Bring your own device - Definition, Datenschutz & rechtliche Aspekte
Was muss man bei BYOD beachten?
von Richard Meusers , Artikel aus dem Archiv vom
Was ist BYOD? BYOD meint das (drahtlose) Präsentieren von Inhalten beliebiger – auch privater – Quellen wie Laptops, Tablets und Smartphones. Bring Your Own Device meint somit die Möglichkeit, beliebige Quellen vom Netzwerk-PC bis zum Smartphone einzusetzen.
Im IT-Bereich bringt das zunehmende Einbinden privater Endgeräte in technische Abläufe im Arbeitsleben so manchen IT-Sicherheitsbeauftragten ins Schwitzen. Neben zahlreichen technischen und juristischen Fallstricken bildet die immer noch verbreitete Unwissenheit ein Hindernis für die weitere Einführung von BYOD.
Computer aller Größe und Art begleiten das Leben der Menschen im Beruf wie auch im Privatleben. Praktisch niemand möchte mehr auf die kleinen oder größeren Helferlein verzichten. Selbst Tablets und Smartphones stellen heute leistungsfähige Geräte dar, die zunehmend auch in den professionellen Einsatz im Büro eingebunden werden. Häufig bringen Mitarbeiter eigene Geräte mit in die Firma – daher auch der Name dieses Arbeitstrends – bring your own device, kurz BYOD.
Das Phänomen ist in nahezu allen Unternehmen angekommen und nicht nur für moderne Arbeitgeber ein Thema. Doch einfach das Smartphone an den Firmenrechner anstöpseln oder ins Intranet einwählen lassen, ist schon lange nicht mehr ohne Risiken. Meist entziehen sich die Privatgeräte dem IT-Management, mit dem der Arbeitgeber die eigenen informationstechnischen Geräte – auch aus Gründen des Datenschutzes – verwaltet und kontrolliert. Ihr Einsatz birgt deshalb sowohl datenschutzrechtliche als auch technische Risiken. Aus diesem Grund ist daher der Einsatz privater Datenverarbeitungsgeräte in der öffentlichen Verwaltung bisher prinzipiell untersagt.
Die moderne Computerei hat nicht zuletzt mit Bedrohungsszenarien zu leben, die durch Spionageaktionen oder Hack-Attacken entstehen können. Dabei sind die Übergänge fließend, nicht zuletzt, was die eingesetzten Mittel angeht. Neben den technischen Aspekten sind auch juristische Fallstricke zu beachten.
Der Zugriff auf das Gerät und damit lokal gespeicherte Daten vonseiten unbefugter Dritter bildet eine Hauptgefahrenquelle. Ein mögliches Szenario ist der Diebstahl des Geräts oder der Einsatz einer Schadsoftware. Dabei kann z. B. ein Trojaner Tastatureingaben mitlesen und diese zu einem definierten Zeitpunkt zu einem vorher eingetragenen Ziel senden. Nach einem Diebstahl könnten u. a. Kontaktdaten, Anruflisten, Kennwörter, Fotos und SMS ausgelesen werden. Die Täter könnten sich so Zugriff auf wichtige Unterlagen verschaffen oder mittels Schadsoftware sogar Daten verfälschen oder löschen.
Wenn Privatgeräte bzw. externe Geräte an die Infrastruktur eines Unternehmens angeschlossen werden, besteht für diese also eine direkte Gefahr. Kommunikationseinrichtungen können durch „DoS“-Angriffe gestört werden. Außerdem können über diese Wege unerlaubte Zugriffe auf im Firmennetz gespeicherte Daten erfolgen sowie durch ein nicht ausreichend geschütztes Gerät Schadsoftware eingeschleust werden. Auf Smartphones und Tablet-PCs existieren zahlreiche Apps.
Dabei können nicht nur von systemeigenen, lokal ausgeführte Anwendungen Gefährdungen ausgehen, sondern auch von Cloud-Apps und -Dienstleistungen wie etwa Speicherdiensten, auf die über das Gerät zugegriffen wird. Apps verfügen zumeist über weitreichende Rechte und lösten schon manches Sicherheitsleck aus, wenn etwa komplette Adressbücher an Unbefugte übertragen wurden.
