Schließen

Chancen, Risiken und Nebenwirkungen von BYOD


© Elvert Barnes – Flickr (CC BY SA 2.0)

Welche Chancen, Risiken und Nebenwirkungen hat Bring your own device oder BYOD?

Die 10 Gebote des BYOD

Die gute Nachricht: BYOD funktioniert. Wer persönliche Geräte im Unternehmensnetz ermöglicht, hat mit geringeren Beschaffungs- und Kapitalkosten zu rechnen und bekommt höhere Produktivität. Die schlechte Nachricht: Die Probleme beginnen jetzt. Darf der Chef auf die privaten Geräte zugreifen? Wer haftet, wenn Firmendaten aus dem privaten Gerät ausgespäht werden?

Was ist BYOD?

Bring your own device, das eigene Gerät zum Arbeiten zu nutzen ist für etliche verlockend. Gleichwohl ist es in Deutschland kein Herzenswunsch der Mitarbeitenden, nur etwa 30 % wollen Berufliches und Privates verbinden. Der Rest – immerhin 70 % – wünschen sich eher eine Trennung von beruflich und privat genutzten Endgeräten und Anwendungen. Dies zeigt eine Studie von Computacenter und PAC aus dem Jahre 2014. Vgl. [10]. Zu den beruflich genutzten Geräten gehören sowohl der Computer zu Hause, der Laptop zu Hause, unterwegs oder im Büro, der Tablet-PC, das Smartphone. Jedes Gerät hat eigenen Herausforderungen und bringt unterschiedliche Betriebssysteme, Sicherheitsmechanismen, Benutzerverhalten mit. Auf diese Bedingungen müssen sich Unternehmen und Mitarbeitende einstellen. Dabei stehen für Unternehmen Sicherheitsaspekte stärker im Vordergrund als für die Mitarbeitenden, vgl. [12]. Für die lautet das Motto: „Mein Telefon, meine Regeln“. Das kollidiert in der Praxis mit Unternehmensregeln und auch mit den Anforderungen des Datenschutzes.

Welche Vorteile bringt BYOD?

Die Verwendung privater Geräte bringt natürlich beiden Seiten Vorteile. Susan Wojtkowski [8] nennt unter anderem die folgenden Aspekte, die durch Erfahrungen des Autors ergänzt wurden. Neben Vorteilen nennt sie auch Nachteile oder Risiken bei BYOD.

Kostenrduktion bei BYOD

Die Kosten für die Technologie verringern sich. Aus Unternehmensicht ist dies ein wesentlicher Vorteil. Aus Sicht der Anwender kann es nachteilig sein, wenn sie für Anschaffung, Wartung, Reparatur und Ersatz selbst aufkommen müssen. Weiter stellt sich die Frage, wie und ob die Zeit für Updates – am privaten Gerät – als Arbeitszeit angerechnet wird. Eine Kostenreduktion kann sich auch durch erhöhte Energieefiizienz ergeben. Tragbare Geräte benötigen weniger Energie als feste Personalcomputer. Es ist zu kalkulieren, ob die Kostenrduktion bei Beschaffung und Wartung ggf. durch erhöhten Aufwand beim Benutzersupport relativiert wird.

Produktivitätssteigerung durch BYOD

Das Empfinden der Anwender verbessert sich beim Einsatz persönlicher Geräte. Gleichzeitig damit steigt die Produktivität. Wenn die privaten Geräte jedoch weniger leistungsfähig sind als die Firmengeräte sinkt die Produktivität.  Das gilt auch, wenn unterschiedliche Versionen auf den Geräten die Funktionsfähigkeit beeinträchtigen.

Anwenderzufriedenheit durch BYOD

Angestellte sind glücklicher, wenn sie die Geräte verwenden können, die sie lieben und besitzen. Das gilt nicht nur für Techniker, sondern auch für Mitarbeitende im Vertrieb, Einkauf, Marketing und  bis ins Management.

