Chancen, Risiken und Nebenwirkungen von BYOD

Und die 10 Gebote des BYOD


© Elvert Barnes – Flickr (CC BY SA 2.0)

Die gute Nachricht: BYOD funktioniert. Wer persönliche Geräte im Unternehmensnetz ermöglicht, hat mit geringeren Beschaffungs- und Kapitalkosten zu rechnen und bekommt höhere Produktivität. Die schlechte Nachricht: Die Probleme beginnen jetzt. Darf der Chef auf die privaten Geräte zugreifen? Wer haftet, wenn Firmendaten aus dem privaten Gerät ausgespäht werden?

Was ist BYOD?

Bring your own device, das eigene Gerät zum Arbeiten zu nutzen ist für etliche verlockend. Gleichwohl ist es in Deutschland kein Herzenswunsch der Mitarbeitenden, nur etwa 30 % wollen Berufliches und Privates verbinden. Der Rest – immerhin 70 % – wünschen sich eher eine Trennung von beruflich und privat genutzten Endgeräten und Anwendungen. Dies zeigt eine Studie von Computacenter und PAC aus dem Jahre 2014. Vgl. [10]. Zu den beruflich genutzten Geräten gehören sowohl der Computer zu Hause, der Laptop zu Hause, unterwegs oder im Büro, der Tablet-PC, das Smartphone. Jedes Gerät hat eigenen Herausforderungen und bringt unterschiedliche Betriebssysteme, Sicherheitsmechanismen, Benutzerverhalten mit. Auf diese Bedingungen müssen sich Unternehmen und Mitarbeitende einstellen. Dabei stehen für Unternehmen Sicherheitsaspekte stärker im Vordergrund als für die Mitarbeitenden, vgl. [12]. Für die lautet das Motto: „Mein Telefon, meine Regeln“. Das kollidiert in der Praxis mit Unternehmensregeln und auch mit den Anforderungen des Datenschutzes.

Welche Vorteile bringt BYOD?

Die Verwendung privater Geräte bringt natürlich beiden Seiten Vorteile. Susan Wojtkowski [8] nennt unter anderem die folgenden Aspekte, die durch Erfahrungen des Autors ergänzt wurden. Neben Vorteilen nennt sie auch Nachteile oder Risiken bei BYOD.

  • Kostenrduktion
    Die Kosten für die Technologie verringern sich. Aus Unternehmensicht ist dies ein wesentlicher Vorteil. Aus Sicht der Anwender kann es nachteilig sein, wenn sie für Anschaffung, Wartung, Reparatur und Ersatz selbst aufkommen müssen. Weiter stellt sich die Frage, wie und ob die Zeit für Updates – am privaten Gerät – als Arbeitszeit angerechnet wird. Eine Kostenreduktion kann sich auch durch erhöhte Energieefiizienz ergeben. Tragbare Geräte benötigen weniger Energie als feste Personalcomputer. Es ist zu kalkulieren, ob die Kostenrduktion bei Beschaffung und Wartung ggf. durch erhöhten Aufwand beim Benutzersupport relativiert wird.
  • Produktivitätssteigerung
    Das Empfinden der Anwender verbessert sich beim Einsatz persönlicher Geräte. Gleichzeitig damit steigt die Produktivität. Wenn die privaten Geräte jedoch weniger leistungsfähig sind als die Firmengeräte sinkt die Produktivität.  Das gilt auch, wenn unterschiedliche Versionen auf den Geräten die Funktionsfähigkeit beeinträchtigen.
  • Anwenderzufriedenheit
    Angestellte sind glücklicher, wenn sie die Geräte verwenden können, die sie lieben und besitzen. Das gilt nicht nur für Techniker, sondern auch für Mitarbeitende im Vertrieb, Einkauf, Marketing und  bis ins Management.
  • Sicherheitsrisiken
    Auf der anderen Seite sind Sicherheitsaspekte ein wesentlicher Punkt bei der Entscheidung gegen BYOD. Bei der Nutzung unsicherer WLAN-Zugänge, der Bluetooth-Verbindung oder anderer Übertragungsmöglichkeiten können Firmendaten, Betriebsgeheimnisse, personenbezogene Daten ausgespäht werden. Die Firmenregeln für Antivirussoftware, für Zugangsbeschränkungen gelten auf privaten Geräten nicht. Die IT-Abteilung ist dafür verwantwortlich, Vorkehrungen zur Abwehr einzurichten. Das wiederum erzeugt auf Unternehmensseite zusätzliche Kosten. Nicht nur Firmen sorgen sich um ihre Daten, auch Mitarbeitende sind besorgt über den Schutz ihrer personenbezogenen Daten
  • Unterstützung mehrerer Plattformen
    Mit dem konsequenten Einsatz von BYOD vervielfacht sich der Aufwand für die Unterstützung von Plattformen und Betriebssystemen. Die vorhandenen Apps im Unternehmen sind für alle Plattformen anzubieten. Damit steigt der Aufwand für die Erstellung enorm.
  • Endbenutzersupprt
    Plötzlich ist die Firmen-IT auch für Applikationen, Betriebssysteme und Plattformen zuständig, für die sie nicht ausreichend Know-How aufgebaut hat. Anwndender erwarten, dass der Helpdesk auch für ihre Geräte aussagefähig ist. Das erzeugt Irritation auf beiden Seiten.

