BYOD im Unternehmen: So schützen Sie Ihr KMU, wenn Ihre Mitarbeiter ihre persönlichen Geräte nutzen
BYOD in Schweizer KMU: Eine gängige Praxis mit unterschätzten Risiken
In vielen Schweizer KMU ist es üblich geworden, dass Mitarbeiter ihre geschäftlichen E-Mails auf ihrem persönlichen Smartphone abrufen, ein Dokument auf ihrem Tablet im Zug fertigstellen oder von ihrem privaten Laptop aus arbeiten. Diese Praxis hat einen Namen: BYOD, Akronym für «Bring Your Own Device» («bringen Sie Ihr eigenes Gerät mit»).
BYOD bietet messbare Vorteile: Laut einer Cisco-Studie sparen Unternehmen, die BYOD zulassen, durchschnittlich 350 USD pro Mitarbeiter und Jahr an Materialkosten, und die Mitarbeiter gewinnen 58 Minuten täglicher Produktivität. Doch diese Flexibilität birgt erhebliche Sicherheitsrisiken. Im Gegensatz zu den vom Unternehmen bereitgestellten Geräten stehen persönliche Geräte nicht unter Ihrer direkten Kontrolle: Sie wissen nicht, welche Anwendungen installiert sind, ob Sicherheitsupdates durchgeführt werden oder ob das Gerät durch ein starkes Passwort geschützt ist.
Konkretes Beispiel: Ein Mitarbeiter verliert sein persönliches Telefon in öffentlichen Verkehrsmitteln. Wenn dieses Telefon geschäftliche E-Mails mit Kundeninformationen, Buchhaltungsunterlagen oder Zugänge zu Ihren Systemen enthält, kann Ihr gesamtes Unternehmen gefährdet sein. Ein persönliches Gerät kann mit anderen Familienmitgliedern geteilt werden, mit unsicheren öffentlichen WLAN-Netzwerken verbunden sein oder mit Schadsoftware infiziert sein, die sich auf Ihre Server ausbreiten kann.
Für ein Schweizer KMU haben diese Risiken konkrete und bezifferte Folgen:
- Durchschnittliche Kosten einer Datenpanne: 4,45 Millionen USD weltweit (IBM Cost of a Data Breach Report, 2023)
- Verstoss gegen das revDSG: Geldbussen von bis zu 250 000 CHF für verantwortliche natürliche Personen
- Betriebsunterbrechung: durchschnittliche Dauer von 21 Tagen nach einem Cyberangriff (Coveware, 2023)
- Reputationsschaden: 65 % der Kunden geben an, das Vertrauen nach einem Datenleck zu verlieren (KPMG, 2023)
Schritt 1: Definieren Sie eine klare und verständliche BYOD-Richtlinie
Der erste Schritt zur Sicherung von BYOD besteht darin, eine schriftliche Nutzungsrichtlinie zu erstellen. Das bedeutet nicht, ein fünfzigseitiges Dokument voller Fachjargon zu verfassen, sondern einfache Regeln zu formalisieren, die alle Ihre Mitarbeiter verstehen und anwenden können.
Eine effektive BYOD-Richtlinie sollte vier wesentliche Punkte abdecken:
- Zugelassene Geräte: Welche Gerätetypen können auf die Daten des Unternehmens zugreifen, mit welchen Mindestanforderungen (Version des Betriebssystems, Vorhandensein eines Antivirus usw.)
- Zugängliche Daten: Welche Informationen können auf einem persönlichen Gerät eingesehen oder gespeichert werden, und welche sind ausschliesslich den Arbeitsplätzen des Unternehmens vorbehalten
- Verantwortlichkeiten: Wer ist für die Sicherheit des Geräts verantwortlich, und welche Verpflichtungen hat der Mitarbeiter
- Verfahren im Falle eines Vorfalls: Was ist im Falle von Verlust, Diebstahl oder Ausscheiden eines Mitarbeiters zu tun
Eine gute BYOD-Richtlinie muss auch die Privatsphäre Ihrer Mitarbeiter respektieren. Wenn Sie eine Lösung implementieren, die es ermöglicht, im Falle eines Diebstahls die beruflichen Daten aus der Ferne zu löschen, müssen Ihre Mitarbeiter verstehen, dass dies nur die beruflichen Daten betrifft — nicht ihre persönlichen Fotos oder privaten Nachrichten.