BYOD birgt auch Sicherheitsrisiken

Auf der anderen Seite sind Sicherheitsaspekte ein wesentlicher Punkt bei der Entscheidung gegen BYOD. Bei der Nutzung unsicherer WLAN-Zugänge, der Bluetooth-Verbindung oder anderer Übertragungsmöglichkeiten können Firmendaten, Betriebsgeheimnisse, personenbezogene Daten ausgespäht werden. Die Firmenregeln für Antivirussoftware, für Zugangsbeschränkungen gelten auf privaten Geräten nicht. Die IT-Abteilung ist dafür verwantwortlich, Vorkehrungen zur Abwehr einzurichten. Das wiederum erzeugt auf Unternehmensseite zusätzliche Kosten. Nicht nur Firmen sorgen sich um ihre Daten, auch Mitarbeitende sind besorgt über den Schutz ihrer personenbezogenen Daten

Unterstützung mehrerer Plattformen

Mit dem konsequenten Einsatz von BYOD vervielfacht sich der Aufwand für die Unterstützung von Plattformen und Betriebssystemen. Die vorhandenen Apps im Unternehmen sind für alle Plattformen anzubieten. Damit steigt der Aufwand für die Erstellung enorm.

Endbenutzersupprt

Plötzlich ist die Firmen-IT auch für Applikationen, Betriebssysteme und Plattformen zuständig, für die sie nicht ausreichend Know-How aufgebaut hat. Anwndender erwarten, dass der Helpdesk auch für ihre Geräte aussagefähig ist. Das erzeugt Irritation auf beiden Seiten.  Tabelle 1 zeigt die Vor- und Nachteile im Überblick.

Pro & Contra von Kriterien zur Bewertung von BYOD
Kriterium Vorteil Nachteil
Kostenreduktion
Produktivitätssteigerung
Anwenderzufriedenheit
Sicherheitsrisiken
Multi-Plattform-Support
Endbenutzersupport

Welche Datenarten liegen auf den Geräten?


© bengrey – Flickr (CC BY SA 2.0)

Je nach Unternehmensgegenstand wird die Geschäftsführung zu unterschiedlichen ERgebnissen gelangen,w as den Einsatz privater Geräte im Unternehmen (BYOD) betrifft. Darüber hinaus ist die Nutzung von eigenen Geräten je nach Abteilung sehr unterschiedlich verteilt.[15]

Verbreitung von BYOD in Abteilungen
Abteilung
BYOD [%]
Vorstand, Geschäftsführung 82
Verkauf, Vertrieb 70
ITK-Abteilungen 47
Marketing, Werbung 42
Forschung, Entwicklung 37
Kundendienst 18
andere 12
Finanzen, Rechnungswesen 11
Einkauf, Beschaffung 11
Persona 8
Produktion 7
Logistik, Lager, Transport 5

Zum Datensicherheitskonzept gehören auch die persönlichen Geräte. Welche Daten sind auf einem persönlichen Gerät vorhanden?

Nebenbemerkung
Wie stark ist die Beißhemmung des Datensicherheitsbeauftragten oder des Datenschutzbeauftragten gegenüber dem Vorstand oder eloquenten Mitarbeitenden im Vertrieb?

 

Auf einem privaten Gerät sind zunächst folgende Datenarten zu erwarten

  • Private Kontaktdaten
  • Telefonnummern
  • Postadressen
  • Emailadressen
  • Kontonamen in sozialen Netzen
  • Private Fotos, Videos, Tonaufnahmen
  • Musikstücke idealerweise mit Lizenz
  • Private Dokumente

Es ist weiter davon auszugehen, dass Filesharing-Apps und Cloud-Dienste im Einsatz sind. Damit entziehen sich die Daten mitunter dem Einflussbereich deutscher oder europäischer (im Sinne der Europäischen Union) Rechtsprechung.

Zu diesen persönlichen und personenbezogenen Daten kommen nun Firmendaten. Das sind

  • geschäftliche Daten von Interessenten, Kunden, Lieferanten, Mitarbeitenden
  • Vertragsdokumente in unterschiedlichen Entwurfsstadien und unterschiedlichen Zwecken wie Arbeitsvergträge, Vertrge über freie Mitarbeit, Lieferverträge, Bestellungen, Auftragsbestätigungen, Vertragsbedingungen, Ausschreibungen
  • Strategiepapiere, Studien, Forschungsergebnisse
  • Details zu Ansprechpartnern, die auf dem Firmengerät nicht gespeichert werden dürfen

