Bring Your Own Device

Transkript

1 Bring Your Own Device Aufforderung, Duldung, Wunsch oder Luftschloss? Eine Trennung von Arbeitszeit und Freizeit ist im Zeitalter von Projektarbeit nicht nur über Landesgrenzen sondern auch über Zeitzonen hinweg kaum mehr möglich. Viele Arbeitsplätze verlangen nach Mitarbeitern, die sich selbst organisieren, sich kreativ und eigenverantwortlich in ihrem Tätigkeitsfeld entfalten. Häufig hat die Selbstbestimmung, mit der die Produktivität, Zufriedenheit und Kreativität des Mitarbeiters gestärkt werden soll, jedoch bei der Wahl des Arbeitsgerätes ein schnelles Ende. Unternehmenslösungen werden langfristig etabliert, können nur auf einem System betrieben werden und zu viel Technologiediversität gefährdet die Sicherheit und macht Pflege und Wartung aufwändig und kostenintensiv. Als Alternative ist die Forderung nach Bring Your Own Device (BYOD) Strategien schon seit einiger Zeit ein heiß diskutiertes Thema zur Lösung dieser Diskrepanz. Denn BYOD ist mehr, als nur die Nutzung eines mobilen Gerätes während der Arbeit, es beschreibt die Nutzung eines eigenen mobilen Gerätes als Arbeitsgerät und gibt dem Mitarbeiter damit alle Entscheidungen und auch die Möglichkeit der flexiblen Anpassung an neue Technologien in die Hand. Doch sind Mitarbeiter wirklich glücklicher und produktiver, wenn sie ihre eigenen Arbeitsgeräte nutzen dürfen? Bringt es dem Unternehmen mehr als nur ein hohes Sicherheitsrisiko? Ist das Risiko datenschutzrechtlich überhaupt vertretbar? Macht dabei auch der Betriebsrat mit? Was versprechen Mobile Device Management Tools und was können sie halten? Unternehmens-, Kunden- und Mitarbeiterdaten erfordern besonderen Schutz Ein Arbeitspapier der International Working Group on Data Protection in Telecommunications des Jahres 2010 zeigt auf, dass die Intergration mobiler Anwendungen in Unternehmensinfrastrukturen

2 PRO CONTRA Unsere Mitarbeiter sind immer erreichbar! Die arbeitsfreie Zeit der Mitarbeiter muss geschützt bleiben! Ich möchte nur ein Gerät für Arbeit und Freizeit! Eine uneingeschränkte Nutzung ist nicht mit unseren Anforderungen an Datenschutz vereinbar! Mobile Device Management ermöglicht Mitarbeiterüberwachung! Wir möchten technisch mit der Zeit gehen! Unsere Infrastruktur ist nicht mit allen Geräten kompatibel! Ich möchte immer ein modernes, schnelles, zeitgemäßes Arbeitsgerät haben, was ich selbst gewählt habe! Wir kennen die Anforderungen an das Arbeitsgerät auf lange Sicht besser und können so Wartungs- und Reparaturkosten kalkulieren! Auf meinem Gerät möchte ich uneingeschränkte Eingebaute Hardwarekomponenten und Bedienbarkeit haben! Schnittstellen, die zur Erhebung und Über- mittlung von Daten dienen sollten werksseitig deaktiviert sein! Mit eigenen Geräten wird pfleglicher umgegangen! Ich/Wir will/wollen bei Verlust nicht haften! Betriebsrat Datenschutz Mitarbeiter Unternehmen Bring Your Own Device ist schon seit einiger Zeit ein heiß diskutiertes Thema, doch was steckt wirklich dahinter und was spricht dafür und dagegen? Hier nun zunächst ein Für und Wider der verschiedenen Diskussionsteilnehmer. und IT-Prozesse stetig voranstreitet, diese Art von Mobilität von Datenträgern und Geräten schwächt jedoch zugleich aus Sicht des Datenschutzes die Integrität, Vertraulichkeit und Sicherheit der zu verarbeitenden Daten. Da Unternehmen, die personenbezogene Daten automatisiert verarbeiten einer gesetzlichen Kontrolle durch den Datenschutz unterliegen, gilt dies natürlich auch, wenn Daten auf mobilen Geräten zum Beispiel durch eine Applikation zur Kundenberatung bei Versicherungsunternehmen verarbeitet werden. Für mobile Geräte sind jedoch zusätzliche Problemstellungen zu bedenken, für die Mitarbeiter besonders geschult und sensibilisiert werden