Bundesamt für Sicherheit in der Informationstechnik

BSI veröffentlicht Überblickspapier zu IT-Consumerisation und BYOD

Ort Bonn
Datum 04.02.2013

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein IT-Grundschutz-Überblickspapier zum Thema Consumerisation und BYOD (Bring Your Own Device) veröffentlicht. Consumerisation und BYOD bringen für Unternehmen und deren Mitarbeiter eine Reihe von Vorteilen mit sich, führen jedoch auch zu großen Herausforderungen für die Informationssicherheit und den Datenschutz. Das BSI-Überblickspapier gibt hierzu eine Reihe von konkreten Hinweisen, Best Practices und Handlungsempfehlungen.

Der Begriff "Consumerisation" beschreibt die Entwicklung, dass immer mehr IT-Systeme, Anwendungen und Dienste, die ursprünglich für die Nutzung im privaten Umfeld entwickelt wurden, auch im beruflichen Bereich zum Einsatz kommen. Die Grenze zwischen beruflicher und privater Nutzung von IT löst sich damit immer mehr auf. Hinzu kommen Strategien von Unternehmen und Institutionen, ihre Mitarbeiter zur dienstlichen Nutzung privater technischer Geräte zu ermutigen oder sogar finanzielle Anreize hierfür zu schaffen. Dieser Trend ist unter dem Begriff "Bring Your Own Device" bekannt geworden.

Bedienungskomfort versus Sicherheit?

Eine der größten Herausforderungen für die Informationssicherheit durch Consumer-Geräte besteht darin, dass die Grenzen des Informationsverbundes des Unternehmen durchlöchert oder aufgelöst werden. So werden beispielsweise schützenswerte Daten auf Geräten verarbeitet, die nicht so gut abgesichert werden können wie Arbeitsplatzrechner. Zudem befinden sich mobile Endgeräte häufig außerhalb der geschützten IT-Umgebung der Institution. Werden in einem Informationsverbund viele verschiedene Geräte eingesetzt, lassen sich zudem nicht alle im Unternehmen geltenden Sicherheitsanforderungen auf allen Geräten in gleicher Weise umsetzen. Beispielsweise unterstützen nicht alle Modelle eine vollständige Geräteverschlüsselung oder lassen differenzierte Rechtevergaben zu. Dadurch kann es zu unterschiedlichen Sicherheitsniveaus auf Geräten kommen, die eigentlich für vergleichbare Aufgaben benutzt werden sollen.

Die meisten mobilen Geräte sind zudem eher auf Design und einfache Bedienung optimiert, während die Konfigurationsmöglichkeiten und die vorhandenen Sicherheitsfunktionen nicht dem Stand der Technik von anderen Geräten entsprechen, die im professionellen Umfeld eingesetzt werden. Oft lassen sich dadurch Sicherheitsvorgaben der Institution nicht oder nur teilweise umsetzen.

Entscheidung über Consumerisation-Strategie ist Chefsache

Angesichts dieser Herausforderungen empfiehlt das BSI, Consumerisation und BYOD unter strategischen Gesichtspunkten auf Leitungsebene zu diskutieren und zu entscheiden, ob und inwieweit sie sinnvoll gestaltet und umgesetzt werden können. Technische Sicherheitsmaßnahmen alleine reichen nicht aus, ebenso wichtig sind organisatorische Maßnahmen, die im Einklang mit der Gesamtstrategie der Institution stehen. Dabei sollte im Blick behalten werden, ob die Geschäftsprozesse und deren Schutzbedarf es zulassen, dass sich die zugehörigen Informationen mit Consumer-Geräten sicher, rechtskonform, wirtschaftlich und einfach handhabbar verarbeiten lassen.

Das Überblickspapier zu Consumerisation und BYOD ist auf der Webseite des BSI abrufbar. Mit den Überblickspapieren bietet das BSI in loser Folge Lösungsansätze zu aktuellen Themen der Informationssicherheit, die zu einem späteren Zeitpunkt auch in den IT-Grundschutz eingearbeitet werden.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de