Die Tabelle 1 zeigt die Vor- und Nachteile im Überblick.

Tabelle 1: Pro & Contra von Kriterien zur Bewertung von BYOD
Kriterium Vorteil Nachteil
Kostenreduktion
Produktivitätssteigerung
Anwenderzufriedenheit
Sicherheitsrisiken
Multi-Plattform-Support
Endbenutzersupport

Welche Datenarten liegen auf den Geräten?


© bengrey – Flickr (CC BY SA 2.0)

Je nach Unternehmensgegenstand wird die Geschäftsführung zu unterschiedlichen ERgebnissen gelangen,w as den Einsatz privater Geräte im Unternehmen (BYOD) betrifft. Darüber hinaus ist die Nutzung von eigenen Geräten je nach Abteilung sehr unterschiedlich verteilt.[15]

Tabelle 2: Verbreitung von BYOD in Abteilungen
Abteilung
BYOD [%]
Vorstand, Geschäftsführung 82
Verkauf, Vertrieb 70
ITK-Abteilungen 47
Marketing, Werbung 42
Forschung, Entwicklung 37
Kundendienst 18
andere 12
Finanzen, Rechnungswesen 11
Einkauf, Beschaffung 11
Persona 8
Produktion 7
Logistik, Lager, Transport 5

Datensicherheitskonzept gehören auch die persönlichen Geräte. Welche Daten sind auf einem persönlichen Gerät vorhanden?

Nebenbemerkung
Wie stark ist die Beißhemmung des Datensicherheitsbeauftragten oder des Datenschutzbeauftragten gegenüber dem Vorstand oder eloquenten Mitarbeitenden im Vertrieb?

Auf einem privaten Gerät sind zunächst folgende Datenarten zu erwarten

  • Private Kontaktdaten
    • Telefonnummern
    • Postadressen
    • Emailadressen
    • Kontonamen in sozialen Netzen
  • Private Fotos, Videos, Tonaufnahmen
  • Musikstücke idealerweise mit Lizenz
  • Private Dokumente

Es ist weiter davon auszugehen, dass Filesharing-Apps und Cloud-Dienste im Einsatz sind. Damit entziehen sich die Daten mitunter dem Einflussbereich deutscher oder europäischer (im Sinne der Europäischen Union) Rechtsprechung.