Wichtige Information: Laut dem Ponemon Institute (2023) reduzieren Unternehmen mit einer formalisierten BYOD-Richtlinie ihr Risiko von Datenverlusten im Zusammenhang mit persönlichen Geräten um 60 % im Vergleich zu Unternehmen, die keine haben.
Diese Richtlinie sollte nicht in einer Schublade bleiben. Kommunizieren Sie sie bei jedem neuen Mitarbeiter und erinnern Sie mindestens einmal jährlich daran, beispielsweise im Rahmen einer kurzen Informationsveranstaltung oder eines Memos.
Schritt 2: Schützen Sie die Geräte mit grundlegenden Massnahmen
Es gibt einfache und wirksame Schutzmassnahmen, die ohne fortgeschrittene IT-Kenntnisse implementiert werden können. Hier sind die vier grundlegenden Massnahmen:
Gerätesperre
Alle persönlichen Geräte, die auf die Daten des Unternehmens zugreifen, müssen durch einen PIN-Code von mindestens 6 Ziffern, ein Passwort oder eine biometrische Erkennung geschützt sein. Das Gerät muss sich nach 2 bis 3 Minuten Inaktivität automatisch sperren.
Sicherheitsupdates
Die Betriebssysteme erhalten regelmässig Patches, die ausnutzbare Schwachstellen beheben. Im Jahr 2023 betrafen 60 % der Datenpannen eine Schwachstelle, für die ein Patch existierte, aber nicht angewendet wurde (Ponemon Institute). Aktivieren Sie die automatischen Updates oder installieren Sie sie, sobald sie verfügbar sind.
Antivirenschutz
Installieren Sie ein Antivirenprogramm oder eine Endpoint-Protection-Lösung, insbesondere auf Laptops. Laden Sie auf Smartphones und Tablets nur Anwendungen aus den offiziellen Stores (App Store für Apple, Google Play für Android) herunter und überprüfen Sie die angeforderten Berechtigungen.
Vergleich der grundlegenden Schutzmassnahmen
| Massnahme | Schwierigkeit der Implementierung | Kosten | Wirksamkeit |
|---|---|---|---|
| Sperren per PIN/Biometrie | Sehr gering | Kostenlos | Hoch |
| Automatische Updates | Sehr gering | Kostenlos | Sehr hoch |
| Antivirus (PC) | Gering | 20–50 CHF/Jahr | Hoch |
| Nur offizielle App-Stores | Sehr gering | Kostenlos | Mittel |
Schritt 3: Trennen Sie berufliche und private Daten
Um die Informationen Ihres Unternehmens besser zu schützen, richten Sie eine klare Trennung zwischen beruflichen und privaten Daten ein. Auf Smartphones und Tablets geschieht dies durch Containerisierungs-Lösungen: Ein sicherer und isolierter Bereich wird auf dem Gerät erstellt, der durch zusätzliche Massnahmen geschützt und aus der Ferne gelöscht werden kann, ohne die persönlichen Daten des Mitarbeiters zu berühren.
Lösungen für die Verwaltung mobiler Geräte (MDM)
| Lösung | Hosting | Richtpreis | Stärken |
|---|---|---|---|
| Microsoft Intune | Microsoft Cloud | ~8 USD/Benutzer/Monat | Microsoft 365-Integration, vollständige Verwaltung |
| VMware Workspace ONE | Cloud oder On-Premise | Auf Anfrage | Flexibilität, grosse Unternehmen |
| kDrive (Infomaniak) | Schweiz 🇨🇭 | Ab 4,99 CHF/Monat | Datensouveränität, revDSG-Konformität |
| Proton Drive | Schweiz 🇨🇭 | Ab 3,99 EUR/Monat | Ende-zu-Ende-Verschlüsselung, Open Source |
Schweizer Lösungen wie kDrive von Infomaniak oder Proton Drive sind besonders geeignet für KMU, die die Datensouveränität und die Konformität mit dem revDSG gewährleisten wollen, da ihre Daten auf Schweizer Gebiet gehostet bleiben.
