E-Mail-Sicherheit

    Das BYOD-Modell hat sich geändert - und damit auch die BYOD-Sicherheit

    Mit der Zunahme der Fernarbeit hängt die Sicherheit von BYOD mehr denn je von einer Kombination aus Technologie, Richtlinien und Schulungen zur Sensibilisierung der Endbenutzer ab.

    GettyImages-497259737-1200px.jpg

    Wichtige Punkte

    • Die Ausweitung von BYOD durch Telearbeit hat die Angriffsfläche für Unternehmen vergrößert.
    • Es ist schwierig, benutzereigene Geräte zu sichern, da sie eine besondere Herausforderung darstellen.
    • E-Mail ist eine der am häufigsten genutzten Anwendungen auf privaten Geräten - und das größte Ziel für Cyberangreifer.

    Der Begriff BYOD (Bring your own device") wurde vor etwa zehn Jahren zum ersten Mal verwendet, um die Nutzung privater Computergeräte für berufliche Zwecke zu beschreiben. Im Zuge einer weltweiten Pandemie, die die Unternehmen zu einem abrupten Wechsel zu einem Modell der Telearbeit gezwungen hat, bringen heute mehr Menschen als je zuvor ihre eigenen Geräte "mit".

    BYOD war zunächst eine Neuheit - eine der ersten Formen der Schatten-IT. Mit der zunehmenden Anzahl, Nutzung und Nützlichkeit persönlicher Computergeräte - insbesondere von Smartphones - wurde auch das BYOD-Modell ausgeweitet. Es dauerte nicht lange, bis einige Unternehmen diesen Trend nicht nur akzeptierten, sondern sogar begrüßten: Das BYOD-Modell kann die Investitionskosten senken, und in vielen Fällen sind die persönlichen Geräte der Mitarbeiter leistungsfähiger und aktueller als das, was Unternehmen anbieten können. In jüngster Zeit ermöglichte die Möglichkeit, dass Mitarbeiter ihre eigenen Geräte nutzen können, den Unternehmen eine schnelle Umstellung auf ein Modell der Arbeit von zu Hause aus - und in vielen Fällen den Fortbestand des Unternehmens, insbesondere in den ersten Tagen der Pandemie.

    Die Ausweitung von BYOD hat jedoch auch die Angriffsfläche für Unternehmen vergrößert, und das BYOD-Modell bringt eine Reihe von einzigartigen Sicherheitsherausforderungen mit sich.

    BYOD-Sicherheitsherausforderungen

    Laut dem "2022 Verizon Data Breach Investigations Report" sind die Hauptwege, auf denen Unternehmen dem Internet ausgesetzt sind, dieselben, auf denen sie auch angegriffen werden. Diese Schwachstellen nehmen aufgrund von Fehlkonfiguration und Missbrauch der Technologie an Größe und Umfang zu.[1]

    Und genau das ist das Problem mit Geräten, die den Mitarbeitern gehören: Sie können nicht in dem Maße kontrolliert werden, wie dies bei unternehmenseigenen Geräten der Fall ist. "Die Einführung von BYOD-Funktionen im Unternehmen birgt neue Risiken für die Cybersicherheit", heißt es im Bericht "Mobile Device Security: Bring Your Own Device"-Bericht des U.S. National Institute of Standards and Technology's National Cybersecurity Center of Excellence.[2]

    Der Bericht fügt hinzu, dass es schwierig sein kann, benutzereigene Geräte zu sichern, da BYOD-Einsätze besondere Risiken mit sich bringen. Laut dem Bericht "Device Security Guidance" des britischen National Cyber Security Centre sehen sich Unternehmen mit mehreren BYOD-Sicherheitsproblemen konfrontiert, darunter:[3]

    • Sicherstellung, dass persönliche Geräte und deren Besitzer die Unternehmensrichtlinien und -verfahren einhalten
    • Zunehmende Unterstützung für eine breite Palette von Gerätetypen und Betriebssystemen
    • Schutz von Unternehmensdaten
    • Schutz der IT-Infrastruktur von Unternehmen
    • Schutz der persönlichen Daten des Endnutzers/Gerätebesitzers
    • Gewährleistung der Einhaltung der Rechtsvorschriften und der Erfüllung vertraglicher Verpflichtungen

    Wie effektiv Unternehmen diese und andere Herausforderungen angehen, hängt laut dem Bericht von zwei Schlüsselfaktoren ab: wie gründlich das Gerät eines Benutzers verwaltet werden kann und wie gut Benutzerfreundlichkeit und Sicherheit ausbalanciert wurden.