Zu diesen persönlichen und personenbezogenen Daten kommen nun Firmendaten. Das sind

  • geschäftliche Daten von Interessenten, Kunden, Lieferanten, Mitarbeitenden
  • Vertragsdokumente in unterschiedlichen Entwurfsstadien und unterschiedlichen Zwecken wie Arbeitsvergträge, Vertrge über freie Mitarbeit, Lieferverträge, Bestellungen, Auftragsbestätigungen, Vertragsbedingungen, Ausschreibungen
  • Strategiepapiere, Studien, Forschungsergebnisse
  • Details zu Ansprechpartnern, die auf dem Firmengerät nicht gespeichert werden dürfen

Die Herausforderung beginnt, wenn private und berufliche Daten auf einem Gerät verwenden werden. Das Trennungsgebot des Datenschutzes, s. u., fordert, dass Daten zur Nutzung unterschiedlicher Zwecke auch unterschiedlich gespeichert ewrden müssen. Wenn auf dem privaten Gerät nur eine Anwendung vorhanden ist, mit der Kontaktdaten verarbeitet werden, ist dieses Gebot bereits übertreten. Deshalb sind technische und organisatorische Maßnahmen vorzusehen, die die Mischung von persönlichen und beruflichen Daten verhindern. Das Katastrophenszenario schildert der Artikel „Die dunkle Seite von BYOD: Privatsphäre, Datenverlust und mehr (engl.) [16]

Welche Maßnahmen helfen weiter?

© chase_elliott – Flickr (CC BY SA 2.0″))

Welche Kontrollmechanismen sieht das Bundesdatenschutzgesetz vor?

Zunächst unternehme ich mit Ihnen einen kurzen Ausflug in Ebenen des Bundesdatenschutzgesetzes, ohne dessen Kenntnis es hier nicht geht. Denn zum Einen hat das Unternehmen Pfichten bei der Behandlung von personenbezogenen Daten, zum anderen auch die Nutzer der Endgeräte. Die technischen und organisatorischen Maßnahmen, die zur Einhaltung des Schutzes personenbezogener Daten beitragen, sind in der Anlage 1 zum § 9 des Bundesdatenschutzgesetzes erläutert.

Zutrittskontrolle
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
Zugangskontrolle
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
Zugriffskontrolle
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Weitergabekontrolle
4. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Eingabekontrolle
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
Auftragskontrolle
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
Verfügbarkeitskontrolle
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
Trennungsgebot
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Vgl. [18]

Wie sind diese Maßnahmen umzusetzen?

Strategie entwickeln

Wer ohne Strategie in das BYOD-Gefecht geht, wird am Ende den Kürzeren ziehen. Bevor die Pforten des Unternehmensnetzwerkes für private Geräte geöffnet werden, sollten also folgende Fragen klar beantwotet sein und mit den zustsändigen Abteilungen und Gremien eine Vereinbarung geschlossen sein, [17]

  • Welche Gerätetypen sollen generell eingesetzt werden dürfen bzw. vom Einsatz ausgeschlossen werden?
  • Welche Betriebssysteme sollen bzw. welche sollen nicht zum Einsatz kommen?
  • Welche Mitarbeiter dürfen zu welchen Zwecken Consumer-Endgeräte einsetzen?
  • Welche Informationen mit welchem Schutzbedarf dürfen mit diesen Geräten verarbeitet werden?
  • Welche dieser Informationen dürfen über welche Kanäle kommuniziert werden?

Konzepte ableiten

Ausgehend von der Strategie können dann die Konzepte innerhalb dieser Themenfelder erarbeitet werden.

  • Administration der Geräte
  • Diebstahlschutz und Vorbeugung
  • Sensibilisierung und Schulung der Mitarbeiter
  • Trennung privater und dienstlicher Daten

Maßnahmen definieren und realisieren

Die nächste Stufe der Verfeinerung des Vorgehens sind die folgenden konkreten Maßnahmen, dazu gehören: Netzwerksegmentierung, aktuelle Software und ein Maßnahmenkatalog für die Verwaltung mobiler Geräte (MDM, Mobile Device Management).