Verlangen Sie auf Laptops ein separates Benutzerkonto für berufliche Aktivitäten oder fördern Sie die Nutzung eines Browsers, der ausschliesslich für die Online-Anwendungen des Unternehmens bestimmt ist. Stellen Sie ausserdem sicher, dass Ihre beruflichen Webanwendungen ordnungsgemäss gegen unbefugten Zugriff gesichert sind.
Schritt 4: Kontrollieren Sie den Zugriff auf sensible Daten
Nicht alle Ihre Mitarbeiter müssen auf alle Daten Ihres Unternehmens zugreifen. Das Prinzip der geringsten Privilegien besteht darin, die Zugriffe entsprechend der Rolle des Einzelnen zu beschränken: Eine Person aus dem Vertrieb muss nicht auf sensible Buchhaltungsunterlagen zugreifen, und umgekehrt.
Dieses Prinzip ist in einem BYOD-Kontext umso wichtiger, da persönliche Geräte statistisch gesehen weniger gut geschützt sind als die Arbeitsplätze des Unternehmens. Laut Verizon (Data Breach Investigations Report 2023) ist bei 74 % der Datenpannen ein menschliches Element im Spiel, das oft mit zu weitreichenden Zugriffen zusammenhängt.
Zwei-Faktor-Authentifizierung (2FA/MFA): Ein unverzichtbarer Schutz
Die Zwei-Faktor-Authentifizierung (2FA oder MFA) erfordert eine doppelte Überprüfung, bevor auf sensible Daten zugegriffen werden kann: ein Passwort plus ein Code, der per SMS gesendet oder von einer Anwendung generiert wird. Laut Microsoft (2023) blockiert 2FA 99,9 % der automatisierten Angriffe auf Konten.
Empfohlene Passwort-Manager
| Lösung | Hosting | 2FA integriert | Preis |
|---|---|---|---|
| Proton Pass | Schweiz 🇨🇭 | Ja | Kostenlos / 3,99 EUR/Monat (Pro) |
| Bitwarden | Cloud (Open Source) | Ja | Kostenlos / 10 USD/Jahr (Pro) |
| 1Password | Cloud | Ja | ~3 USD/Benutzer/Monat |
Proton Pass mit Sitz in der Schweiz ist besonders geeignet für Schweizer KMU, die Sicherheit, revDSG-Konformität und Datensouveränität vereinen möchten.
Schritt 5: Sensibilisieren Sie Ihre Mitarbeiter regelmässig
Selbst die besten technischen Lösungen sind nur dann wirksam, wenn Ihre Mitarbeiter verstehen, warum sie wichtig sind und wie sie zu verwenden sind. Laut dem Verizon DBIR 2023 sind 82 % der Datenpannen auf menschliches Versagen zurückzuführen — Phishing, schwaches Passwort oder Fehlkonfiguration.
Prioritäre Themen, die behandelt werden müssen
- Öffentliches WLAN: Erklären Sie, warum die Verbindung zum WLAN eines ungeschützten Cafés riskant ist und wie Sie ein VPN verwenden, um Verbindungen unterwegs zu sichern. Für Schweizer KMU bietet Proton VPN eine Ende-zu-Ende-Verschlüsselung mit Servern in über 120 Ländern, gehostet in der Schweiz.
- Phishing: Zeigen Sie konkrete Beispiele für betrügerische E-Mails und die Folgen eines Klicks auf einen verdächtigen Link.
- Passwortverwaltung: Erklären Sie, warum die Wiederverwendung desselben Passworts für mehrere Dienste gefährlich ist.
