Schlagwort: BYOD

Risiko BYOD: über 90% der Organisationen im Gesundheitssektor von Datendiebstahl betroffen

23. Juni 2016

Laut einer Studie  des US-Konzerns Forcepoint wurden in den vergangen zwei Jahren 91 Prozent der Organisationen im Gesundheitssektor Opfer von Datendiebstahl.

Als größtes Risiko hat der Anbieter von Software-Lösungen zur IT-Sicherheit vor allem den Einsatz privater Endgeräte wie Smartphones in der betrieblichen IT-Umgebung ausgemacht.

So wäre es heute Praxis, dass zum Beispiel Ärzte sowohl im Rahmen der Forschung als auch der Patientenuntersuchung ungehinderten und räumlich unabhängigen Zugang zu elektronischen Patientenakten benötigen und dabei regelmäßig über ihre Privatgeräte auf Datenbanken zugreifen, Patientendaten versenden und empfangen.

In Deutschland herrscht nach Aussage der Studie noch weitgehende Unklarheit, welche Sicherheitsmaßnahmen in Bezug auf Patientendaten das sogenannte E-Health-Gesetz  künftig verlange. Den meisten Krankenhäusern attestiert das Unternehmen deutliche Missstände hinsichtlich Präventivmaßnahmen zu einer frühzeitigen Angriffserkennung und fehlenden Überblick über die im Betrieb eingesetzte „Schatten-IT“ durch den Einsatz privater Endgeräte.

Studie zu Nutzen und Risiken von BYOD

29. Oktober 2013

Eine von Samsung beauftragte Studie gibt interessante Einblicke über die Nutzung und Verwendung von BYOD (Bring Your Own Device). Hierzu wurden in acht europäischen Ländern IT-Leiter und Entscheidungsträger von Unternehmen mit mehr als 1000 Mitarbeitern befragt.

40 Prozent der Unternehmen geben an, dank BYOD ein höheres Engagement der Mitarbeiter zu verzeichnen, wie Heise Online schreibt. Auch wirtschaftlich und finanziell messbare Vorteile seien durch BYOD zu erreichen. Zum Beispiel könnten die Telefonkosten durch BYOD immens gesenkt werden.

Aber die mit BYOD einhergehenden Gefahren sind groß und die damit einhergehende Kritik reißt nicht ab. Besonders drastisch urteilt mobile-zeitgeist.com über die Verwendung von BYOD. BYOD sei tot, Programme zur Trennung von geschäftlichen und privaten Daten auf einem Gerät seien nicht praxistauglich oder weisen oft große Sicherheitslücken auf, heißt es dort. Mit keiner Technologie sei es möglich, die rechtlichen Hürden bei der Verwendung von BYOD zufriedenstellend zu bewältigen.  So geht auch aus der Studie weiter hervor, dass etwa 29 Prozent der deutschen Unternehmen mit mehr als 1000 Mitarbeitern, die BYOD verwenden, bereits geschäftliche Daten verloren haben. Besonders erstaunlich: Obwohl die Gefahren bekannt sind, haben nur rund 39 Prozent der an der Studie teilgenommenen Unternehmen aktuelle Richtlinien für einen sicheren und angemessenen Umgang mit BYOD.

Es wird erwartet, dass die Nutzung privater Endgeräte im geschäftlichen Bereich in den kommenden Jahren noch ansteigen wird. Die Studie macht auch deutlich, dass die Gefahren von BYOD noch viel zu oft unterschätzt werden. Sofern Unternehmen darauf achten, gute und sichere BYOD-Konzepte zu konzipieren und sinnvolle Richtlinien zu verwenden, können hieraus durchaus messbare Vorteile entstehen.

 

Vorsicht bei automatischer Passwortspeicherung im Rahmen von BYOD

23. Juli 2013

Bring Your Own Device erfreut sich immer größerer Beliebtheit – nicht mehr nur bei jüngeren Arbeitnehmern und Jung-Unternehmen. Praktischerweise wird es Mitarbeitern gestattet, dienstliche Arbeiten an ihren privaten Endgeräten wie Notebook, Tablet oder Smartphone durchzuführen. Hierzu haben die Anwender in der Regel diverse Zugriffe u.A. auf das Netzwerk ihrer Firma. Während die Unternehmen selbst viel Geld und Aufwand in den Schutz ihrer Firmen-Daten investieren, wird es Privatanwendern immer leichter gemacht, die Fülle ihrer Passwörter und Log-in-Daten zentral zu speichern. Allen voran auf Geräten von Apple und Google (Android) sind dergleichen Features sehr beliebt, liegt doch der rein praktische Nutzen aufgrund der Unüberschaubarkeit von Anmeldedaten und deren außerordentliche Präsenz auf dem IT-Markt auf der Hand.