    Die Wichtigkeit der BYOD-Sicherheit

    Wie wichtig ist BYOD-Sicherheit? Einfach ausgedrückt: BYOD-Sicherheit könnte nicht wichtiger sein, insbesondere wenn man bedenkt, welche Rolle Menschen (und ihre Geräte) bei Datenschutzverletzungen spielen. Laut dem Data Breach Investigations Report sind mehr als 80 % der Datenschutzverletzungen auf das menschliche Element zurückzuführen. "Ob gestohlene Zugangsdaten, Phishing, Missbrauch oder einfach nur ein Irrtum - Menschen spielen nach wie vor eine sehr große Rolle bei Vorfällen und Verstößen", heißt es in dem Bericht.

    Das National Cyber Security Centre empfiehlt Unternehmen sogar, die Unternehmensfunktionen, auf die von benutzereigenen Geräten zugegriffen werden kann, einzuschränken und je nach Bedarf und Risiko eine Untergruppe von Funktionen zu entwickeln.

    "Während BYOD für einige Unternehmensfunktionen genutzt werden kann, wird es mit ziemlicher Sicherheit Aspekte von Unternehmensdaten und -ressourcen geben, die in vollständig verwalteten Umgebungen aufbewahrt werden müssen", erklärt das Zentrum. "Sie sollten die Erwartungen aller Beteiligten steuern, da viele Arbeitnehmer nicht in der Lage sein werden, ihre Unternehmensumgebung auf einem privaten Gerät vollständig zu reproduzieren. Stattdessen können sie Zugang zu einer Untergruppe von Anwendungen und Ressourcen haben, deren Umfang von der Risikobereitschaft Ihres Unternehmens abhängt."

    Und diese Risikobereitschaft könnte angesichts der aktuellen Bedrohungslage schrumpfen. Laut dem Bericht State of Email Security 2022 (SOES 2022) von Mimecast scheint das vergangene Jahr das schlimmste Jahr in Sachen Cybersicherheit gewesen zu sein. Der größte Übeltäter war dem Bericht zufolge das Phishing. Sechsunddreißig Prozent der Datenschutzverletzungen waren zumindest teilweise darauf zurückzuführen, dass die Anmeldedaten von Mitarbeitern durch einen Phishing-Angriff gestohlen wurden, wobei fast 100 % dieser Angriffe per E-Mail erfolgten.

    Und mit der zunehmenden Nutzung von E-Mails aufgrund der Pandemie und der Verlagerung auf hybride Arbeitsformen (eine Verlagerung, die von Dauer zu sein scheint), sind Unternehmen anfälliger denn je.[4]

    Es gibt mehrere Produkte, die einzeln oder zusammen eingesetzt werden können, um die Geräte der Benutzer zu schützen, darunter Systeme zur Verwaltung mobiler Geräte und mobiler Anwendungen. Angesichts der erheblichen Risiken, die E-Mails darstellen, sollten Unternehmen auch sichere E-Mail-Systeme in Betracht ziehen, die ausgeklügelte E-Mail-basierte Angriffe abwehren können. E-Mail-Archivierungsdienste sind ebenfalls von entscheidender Bedeutung, da sie es Administratoren ermöglichen, Aufbewahrungsrichtlinien auf E-Mails anzuwenden, die über mobile Geräte gesendet werden.

    BYOD-Praktiken, die Unternehmen einführen sollten

    Der Bericht SOES 2022 stellt fest, dass in den letzten 12 Monaten die E-Mail-Nutzung in acht von 10 Unternehmen zugenommen hat. Gleichzeitig berichten 96 % der Unternehmen, dass sie schon einmal Ziel eines Phishing-Versuchs per E-Mail waren. Da E-Mail eine der am häufigsten genutzten Anwendungen auf privaten Geräten ist, insbesondere auf Smartphones, ist es wichtig, diese Punkte mit Produkten und Prozessen zu verbinden, die genau auf den Schutz der E-Mail-Systeme von Unternehmen ausgerichtet sind.

    Dies ist besonders wichtig, wenn man bedenkt, dass die Endnutzer die aktuellen Sicherheitsprobleme und Schutzmaßnahmen nicht kennen (oder nicht kennen). Als die Teilnehmer der Umfrage SOES 2022 gefragt wurden, was sie im kommenden Jahr als größte Sicherheitsherausforderung erwarten, nannten 40 % die Naivität der Mitarbeiter. Auf die Frage nach den schlimmsten Sicherheitsfehlern, die von den Mitarbeitern ihres Unternehmens begangen werden, nannten die Befragten vor allem mangelnde Passworthygiene, den Missbrauch von persönlichen E-Mails und die Verwendung von Tools für die Zusammenarbeit.