  • Verschlüsselte Verbindung nach innen
  • Richtlinien über Zulassung der Geräte
  • BYOD-Geräte sollen ein eigenens Netzsegment bekommen
  • Netzsegmentierung zwischen internen Diensten und Diensten mit Zugriff nach außen
  • Protokollierung der Zugriffszeiten
  • Zuganng nur, wenn Virenschutz und Betriebssystem aktuell sind

Win-Win-Situation

Das Verwenden von eigenen Geräten im beruflichen Umfeld ist so zu gestalten, dass es für beide Seiten einen Nutzen bringt. Das beinhaltet von Unternehmensseite den Verzicht auf den Zugriff auf private Daten und von der Seite der Mitarbeiter die Zustimmung, gewisse und abgestimmte Bereiche seines privaten Geräts für die Nutzung durch das Unternehmen freizugeben. Zur Vermeidung von Unstimmigkeiten empfiehlt sich der Abschluss einer Vereinbarung zwischen Unternehmen und Mitarbeitern. Diese Vereinbarung sollte folgende Punkte umfassen.

  • Regelungen zu technischen und organisatorischen Maßnahmen und wer für die Durchführung verantwortlich ist
  • Verhalten bei Verlust
  • Klärung zulässiger und unzulässiger Applikationen und Anwendungen
  • Synchronstionsmöglichkeiten mit Unternehmensdaten
  • Regelung über den Zugriff des Unternehmens auf die privaten Geräte
  • Regelungen für die Rückgabe von Daten

Exkurs: Wer ist für die Einhaltung des Datenschutzes auf privaten Geräten verantwortlich?

Sowohl für rein beruflich und rein privat genutzte Geräte ist die Frage nach der Verantwortlichkeit klar. Bei privat genutzten Geräten ist niemand veraantwortlich oder haftbar zu machen, denn das Bundesdatentschutzgesetz greift für die vom Eigentümer verwendeten Daten nicht. Dagegen ist es gültig für Daten, die von Unternehmen oder Ämtern und Behörden verwendet werden. Für rein beruflich genutzte Geräte ist somit klar, dass die Regelungen des Bundesdatenschutzgesetzes greifen. Verantwortlich ist damit die Geschäftsführung eines Unternehmens. Diese Verantworltichkeit umfasst auch die mögliche Haftbarmachung gemäß den Vorschriften des Bundesdatenschutzgesetzes zum Beispiel bei Verlust von Daten, bei unrechtmäßiger Verwendung personenbezogener Daten.

Wenn nun privat beschaffte Geräte für den beruflichen Einsatz verwendet werden, ist die Frage nicht mehr so klar und eindeutig zu beantworten. Im Zweifel ist davon auszugehen, dass die Persönlichkeitsrechte der Mitarbeitenden vor dem Interesse des Unternehmens rangieren.

Zusammenfassung

Lupe
© marin – FreeDigitalPhotos (CC BY 2.0)

Schlussendlich sind die Maßnahmen bei BYOD mit den folgenden Punkten zu beschreiben:

  1. Die anzustrebenden Lösungen sind unternehemensweit einzusetzen
  2. Es ist ein Sicherheitskonzept zu entwickeln
  3. Alle Nutzer sind zu sensisbilisieren und zu schulen
  4. Für alle Beteiligten sind Rechte und Pflilchten zu regeln
  5. Die 10 Gebote des BYOD sind einzuhalten

Unternehmensweite Lösungen

Der Einsatz von unternehmensweiten Lösungen ist vorzuziehen, Insellösungen ergeben zusätzliche Angriffsszenarien und erhöhen das Risiko für Datenverlust erheblich. Auf Unternehmensebene sind Mobile-Device-Management-Systeme (MDM) einzusetzen. Diese Lösungen umfassen folgende Funktionen

  • Verschlüsselungssoftware
  • Synchronisationssoftware
  • Vorbeugung vor Datenverlust
  • Wiederbeschaffung von Daten bei Diebstahl (Theft Recovery)
  • Löschen und Säubern des Gerätes aus der Ferne (Remote Wipe)
  • Zugang über ein VPN
  • Fernzugangssoftware (Remote Desktop)

Quelle [1]

Es stellt sich die Frage, ob die Anschaffung und Wartung eigener mobiler Geräte für das Unternehmen günstiger ist als der Rückgriff auf eine Vielzahl privater Geräte.

Sicherheitskonzept

Beim Einsatz von BVOD ist ein Sicherheitskonzept mit den folgenden zu erarbeiten, dass die folgenden Merkmale beinhaltet.