müssen, insbesondere, wenn es sich um ihr persönliches Gerät handelt. Das unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein schreibt in einem Merkblatt Mobile Geräte - ob Spielzeug oder Werkzeug: jedenfalls absichern!, dass mobile Geräte zumeist mit der Verbreitung personenbezogenen Daten in Zusammenhang stehen und zusätzlich durch ihren häufig für die Arbeit unnötigen Funktionsumfang das Sicherheitsrisiko noch weiter erhöhen. Aus Sicht es Datenschutzes besteht unbedingter Handlungsbedarf, um Geräte bei Verlust oder Diebstahl und Abhören und Manipulieren zu schützen. Schon 2003, wo es bei mobilen Geräten und Datenschutz im Wesentlichen um Notebooks und in Ausnahmefällen um PDAs ging, heißt es in der Orientierungshilfe des Landesbeauftragten für Datenschutz, dass auf mobile Arbeitsplätze verzichtet werden muss, wenn diese nicht ausreichend gesichert werden können. Zur ausreichenden Sicherung gehört u.a. eine strikte Trennung von privat und beruflich, angefangen bei der technischen Infrastruktur durch Trennung von privatem und beruflichen Telefon- und Internetanschluss, über das Verbot der Nutzung beruflicher IT-Infrastruktur für 2

3 private Zwecke und umgekehrt, bis hin zum Verbot von - und Rufumleitungen auf private Anschlüsse. Es gibt bereits verschiedene Modelle BYOD im Unternehmen zu etablieren, wobei es einige Varianten in der Kostenübernahme gibt, die sich auch auf die Datenschutzaspekte auswirken. Bei Smartphone und Tablet gibt es zwei Bereiche an denen eine Kostenübernahme möglich ist: das sind zum einen die Anschaffungskosten und zum anderen die laufenden Kosten. Beide Posten können sowohl vollständig als auch teilweise entweder durch den Mitarbeiter oder durch das Unternehmen getragen werden. Eine Beteiligung durch das Unternehmen kann beispielsweise auch in Raten erfolgen. Wird das Gerät ausschließlich durch den Mitarbeiter finanziert, gehört es ihm auch vollständig, beteiligt sich jedoch das Unternehmen teilweise durch eine einmalige Ausgleichszahlung, monatlichen Raten oder eine Beteiligung an den laufenden Vertragskosten, sollte in einer Unternehmensrichtlinie oder einer Vereinbarung mit dem Mitarbeiter geregelt werden, wie die Eigentumsverhältnisse sich dadurch einschränken, beispielsweise bei Ausscheiden des Mitarbeiters kurz nach einer Bezuschussung und Einschränkungen in der Benutzung durch Datenschutzrichtlinien. Doch egal wie sich Unternehmen und Mitarbeiter zu Fragen der Kostenübernahme einigen, in jedem Fall gehören die arbeitsbedingten personenbezogenen Daten dem Unternehmen, welches entsprechende Schutzmaßnahmen festlegen darf und datenschutzrechtlich auch muss. Dies kann im Zweifel auch zum Scheitern einer BYOD Lösung im Unternehmen führen, da ein Mitarbeiter als Eigentümer des Gerätes nicht zu Einschränkungen in der Nutzung seines Gerätes gezwungen werden kann. Stimmt er jedoch nicht zu, obwohl die Einschränkungen datenschutzrechtlich obligatorisch sind kann das Gerät nicht beruflich genutzt werden. Für Unternehmen ist es ein hohes datenschutzrechtliches Risiko sensible Unternehmensdaten auf mobilen Geräten nutzbar zu machen. Fraglich ist jedoch, ob sich das Risiko wirklich maßgeblich erhöht, wenn das Gerät nicht Firmeneigentum ist sondern vom Mitarbeiter mitgebracht wird. Die Datenschutzrichtlinien müssen sowohl auf dem Firmengerät, als auch auf dem Own Device eingehalten werden insbesondere was Zugangskontrolle und sichere Aufbewahrung und Weitergabe personenbezogener Daten angeht. Zugleich müssen jedoch auch die Rechte des Mitarbeiters geschützt werden, die durchaus im Widerspruch zum Schutz der Kunden- und Unternehmensdaten stehen können. Im Rahmen von BYOD ist sowohl bei Zugriff auf die Daten des Gerätes als auch bei Fernlöschung, aufgrund von Verlust oder Diebstahl das Einverständnis des Mitarbeiters erforderlich. Das Unternehmen ist also nicht berechtigt auf alle personenbezogenen Daten auf dem Gerät zuzugreifen, das Adressbuch des Mitarbeiters sowie private Fotos und Kommunikation unterliegen weiterhin dem allgemeinen Persönlichkeitsrecht nach Artikel 2 Grundgesetz sowie 32 BDSG. 1 Eine weitgehende Überwachung bis hinein in die sozialen Netzwerke sowie Kontrolle privater Äußerungen und Kontakte oder allgmein privater Daten auf dem Gerät ist klar unzulässig. 