    Organisationen müssen jede einzelne dieser Schwachstellen angehen, und einige tun dies, indem sie einen Null-Vertrauens-Ansatz für die Sicherheit wählen (bis hin zur Bundesregierung, wie in der Executive Order der Biden-Administration zur Verbesserung der Cybersicherheit der Nation dargelegt).[5]

    Laut Gartner beschreibt Zero Trust "einen Ansatz, bei dem implizites Vertrauen aus der gesamten Computerinfrastruktur entfernt wird. Stattdessen werden die Vertrauensstufen explizit und kontinuierlich berechnet und angepasst, um den Zugriff auf Unternehmensressourcen just-in-time und just-enough zu ermöglichen." Gartner merkt an, dass es möglicherweise nicht möglich ist, eine vollständige Zero-Trust-Sicherheitshaltung zu erreichen, aber dass das Modell auf spezifische Initiativen angewendet werden kann.[6]

    Zero Trust könnte beispielsweise als BYOD-Best-Practice angewandt werden, um Unternehmen im Kampf gegen die zunehmende E-Mail-Bedrohung zu unterstützen. Mimecast weist darauf hin, dass "die Anwendung eines Null-Vertrauensmodells auf die E-Mail-Sicherheit besonders wichtig ist, da es dieses Vertrauen ist, das Hacker auszunutzen versuchen".

    Verschiebung der BYOD-Sicherheitsrisiken

    Die Risiken, die 2010 mit BYOD verbunden waren, unterscheiden sich stark von den Risiken, die 2022 mit BYOD verbunden sind. Die Organisationen konnten nie vorhersehen, wie sehr sich die Situation verändert hat, und sie können auch die Zukunft nicht vorhersehen.

    Während beispielsweise Cyberangriffe an Umfang, Anzahl und Raffinesse zugenommen haben, haben auch die Daten zugenommen - in Tausenden von Anwendungen und Cloud-Diensten. Es gibt kein einziges Produkt oder gar eine einzige Plattform, die die Sicherheit in einer derart komplexen Umgebung gewährleisten kann. Deshalb gehen einige Technologieanbieter Partnerschaften ein, um Best-of-Breed-Systeme zu Lösungen zu kombinieren, die einen durchgängigen Schutz bieten.

    Mimecast zum Beispiel arbeitet mit Netskope und Crowdstrike zusammen, um ein E-Mail-Gateway, einen Endpunktschutz bzw. ein sicheres Web-Gateway anzubieten, um einen stärkeren mehrschichtigen Schutz zu erreichen und die zusätzlichen Risiken der inhärenten Sicherheitsmonokultur einer Lösung eines einzelnen Anbieters zu vermeiden.

    Das größte BYOD-Risiko sind jedoch die Menschen, weshalb Schulungen zum Sicherheitsbewusstsein das Herzstück jeder BYOD-Sicherheitsrichtlinie oder jedes BYOD-Plans sein müssen.

    Der Bericht SOES 2022 stellt fest, dass zwar mehr als 90 % der Sicherheitsverletzungen auf menschliches Versagen zurückzuführen sind, die Schuld aber nicht unbedingt bei den Personen liegt, die diese Fehler begangen haben, da sie höchstwahrscheinlich nicht richtig auf einen Angriff vorbereitet waren. Dies gilt vor allem für Nutzer, die von zu Hause aus arbeiten, höchstwahrscheinlich auf ihren eigenen Geräten.

    Eine wirksame Sicherheitsschulung ist viel mehr als ein einmaliges Video, gefolgt von einem Test, um zu beweisen, dass die Schulung "abgeschlossen" wurde. Tatsächlich wird die Schulung zum Sicherheitsbewusstsein nie abgeschlossen. Unternehmen müssen ihren Mitarbeitern zielgerichtete, ansprechende und rechtzeitige Schulungen anbieten, um Risiken erfolgreich zu reduzieren. Mimecast weist darauf hin, dass eine wirksame Schulung des Sicherheitsbewusstseins der Endbenutzer sein muss:

    • Persistent
    • Regelmäßig in kleinen Dosen verabreicht
    • Zeitplan zur Anpassung an das Leben der Mitarbeiter
    • Positiv