  • Es dürfen keine besonders schutzwürdigen Daten verarbeitet oder gespeichert werden.
  • Die Datensicherheitsstandards der Behörde / des Unternehmens müssen auch bei Smartphones und Tablet-PCs eingehalten werden.
  • Die Schnittstellen müssen kontrolliert werden.
  • Daten müssen verschlüsselt gespeichert werden.
  • Falls das Gerät verloren geht, muss es die Möglichkeit geben, die gespeicherten Daten aus der Ferne zu löschen.
  • Unternehmensdaten und private Daten dürfen nicht vermischt werden.
  • Der Softwarestand der Geräte ist aktuell zu halten.
  • Es ist für einen geeigneten und aktuellen Schutz vor Schadprogrammen zu sorgen.
  • Cloud-Dienste oder Filesharing-Apps dürfen nicht verwendet werden.
  • Die Installation von nicht lizensierter Software ist zu unterlassen.
  • Jailbreaks sind tabu.

Vgl. Quelle [2]

Schulung der Arbeitnehmer und Nutzer

Alle Nutzer von BYOD-Geräten müssen in den folgenden Punkten sensibilisiert und unterrichtet werden.

  • Arbeitnehmer ist alleiniger Nutzer des Geräts.
  • Es sind geeignete sichere Passwörter zu erzeugen.
  • Die Passwörter sind sicher zu verwalten.
  • Weitergabe der Geräte an dritte Personen, auch Familienangehörige, ist zu untersagen.
  • Der Verlust des Geräts oder der Daten sind dem Unternehmen anzuzeigen.

Quelle [1]

Rechte und Pflichten der Nutzer

Bei der Nutzung personenbezogener Daten ist die Geschäftsführung in der Pflicht. Ausgehend von den entstehenden Daten sind verschiedene Aspekte zu betrachten. Für die Geräte muss sich das Unternehmen weitgehende Rechte einräumen lassen. Sonst entsteht die Gefahr, dass das Unternehmen – die Geschäftsführung – haftbar gemacht wird. Für den Eigner der Geräte entstehen so möglicherweise Eingriffe in die Privatsphäre. Ist dies nicht geregelt, kann die Einsicht in das Gerät verweigert werden. Der Schutz der Privatsphäre hat hier größeres Gewicht als das Interesse des Unternehmens. Das dürfte regelmäßig Konfliktpotential erzeugen und ist so ein Grund mehr, die Nutzung privater Geräte im Unternehmen penibel zu regeln.

Eine Verpflichtung zur Nutzung privater Geräte für den betrieblichen Einsatz kann es nicht geben, denn die Betriebsmittel muss das Unternehmen stellen.

Die 10 Gebote von BYOD

Eine Zusammenfassung der Rechte und Pflichten beim Einsatz von privaten Geräten im Unternehmen stellen die 10 Gebote des BYOD dar.

  1. Erstelle die Regeln, bevor du die Technik beschaffst.
  2. Suche die Geräte der Menge
  3. Halte die Registrierung einfach
  4. Du sollst die Gerätekonfiguration drahtlos vornehmen
  5. Dene Anwender fordern Selbstbedienung
  6. Beachte die geheiligten persönlichen Informationen
  7. Teile das Meer der geschäftlichen und privaten Daten
  8. Verwalte deinen Datenverbrauch
  9. Behalte deine Herde im Auge, automatisch
  10. Trinke vom Brunnen des ROI

Quellen

[1.] Dr. iur. Lorenz Franck, Bring your own device – Rechtliche und tatsächliche Aspekte (GDD e.V.)

