Auch aus datenschutzrechtlicher Sicht kann es zu Schwierigkeiten bei Bring your own Device kommen. Anforderungen an den Datenschutz gibt es in Bezug auf die Zugriffskontrolle auf Unternehmensdaten, sowie im Umgang mit privaten Daten.

Daher muss aus datenschutzrechtlicher Sicht bei der Verarbeitung von Daten der Nutzer erfasst werden aufgrund von Vorschriften zu technischen und organisatorischen Maßnahmen, auf der anderen Seite jedoch ist der Arbeitgeber nicht berechtigt die bei der privaten Nutzung angefallenen personenbezogenen Daten zu kontrollieren. Denn grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beide gelten nur für das jeweilige Unternehmen

In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:

In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.

Wie beide Firmen letzte Wochen übereinstimmen mitteilten, wird das US-Unternehmen Good Technology von dem kanadischen Smartphone-Hersteller Blackberry übernommen. Der geplanten Übernahme stehen noch die notwendigen behördliche Genehmigungen der Kartelbehörden aus Ziel ist Anteilsmehrheit bis November 2015 abgeschlossen werden und könnten eine Marktmacht im BYOD Bereich bilden. Beide Unternehmen, die sich bereits oft juristisch bei Patentstreitigkeiten gegenüberstanden, arbeiten im Bereich des Enterprise Mobility Managements (kurz EMM) und könnten durch den Zusammenschluss eine neue Marktmacht bilden. Die Sicherheitslösungen der bisherigen Konkurrenten für den Einsatz von mobilen Endgeräten wie Smartphones oder Tablets ergänzen sich anscheinend perfekt. Blackberry COO Marty Beare sagte zur Bekanntgabe der Übernahmepläne: "Einige Leute wissen vielleicht nicht, dass Blackberry und Good seit über einem Jahrzehnt Lösungen für sichere Mobilität liefern. Unsere Branche ist sehr umkämpft und entwickelt sich ständig weiter, weshalb es nicht erstaunlich ist, dass wir bisweilen aggressive Positionen einnehmen. Sieht man aber genauer hin, haben wir eine gemeinsame Heimat im Sicherheitsbereich, und unsere Stärken ergänzen sich unglaublich gut."

Für die Kanadier ist die Fusion insbesondere eine Stärkung im Bereich der neuen Strategie von mobilen Sicherheitslösungen, die sie mittels Software abseits von den bekannten Hardware-Produkten anbieten. Der Zukauf von Good Technologies wird dabei ein weiteres immer wichtiger werdendes Geschäftsfeld mit einschließen: Die Absicherung von Wearables wie die Apple Watch oder Zukunftsprodukte wie Google Glas. Good hat Lösungen für Smartphones und Tablets die iOS, Android, Windows Phone, BlackBerry 10 und BlackBerry OS umfassen. Dazu gibt es Support für Apples Watch und für Android Wear. Dieser Bereich werde in Zukunft für Firmen im Kontext von Bring your Owner Device immer wichtiger werden, da sich Wearables mit Smartphones verbinden und verstärkt auch ihren Platz im Businessbereich finden werden.

In der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den Organisationen unterzugehen. Genau hier setzt eine der Kernideen von DORA an: den strukturierten und sicheren Informationsaustausch im Finanzsektor zu fördern. Die Botschaft dahinter ist klar – Sicherheit wird zur Gemeinschaftsaufgabe.

Der Gedanke ist so einfach wie kraftvoll: Wenn ein Unternehmen eine Bedrohung erkennt oder einen Angriff erlebt, können andere davon profitieren, diese Informationen schnell zu kennen. Ob es sich um neue Phishing-Muster, Zero-Day-Schwachstellen oder komplexe Supply-Chain-Angriffe handelt – je früher andere potenzielle Opfer gewarnt sind, desto besser können sie reagieren. DORA will diesen Austausch nicht nur ermöglichen, sondern systematisieren. Das Ziel: Angriffszeiten verkürzen, Verteidigungsmaßnahmen beschleunigen und die kollektive Widerstandsfähigkeit des gesamten Sektors steigern.

In der Informationssicherheit gibt es unzählige Maßnahmen, Frameworks, Tools und Methoden. Wer sich in der Fachliteratur oder auf Messen umschaut, könnte glauben, dass es für jedes Risiko ein eigenes, hochspezialisiertes Werkzeug gibt – und dass man am besten alles gleichzeitig einführt. In der Realität haben Unternehmen jedoch begrenzte Ressourcen. Zeit, Budget und personelle Kapazitäten sind endlich. Deshalb ist die entscheidende Frage: Welche Maßnahmen bringen tatsächlich den größten Sicherheitsgewinn? Die Antwort darauf ist nicht immer offensichtlich, denn nicht alles, was technisch beeindruckend klingt, wirkt auch im Alltag nachhaltig. Wirkungsvolle Sicherheitsmaßnahmen sind solche, die messbar Risiken reduzieren, praxistauglich sind und langfristig Bestand haben. Sie kombinieren technische, organisatorische und personelle Komponenten – und sie sind so gestaltet, dass sie von den Menschen in der Organisation verstanden, akzeptiert und gelebt werden.

Risikobasierter Start: zuerst verstehen, dann entscheiden

Ein zentrales Merkmal wirksamer Sicherheitsmaßnahmen ist ihr Bezug zu konkreten Risiken. Sicherheitsarbeit beginnt nicht mit dem Einkauf neuer Technologie, sondern mit einer sauberen Risikoanalyse. Diese zeigt, welche Bedrohungen für die eigenen Systeme, Daten und Prozesse tatsächlich relevant sind. Erst danach sollte entschieden werden, welche Maßnahmen am besten geeignet sind, diese Risiken zu reduzieren. Wer ohne diese Grundlage agiert, läuft Gefahr, Ressourcen in Schutzmechanismen zu investieren, die zwar modern wirken, aber an den tatsächlichen Schwachstellen vorbeigehen. Das klassische Gegenbeispiel: Ein Unternehmen investiert in eine teure KI-gestützte Angriffserkennung, übersieht aber, dass sensible Daten unverschlüsselt in einer Cloud gespeichert werden. Das ist, als würde man eine Alarmanlage installieren, aber die Haustür unverschlossen lassen.