Doch genau hier wird es problematisch: Speichert ein privater Anwender im Rahmen von BYOD Firmen-Passwörter oder Log-in-Daten bei Apple, Google & Co., ist nicht mehr unbedingt sichergestellt, was mit diesen Daten geschieht. Legt man nun die jüngsten Fälle von Datenweitergabe an die NSA zugrunde, woran auch Google beteiligt war, und hält man sich vor Augen, dass die NSA nicht nur im Rahmen von Terrorabwehr tätig ist, sondern auch schon mit Fällen der Wirtschaftsspionage in Verbindung gebracht wurde, erscheint das praktische zentrale Passwort-Speichern in einem völlig neuen Licht, so Heise.

Anwender wie auch Arbeitgeber, die ihren Mitarbeitern BYOD gestatten, sollten hier besonders achtsam sein. Das Rechenzentrum der Universität Passau beispielsweise erklärt in seinen Benutzerbedingungen ihren Anwendern ausdrücklich, dass die Weitergabe von Passwörtern an Dritte verboten sei. Das gelte laut Heise auch dann, wenn dies durch automatisches Speichern geschieht. Somit liegt die Hauptverantwortung beim Benutzer. Schließlich liegt es in seinem Verantwortungsbereich, entsprechende Einstellungen an seinem Endgerät vorzunehmen, und zwar bevor er bestimmte Anwendungen damit durchführt.

Doch wichtig ist nicht nur, Anwender auf etwaige Gefahren hinzuweisen und durch Policys mögliche Haftungsfragen im Vorfeld zwischen Arbeitgeber und Arbeitnehmer hin und her zu schieben, sondern ganz explizit Anwendungshilfen mit auf den Weg zu geben. Hier hilft es oft nicht, dass es ja der Anwender ist, der die Möglichkeit hat, die Einstellungen seines Gerätes selber anzupassen. Ein ausgewogenes Datensicherheitskonzept, BYOD-Programme, Seminare und Schulungen, aber auch spezielle Software kann hier bereits im Vorfeld dafür sorgen, dass es gar nicht erst zu Konflikten kommt.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,

Berliner Beauftragter für Datenschutz: Achtung bei „Bring your own device“

28. März 2013

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit Dix hat am gestrigen Tag seinen Tätigkeitsbericht für das Jahr 2012 vorgestellt. Neben den Schwepunktthemen Funkzellenabfrage, EU-Datenschutzgrundverordnung, vermeidbare Fehler von Unternehmen bei der Durchführung von Prüfungen und Weitergabe von Verordnungsdaten durch Apothekenrechenzentren wird dabei der datenschutzrechtlich problematische Trend des Einbindens privater Endgeräte des Arbeitnehmers am Arbeitsplatz („Bring your own device“) behandelt. Da sich diese Geräte meist dem IT-Management entzögen, mit dem der Arbeitgeber die eigenen informationstechnischen Geräte verwaltet und kontrolliert, seien technische und datenschutzrechtliche Gefahren gegeben, denen der Arbeitgeber mit einer Gesamtstrategie begegnen könne. So sollten beispielsweise schriftliche Vereinbarungen zur Regelung der rechtlichen und technischen Details getroffen werden, die u.a. Vorgaben enthalten, wer wann und in welcher Weise Zugriff auf Daten auf privaten Endgeräten haben kann, wie zwischen privaten und geschäftlichen Daten getrennt wird und wann eine Löschung von Daten erfolgt. Ferner sei es sinnvoll, Regelungen zur Arbeitszeit und zur Kostenverteilung zwischen Unternehmen und Arbeitnehmer für Gerät, Software und Nutzungsentgelte zu treffen. Aus technischer Sicht sollten Maßnahmen getroffen werden, die eine sichere Nutzung von mobilen Geräten (z.B. über eine Zwei-Faktoren-Authentifizierung, Bildschirrmsperren, VPN, Virenscanner) ermöglichen.

„Das Phänomen BYOD ist weiter zu beobachten. Bestimmte Probleme, Bedrohungen und Sicherheitsmaßnahmen sind bekannt, Lösungen bereits diskutiert und verfügbar. Durch die Kombination verschiedener technischer und rechtlicher Maßnahmen müssen die Risiken beherrscht werden, die durch die Nutzung privater Datenverarbeitungsgeräte im beruflichen Umfeld entstehen. Deshalb sollte BYOD in der öffentlichen Verwaltung weiterhin die Ausnahme bleiben.“, so Dix.

