Sie sind hier: Home » Markt » Hintergrund

Unternehmenssicherheit "Post-BYOD"

Compliance-Probleme: Persönliche Geräte, die keiner Ausgangskontrolle unterliegen, erhöhen die Nichtkonformität mit Datenschutzgesetzen
BYOD ist für Angestellte zwar bequem, kann für IT-Organisationen jedoch zum Alptraum werden

Von Sandeep Kumar, Principal Solution Marketing Manager bei ForeScout

(26.11.14) - Bring Your Own Device (BYOD) hat sich in Unternehmen vom "Nice-to-Have" zum "Must Have" entwickelt. Gartner prognostizierte, dass die Hälfte der Arbeitgeber bis 2017 von Mitarbeitern verlangen wird, ihre persönlichen Geräte für Arbeitszwecke zu nutzen. Tatsächlich hat VMware 2012 von seinen 6.000 Angestellten verlangt, dass diese ihre eigenen Smartphones für die Arbeit nutzen müssen.

Ein Sprung in die heutige Zeit zeigt, dass BYOD völlig gang und gäbe ist. So hat der Staat Kalifornien mittlerweile gesetzlich geregelt, dass Arbeitgeber ihren Angestellten einen Teil ihrer persönlichen Telefonrechnungen erstatten müssen, weil sie deren Nutzung für die Arbeit verlangt hatten.

BYOD ist für Angestellte zwar bequem, kann für IT-Organisationen jedoch zum Alptraum werden. Der Datentransfer mittels verschiedener Geräte – unternehmenseigener wie mitarbeitereigener – stellt ein höheres Sicherheitsrisiko für das Unternehmensnetzwerk dar. Sensible Daten können durch Lecks an die Öffentlichkeit geraten. Die Zahl der potentiellen Gefahren erhöht sich, da mitarbeitereigene Mobilgeräte oft außerhalb der Kontrolle der internen IT-Abteilungen laufen. Wenn diese Geräte die Sicherheitskontrollen, die für andere unternehmenseigene Geräte gelten, umgehen, können sie potentiell Malware in das Unternehmensnetzwerk einschleusen.

Persönliche Geräte, die keiner Ausgangskontrolle unterliegen, erhöhen die Nichtkonformität mit Datenschutzgesetzen. Interessant ist die Tatsache, dass eine jüngere Gartner-Studie schätzte, dass ein Viertel der befragten BYOD-Nutzer bei der Arbeit ein Sicherheitsproblem mit ihren persönlichen Mobilgeräten hatten, doch nur 27 Prozent dieser Opfer einen Vorfall meldeten.

Es gibt jedoch Wege, die Kontrolle innerhalb des Unternehmensnetzwerks zu behalten und gleichzeitig BYOD einzuführen. Von höchster Wichtigkeit ist dabei, die volle Sichtbarkeit des Netzwerkes zu erlangen, denn wie Ken Pfeil von Pioneer Investments so schön sagte: "Man kann nicht verwalten, was man nicht sieht, und das birgt Gefahren."

Es muss also gewährleistet sein, bei der Einführung eines BYOD-Programms gleichzeitig die Sicherheit zu wahren. (ForeScout: ra)