Herausforderung BYOD – Vermischung von Privatem und Dienstlichem

Die Herausforderung beginnt, wenn private und berufliche Daten auf einem Gerät verwenden werden. Das Trennungsgebot des Datenschutzes, s. u., fordert, dass Daten zur Nutzung unterschiedlicher Zwecke auch unterschiedlich gespeichert ewrden müssen. Wenn auf dem privaten Gerät nur eine Anwendung vorhanden ist, mit der Kontaktdaten verarbeitet werden, ist dieses Gebot bereits übertreten. Deshalb sind technische und organisatorische Maßnahmen vorzusehen, die die Mischung von persönlichen und beruflichen Daten verhindern. Das Katastrophenszenario schildert der Artikel „Die dunkle Seite von BYOD: Privatsphäre, Datenverlust und mehr (engl.) [16]

Welche Maßnahmen helfen weiter?

© chase_elliott – Flickr (CC BY SA 2.0″))

Welche Kontrollmechanismen sieht das Bundesdatenschutzgesetz vor?

Zunächst unternehme ich mit Ihnen einen kurzen Ausflug in Ebenen des Bundesdatenschutzgesetzes, ohne dessen Kenntnis es hier nicht geht. Denn zum Einen hat das Unternehmen Pfichten bei der Behandlung von personenbezogenen Daten, zum anderen auch die Nutzer der Endgeräte. Die technischen und organisatorischen Maßnahmen, die zur Einhaltung des Schutzes personenbezogener Daten beitragen, sind in der Anlage 1 zum § 9 des Bundesdatenschutzgesetzes erläutert.

Zutrittskontrolle
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
Zugangskontrolle
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
Zugriffskontrolle
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Weitergabekontrolle
4. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Eingabekontrolle
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
Auftragskontrolle
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
Verfügbarkeitskontrolle
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
Trennungsgebot
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Vgl. [18]

Wie sind diese Maßnahmen umzusetzen?

Strategie entwickeln

Wer ohne Strategie in das BYOD-Gefecht geht, wird am Ende den Kürzeren ziehen. Bevor die Pforten des Unternehmensnetzwerkes für private Geräte geöffnet werden, sollten also folgende Fragen klar beantwotet sein und mit den zustsändigen Abteilungen und Gremien eine Vereinbarung geschlossen sein, [17]

  • Einsetzbare Gerätetypen
  • Anwendbare Betriebssysteme
  • Einbezogene Mitarbeitergruppen
  • Erlaubte Zwecke der Verarbeitung
  • Verwendbare Informationsklassen
  • Zulässige Kommunikationskanäle

Konzepte ableiten

Ausgehend von der Strategie können dann die Konzepte innerhalb dieser Themenfelder erarbeitet werden.

  • Administration der Geräte
  • Diebstahlschutz und Vorbeugung
  • Sensibilisierung und Schulung der Mitarbeiter
  • Trennung privater und dienstlicher Daten

Maßnahmen definieren und realisieren

Die nächste Stufe der Verfeinerung des Vorgehens sind die folgenden konkreten Maßnahmen, dazu gehören: Netzwerksegmentierung, aktuelle Software und ein Maßnahmenkatalog für die Verwaltung mobiler Geräte (MDM, Mobile Device Management).

  • Verschlüsselte Verbindung nach innen
  • Richtlinien über Zulassung der Geräte
  • BYOD-Geräte sollen ein eigenens Netzsegment bekommen
  • Netzsegmentierung zwischen internen Diensten und Diensten mit Zugriff nach außen
  • Protokollierung der Zugriffszeiten
  • Zuganng nur, wenn Virenschutz und Betriebssystem aktuell sind

Win-Win-Situation

Das Verwenden von eigenen Geräten im beruflichen Umfeld ist so zu gestalten, dass es für beide Seiten einen Nutzen bringt. Das beinhaltet von Unternehmensseite den Verzicht auf den Zugriff auf private Daten und von der Seite der Mitarbeiter die Zustimmung, gewisse und abgestimmte Bereiche seines privaten Geräts für die Nutzung durch das Unternehmen freizugeben. Zur Vermeidung von Unstimmigkeiten empfiehlt sich der Abschluss einer Vereinbarung zwischen Unternehmen und Mitarbeitern. Diese Vereinbarung sollte folgende Punkte umfassen.

