Auch für Arbeitnehmer bringt der Trend Nachteile, diese spiegeln sich teilweise in den Vorteilen der Arbeitgeber wider.So ist die ständige Erreichbarkeit für den Arbeitnehmer vorteilhaft, für den Arbeitnehmer allerdings nicht. Auch könnte es dazu führen, dass der Arbeitgeber vom Arbeitnehmer verlang ständig erreichbar zu sein, was dieser vermutlich nicht möchte. Gerade im Ausland kann das zu Problemen führen: Wenn der Arbeitnehmer ein Firmenhandy gestellt bekommt und dies im Ausland nutzt, ist geklärt, dass der Arbeitgeber die Kosten für Roaming übernimmt. Nutzt der Arbeitnehmer im Gegensatz dazu aber sein privates Smartphone, so ist unsicher, wer welche Kosten übernimmt, denn häufig ist nicht klar abgrenzbar, welche Kosten privat und welche dienstlich entstanden sind.

Auch vermischt sich privat und dienstlich leicht, wenn der Mitarbeiter dauerhaft erreichbar sein soll, dies kann dazu führen, dass ein Mitarbeiter nicht mehr richtig abschalten und sich erholen kann. Dies wiederum kann zu Motivations- und Produktivitätsverlust führen.

Es beginnt selten spektakulär. Eine völlig normale Nachricht im gewohnten Ton, mit der richtigen Anrede, im exakt passenden Timing. „Nur schnell freigeben“, „kurzer Login für das neue HR-Portal“, „Bestätigung der Reisekosten“ – nichts, was Angst macht. Und doch steckt dahinter inzwischen eine neue Qualität von Angriffen: Phishing, generiert und gesteuert von Künstlicher Intelligenz.

Die begleitende Grafik „Phishing mittels KI“ oben zeigt den Ablauf in fünf klaren Schritten: Links der Angreifer, der seine Texte und Täuschungen mithilfe von KI erstellt; in der Mitte die Phishing-E-Mail; rechts der Benutzer, der zieltreu adressiert wird; unten die täuschend echte Phishing-Website, die Zugangsdaten einsammelt; und der entscheidende Rückpfeil, über den die erbeuteten Informationen in Echtzeit zum Angreifer fließen. Dieser Datenstrom ist der Moment, in dem aus einer hübschen Nachricht ein Sicherheitsvorfall wird.

Sofern Arbeitgeber auf den BYOD Trend setzen, war gerade die Erreichbarkeit im Urlaub ein willkommener Benefit. Lange Zeit war das Roaming eine unüberschaubare Kostenfalle für die Arbeitnehmer, die Ihre "Devices" im Urlaub für den Arbeitgeber auf Empfang hatten. Wer im Urlaub telefonierte, mal eben ein paar Fotos vom Strand nach Hause schickte oder gar im Internet surfte wurde oft mit einer horrenden Rechnung konfrontiert. Bereits seit 2007 wurden die preislichen Obergrenzen daher in der EU gesetzlich festgelegt und jährlich gesenkt. Nun ist geplant, die Roaming-Kosten insgesamt innerhalb der EU abzuschaffen. 

Sinkende Preise dank EU

Vorstände lieben klare Ampeln. Grün heißt: weiter so. Rot heißt: sofort handeln. Gelb bedeutet: beobachten, vielleicht ein Projekt starten. Eine Business Impact Analyse (BIA) liefert solche Ampelfarben scheinbar auf Knopfdruck. Sie verrät, welche Prozesse kritisch sind, welche Ausfälle schmerzen, welche RTOs und RPOs gelten sollen. Das Dokument ist sauber, die Prioritäten sind sichtbar, man nickt, unterschreibt – und geht zum Tagesgeschäft über. Wochen später kommt die Frage nach dem Budget für neue Kontrollen, redundant ausgelegte Systeme, Pen-Tests oder Backup-Modernisierung. Und plötzlich wirkt die BIA erstaunlich leise. Sie beantwortet nämlich nicht die Fragen, die jetzt wirklich zählen: Wie groß ist das Risiko? Wie wahrscheinlich ist welches Szenario? Welcher Euro investiert reduziert welchen Verlust um wie viel? Was bleibt als Rest­risiko – und ist das mit unserer Risikobereitschaft vereinbar?

Genau an dieser Stelle fehlt in vielen Organisationen der nächste, entscheidende Schritt: die Risk Impact Analysis – kurz RIA. Unter RIA verstehen wir hier die systematische Übersetzung der BIA-Erkenntnisse in quantifizierte Risiken, konkrete Steuerungsoptionen und belastbare Investitionsentscheidungen. BIA beschreibt, was passiert, wenn etwas ausfällt. RIA zeigt, wie oft das realistischerweise passieren kann, wie teuer das im Erwartungswert und in Extremszenarien wird, welche Maßnahmen welchen Risikoeffekt haben und welches Rest­risiko bewusst zu akzeptieren ist. Wer diesen Schritt auslässt, produziert schöne Folien – aber keine Steuerung.

Ein Sicherheits-Deep-Dive, inspiriert von einer Prozessgrafik – und ergänzt um das, was die Praxis wirklich ausmacht

Wer heute an der Kasse sein Smartphone an das Terminal hält, löst damit ein erstaunlich komplexes Zusammenspiel aus Kryptografie, Hardware-Sicherheitskomponenten, Token-Diensten der Karten­netzwerke, Bankprüfungen und Händler-Backends aus. Von all dem bekommt man in der Regel nichts mit – und das ist gut so. Die eingangs gezeigte Prozessgrafik macht einen wichtigen Punkt sichtbar: Apple Pay und Google Pay verfolgen ähnlichen Zweck, aber unterscheiden sich im Architekturdetail, vor allem bei der Frage, wo sensible Informationen liegen und wie eine Zahlung kryptografisch gebunden wird. Aus dieser scheinbar kleinen Designentscheidung erwachsen spürbare Unterschiede in Angriffsfläche, Datenschutz und Betriebsmodell.