- Meldung von Vorfällen: Ermutigen Sie Ihre Mitarbeiter, jeden Vorfall oder jede verdächtige Situation sofort zu melden, ohne Angst vor Sanktionen.
Sie können kurze Sensibilisierungsveranstaltungen organisieren (30 Minuten pro Quartal reichen aus), regelmässig Tipps per E-Mail versenden oder Phishing-Simulationstools verwenden, um Ihre Mitarbeiter konkret zu schulen. Ziel ist es, eine Sicherheitskultur zu schaffen, in der sich jeder verantwortlich fühlt.
Messbares Ergebnis: Unternehmen, die regelmässige Schulungen zur Cybersicherheit durchführen, reduzieren ihre Klickrate auf Phishing-E-Mails um durchschnittlich 75 % (KnowBe4, 2023).
Schritt 6: Planen Sie einen Aktionsplan für den Fall von Verlust oder Diebstahl
Auch mit allen Vorsichtsmassnahmen kann ein Gerät verloren gehen oder gestohlen werden. Laut Kensington wird weltweit alle 53 Sekunden ein Laptop gestohlen. Wichtig ist, dass Sie geplant haben, wie Sie reagieren, bevor der Vorfall eintritt.
Notfallverfahren in 4 Schritten
- Sofortige Meldung: Der Mitarbeiter benachrichtigt seinen Vorgesetzten und die IT-Abteilung innerhalb einer Stunde nach Feststellung des Verlusts oder Diebstahls
- Widerruf der Zugriffe: Sofortige Deaktivierung der Benutzerkonten und der Authentifizierungs-Token auf allen Plattformen
- Fernlöschung: Löschung der beruflichen Daten auf dem verlorenen Gerät über die MDM-Lösungen (Microsoft 365, Google Workspace, Intune)
- Dokumentation des Vorfalls: Erfassung in einem Vorfallregister, um die Anforderungen des revDSG im Falle eines tatsächlichen Verlusts personenbezogener Daten zu erfüllen
Eine robuste Backup-Strategie ermöglicht es Ihnen, die benötigten Daten schnell wiederherzustellen, ohne von dem verlorenen Gerät abhängig zu sein. Für Unternehmen, die Schweizer Lösungen bevorzugen, bietet Swiss Backup von Infomaniak ein Cloud-Backup mit dreifacher Replikation in Schweizer Rechenzentren, das revDSG-Konformität und optimale Verfügbarkeit gewährleistet.
Gesetzliche Verpflichtung: Das revDSG verpflichtet, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so schnell wie möglich zu benachrichtigen, wenn eine Datenpanne vorliegt, die ein hohes Risiko für die betroffenen Personen birgt.
Nehmen Sie die Hilfe eines vertrauenswürdigen Partners in Anspruch
Für ein Schweizer KMU ohne dediziertes IT-Team kann die interne Verwaltung all dieser Aspekte schnell komplex werden. Ein externer Partner, der auf Cybersicherheit spezialisiert ist, wie Bexxo kann Sie dabei unterstützen:
- Definieren Sie eine BYOD-Richtlinie, die an Ihre Realität angepasst ist und dem revDSG entspricht
- Führen Sie ein Sicherheitsaudit Ihrer Infrastruktur durch
- Implementieren Sie die notwendigen technischen Lösungen (MDM, 2FA, VPN, Backup)
- Schulen Sie Ihre Mitarbeiter in den besten Praktiken
- Helfen Sie Ihnen, im Falle eines Vorfalls schnell zu reagieren
Ein guter Partner verkauft Ihnen nicht nur Software. Er nimmt sich die Zeit, Ihr Geschäft zu verstehen, Ihre Einschränkungen und Ihre tatsächlichen Bedürfnisse, und bietet Ihnen angemessene, realistische und im Alltag anwendbare Lösungen.
Zusammenfassung: Schützen Sie Ihr KMU, ohne alles zu verkomplizieren
BYOD ist in vielen Schweizer KMU Realität. Es vollständig zu verbieten ist weder realistisch noch wünschenswert. Es mit klaren Regeln und angepassten Sicherheitsmassnahmen zu gestalten, ist jedoch unerlässlich.