Neben den bekannten Risiken und Maßnahmen beim Einsatz herkömmlicher PCs sind die neuen, mobilen Betriebssystemplattformen und der Einsatz von Applikationen zu betrachten. Einen besonderen Knackpunkt bildet hier die Authentifikation. Der Nutzer meldet sich gegenüber dem System am sichersten mit einer Zwei-Faktoren-Authentifizierung an. Beim Smartphone sollte also nicht nur die SIM-Kartensperre, sondern auch die Bildschirmsperre aktiviert sein, damit beispielsweise ein neugieriger Konferenzteilnehmer während einer Pause nicht „mal eben“ die im Handy gespeicherten Informationen durchsuchen kann. Die Integration in die Infrastruktur des Unternehmens sollte nur gesichert erfolgen, die entsprechende Verschlüsselung über VPN erfolgen. Überdies sind Virenscanner auf Mobilgeräten Pflicht.
Zur nachträglichen Überprüfung auf eine etwaige Gefahrenlage sollten Protokollierungen vorgenommen werden, denn die erlauben die Identifizierung von Angriffen. Aktualisierungen der Programme sind ebenfalls wichtig. Diese sollten möglichst automatisch erfolgen, die zusätzliche Installation eines Patch-Managements verringert die Gefahr einer Ausnutzung von Sicherheitslücken. Gute Programmverteiler spüren Lücken in der Security auf und schließen sie automatisch durch Updates.
Trennung von Arbeits- und Privatbereich auf den Geräten
Die Unterteilung eines Smartphones oder Tablets in zwei Bereiche – für Arbeit und Privat – ist eine weitere empfehlenswerte Maßnahme. Ein mobiles Gerät kann darüber hinaus durch Desktop-Virtualisierung in zwei Bereiche – Arbeit und Privat unterteilt werden. Zu diesem Zweck werden bei einem Anbieter zwei Betriebssysteme installiert. Vertrauliche Unternehmensdaten werden dabei stets im firmeneigenen Rechenzentrum gespeichert. Sollten dennoch unerlaubt Daten lokal auf einem Mobilgerät Gerät gespeichert worden sein, hat die IT-Abteilung jederzeit Zugriff und kann sie gegebenenfalls aus der Ferne löschen. Diese Möglichkeit zur „Notlöschung“ ist auch für solche Fälle ratsam. in denen die Speicherung bestimmter Daten auf dem Gerät zwar gestattet wurde, das Tablet oder Smartphone dann aber durch Diebstahl abhandengekommen ist.
Eine zusätzliche Sicherung stellt das Application Streaming dar. Dabei liegen nicht nur die Daten, sondern auch die zu ihrer Verarbeitung erforderlichen Anwendungen in der gesicherten Unternehmens-Cloud. Der Anwender bekommt über sein mobiles Gerät nur noch die Benutzeroberfläche zur Verfügung gestellt. Je nach Bedarf werden dann Anwendungen auf das mobile Gerät per Knopfdruck übertragen. Die Speicherung der Daten sollte ausschließlich verschlüsselt erfolgen, um ihre Vertraulichkeit und Integrität zu gewährleisten. Dabei kann wahlweise der komplette Speicher des Gerätes verschlüsselt werden oder es können Container erzeugt werden. In diesen verschlüsselten Bereichen werden dann die sensiblen Daten abgelegt.
Für eine bessere Übersicht kann der Arbeitgeber auch eine Software zum Mobile Device Management (MDM) einsetzen. Diese Art des Flottenmanagements für ans Firmennetz angeschlossene Hardware erlaubt es, die eingesetzten Geräte zentral zu verwalten. Die Möglichkeiten dieser Werkzeuge sind je nach Konfiguration sehr vielfältig. So können eine PIN-Eingabe erzwungen, Rechte verteilt oder überwacht und Daten auf gestohlenen oder verlorenen Geräten ferngelöscht werden.