2 Diese zwei Problemfelder müssen bei Überlegungen zu BYOD gegeneinander abgewogen und gelöst werden. Weiterhin ist datenschutzrechtlich relevant, ob die Sicherheit des Unternehmensnetzwerks und damit auch der darin enthaltenen Daten gewährleistet werden kann, wenn Mitarbeiter ihre eigenen Geräte mitbringen. Bereits in der Vergangenheit gab es schwerwiegende Vorfälle durch 1 html?id=15136)( 32. html 2 3

4 selbst mitgebrachte oder privat genutzte USB- Sticks, nun ermöglichen Smartphones und Tablets ganz neue Möglichkeiten. Der aktuelle Symantec Internet Security Threat Report zeigt, dass mehr als die Hälfte aller Android Apps Daten sammeln, seien es Daten vom Gerät oder auch Bewegungsdaten des Benutzers. 3 Damit kommt zur Problematik des möglichen Datenverlustes durch Diebstahl, Verlust oder mangelnde Sicherheitsoptionen auch noch die Gefahr der ungezielten Datensammlung durch Fremdanwendungen hinzu. Mitarbeiter wählen natürlich die Anwendungen auf ihrem Smartphone oder Tablet nicht nach Sicherheitsaspekten aus und viele Apps übermitteln Daten an ihre Herausgeber 4 (siehe Abbildung 1). schiedlichster Apps bringt jedoch ein zusätzliches Sicherheitsrisiko in das Unternehmen. So können beliebige Apps ohne entsprechnde Sicherheitsmaßnahmen ein Einschleusen eines Trojaners auf einem Android System ermöglichen. Die private Nutzung ermöglicht in größerem Maße eine Gefährdung, als es die rein dienstliche ohnehin schon tut, nicht nur durch die ständige Mitnahme, auch in den Urlaub, sondern auch die uneingeschränkte Nutzung - Unterhaltungsapps, Nutzung von sozialen Netzwerken und Cloud Services usw. 5 Wenn beispielsweise ein Mitarbeiter sein mobiles Gerät während der Arbeit per VPN mit dem Firmennetzwerk verbindet, können durch Maleware in einer App Daten an der Firmenfirewall vorbei übertragen werden. Die Vielfalt an Anwendungen, die App- Store, Android Market, Playstore und Co. bieten stellen unter Gesichtspunkten der Sicherheit eine komplexe Herausforderung dar. 4 Da Unternehmen ohne eine Vereinbarung nicht auf die privaten Anwendungen des Mitarbeiters zugreifen dürfen, können sie auch nicht mitentscheiden, welche Anwendung vielleicht mehr Daten sammelt und verschickt, als das für ihre Funktionen sinnvoll und notwendig ist. Weiterhin kann so nicht geprüft werden, ob eine private Anwendung Schadcode enthält. 6 Abbildung 1: Apps senden... Die Nutzung des Smartphones und Tablets in der Freizeit beinhaltet alle Arten von Anwendungen, von Infotainment über Navigation bis hin zu arbeitsrelevanten Inhalten. Diese Vielzahl unter- 3 Figure 10: Internet Securita Threat Report Trends. Volume 17. Symatec April basierend auf 670 getesteten Apps Die Erfahrung zeigt, dass eine Balance zwischen der Implementierung von zu restriktiven und möglicherweise von den Nutzern daher nicht akzeptierten Sicherheitsvorgeben im Umgang mit mobilen Datenträgern sowie Geräten einerseits und der Bereitstellung eines sicheren Umfelds mit ausreichendem Schuz der Daten andererseits gefunden werden muss resources/b-istr_main_report_2011_ en-us.pdf international-working-group-on-data-protection-in-telecommunications-iwgdpt/working-papers-and-common-positions-adopted-by-theworking-group