    Wie man eine BYOD-Sicherheitsrichtlinie festlegt

    Da das "Mitbringen des eigenen Geräts" alltäglicher geworden ist, vor allem mit der Verlagerung der Arbeit ins Ausland im Jahr 2020, sind Nutzer und Unternehmen möglicherweise weniger streng mit den Sicherheitsmaßnahmen. In einer Studie des Ponemon Institute aus dem Jahr 2020, "Cybersecurity in the Remote Work Era: A Global Risk Report" gaben 67 % der Befragten an, dass BYOD die Sicherheitslage der Unternehmen verschlechtert hat.[7]

    Um der Zunahme von Phishing und der Kompromittierung von Geschäfts-E-Mails entgegenzuwirken, die mit der Zunahme von BYOD einhergehen, sollten Unternehmen in Erwägung ziehen, eine spezielle BYOD-Sicherheitsrichtlinie zu überarbeiten - oder von Grund auf neu zu entwickeln.

    BYOD-Sicherheitsrichtlinien unterscheiden sich je nach Unternehmensgröße, Branche und anderen Faktoren. So wäre beispielsweise eine BYOD-Sicherheitsrichtlinie für ein Unternehmen im Gesundheitswesen wahrscheinlich viel strenger als eine BYOD-Sicherheitsrichtlinie für ein Unternehmen, das beispielsweise im Bereich Marketing und Öffentlichkeitsarbeit tätig ist. Im Allgemeinen sollte Ihre BYOD-Sicherheitsrichtlinie jedoch:

    • Bestimmen Sie, welche Arten von benutzereigenen Geräten - und Betriebssystemen - unterstützt werden sollen. Berücksichtigen Sie sowohl offensichtliche Geräte wie Smartphones und Laptops als auch nicht so offensichtliche Geräte wie Smartwatches und VR-Headsets. Bei den Betriebssystemen sollten Sie angeben, welche Versionen das Unternehmen unterstützen wird.
    • Legen Sie fest, auf welche Unternehmensanwendungen und -ressourcen die Mitarbeiter von ihren privaten Geräten aus zugreifen dürfen und auf welche nicht.
    • Spezifizieren Sie die Sicherheitsanforderungen. In einer BYOD-Richtlinie sollte festgelegt werden, welche Sicherheitsvorkehrungen getroffen werden müssen, damit ein Gerät für den Zugriff auf Unternehmensnetzwerke, -anwendungen und -anlagen verwendet werden kann. Die Richtlinie könnte zum Beispiel vorschreiben, dass eine mehrstufige Authentifizierung implementiert oder die Verschlüsselung aktiviert werden muss.
    • Bestimmen Sie, inwieweit die IT-Abteilung benutzereigene Geräte verwalten und unterstützen kann, einschließlich der Frage, ob ein Gerät aus der Ferne gelöscht werden kann, wenn es verloren geht oder gestohlen wird.
    • Klärung der Eigentumsverhältnisse von Daten, die auf Geräten im Besitz von Mitarbeitern gespeichert sind, und der Frage, ob Mitarbeiter Unternehmensdaten auf Geräten im Privatbesitz speichern dürfen.
    • Festlegung des Verfahrens für den Umgang mit persönlichen Geräten, wenn der Besitzer des Geräts das Unternehmen verlässt.

    Die Quintessenz

    BYOD hat sich seit der Einführung des Modells verändert, vor allem durch die zunehmende Bedeutung der Telearbeit. Die Verwendung von privaten Geräten für die Arbeit ist für Unternehmen in vielerlei Hinsicht von Vorteil, erhöht aber auch das Sicherheitsrisiko. Unternehmen müssen bei der Entwicklung oder Verfeinerung ihrer Strategie zur Verringerung der BYOD-Risiken die Technologie, die Richtlinien und die laufende Schulung der Endbenutzer berücksichtigen.


    [1] "2022 Verizon Data Breach Investigations Report," Verizon

    [2] "Mobile Device Security: Bring Your Own Device," National Cybersecurity Center of Excellence, NIST

    [3] "Device Security Guidance," UK National Cyber Security Centre

    [4] "Staatliche und lokale Behörden wenden sich der Normalisierung des 'neuen Normalen' am Arbeitsplatz zu," GCN

    [5] "Executive Order on Improving the Nation's Cybersecurity," The White House

    [6] "Neu bei Zero Trust Security? Beginnen Sie hier," Gartner

    [7] "Cybersecurity in the Remote Work Era: Ein globaler Risikobericht," Ponemon Institute

     

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang