ZKI-Frühjahrstagung März 2014

Transkript

1 BYOD und Consumer-Cloud: muss die Nutzung in Forschungseinrichtungen geregelt werden? Prof. Dr. IT-Sicherheitsbeauftragter Max-Planck-Gesellschaft M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 1 AGENDA 1 2 BYOD wer nutzt welches Gerät? Cloud alles in der Wolke? M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 2 Max-Planck-Gesellschaft 1

2 AGENDA 1 2 BYOD wer nutzt welches Gerät? Cloud alles in der Wolke? M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 3 Definitionen Bring YourOwnDevice (BYOD) beschreibt den Trend, dass Beschäftigte oder Mitglieder von Organisationen (Schulen, Hochschulen, Forschungseinrichtungen, Unternehmen) ihre eigenen Mobilgeräte (Notebook, Tablett, Smartphone) in die Organisation mitbringen und damit auf Organisationsserver zugreifen und auch Organisationsdaten auf den persönlichen Geräten verarbeiten und speichern. (nach Wikipedia) Schatten-IT bezeichnet IT-Systeme, IT-Prozesse, IT-Organisationseinheiten und IT- Outsourcing, die in den Fachabteilungen einer Organisation neben der offiziellen IT-Infrastruktur und ohne das Wissen des offiziellen IT-Bereichs angesiedelt sind. (nach Wikipedia) Telearbeit bezeichnet eine Arbeitsform, bei der Beschäftigte zumindest einen Teil der Arbeitsleistung außerhalb der Betriebsstätten des Arbeitgebers (z.b. zu Hause, im Nachbarschaftsbüro) verrichten. M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 4 Max-Planck-Gesellschaft 2

3 Private Smartphones werden für den Job genutzt 43% der ITK-Unternehmen erlauben ihren Mitarbeitern, eigene Geräte - wie Smartphones und Tablet-Computer - mit dem Firmennetzwerk zu verbinden. 60% der Unternehmen, die BYOD zulassen, haben dafür spezielle Regeln aufgestellt. 81% der Unternehmen, die BYOD zulassen, erhoffen sich eine höhere Mitarbeiterzufriedenheit. 74% der Unternehmen, die BYOD zulassen, erhoffen erwarten Effizienzsteigerungen, weil die Mitarbeiter mit ihren Geräten vertraut sind. 40% der Unternehmen, die BYOD zulassen, wollen so als moderner Arbeitgeber wahrgenommen zu werden. 53% der ITK-Unternehmen lehnt private Endgeräte am Arbeitsplatz jedoch ab. Zu den häufigsten Gründen gehört der erhöhte Wartungs- und Sicherheitsaufwand. Viele Unternehmen befürchten Sicherheitsprobleme, wenn viele verschiedene Geräte mit unterschiedlicher Software eingesetzt werden. Quelle: Umfrage BITKOM unter ITK-Unternehmen M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 5 Besonderheiten in der Wissenschaft Einrichtungsfremde Geräte (Notebook, Tablett, Smartphone) sind Standard. Studenten, Doktoranden, Stipendiaten, Gastwissenschaftler Studenten sind Mitglieder der Hochschule Häufig dienstliches Gerät der Heimateinrichtung Netze typisch getrennt in Internes Netz für Geräte der Einrichtung (im Management der Einrichtungs-IT) Gästenetz Hochschulverwaltung Einordnung in die Segmente über 802.1x Fakultäts- oder Lehrstuhl-IT ist häufig vorhanden Administration durch Studenten Eigener Mail-Server M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 6 Max-Planck-Gesellschaft 3

4 Besonderheiten in der Wissenschaft Jeder Wissenschaftler kann jedes wissenschaftliche (Funk)Netz auf der Welt frei nutzen. Die Anmeldung erfolgt mit einer Benutzerkennung der Heimateinrichtung. Protokollierung und Aufbewahrung sind erforderlich, um Missbrauch aufzuklären Häufig auch Gästenetz Nutzerkennung/Passwort an der Wand Keine Identifizierung von Benutzern M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 7 Ein paar Fragen Gibt es in Ihrer Hochschule Web-Mail (z.b. Outlook Web App)? Von allen Geräten? Von jedem Ort? Gibt es in Ihrer Hochschule einen VPN-Zugriff? Von allen Geräten? Von jedem Ort? Mit Zwei-Faktor-Authentisierung? Wird in Ihrer Hochschule die Nutzung von USB-Sticks technisch unterbunden? Nur dienstliche Krypto-Sticks sind erlaubt? Warum haben Sie etwas gegen BYOD? Die Beschäftigten haben doch alle Daten schon kopiert! M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 8 Max-Planck-Gesellschaft 4

5 Vertragsverhältnis Gerät steht im Eigentum des Mitarbeiters Wem gehören die Daten auf dem privaten Gerät? Herausgabe der dienstlichen Daten bei Beendigung des Arbeitsverhältnisses Herausgabe des Geräts z.b. bei internen Untersuchungen Kostenregelungen Anteilige Übernahme der Kosten durch den Arbeitgeber? Regelung der Haftung bei Verlust oder Beschädigung des Geräts Lösung: Vertragliche Vereinbarung zwischen Hochschule und Mitarbeiter über BYOD ggfs. Versicherung abschließen M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 9 Urheberrecht Darf ich die dienstliche Software auf privaten Geräten nutzen? Nutzungsrechte für die von der Universität genutzte Software berechtigen ggf. nur zum Einsatz auf dienstlichen Geräten Darf ich die private Software dienstlich nutzen? Nutzungsrechte für die beim Mitarbeiter installierte Software berechtigen diesen ggf. nur zur privaten nicht zur dienstlichen Nutzung Risiko der Inanspruchnahme des Mitarbeiters gem. 97 UrhG und ggfs. der Einrichtung gem. 99 UrhG durch den Rechteinhaber Lösung: Überprüfung, ob Nutzungsrechte für die betriebliche Nutzung auf privatem Gerät vorhanden sind Regelungen in BYOD-Vereinbarung IT-Nutzungs-Richtlinie M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 10 Max-Planck-Gesellschaft 5

6 Beispiele MS EULA Office HOME AND STUDENT-SOFTWARE. Bei als Home and Student -Versiongekennzeichneter Software sind Sie berechtigt, eine Kopie der Software auf bis zu drei lizenzierten Geräten in Ihrem Haushalt zur Verwendung durch Personen, die dort ihren Hauptwohnsitz haben, zu installieren. Die Software darf nicht für kommerzielle, gemeinnützige oder Einnahmen erwirtschaftende Aktivitäten verwendet werden. XN View Im privaten Bereich unterstützt durch die Computer-Presse heißt es immer nur kostenlose Software oder Freeware Viele Software ist nur für die nicht-kommerzielle Nutzung kostenfrei Den Lizenz-Verstoß begeht der Beschäftigte M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 11 Datenschutzrecht Dienstliche Daten enthalten personenbezogene Daten Die Universität bleibt für die dienstliche Daten die verantwortliche Stelle Gewährleistung der Einhaltung der technischen und organisatorischen Maßnahmen! Zugriff des Arbeitgebers auf dienstliche Daten problematisch, wenn dabei Zugriff auf private Daten erforderlich ist Lösung: Regelungen in BYOD-Vereinbarung Trennung von privaten und dienstlichen Daten Einwilligungserklärung M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 12 Max-Planck-Gesellschaft 6

7 Beispiel: WhatsApp Überträgt bei jedem Start der App alle Telefonnummern aus dem lokalen Telefonbuch Wozu? Welcher Kontakt nutzt bereits WhatsApp iphone, BlackBerry, Nokia, Android, Windows Phone M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 13 Mitbestimmung des Personalrats Organisatorischen Regelungen wie Erlaubnis zur Nutzung privater Geräte Individualvereinbarungen mit den Beschäftigten zur Nutzung privater Geräte berühren das Verhalten der Arbeitnehmer im Betrieb und sind deshalb mitbestimmt. ( 87 Abs. 1 Nr. 1 BetrVG) Die technischen Einrichtungen sind zur Verhaltens- und Leistungskontrolle geeignet und deshalb mitbestimmt. ( 87 Abs. 1 Nr. 6 BetrVG) Lösung: Betriebs- oder Dienstvereinbarung M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 14 Max-Planck-Gesellschaft 7

8 Sonstiges Aufbewahrungspflichten gem. 147 AO, 257 HGB zur Sicherung guter wissenschaftlicher Praxis Geheimnisschutz Betriebs- und Geschäftsgeheimnisse, 17, 18 UWG Privatgeheimnisse Dritter, 203 StGB Strafrecht, 203, 202a, 202b, 303a StGB bezieht sich auf ein unbefugtes Ausspähen/Abfangen/Verändern von privaten Daten durch den Arbeitgeber Lösung: Regelungen in BYOD-Vereinbarung Trennung von privaten und dienstlichen Daten M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 15 Grundkonzept Vieles was für Telearbeit gilt, gilt auch für BYOD! Daten, die bei Telearbeit tabu sind, können auch nicht auf privaten Endgeräten verarbeitet werden. Daten auf dem Gerät müssen im Herrschaftsbereich der Hochschule bleiben. Möglichst wenig (keine?) Daten auf den privaten Endgeräten speichern Durch organisatorische Regeln mit technischer Unterstützung das private Gerät in die Hochschule einbinden. Die Hochschule bleibt Herr der Daten (verantwortliche Stelle). Die Hochschule gibt die Regeln vor. Der Beschäftigte akzeptiert die Regeln verbindlich. Möglichst technische Unterstützung zur Durchsetzung der Regeln Mobile Device Management M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 16 Max-Planck-Gesellschaft 8

9 AGENDA 1 2 BYOD wer nutzt welches Gerät? Cloud alles in der Wolke? M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 17 Datenspeicherung bei Dienstleistern Daten können im Sinne von Netzwerklaufwerk beim Dienstleister gespeichert werden Gegen geringe Gebühr beliebig groß (2 $/100 GB/Monat, 15 GB frei)) Kostenlose Angebote MEGA (50 GB) TelekomCloud (25 GB) Microsoft Onedrive (7 GB) Starto HiDrive free (5 GB) DropBox (2 GB) GMX (1 GB) M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 18 Max-Planck-Gesellschaft 9

10 Online-Officeprogramme Word, Excel und Co. als Applet im Browser Datenspeicherung ist zwar lokal auf der Festplatte möglich aber Überall Zugang nur bei der Speicherung beim Dienstleister Google Docs Microsoft Office 365 M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 19 Microsoft Office 365 M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 20 Max-Planck-Gesellschaft 10

11 Cloud Speicher Public Cloud USA: Google Drive, Microsoft Skydrive, Dropbox, Deutschland: GMX, Strato Hidrive, TelekomCloud Forschungscloud GWDG CloudShare Powerfolder bwsync&share Powerfolder DFN Vermittlung föderierter Dienste Probleme einer akademischen Cloud Kooperationen mit Einrichtungsfremden Private Daten in der Forschungscloud Dissertationen Korrekturlesen eine Prüfungsarbeit durch die Eltern M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 21 Cloud Computing datenschutzrechtlich Die Verarbeitung personenbezogener Daten in der Cloud ist datenschutzrechtlich gesehen Datenverarbeitung im Auftrag s. hierzu z.b. 1. DFN-Workshop Datenschutz 2012 Voraussetzungen: Auftragnehmer hat im Verhältnis zum Auftraggeber nur eine Hilfsfunktion inne: verlängerter Arm, ausgelagerte Abteilung Auftragnehmer ist weisungsgebunden und hat keinen eigenen bzw. nur einen vom Auftraggeber vorgegebenen Entscheidungsspielraum. Es liegt eine schriftliche Vereinbarung vor. Konsequenzen: Auftraggeber bleibt datenschutzrechtlich voll verantwortlich Auftraggeber behält die volle Verfügungsgewalt über die betroffenen Daten Auftragnehmer hat nur eine eingeschränkte Verantwortlichkeit Es findet keine Datenübermittlung statt hierfür braucht man eine Rechtsgrundlage M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 22 Max-Planck-Gesellschaft 11

12 Dienstleister außerhalb Deutschlands Dienstleister innerhalb der EU und des Europäischen Wirtschaftsraums (Island, Liechtenstein, Norwegen) Auftragsdatenverarbeitung möglich Dienstleister aus allen anderen Ländern keine Auftragsdatenverarbeitung möglich Datenübermittlung liegt vor Was tun? 2-stufige Prüfung 1. Stufe: gibt es eine Rechtsgrundlage für die Übermittlung? 2. Stufe: existiert in dem Land, in das übermittelt werden soll, ein angemessenes Datenschutzniveau? M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 23 angemessenes Datenschutzniveau vor Snowden Dienstleister aus Ländern, die auf einer Whitelist der EU stehen (Andorra, Argentinien, Australien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey angemessenes Datenschutzniveau von der EU positiv festgestellt Vertrag entsprechend den Vorgaben des BDSG/LDSG Dienstleister in den USA, die Safe Harbor zertifiziert Angemessenes Datenschutzniveau durch die Zertifizierung BDSG/LDSG-Vertrag mit Ergänzungen Dienstleister in den USA, die nicht Safe Harbor zertifiziert sind kein angemessenes Datenschutzniveau werden EU-Standardvertragsklauseln verwendet, gilt die Übermittlung im Einzelfall als durch die Behörden genehmigt der Rest der Welt EU-Standardvertragsklauseln M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 24 Max-Planck-Gesellschaft 12

13 angemessenes Datenschutzniveau nach Snowden Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen kö nnen, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsä tze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. Die Aufsichtsbehörden [werden] für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen. M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 25 mal abgesehen vom Datenschutz... Urheberrechte Dienstleisterlassen sich oft Nutzungsrechte an den hochgeladenen Daten abtreten Das Kleingedruckte lesen! Sind die Nutzungsbedingungen für die geplanten Inhalte akzeptabel? durchsuchen (aktuelles Beispiel: Microsoft) Erfüllung von Aufbewahrungspflichten? AGG, HGB, AO Bsp.: Steuerrecht Sind die Daten Gegenstand der Buch-/Steuerprüfung mü ssen authentisch und innerhalb angemessener Frist lesbar sein Vorzuhalten innerhalb Deutschlands, nach Antrag in EU/EWR ( 146 Abs. 2a AO) bei eigenmächtiger Nutzung durch Beschäftigte Verletzung von arbeitsvertraglichen/gesetzlichen Schweigepflichten denkbar M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 26 Max-Planck-Gesellschaft 13

14 Noch ein paar Anmerkungen US Patriot Act verpflichtet US-amerikanische Unternehmen Daten aus EU- Rechenzentren an US-Behörden weiterzugeben Was nützt eine vertragliche Vereinbarung, dass Daten den EU/EWR Raum nicht verlassen? No Single Point of Failure Vorgabe, wo (geographisch) Dienste/Daten gespeichert werden dürfen kleinere, nur regional tätige Anbieter (z.b. nur in Europa/Euro-Cloud) Überwachung der wirtschaftlichen Leistungsfähigkeit des Anbieters Wie bekomme ich meine Daten wieder zurück? Herausgabe der Daten bei Vertragsende regeln Datenformat bestimmen, Kosten der Herausgabe regeln Zusichern lassen, dass keine proprietäre Software zur Nutzung der Datenerforderlich ist, ansonsten Lizenz, ggfs. für Read-Only-Version M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 27 Vielen Dank für Ihre Aufmerksamkeit! M A X - P L A N C K - G E S E L LS C H A F T ZKI-Frühjahrstagung 2014 SEITE 28 Max-Planck-Gesellschaft 14