5 Betriebsrat schützt die Mitarbeiter vor sich selbst Das Arbeitszeitgesetz besagt: Die werktägliche Arbeitszeit der Arbeitnehmer darf acht Stunden nicht überschreiten. Sie kann auf bis zu zehn Stunden nur verlängert werden, wenn innerhalb von sechs Kalendermonaten oder innerhalb von 24 Wochen im Durchschnitt acht Stunden werktäglich nicht überschritten werden. 8 Die Nutzung von mobilen Geräten, insbesondere solcher, die dem Mitarbeiter selbst gehören, erschweren eine Einhaltung dieser Regelung. Schon das Abrufen und Beantworten dienstlicher s ist als Arbeitszeit zu erfassen und ggf. als Überstunden anzurechnen. Großes mediales Intresse erwerkte in diesem Zusammenahng der VW-Betriebsrat. Schon ohne mitarbeitereigene Devices erwirkte er im Dezember 2011 einen -Feierabend-Regelung für Mitarbeiter außerhalb des Managements. s werden nur bis 30 Minuten nach Arbeitsende und dann wieder 30 Minuten vor Arbeitsbeginn an die BlackBerrys der Mitarbeiter zugestellt. 9 Muss jedoch der Mitarbeiter vor sich selbst beschützt werden? Ist die Arbeitswirklichkeit unter hohem Projektdruck nicht auch für viele Mitarbeiter außerhalb des Managements so, dass stets erreichbar sein müssen und auch wollen, um Verzögerungen zu vermeiden? Im Rahmen von BYOD ist auch eine Regelung nach Vorbild des VW-Betriebsrates machbar. Durch eine Betriebsvereinbarung kann eine für alle Seiten eine verbindliche Regelung zu BYOD getroffen werden, bei der die Rechte des Mitarbeiters genauso geschützt und gewahrt werden wie die Sicherheit der Firmen- und Kundendaten. Regelt ein Unternehmen nicht explizit die Nutzung privater Geräte der Mitarbeiter, weiß jedoch darüber bescheid, handelt es sich um eine Duldung. Falls es durch so ein Gerät später zu Problemen kommt, kann das Unternehmen dafür haftbar gemacht werden. 10 Zur Überwachung von Mitarbeitern gibt es einen engen gesetzlichen Rahmen. 11 Sobald die Überwachung der Mitarbeiter durch mobile Geräte technisch möglich wird, hat der Betriebsrat Mitwirkungsrechte. Besteht auch nur der Eindruck, die eingesetzte MDM-Lösung könnte neben der Wahrung betrieblicher Interessen auch eine Überwachung der Mitarbeiter - möglicherweise sogar in der Freizeit - ermöglichen, wird der Betriebsrat seine Zustimmung sicher versagen. In der heutigen Arbeitswirklichkeit ist jedoch fraglich, ob der Schutz durch den Betriebsrat an der Gestaltung moderner Arbeitsplätze vorbei geht. Projekte über Zeitzonen und kulturelle Grenzen hinweg erfordern die Erreichbarkeit auch außerhalb der für uns üblichen Arbeitszeiten, beispielsweise bei Kooperationen mit Ländern in denen Sonntags gearbeitet wird. Unternehmen und Mitarbeiter - Wer möchte es und wem nutzt BYOD? Einer der Gründe für Unternehmen an BYOD interessiert zu sein, ist die Steigerung der Produktivität durch ständige Erreichbarkeit der Mitarbeiter, auch in ihrer Freizeit. Genau das ist jedoch auch genau der Grund für den Mitarbeiter, BYOD nicht zu wollen. Stets erreichbar zu sein, weckt auch die Erwartung immer zeitnah zu reagieren. Sicherlich aus Unternehmenssicht eine attraktive Aussicht, jedoch vielleicht zuviel verlangt. Mitarbeiter und Unternehmen müssen einige rechtliche Einschränkungen beachten: Angefangen bei der Nutzung vieler Anwendungen, die für pri Device%20Management%20-%20rechtliche%20Fragen.pdf htm