[2.] Handreichung zur Nutzung von Smartphones und Tablet-Computer in Behörden und Unternehmen (Der Hessische Datenschutzbeauftragte)

[3.] Pros and Cons of BYOD (Bring Your Own Device)

[4.] Bilanz: Die Vor- und Nachteil von BYOD (CIO)

[5.] Und bitte bringen Sie Ihr Tablet mit! (Die Welt)

[6.] Nutzung des privaten PCs im Job kann teuer werden (Die Welt)

[7.] http://smartfonearena.com/wp-content/uploads/2015/03/BYOD-benefits.jpg

[8.] BYOD Policies: The Pros and Cons (Susan Wojtkowski via Linkedin)

[9.] HP-Studie belegt: 70 Prozent der Unternehmen haben keine BYOD-Regeln

[10.] Studie: BYOD ist für die Mehrzahl der Mitarbeiter kein „Herzenswunsch“

[11.] BYOD-Studie: Mitarbeiter sorgen sich um ihre persönlichen Daten

[12.] Mobile Endgeräte und die Auswirkungen auf Firmennetze (TecChannel)

[13.] 10 Commandments of Bring Your Own Device (Rob Patey’s Comic Books & Corporate Communications Blog)

[14.] 9 Idiotic Office Rules That Drive Everyone Insane

[15.] Was aus CIO-Sicht für BYOD spricht (Computerwoche)

[16.] The Dark Side of BYOD: Privacy, personal data loss, and more

[17.] Überblickspapier BYOD (BSI)

[18.] Bundesdatenschutzgesetz . Anlage zu § 9 Satz 1 (dejure.org)

Was der CFO unbedingt über die Cloud wissen muss

Datenschutz und Cloudnutzung im Unternehmen

Was der CFO über die Cloud wissen muss

Finanzdaten in der Cloud? Einige rollen die Augen, andere strahlen. Welche Vorteile überwiegen? Der Beitrag von Daleth-Datenschutz zeigt, welche Cloud-Lösungen es gibt und listet die Vor- und Nachteile der Cloud. Weiter wird eine Entscheidungshilfe dazu gezeigt, ob interne oder externe Lösungen sicherer sind. Zur Prüfung von Angeboten und Dienstleistungen wird ein Kriterienkatalog vorgestellt, eine umfangreiche Linksammlung rundet den Beitrag ab.

Welche Cloud-Lösungen sind etabliert?

Mit Cloud-Lösungen sind sehr unterschiedliche Anwendungsfälle gemeint. Allen Anwendungen ist gemeinsam, dass spezialisierte Bereiche außerhalb des eigenen Firmennetzwerkes genutzt werden. Der Lösungsanbieter stellt nicht nur die Funktion selbst zur Verfügung, sondern auch die gesamte erforderliche Infrastruktur. Daneben kümmert sich der Anbieter zusätzlich um Administration, Updates, Verfügbarkeit, Backups. Zusammengefasst lassen sich folgende Lösungen unterscheiden

  • Speicherlösungen mit erweiterten Funktionen wie Backup, Versionierung, Zugriff für Mitarbeitende
  • Bausteine für Anwendungen, sogenannte Frameworks, die Funktionen für bestimmte Einsatzzwecke bereitstellen und mit denen sich weitere Anwendungen erstellen lassen
  • Anwendungen für bestimmte Einsatzfälle wie Finanzbuchhaltung, Kommunikationslösungen
  • Systeme, die Infrastruktur wie Server, Router usw. zur Verfügung stellen.

Was sind die Vorteile von Cloud-Lösungen?

Es gibt etliche Argumente für den Einsatz von Cloud-Lösungen.

  • Mit den regelmäßigen Zahlungen sind alle Leistungen abgegolten. Es entstehen keine weiteren Kosten für Hardware, Software oder
    Mitarbeitende.
  • Der Zugriff auf die Systeme einer Cloud-Lösung erfolgt ortsunabhängig.
  • Es entsteht kein Investitionsaufwand. Der Einsatz einer Cloud-Lösung ist kaufmännisch betrachtet eine Dienstleistung.
  • Die verwendete Software ist immer aktuell. Für die Aktualisierung entstehen – kaum – zusätzliche Ausfallzeiten. Gerade in Bereichen mit sich ständig ändernder Gesetzeslage ist das ein Vorteil.
  • Für Neu- oder Ersatzinvestitionen entsteht kein Aufwand für den Ausschreibungsprozess. Außerdem sind die Lösungen schnell auf geänderte Anforderungen anpassbar.

Welche Nachteile hat eine Cloud-Lösung?