  • Regelungen zu technischen und organisatorischen Maßnahmen und wer für die Durchführung verantwortlich ist
  • Verhalten bei Verlust
  • Klärung zulässiger und unzulässiger Applikationen und Anwendungen
  • Synchronstionsmöglichkeiten mit Unternehmensdaten
  • Regelung über den Zugriff des Unternehmens auf die privaten Geräte
  • Regelungen für die Rückgabe von Daten

Exkurs: Wer ist für die Einhaltung des Datenschutzes auf privaten Geräten verantwortlich?

Sowohl für rein beruflich und rein privat genutzte Geräte ist die Frage nach der Verantwortlichkeit klar. Bei privat genutzten Geräten ist niemand veraantwortlich oder haftbar zu machen, denn das Bundesdatentschutzgesetz greift für die vom Eigentümer verwendeten Daten nicht. Dagegen ist es gültig für Daten, die von Unternehmen oder Ämtern und Behörden verwendet werden. Für rein beruflich genutzte Geräte ist somit klar, dass die Regelungen des Bundesdatenschutzgesetzes greifen. Verantwortlich ist damit die Geschäftsführung eines Unternehmens. Diese Verantworltichkeit umfasst auch die mögliche Haftbarmachung gemäß den Vorschriften des Bundesdatenschutzgesetzes zum Beispiel bei Verlust von Daten, bei unrechtmäßiger Verwendung personenbezogener Daten.

Wenn nun privat beschaffte Geräte für den beruflichen Einsatz verwendet werden, ist die Frage nicht mehr so klar und eindeutig zu beantworten. Im Zweifel ist davon auszugehen, dass die Persönlichkeitsrechte der Mitarbeitenden vor dem Interesse des Unternehmens rangieren.

Zusammenfassung

Forscherin sieht durch eine Lupe
Forscherin sieht durch eine Lupe © marin – FreeDigitalPhotos (CC BY 2.0)

 

Schlussendlich sind die Maßnahmen bei BYOD mit den folgenden Punkten zu beschreiben:

  1. Die anzustrebenden Lösungen sind unternehemensweit einzusetzen
  2. Es ist ein Sicherheitskonzept zu entwickeln
  3. Alle Nutzer sind zu sensisbilisieren und zu schulen
  4. Für alle Beteiligten sind Rechte und Pflilchten zu regeln
  5. Die 10 Gebote des BYOD sind einzuhalten

Unternehmensweite Lösungen

Der Einsatz von unternehmensweiten Lösungen ist vorzuziehen, Insellösungen ergeben zusätzliche Angriffsszenarien und erhöhen das Risiko für Datenverlust erheblich. Auf Unternehmensebene sind Mobile-Device-Management-Systeme (MDM) einzusetzen. Diese Lösungen umfassen folgende Funktionen

  • Verschlüsselungssoftware
  • Synchronisationssoftware
  • Vorbeugung vor Datenverlust
  • Wiederbeschaffung von Daten bei Diebstahl (Theft Recovery)
  • Löschen und Säubern des Gerätes aus der Ferne (Remote Wipe)
  • Zugang über ein VPN
  • Fernzugangssoftware (Remote Desktop)

Quelle [1]

Es stellt sich die Frage, ob die Anschaffung und Wartung eigener mobiler Geräte für das Unternehmen günstiger ist als der Rückgriff auf eine Vielzahl privater Geräte.

Sicherheitskonzept

Beim Einsatz von BVOD ist ein Sicherheitskonzept mit den folgenden zu erarbeiten, dass die folgenden Merkmale beinhaltet.

  • Es dürfen keine besonders schutzwürdigen Daten verarbeitet oder gespeichert werden.
  • Die Datensicherheitsstandards der Behörde / des Unternehmens müssen auch bei Smartphones und Tablet-PCs eingehalten werden.
  • Die Schnittstellen müssen kontrolliert werden.
  • Daten müssen verschlüsselt gespeichert werden.
  • Falls das Gerät verloren geht, muss es die Möglichkeit geben, die gespeicherten Daten aus der Ferne zu löschen.
  • Unternehmensdaten und private Daten dürfen nicht vermischt werden.
  • Der Softwarestand der Geräte ist aktuell zu halten.
  • Es ist für einen geeigneten und aktuellen Schutz vor Schadprogrammen zu sorgen.
  • Cloud-Dienste oder Filesharing-Apps dürfen nicht verwendet werden.
  • Die Installation von nicht lizensierter Software ist zu unterlassen.
  • Jailbreaks sind tabu.