ForeScout: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Hintergrund

Wahrung der Compliance im Blick
Zwei Gesetzesvorgaben drängen derzeit die Chefetagen, sich mit dem Thema Verschlüsselung zu beschäftigen. Die europäische Datenschutz-Grundverordnung (EU DSGVO) trat am 25. Mai 2018 in Kraft und stärkt die Datenschutzrechte von Privatpersonen. Die Verschlüsselung personenbezogener Daten ist durch sie EU-weit gesetzliche Pflicht geworden. Empfindliche Bußgelder, gepaart mit der hohen Chance, dass Verstöße gegen die EU DSGVO tatsächlich auffallen, sorgen dafür, dass Unternehmen sich zunehmend um die Wahrung ihrer Compliance sorgen. Bereits 2016, zwei Jahre vor Inkrafttreten der EU DSGVO, wurde die Know-how-Schutz-Richtlinie der Europäischen Union zur Förderung der Binnenwirtschaft veröffentlicht. Ihr Ziel ist es, im EU-Raum einheitliche Schutzregeln für Geschäftsgeheimnisse zu schaffen. In Deutschland wurden die Vorgaben am 21. März 2019 im Geschäftsgeheimnisgesetz (GeschGehG) als neues Stammgesetz verabschiedet. Jetzt müssen Geschäftsgeheimnisse, um rechtlich als solche zu gelten, nachweisbar von den Unternehmen geschützt werden. Wer sensible Daten unverschlüsselt versendet, bleibt ohne gesetzlichen Schutz, wenn Geschäftsgeheimnisse beim Datenversand abgefangen und von anderen genutzt werden.
Verwendung der personenbezogenen Daten
Im ersten Jahr der europäischen Datenschutzgrundverordnung (DSGVO) kehrte in die Unternehmen eine größere Datenhygiene ein. Sie waren gezwungen einen besseren Schutz und eine verantwortungsbewusstere Verwaltung der Daten europäischer Bürger zu gewährleisten. Um dies zu erreichen, mussten die Unternehmen den Überblick über die Vorhaltung von Datenbeständen erhalten, die oft über mehrere verschiedene Abteilungen verstreut aufbewahrt wurden. Nur auf einer einheitlichen Datenbasis - die oftmals als Data dictionary oder data repository bezeichnet wird - konnte festgestellt werden, ob die Erlaubnis zur Verwendung der personenbezogenen Daten tatsächlich vorliegt.
Zu wenig Klarheit im Umgang mit der DSGVO
Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit haben die Datenschutzkonferenz von Bund und Ländern (DSK) und der Europäische Datenschutzausschuss kontinuierlich neue Merkblätter und Orientierungshilfen veröffentlicht, die Unternehmen mehr Sicherheit geben sollen bei der Umsetzung der DSGVO. Doch von Rechtssicherheit für alle Unternehmen und einer einheitlichen Auslegung der Verordnung ist Europa noch weit entfernt. "Die Datenschutzbeauftragten in Deutschland und die Aufsichtsbehörden in ganz Europa fordern wir auf, diese Regeln einheitlich auszulegen, um Unternehmen vor bürokratischer Willkür zu schützen", sagt Alexander Rabe, Geschäftsführer des eco - Verbands der Internetwirtschaft e. V.
Beschleunigung der Gerichtsverfahren
Bayerns Justizminister Georg Eisenreich begrüßt die Eckpunkte zur Reform der Strafprozessordung (StPO), die das Bundeskabinett in Berlin beschlossen hat. Eisenreich: "Das ist auch ein großer Erfolg bayerischer Rechtspolitik. Viele der beschlossenen Eckpunkte fordern wir schon lange. Insbesondere die Maßnahmen zur Beschleunigung von Strafgerichtsverfahren, die Erweiterung der DNA-Analyse, die Befugnis zur Telekommunikationsüberwachung bei Verdacht auf Wohnungseinbruchdiebstahl und auch das Verbot der Gesichtsverhüllung vor Gericht." Bayern hatte sich bereits bei den Koalitionsverhandlungen bei diesen Themen durchgesetzt. Damals war es gelungen, die zentralen bayerischen Anliegen in den Koalitionsvertrag zu verhandeln.
DSGVO-konformer Umgang mit sensiblen Daten
Am 25. Mai 2019 jährt sich das Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, das erste Mal. Grund genug, Bilanz zu ziehen. Während sich im Vorfeld die Kritik an dem Gesetz häufte und in den Medien beispielsweise von Abmahnwellen die Rede war, blieben die Befürchtungen der Unternehmen diesbezüglich weitestgehend unbestätigt. "Doch auch ein Jahr nach Inkrafttreten gehört ein DSGVO-konformer Umgang mit sensiblen Daten noch immer nicht zum Alltag vieler Unternehmen", so Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG. Besonders wenn es um gesetzeskonforme Websites, sichere Passwörter oder die Nutzung von Diensthandys geht, besteht weiterhin Handlungsbedarf. "Unternehmen sehen nicht immer den Sinn der DSGVO, sondern lediglich einen größeren Arbeitsaufwand. Aber immerhin schließen wir auch die Tür ab, wenn wir das Haus verlassen, obwohl dies einen zusätzlichen Aufwand bedeutet", betont Hösel.

Google und alternative Suchmaschinen TTIP: Bestehende Sorgen & Ängste offen ansprechen

Fachartikel

Umsetzung in nationales Recht: FATCA wird konkret
Die iBS - Innovative Banking Solutions AG kommentiert das zwischen den USA und den fünf größten EU-Staaten getroffene zwischenstaatliche Musterabkommen zur Verbesserung der Steuerehrlichkeit und Umsetzung des Foreign Account Tax Compliance Act (FATCA). Vor dem Hintergrund der US-amerikanischen Bestrebungen, FATCA international durchzusetzen, haben sich die USA und die fünf großen europäischen Volkswirtschaften Deutschland, Frankreich, Großbritannien, Italien und Spanien auf ein Musterabkommen zur bilateralen Bekämpfung von Steuerhinterziehung verständigt. Die Zusammenarbeit hatten die Staaten im Februar 2012 angekündigt.
Compliance im Außenhandel
Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.