Gleichzeitig sind folgende Punkte erkennbar, die gegen den Einsatz von Cloud-Diensten sprechen

  • Es ist ein Internetzugang erforderlich, um Cloud-Dienste nutzen zu
    können.
  • Der Funktionsumfang lässt sich nicht beliebig erweitern, sondern ist vorgegeben. Mit Geld lässt sich hier sicher Einiges realisieren, aber die Nutzung einer Cloud soll ja nun gerade Geld einsparen.
  • Da sich der Funktionsumfang nun nicht beliebig erweitern lässt, muss vor Nutzungsbeginn der Cloud-Lösung geklärt werden, ob die im
    Unternehmen etablierten Prozesse mit den vom Cloud-Anbieter angebotenen Funktionen abgedeckt werden können. Wenn die Abdeckung nicht zu 100 % erfolgen kann, müssen die wesentlichen Funktionen umgesetzt werden können. Für die bleibenden Unternehmensprozesse, die nicht realisiert werden können, sind lokale Abläufe zu etablieren oder die Prozesse müssen so umgestaltet werden, dass sie mit den vorhandenen Funktionen der Cloud-Lösung verwendbar werden.
  • Der Wechsel zu einem anderen Cloud-Anbieter ist meist mit großem Aufwand verbunden.
  • Mit der Cloud-Lösung werden Daten erhoben, verarbeitet und genutzt – im weiteren verwendet -, die das Firmennetzwerk verlassen. Mit dem Cloud-Anbieter ist ein entsprechender Vertrag abzuschließen.
  • Die Nutzungsgeschwindigkeit ist niedriger als die im Firmennetz.

Der letzte Punkt ist für viele Unternehmen ein KO-Kriterium, so dass sie sich regelmäßig gegen den Einsatz von Cloud-Lösungen entscheiden. Dazu gehören Banken und Versicherungen. Auch Telekommunikationsanbieter und Logistikunternehmen oder Handelsunternehmen gehören dazu.

Wie sicher sind Daten außerhalb des Firmennetzes?

Sicher ist dabei nur, dass Daten nirgends sicher sind. Weder innerhalb des Firmennetzes noch außerhalb. Hat ein potenzieller Angreifer die Fährte aufgenommen, ist es nur eine Frage des Aufwands, ob ein Angriff lohnt oder nicht. Auch umgekehrt müssen Aufwand und Nutzen für die Absicherung von Daten in einem ausgewogenen Verhältnis stehen. Wer sich für die interne Datenhaltung entscheidet, hat Kosten für die Aktualisierung und Vorhaltung von Hard- und Software, für die Schulung der Mitarbeitenden und Ausfallzeiten für die Aktualisierung in Kauf zu nehmen. Wer Daten außerhalb speichert, hat das Risiko zu akzeptieren, dass Daten vom Cloud-Anbieter selbst ausgespäht werden.

Dabei hilft es wenig, wenn die Daten innerhalb der Cloud hochgradig gesichert sind, wenn die Daten auf den Endgeräten nicht gesichert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für diesen Basisschutz Richtlinien erarbeitet. Sie umfassen

  • Einstellungen für sichere Personalcomputer
  • Sichere Einstellungen
  • Sichere Verwendung der Technik
  • Veröffentlichte Daten
  • Individuelle Einstellungen
  • Erste Hilfe bei Notfällen
  • Schutzmaßnahmen

Cloud-Anbieter behalten sich oft das Recht vor, überlassene Daten dahingehend zu prüfen, ob sie gesetzlichen Regelungen entsprechen. Dabei
werden natürlich immer auch harmlose Daten – also Ihre Daten – gelesen  und geprüft. Aus meiner Sicht gehört großes Vertrauen zu einem Cloud-Anbieter, dass die dabei gewonnen Informationen nicht in falsche Hände gelangen. Die Tatsache, dass staatliche Stellen Daten lesen, sei es inner- oder außerhalb des eigenen Netzes – lasse ich dabei außen vor. Daraus ergibt sich aber nicht, dass ich dieses Vorgehen billige.