Vgl. Quelle [2]

Schulung der Arbeitnehmer und Nutzer

Alle Nutzer von BYOD-Geräten müssen in den folgenden Punkten sensibilisiert und unterrichtet werden.

  • Arbeitnehmer ist alleiniger Nutzer des Geräts.
  • Es sind geeignete sichere Passwörter zu erzeugen.
  • Die Passwörter sind sicher zu verwalten.
  • Weitergabe der Geräte an dritte Personen, auch Familienangehörige, ist zu untersagen.
  • Der Verlust des Geräts oder der Daten sind dem Unternehmen anzuzeigen.

Quelle [1]

Rechte und Pflichten der Nutzer

Bei der Nutzung personenbezogener Daten ist die Geschäftsführung in der Pflicht. Ausgehend von den entstehenden Daten sind verschiedene Aspekte zu betrachten. Für die Geräte muss sich das Unternehmen weitgehende Rechte einräumen lassen. Sonst entsteht die Gefahr, dass das Unternehmen – die Geschäftsführung – haftbar gemacht wird. Für den Eigner der Geräte entstehen so möglicherweise Eingriffe in die Privatsphäre. Ist dies nicht geregelt, kann die Einsicht in das Gerät verweigert werden. Der Schutz der Privatsphäre hat hier größeres Gewicht als das Interesse des Unternehmens. Das dürfte regelmäßig Konfliktpotential erzeugen und ist so ein Grund mehr, die Nutzung privater Geräte im Unternehmen penibel zu regeln.

Eine Verpflichtung zur Nutzung privater Geräte für den betrieblichen Einsatz kann es nicht geben, denn die Betriebsmittel muss das Unternehmen stellen.

Die 10 Gebote von BYOD

Eine Zusammenfassung der Rechte und Pflichten beim Einsatz von privaten Geräten im Unternehmen stellen die 10 Gebote des BYOD dar.

  1. Erstelle die Regeln, bevor du die Technik beschaffst.
  2. Suche die Geräte der Menge
  3. Halte die Registrierung einfach
  4. Du sollst die Gerätekonfiguration drahtlos vornehmen
  5. Dene Anwender fordern Selbstbedienung
  6. Beachte die geheiligten persönlichen Informationen
  7. Teile das Meer der geschäftlichen und privaten Daten
  8. Verwalte deinen Datenverbrauch
  9. Behalte deine Herde im Auge, automatisch
  10. Trinke vom Brunnen des ROI

Quellen

[1.] Dr. iur. Lorenz Franck, Bring your own device – Rechtliche und tatsächliche Aspekte (GDD e.V.)

[2.] Handreichung zur Nutzung von Smartphones und Tablet-Computer in Behörden und Unternehmen (Der Hessische Datenschutzbeauftragte)

[3.] Pros and Cons of BYOD (Bring Your Own Device)

[4.] Bilanz: Die Vor- und Nachteil von BYOD (CIO)

[5.] Und bitte bringen Sie Ihr Tablet mit! (Die Welt)

[6.] Nutzung des privaten PCs im Job kann teuer werden (Die Welt)

[7.] http://smartfonearena.com/wp-content/uploads/2015/03/BYOD-benefits.jpg

[8.] BYOD Policies: The Pros and Cons (Susan Wojtkowski via Linkedin)

[9.] HP-Studie belegt: 70 Prozent der Unternehmen haben keine BYOD-Regeln

[10.] Studie: BYOD ist für die Mehrzahl der Mitarbeiter kein „Herzenswunsch“

[11.] BYOD-Studie: Mitarbeiter sorgen sich um ihre persönlichen Daten

[12.] Mobile Endgeräte und die Auswirkungen auf Firmennetze (TecChannel)

[13.] 10 Commandments of Bring Your Own Device (Rob Patey’s Comic Books & Corporate Communications Blog)

[14.] 9 Idiotic Office Rules That Drive Everyone Insane

[15.] Was aus CIO-Sicht für BYOD spricht (Computerwoche)

[16.] The Dark Side of BYOD: Privacy, personal data loss, and more

[17.] Überblickspapier BYOD (BSI)

[18.] Bundesdatenschutzgesetz . Anlage zu § 9 Satz 1 (dejure.org)

Über den Autor diet46