Neben technischen Gefahren lauern auch rechtliche Fallstricke, die bei BYOD den Arbeitsfluss zwischen Arbeitgeber und Arbeitnehmer behindern könnten. Nicht zuletzt aufgrund des Fehlens einer gesetzlichen Grundlage sollten juristische Risiken schon vorab möglichst gering gehalten werden. Zu diesem Zweck können verbindliche Regelungen für den Einsatz von Privat-Computern am Arbeitsplatz geschlossen werden.
Eine wesentliche Sicherheitslücke stellen Datenschutzverstöße dar; um hier vorzubauen, sollte das Unternehmen eine Einwilligungserklärung mit seinen Mitarbeitern abschließen. In einer derartigen Einwilligungserklärung kann beispielsweise vereinbart werden, wann und unter welchen Umständen bestimmte Daten zu löschen sind oder inwieweit der Arbeitgeber Zugriff und Kontrollrechte für das private Gerät des Mitarbeiters hat. Auch die Frage nach der Übernahme der Betriebskosten, die ein an den Arbeitsplatz mitgebrachtes Tablet oder Smartphone verursacht, kann so geregelt werden. In einer Studie der Leibniz Universität Hannover haben Wissenschaftler erhebliche datenschutzrechtliche Probleme bei der Integration von privaten Endgeräten in Unternehmen herausgearbeitet. Im Ergebnis stellen sie fest, dass Arbeitgeber für private Geräte der Mitarbeiter vollständig haftbar sind, da auf diesen firmenbezogene Daten verarbeitet werden.
Die Forscher empfehlen IT-Verantwortlichen in den Unternehmen, vor der Nutzung des BYOD-Konzepts zunächst zu ermitteln, ob der Einsatz firmeneigener Geräte bei Angestellten nicht sinnvoller ist. Diese würden den Mitarbeitern zur Nutzung überlassen und stünden für den dienstlichen und privaten Gebrauch zur Verfügung. Damit blieben die Vorteile des BYOD-Konzeptes größtenteils erhalten und das Unternehmen hätte dennoch die technische und rechtliche Kontrolle über seine Infrastruktur.
Für den Fall der Integration von privaten Mitarbeitergeräten ins Firmennetz sollten unbedingt Regelungen getroffen werden, die detailliert festlegen, welche vertraulichen Daten auf diesen Geräten verarbeitet werden dürfen. Bei Notebooks, Tablets und Smartphones, die von Gästen eines Meetings oder einer Konferenz mitgebracht werden, sollte man sich, falls nicht anderes vereinbart wurde, nach den Bestimmungen des jeweiligen Gastgeber-Unternehmens für solche „Fremdgeräte“ erkundigen.
Angesichts dieser Unwägbarkeiten sind manchen Unternehmen die rechtlichen Unwägbarkeiten zu groß, sie verzichten daher auf die Möglichkeit, Privatgeräte ihrer Mitarbeiter ins Firmennetz zu integrieren. So hat z. B. das Raiffeisen Rechenzentrum GmbH (RZZ) als größtes Bankenrechenzentrum im Süden Österreichs mit rund 100 Mitarbeitern seinen Mitarbeitern großflächig Smartphones und Tablets zur Verfügung gestellt, die sowohl beruflich als auch privat genutzt werden dürfen. Das RZZ verwaltet auf dieser Grundlage mobile Geräte nicht nur für den Eigenbedarf, sondern daneben auch über 1.000 Smartphones und rund 110 Tablets für Kunden.
Für die zuständige Zertifizierungsorganisation CIS liegt der Vorteil auf der Hand. Durch die Nutzung firmeneigener mobiler Geräte würden zahlreiche rechtliche BYOD-Probleme gar nicht erst entstehen. Das gelte für die Haftung für verlorene Unternehmensdaten genauso wie für die Frage des Verschuldens bei Einschleusen von Schadsoftware.
Eine Studie, die das IT-Beratungsunternehmen Quocirca im Auftrag von Oracle 2013 europaweit durchführte, offenbarte bei den 700 befragten Managern großer Unternehmen erhebliches Misstrauen gegen das BYOD-Konzept. 44 Prozent der befragten Unternehmensvertreter aus sieben europäischen Regionen halten nichts vom Einsatz privater Mobilsysteme in Unternehmen.