In Sicherheitshinsicht ist das Firmennetz sicherer, denn die Daten müssen das Netzwerk nicht verlassen. Dabei ist eine wesentliche Voraussetzung, dass die Sicherheitsvorkehrungen im Firmennetzwerk dem Stand der Technik entsprechen.

Welche Punkte sind für die Datenspeicherung in einer Cloud-Lösung zu beachten?

Für die umfassende Beurteilung einer Cloud-Lösung halte ich folgende Kriterien aus Sicht des Datenschutzes für wesentlich

  • Sind die Daten beim Cloud-Anbieter sicherer als im lokalen Netzwerk gespeichert?
  • Wurden einzelvertragliche Regelungen mit dem Cloud-Anbieter getroffen? Wurde eine Vereinbarung zur Auftragsdatenverarbeitung getroffen?
  • Garantiert der Cloud-Anbieter, die überlassenen Daten nicht selbst zu nutzen?
  • Kann der Anbieter gewährleisten, dass die technisch-organisatorischen Maßnahmen für den Datenschutz  gemäß Anlage 1 zu § 9 Bundesdatenschutzgesetz in seinem Haus umgesetzt sind?
  • Lässt der Anbieter eine dahingehende Überprüfung zu?
  • Wo hat der Cloud-Anbieter seinen Sitz? Welches Rechtssystem gilt dort?
  • Sind die Daten bei Übertragung und Speicherung ausreichend verschlüsselt?
  • Können alle Hardwareplattformen im Unternehmen auf die Cloud-Lösung zugreifen?
  • Sind Regelungen im Unternehmen vorhanden, die beschreiben, welche Daten in Cloud-Lösungen gespeichert werden dürfen?
  • Können die Daten auch außerhalb der Cloud gesichert werden? Werden sie auch gesichert?
  • Was geschieht mit den Daten nach Vertragsende beim Cloud-Anbieter?
  • Wurden alle Endgeräte mit einem zuverlässigen Basisschutz versehen?

Quellenangaben

BITKOM
BITKOM-Checkliste zur Vertragsgestaltung im Cloud Computing
BIZZWIRE
Datensicherheit und Datenschutz in der Cloud
BSI-A
Basisschutz
BSI-B
In
die Cloud – aber sicher
CEBIS
Cloud Computing für Unternehmen: Wirtschaftlichkeit contra Sicherheit
CIO-A
Bedenken gegen Workplace aus der Cloud
CIO-B
Unbegrenzte Möglichkeiten in der Cloud – und trotzdem sicher?
CIO-C
Was ist was bei der Cloud-Zertifizierung?
CLOUD COMPUTING BLOG
Vor- und Nachteile der Cloud
COMPUTERWOCHE
Cloud-Checklisten für den CIO
GERLACH
Cloud News
IP-INSIDER
Infrastructure-as-a-Service – die Königsklasse des Cloud Computings
TECCHANNEL, IT im Mittelstand
Sieben Tipps für Ihren sicheren Weg in die Cloud
SECURITY INSIDER
Risiken des Cloud Computing mit detaillierter Checkliste umgehen
SELBSTÄNDIG IM NETZ
Risiken in der Cloud – Pro und Contra von Online-Services für Selbständige
WIRTSCHAFTSWOCHE
Stiftung WarentestCloud-Dienste fallen bei Sicherheitstest durch

Foto: © cking – Flickr (CC BY SA 2.0)

Penisring mit Fitnesstracker und Online-Statistik

Smart Cock Ring: Sexspielzeug und Fitness Tracker, Online-Statistiken inklusive

Die britische Firma Bondara hat den Prototyp eines „Smart Cock Ring“ vorgestellt, der eine Mischung aus Sexspielzeug und Fitness Tracker darstellt

viaSmart Cock Ring: Sexspielzeug und Fitness Tracker, Online-Statistiken inklusive – Engadget Deutschland.

Kommentar des Datenschutzbeauftragten

Das habe ich kommen sehen. Aber hinterher ist man ja immer klüger. Daten zu sexuellen Vorlieben sind übrigens besondere personenbezogene Daten, die einem besonderen Schutz unterliegen.


© Poldavo (Alex) – Flickr (CC BY SA 2.0)