BYOD-Aktionsplan in 6 Schritten
| Schritt | Aktion | Priorität | Geschätzte Kosten |
|---|---|---|---|
| 1 | Verfassen und kommunizieren Sie eine schriftliche BYOD-Richtlinie | Sofort | Kostenlos |
| 2 | Verlangen Sie PIN, Updates und Antivirus auf allen Geräten | Sofort | Gering |
| 3 | Implementieren Sie eine Containerisierungs- oder MDM-Lösung | Kurzfristig | Mittel |
| 4 | Aktivieren Sie 2FA für alle beruflichen Zugriffe | Sofort | Kostenlos bis gering |
| 5 | Schulen Sie die Mitarbeiter (vierteljährliche Sitzung) | Kurzfristig | Gering |
| 6 | Testen und dokumentieren Sie das Notfallverfahren | Kurzfristig | Kostenlos |
Diese Massnahmen erfordern keine enormen Investitionen oder eine radikale Transformation Ihrer Organisation. Sie basieren vor allem auf gesundem Menschenverstand, etwas Methode und kontinuierlicher Sensibilisierung. Und wenn Sie Hilfe bei der Umsetzung benötigen, zögern Sie nicht, unsere Experten zu kontaktieren, die die Herausforderungen der Schweizer KMU gut kennen.
Häufig gestellte Fragen zu BYOD in Schweizer KMU
Was ist BYOD und warum ist es ein Risiko für mein KMU?
BYOD (Bring Your Own Device) bezeichnet die Nutzung persönlicher Geräte für berufliche Zwecke. Es ist ein Risiko für KMU, da diese Geräte der Kontrolle des Unternehmens entzogen sind: Sie werden möglicherweise nicht aktualisiert, mit Dritten geteilt oder stellen eine Verbindung zu unsicheren Netzwerken her, wodurch berufliche Daten Lecks oder Cyberangriffen ausgesetzt sind.
Ist BYOD mit dem Schweizer revDSG kompatibel?
Ja, vorausgesetzt, es werden geeignete technische und organisatorische Massnahmen getroffen: schriftliche BYOD-Richtlinie, Trennung der Daten, Zugriffskontrolle und Meldeverfahren im Falle eines Verstosses. Das revDSG, das seit September 2023 in Kraft ist, schreibt strenge Verpflichtungen zum Schutz personenbezogener Daten vor, unabhängig vom verwendeten Gerät.
Welche ist die erste Massnahme, die zur Sicherung von BYOD zu ergreifen ist?
Die erste Massnahme besteht darin, eine klare BYOD-Richtlinie zu verfassen und zu kommunizieren: Welche Geräte sind zugelassen, welche Daten sind zugänglich und welches Verfahren ist im Falle von Verlust oder Diebstahl zu befolgen. Dieser Schritt ist kostenlos und reduziert das Risiko von Datenverlusten laut dem Ponemon Institute (2023) um 60 %.
Muss ich Schweizer Lösungen für mein BYOD wählen?
Dies ist keine gesetzliche Verpflichtung, wird aber für Schweizer KMU, die sensible Daten verarbeiten, dringend empfohlen. Lösungen wie kDrive (Infomaniak), Proton Drive, Proton VPN oder Swiss Backup garantieren, dass Ihre Daten in der Schweiz gehostet bleiben, was die revDSG-Konformität und die Datensouveränität erleichtert.
Wie kann ich die beruflichen Daten von einem verlorenen Gerät löschen, ohne die persönlichen Daten zu berühren?
Dank Containerisierungs- und Mobile-Device-Management-Lösungen (MDM) wie Microsoft Intune oder VMware Workspace ONE ist es möglich, nur den sicheren beruflichen Bereich aus der Ferne zu löschen, ohne die Fotos, Nachrichten oder persönlichen Anwendungen des Mitarbeiters zu beeinträchtigen.