 

 

BayLfD: BYOD in Krankenhäusern

24. Januar 2013

Im Rahmen seines jüngst vorgestellten 25. Tätigkeitsberichtes hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) begrüßenswerterweise auch Stellung zu dem zweifelhaften Trend „Bring Your Own Device“ (BYOD) in Krankenhäusern bezogen. Mitarbeitern die Anbindung an das Unternehmensnetzwerk – insbesondere an das Krankenhausinformationssystem – mit privaten Endgeräten (z.B. Laptops, Smartphones, Tablet PCs) sowie die ortsungebundene Nutzung dieser privaten Geräte für dienstliche Zwecke zu gestatten, sei aus datenschutzrechtlichen Gründen unzulässig. Vorausgesetzt, ein externer Abruf von Patientendaten wäre erforderlich, müsste den betroffenen Mitarbeitern vielmehr ein Dienstgerät zur Verfügung gestellt werden. Bei privaten Geräten könne nicht hinreichend sichergestellt werden, dass ein Unbefugter keine Einsicht in die Daten der Krankenhauses nehmen kann. Durch den Abruf von Patientendaten von außen mittels privater Mitarbeitergeräte seien die mit einem Gewahrsam des Krankenhauses verbundenen ausschließlichen Verfügungs-, Einfluss- und Kontrollmöglichkeiten aus rechtlicher Sicht selbst dann nicht gegeben, wenn die Patientendaten nur einsehbar wären und eine Speicherung der Daten auf dem privaten Gerät tatsächlich technisch ausgeschlossen werden könnte.

BITKOM: Branchenbefragung zu „Bring Your Own Device“

10. Oktober 2012
Aus einer Branchenbefragung unter deutschen ITK-Unternehmen des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) geht hervor, dass fast die Hälfte der Unternehmen ihren Mitarbeitern gestatten, ihre privaten Geräte mit dem Firmennetzwerk zu verbinden (sog. Bring Your Own Device, BYOD). 60 Prozent dieser Unternehmen wiederum sollen dafür spezielle Regelungen implementiert haben. Die Branchenbefragung habe außerdem ergeben, dass sich 81 Prozent der Unternehmen, die BYOD zulassen, eine höhere Mitarbeiterzufriedenheit erhoffen. 74 Prozent wiederum sollen Effizienzsteigerungen erwarten, weil die Mitarbeiter mit ihren Geräten vertraut sind. Rund 40 Prozent wünschen sich aufgrund der Gestattung von BYOD als moderner Arbeitgeber wahrgenommen zu werden.
Jedes zweite befragte Unternehmen (53 Prozent) soll hingegen private Endgeräte am Arbeitsplatz nach wie vor ablehnen, u.a. weil man erhöhten Wartungsaufwand und Sicherheitsprobleme befürchtet.
„Bevor Unternehmen ihren Mitarbeitern die Nutzung privater Geräte am Arbeitsplatz erlauben, sollten sie klare Regeln aufstellen – insbesondere zur Datensicherung und dem Verhalten bei Verlust des Geräts“, so Herbert Merz vom BITKOM-Präsidium. Mit einem sogenannten Mobile Device Management (MDM) sei es Unternehmen möglich, zentral Mobilgeräte verwalten. Somit könne der Administrationsaufwand deutlich verringert werden, indem etwa Sicherheits-Updates zentral verteilt und Backups angelegt werden. Jedenfalls sollten sich Arbeitgeber mit der Nutzung privater Endgeräte am Arbeitsplatz „aktiv auseinandersetzen“.

App-Berechtigungen unter Android kontrollieren

9. Juli 2012

Die vergangene Woche vorgestellte App „SRT AppGuard“ ermöglicht Android-Nutzern, die Berechtigungen der installierten Apps zu kontrollieren. Das Programm stammt von der Firma Backes SRT, einem Universitäts-Spin-Off initiiert von Prof. Dr. Michael Backes. Die App ist kostenlos herunterladbar, jedoch in Googles Play-Store derzeit nicht verfügbar. Die Anbieter haben die App auf ihrer Webseite  zum Download bereitgestellt.

Android ist von Hause aus nur darauf ausgelegt, den Nutzer über die Berechtigungen von Apps zu informieren – eine Chance, einzelne teils sehr weitgehende Berechtigungen bei der Installation abzulehnen, besteht nicht. Lässt sich beispielsweise eine Wecker-App die Berechtigung zum Lesen der Kontaktdaten sowie vollständigen Internetzugriff einräumen, müsste man entweder auf die gesamte App verzichten oder hinnehmen, dass das Adressbuch den Weg ins Internet finden könnte. Eine Möglichkeit zur Kontrolle besteht nur auf solchen Smartphones, bei denen unter Verlust der Herstellergarantie der Root-Zugriff freigeschaltet wurde.

Die App „SRT AppGuard“ kommt jedoch ganz ohne Root-Zugriff aus: Sie errichtet keine Blockade oder Firewall auf Systemebene, sondern entzieht jeder App einzeln ihre Berechtigungen. In drei Schritten wird die App zunächst deinstalliert, dann modifiziert und schließlich wieder installiert. Anschließend hat man über „SRT AppGuard“ die Wahl, Berechtigungen bestehen zu lassen oder gezielt zu deaktivieren. Auch der Internetzugriff lässt sich so vollständig abschalten oder auf einzelne erlaubte Adressen beschränken.

„SRT AppGuard“ vermag auf diesem Weg beim Schutz der eigenen persönlichen Daten wie auch der unternehmensbezogenen Daten auf privaten Geräten im dienstlichen Einsatz  – Stichwort BYOD („Bring Your Own Device“) – zu helfen.