Die Befragten stammten aus den verschiedensten Branchen, von Finanzdienstleistern über das Gesundheitswesen und Medien & Kommunikation bis hin zu Handel und Versorgung. Darunter sind auch einige Anwender, die die Technologie zwar am liebsten gar nicht sehen würden, sie aber im Ausnahmefall zulassen. Nur jeder Zehnte äußerte keine Bedenken. Von den übrigen gestatten 29 Prozent die Nutzung nur höheren Angestellten. Über die Hälfte schloss Smartphones aus BYOD-Programmen ausdrücklich aus und ließ nur Tablets zu.
Unwissenheit bei IT-Sicherheit – Hemmschuh für Wachstum
Als Hauptgrund für die verbreitete Zurückhaltung werden laut Studie Zweifel an der Informationssicherheit genannt. 45 Prozent der Befragten äußerten schwerwiegende Bedenken bezüglich der Geräte-Sicherheit. Mehr als die Hälfte, 53 Prozent, vermutete Sicherheitslücken in den verwendeten Applikationen. Beinahe zwei Drittel hatte kein Vertrauen in eine adäquate Datensicherheit. Das verbreitete Unwissen über angemessene Sicherheitsmaßnahmen trägt massiv zur Verunsicherung bei. Von den Befragten hatten 37 Prozent keinerlei Kenntnisse in Sachen Container-Technologie, fast jeder Dritte hatte von Mobile Device Management (MDM) keine Ahnung und 22 Prozent hatten noch nie von Mobile Application Management gehört.
Doch der Kampf ums sichere BYOD-Konzept wird schwierig. De facto sei angesichts der schieren Vielzahl benutzter Geräte eine effiziente Kontrolle ein Wunschtraum. Tom Scholtz, Vize-Chef beim amerikanischen IT-Analysten und Marktforscher Gartner, erklärte im Juni 2014:
„Die Einrichtung von vollständig digitalisierten Arbeitsplätzen sorgt immer mehr dafür, dass die IT-Abteilungen die Kontrolle über Endgeräte, Anwendungen, Server und das gesamte Netzwerk verlieren. Durch die schiere Menge an Endgeräten und Zugriffspunkten, die der Digital Workplace mit sich bringt, sowie die immer intelligenteren Cyber-Attacken, werden die klassischen vorbeugenden und kontrollierenden Methoden der IT-Security zunehmend ineffektiv.“
Lernen Sie mehr über die Herausforderungen und BYOD-Trends in der Übersicht zu dem Thema! Hier erhalten Sie auch eine Einführung in die Gefahren beim Arbeiten mit Bring Your Own Device > Zum Thema BYOD
Mitarbeiter mit ihren eigenen Smartphones, Laptops oder Tablets in den Arbeitsprozess im Büro oder einer Bildungsinstitution wie einer Schule, Universität oder Bibliothek einzubinden, ist derzeit einer der wichtigsten Trends am digitalen Arbeitsplatz. BOYD birgt jedoch auch eine Reihe von Gefahren – welche genau, veranschaulicht nachfolgende Infografik:
Guter Artikel. In vielen Unternehmen sind datenschutzrechtliche Fragen (Schutz personenbezogener Daten laut DSGVO) jedoch ebenso wenig geklärt wie Aspekte der Datensicherheit und Mobile Security. Ein MDM kann da schon sehr weiterhelfen. Das zeigt auch eine neue Umfrage von 2018: https://blog.everphone.de/byod-umfrage-2018
Wie setzt man BYOD-Richtlinien um? Diskutieren Sie mit auf IBM Expers:
http://ibmexperts.computerwoche.de/community/t/byod-richtlinien-umsetzen,1431
Solstice by Mersive – Trennt das Firmennetzwerk vom BYOD Netzwerk und verhindert somit kategorisch Datendiebstahl. Sicherer geht’s nicht!
Guter Artikel. In vielen Unternehmen sind datenschutzrechtliche Fragen (Schutz personenbezogener Daten laut DSGVO) jedoch ebenso wenig geklärt wie Aspekte der Datensicherheit und Mobile Security. Ein MDM kann da schon sehr weiterhelfen. Das zeigt auch eine neue Umfrage von 2018: https://blog.everphone.de/byod-umfrage-2018