (Cybercrime etc. in den Medien, sensitive Daten, Persönliche Daten)
Wird von den Mitarbeitenden in der Regel viel früher aufgenommen / adaptiert als von Unternehmen   Datenschutzgesetz
Regulatoren aller Art (Beispiel: FINMA bei Banken etc)

Anforderungen an die Sicherheit

Ein effizientes Ausgestalten von geeigneten Sicherheitsmassnahmen muss daher viel weiter gehen als lediglich über die Abstimmung naheliegender Technoglogiebereiche wie unter anderem Versionierung von Betriebssystemen und Apps, Support, Device Management, öffentlichen wie auch privaten Netzwerken, Virtualisierung. Sie erfordert eine umfassende Einbeziehung von technischen, rechtlichen, konzeptionellen und gesellschaftlich-kulturellen Aspekten.

Es bedarf auch eines Abgleiches mit bestehenden Regulierungen, Gesetzen, Standards und einer Überprüfung der bestehenden Risikomanagement-Strategie.

Was dabei keinesfalls vergessen werden darf ist die Tatsache, dass auch die Privatsphäre der Mitarbeitenden angemessen geschützt werden muss. Da hier leicht Kollateralschäden entstehen können, das heisst dass durch die falsche Handhabung persönlicher Mitarbeiterdaten und die Verletzung deren Privatsphäre, durchaus auch nicht zu unterschätzende Reputationsverluste für das Unternehmen resultieren können, indem zum Beispiel eine Verletzung der Privatsphäre von Mitarbeitern öffentlich wird.

In diesem Zusammenhang, darf auch erwähnt werden, dass die beabsichtigte erhöhte Erreichbarkeit auch nach Verlassen des Arbeitsortes, welche scheinbar grosse Vorteile der Flexibilität und Mobilität verspricht, auch zu Verletzungen der Mitarbeiterrechte führen kann. Dies, weil es zu Anfragen, Aktivitäten und geschäftlichen Aktionen ausserhalb der geregelten Arbeitszeit kommt, und diese wiederum Konsequenzen auf existierende Arbeitszeitregelungen haben. Diese erhöhte Erreichbarkeit, wird oft und zunehmend als unangenehmer Stressfaktor wahrgenommen.

Pragmatischer Ansatz für das Design von Massnahmen im Unternehmen

Ein Ansatz für die Auslegung von Sicherheitsmassnahmen besteht in der Kategorisierung der Mitarbeitenden auf der Grundlage der Sensitivität des Datenzugriffs, den sie mittels ihres mobilen Geräts erhalten.

Darauf aufbauend kann ein Set an allgemeinen Massnahmen definiert werden, welche generisch für beide Kategorien gelten.

Für die spezifischeren Schutzmassnahmen der beiden oben definierten Usertypen kann hier weiter unterschieden werden, ob den entsprechenden Mitarbeitenden nur Data read-only Access oder Data Storage auf ihren mobilen Geräten erlaubt wird:

Je nachdem kommen Kontrollen mit unterschiedlicher Ausprägung des Schutz-Levels zum Tragen. Hier führe ich wegen des Umfangs der Themen nur einige Aspekte als Denkanstösse auf, die unbedingt berücksichtigt werden müssen. Die Liste ist keinesfalls vollständig:

Auch hier muss wieder klar geregelt werden, wie die Privatsphäre der Mitarbeitenden geschützt wird, wenn bei Supportfällen eine IT Abteilung Zugriff auf das mobile Gerät und somit auch auf private bzw. persönliche Daten erhält.

Exkurs: Risikobasierter Ansatz

Für die Risikomanagementstrategie sollte auch eine Methode erörtert werden, wie Risiken bezüglich des Einsatzes mobiler Geräte umgesetzt werden kann. Hier eignet sich das Vorgehen über eine Risikomatrix, bei der auf der einen Seite die Expositionskriterien (mögliche Implikationen und Schwachstellen), so den Datenanforderungen gegenübergestellt werden, dass daraus ein potentielles Risiko resultiert.

Eintretenswahrscheinlichkeit

Rudimentäre und generelle Anforderungen des Unternehmens lassen sich in zwei kurze und beliebig erweiterbare Fragekataloge aufteilen, die je einen Indikator für die Eintretenswahrscheinlichkeit darstellen. Daher sind die folgenden Tabellen ein Grundgerüst und keinesfalls abschliessend.

Eigenschaften Gerät und Funktionsweisen
Gerät im Privatbesitz Ja Nein
Offline-Speicherung Ja Nein
Remote Access Ja Nein
Verschlüsselung Ja Nein
Andere (z.B. Cross Border) Ja Nein
Zugang durch Dritte
Wahrscheinlichkeit Diebstahl Hoch Mittel Niedrig
Wahrscheinlichkeit Verlust Hoch Mittel Niedrig
Wahrscheinlichkeit Malware Hoch Mittel Niedrig

Daraus lässt sich die Eintrittswahrscheinlichkeit feststellen.

Festgestellte Eintretenswahrscheinlichkeit Hoch

Möglicher Schaden

Weiter lässt sich der mögliche Schaden der Informationen auf dem Gerät feststellen.

Klassifikation möglicher Schaden
Vertraulichkeit Öffentlich Intern Vertraulich Geheim
Data Records Keine Eine Einige Viele
Rufschädigung Keine Niedrig Mittel Hoch
Confidentiality Keine Niedrig Mittel Hoch
Integrity Keine Niedrig Mittel Hoch
Availability Keine Niedrig Mittel Hoch
Andere (z.B. CID) Keine Niedrig Mittel Hoch

Daraus können wir das Risiko des möglichen Schaden feststellen.

Festgestellter möglicher Schaden Mittel

Wenn die Eintretenswahrscheinlichkeit dem möglichen Schaden gegenübergestellt wird, können wir das in einer Matrix zur endgültigen Bestimmung der Risikoklasse visualisieren.

  Möglicher Schaden
Keiner Niedrig Mittel Hoch
Eintretenswahrscheinlichkeit Hoch      
Mittel        
Niedrig        
Keines        

Fazit

Aus Sicht eines Unternehmens können theoretisch alle Mitarbeitenden mit ihren privaten mobilen Devices erhebliche Schäden an der IT-Umgebung und den sensitiven Daten (Geschäfts-, Kunden-, persönliche und personenbezogene Daten) eines Unternehmens verursachen. Und wie wir wissen ist das auch schon oft geschehen. Dieser Entwicklung sorglos zu begegnen, führt zu tiefgreifenden Konsequenzen.

Um dem Einzug des Privaten in die Arbeitswelt und des Geschäftlichen in die Privatsphäre Positives abzugewinnen, bedarf es einer umfassenden Berücksichtigung nicht nur technischer Aspekte, sondern auch rechtlicher, kultureller und gesellschaftlicher Aspekte und Tendenzen. Und natürlich einer intelligenten Balance zwischen Freiheiten der Mitarbeitenden beim Einsatz ihrer mobilen Devices im Unternehmenskontext und Einschränkungen zum Schutz des Geschäftlichen und Privaten.

Aus Sicht der Mitarbeitenden erscheint die Verschmelzung von Privat- und Arbeitssphäre auf den ersten Blick voller Vorzüge, da es den Anschein einer Erweiterung des privaten Raums mit grossen Freiheiten erweckt. Nun erweist sich aber, dass auch das Gegenteil der Fall sein kann. Denn in einer globalisierten, grösstenteils digitalisierten Wirtschaft, wo die Grenzen zwischen Privat und Geschäft verschwimmen, sind persönliche oder personenbezogene Daten eine bedeutende Ressource und fruchtbares Fundament extrem lukrativer Geschäfte. Umso mehr sollten Mitarbeitende darauf bedacht sein und sensibilisiert werden, ihre privaten Angelegenheiten auch privat zu halten. Leider zeigt der Trend in die entgegengesetzte Richtung.

Wie wir aus den Medien entnehmen können, akzentuieren sich die Probleme beim Datenschutz und dem Schutz der Privatsphäre, während sich gleichzeitig die Hoffnungen auf schnelle, einfache Lösungen technischer, gesellschaftlicher oder juristischer Art wie Privacy by Design verflüchtigen. Und obwohl überall Diskussionen sowohl über die von Geheimdiensten praktizierte Massenüberwachung, als auch über den Datenschutz und über die Verwischung der Grenzen zwischen öffentlichem, geschäftlichem und privatem Leben geführt wird, fühlen sich viele durch diese Probleme nicht persönlich betroffen.

Diese leichtsinnige Indifferenz bezüglich der eigenen Privatsphäre, erscheint mir in hohem Masse problematisch.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Werden auch Ihre Daten im Darknet gehandelt?

Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!

×
Mensch und KI

Mensch und KI

Marisa Tschopp

Fahrzeugforensik

Fahrzeugforensik

Michèle Trebo

Ist die Geschäftskontinuität nicht Teil der Sicherheit?

Ist die Geschäftskontinuität nicht Teil der Sicherheit?

Andrea Covello

Gefangen im Netz

Gefangen im Netz

Michèle Trebo

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv