Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein IT-Grundschutz-Überblickspapier zum Thema Consumerisation und BYOD (Bring Your Own Device) veröffentlicht. Consumerisation und BYOD bringen für Unternehmen und deren Mitarbeiter eine Reihe von Vorteilen mit sich, führen jedoch auch zu großen Herausforderungen für die Informationssicherheit und den Datenschutz. Das BSI-Überblickspapier gibt hierzu eine Reihe von konkreten Hinweisen, Best Practices und Handlungsempfehlungen, die auch für Bildungseinrichtungen interessant sind.

Der Begriff "Consumerisation" beschreibt die Entwicklung, dass immer mehr IT-Systeme, Anwendungen und Dienste, die ursprünglich für die Nutzung im privaten Umfeld entwickelt wurden, auch im beruflichen Bereich zum Einsatz kommen. Die Grenze zwischen beruflicher und privater Nutzung von IT löst sich damit immer mehr auf. Hinzu kommen Strategien von Unternehmen und Institutionen, ihre Mitarbeiter zur dienstlichen Nutzung privater technischer Geräte zu ermutigen oder sogar finanzielle Anreize hierfür zu schaffen. Dieser Trend ist unter dem Begriff "Bring Your Own Device" bekannt geworden.

Bedienungskomfort versus Sicherheit?

Eine der größten Herausforderungen für die Informationssicherheit durch Consumer-Geräte besteht darin, dass die Grenzen des Informationsverbundes des Unternehmen durchlöchert oder aufgelöst werden. So werden beispielsweise schützenswerte Daten auf Geräten verarbeitet, die nicht so gut abgesichert werden können wie Arbeitsplatzrechner. Zudem befinden sich mobile Endgeräte häufig außerhalb der geschützten IT-Umgebung der Institution. Werden in einem Informationsverbund viele verschiedene Geräte eingesetzt, lassen sich zudem nicht alle im Unternehmen geltenden Sicherheitsanforderungen auf allen Geräten in gleicher Weise umsetzen. Beispielsweise unterstützen nicht alle Modelle eine vollständige Geräteverschlüsselung oder lassen differenzierte Rechtevergaben zu. Dadurch kann es zu unterschiedlichen Sicherheitsniveaus auf Geräten kommen, die eigentlich für vergleichbare Aufgaben benutzt werden sollen.

Die meisten mobilen Geräte sind zudem eher auf Design und einfache Bedienung optimiert, während die Konfigurationsmöglichkeiten und die vorhandenen Sicherheitsfunktionen nicht dem Stand der Technik von anderen Geräten entsprechen, die im professionellen Umfeld eingesetzt werden. Oft lassen sich dadurch Sicherheitsvorgaben der Institution nicht oder nur teilweise umsetzen.

Entscheidung über Consumerisation-Strategie ist Chefsache

Angesichts dieser Herausforderungen empfiehlt das BSI, Consumerisation und BYOD unter strategischen Gesichtspunkten auf Leitungsebene zu diskutieren und zu entscheiden, ob und inwieweit sie sinnvoll gestaltet und umgesetzt werden können. Technische Sicherheitsmaßnahmen alleine reichen nicht aus, ebenso wichtig sind organisatorische Maßnahmen, die im Einklang mit der Gesamtstrategie der Institution stehen. Dabei sollte im Blick behalten werden, ob die Geschäftsprozesse und deren Schutzbedarf es zulassen, dass sich die zugehörigen Informationen mit Consumer-Geräten sicher, rechtskonform, wirtschaftlich und einfach handhabbar verarbeiten lassen.

zurück zur Übersicht