6 vate Zwecke frei verfügbar sind, jedoch nicht für kommerzielle Nutzung, über die Art ihres Mobilfunkvertrages, der nun auch für das private Gerät nicht mehr rein privat ist, bis hin zur Nutzung der eigenen Mediathek als Klingelton. Des weiteren können, je nach dem auf welche Art der Regelung der Kostenübernahme sich Mitarbeiter und Unternehmen geeinigt haben, sogar steuerliche Aspekte relevant werden. Je nach Modell der Kostenbeteiligung durch das Unternehmen muss der Mitarbeiter prüfen, in wie weit es als geldwerter Vorteil steuerlich berücksichtigt werden muss. Wurden die Kosten vom Arbeitnehmer allein getragen, können sie dagegen als Werbungskosten geltend gemacht werden. Zur Vereinfachung des Steuerrechtes beschloss der Finanzausschuss des Bundestags am , dass nach 3 Nr. 45 EStG die Vorteile des Arbeitnehmers aus der privaten Nutzung von betrieblichen Personalcomputern und Telekommunikationsgeräten [steuerfrei sind]. Diese Regelung verbessert die steuerliche Situation für den Arbeitnehmer, der ein Gerät und entsprechnde Software vom Unternehmen gestellt bekommt. Die Befragung von Unternehmen im Rahmen von Sicherheitsaspekten durch Kaspersky Lab 2012 ergab, dass mehr als ein drittel der befragten Unternehmen aktiv an einer BYOD-Lösung arbeiten, wobei sich die gleiche Anzahl darüber bewusst ist, dass das Mitbringen eigener Geräte durch die Mitarbeiter unausweichlich ist. 12 Lediglich knapp jedes zehnte Unternehmen wollen strenge Auflagen für mitarbeitereigene Geräte durchsetzen. In dieser und anderer Studien zeigt sich, dass viele Unternehmen durchaus aufgeschlossen gegenüber dem Thema BYOD sind, jedoch Sicherheitsapekte grundsätzlich geregelt wissen wollen. In einer Studie der macmon secure 13 zeigt sich, dass zwar 7% der 12 BYOD: imminent future 13 befragten Unternehmen nicht an die Zukunft von BYOD glauben, wärend die größte Gruppe (37%) der Befragten davon überzeugt ist, dass sich die Sicherheitsprobleme lösen lassen und immerhin ein viertel die Diskussion bisher zu sehr auf der Ebene der Vorbehalte und zu wenig auf der Innovationsebene sieht. Die Statistiken deuten drauf hin, dass das Thema BYOD in vielen Unternehmen nicht nur als künstliche Blase gesehen, sondern durchaus ernst genommen wird. Mit einer Sicherheitsrichtlinie als Teil der BYOD-Strategie, die mitarbeitereigene Geräte einbezieht oder erlaubt, erzeugt ein Unternehmen nicht zwangsläufig Wildwuchs, wie es gern schwarzmalerisch propagiert wird 14. Sondern es versetzt Unternehmen in die Lage, Regeln aufzustellen, die den Mitarbeitern und den Unternehmens-Sicherheitsanforderungen gerecht werden. Denn zu strenge Regeln werden zumeist umgangen und können trotz klarer Rechtslage im Ernstfall zu schweren Schäden führen. So heißt es im Überblickspapier Smartphone des BSI 2012: Auf einem dienstlich genutzten Smartphone sollten nur freigegebene Anwendungen laufen. Dies können beispielsweise bestimmte, von einem App-Store geprüfte Anwendungen sein. Dabei ist zu beachten, dass die App-Stores unterschiedlicher Hersteller unterschiedlich stark die angebotenen Apps prüfen. Die Institution sollte eine Liste von erlaubten Anwendungen für Smartphones führen. Optimal ist der Betrieb eines eigenen App-Stores, da dies bequem für die Mitarbeiter und sicher für die Institution ist. Bei der Auswahl der zulässigen Anwendungen sollte die Institution nicht zu restriktiv sein. Auch wenn beispielsweise die Anwendungen Wasserwaage oder Sudoku nicht für die Arbeit gebraucht werden, kann die Erlaubnis, solche Apps (auf Privatkosten des Mitarbeiters) zu verwenden, zur besseren Annahme von

7 Sicherheitsrichtlinien führen und so etwa die Motivation zum Jailbreaking verringern. Auch wenn es hier nicht um mitarbeitereigene Smartphones geht, so ist dies doch auch auf andere Bereiche übertragbar, sei es die Nutzung von Sozialen Medien während der Arbeitszeit oder das Anschließen privater USB-Sticks an den Firmen-PC bis hin zur Nutzung eigener Geräte in Ermangelung einer expliziten Regelung oder trotz eines expliziten Verbotes. Einen positiven Effekt auf die Arbeitsmotivation der Mitarbeiter, die Bereitschaft stets erreichbar zu sein und selbst die Kosten für ein Arbeitsgerät zu tragen, wird jedoch in jedem Fall nur in Unternehmen messbar sein, die eine BYOD-Lösung für und mit ihren Mitarbeitern vereinbaren. Jedoch zeigt ein aktuelles Beispiel von HP, das BYOD auch eine Entscheidung gegen die Corporate Identity sein kann und deshalb von Unternehmen abgelehnt wird. Eric Cador, Manager der HP Personal Systems Group sagte in einem Interview mit The Channel: HP s policy is that we don t offer BYOD within HP and that will not change soon. Why? It would be embarrassing - more importantly it would be embarrassing for our employees. Employees have to be proud of our products. Was diese Entscheidung sicherlich vermeidet ist die peinliche Feststellung, dass sich Mitarbeiter nicht immer für das hauseigene Produkt entscheiden. 15 Aspekten (Nutzung sozialer Netzwerke; freie Gerätewahl) in einer konkreten Gehaltsverhandlung wirklich beimessen werden. Für Unternehmen, die schwierigkeiten haben, ihre Vakanzen zu füllen, mag ein offensiver Umgang mit diesen Themen durchaus ein Weg sein, um die Attraktivität für Bewerber zu steigern. Fast jeder zweite Befragte im Cisco Connected World Technology Report 2011 bevorzugen es, eigne Geräte auch zum Arbeiten zu nutzen. Dies ist eine große Anzahl von Mitarbeitern, die eine Verbesserung ihrer Arbeitsplatzqualität durch ihr eigenes Gerät feststellen würden, jedoch ist fraglich, ob auch alle Mitarbeiter bereit sind Einschränkungen und Kontrolle durch ihren Arbeitgeber in Kauf zu nehmen (Abbildung 2: Bitzer Mobile Survey - User Experience). Bei der Nutzung eines MDM entstehen weitreichende Einschränkungen der Rechte des Nutzers auf seinem eigenen Gerät. Sie reichen von der Überwachung von GPS-Daten zum Erstellen eines Bewegungsprofils über das Monitoring von Aktivitäten auf dem Smartphone oder Tablet-PC bis hin zur Einsicht in die sozialen Netzwerke des Mitarbeiters, um Informationsweitergabe (absichtlich oder unabsichtlich) zu internen Projekten zu kon- 7 Eine Cisco Studie von 2011 postuliert, dass zwei von fünf Berufseinsteigern einen flexiblen Arbeitsplatz mit mehr Freiheiten in Bezug auf die Wahl des Arbeitsgerätes und der Nutzung von sozialen Netzwerken einem besser bezahlten, unflexiblen Arbeitsplatz vorziehen. 16 Unklar bleibt jedoch, welchen Wert die Befragten den einzelnen Abbildung 2: Bitzer Mobile 2011 Survey - User Experience

8 trollieren. Diese Faktoren könnten die BYOD-Blase platzen lassen, wenn die Mitarbeiter lieber auf ihre eigenen Geräte verzichten, als Einschränkungen hinzunehmen. Eine Studie, die Forrester Consulting im Juni 2012 für Unisys durchführte zeigt die unterschiedlichen Sichten von Mitarbeitern und Administratoren auf BYOD. Auf die Frage warum Mitarbeiter wohl ihre eigenen Geräte zum Arbeiten nutzen wollen, antworteten 54% der befragten Mitarbeiter, dass sie es zur Arbeit brauchen und das Unternehmen nichts Gleichwertiges zur Verfügung stellt. Diese Anwort gab lediglich jeder fünfte Befragte IT-ler. Jene waren mehrheitlich (69%) der Meinung, dass Mitarbeiter ihre eigenen Geräte benutzen wollen, weil sie es schlicht aus ihrem privaten Leben gewöhnt sind. In einer weiteren Frage wurde nach der erwarteten Verantwortlichkeit für Support gefragt. Dort liegen die Erwartungen von IT-lern, von denen knapp die Hälfte (48%) erwartet, bei Problemen mit dem own Device des Mitarbeiters zu rate gezogen zu werden und Mitarbeitern, von denen gut die Hälfte (51%) glaubt, Probleme selbst beheben zu könnrn, vielleicht nicht so weit auseinander. 17 Wie nah an der Realität dieses Studien in der Praxis wirklich sind zeigt sich natürlich erst im produktiven Einsatz. Die wichtigste Voraussetzung für BYOD ist eine Vereinbarung, in der verbindlich geregelt wird, was geht und was nicht. Diese sollte die Rechte und Pflichten des Mitarbeiters, aber auch des Unternehmens aufnehmen und Dinge wie Kostenübernahme, Wartung und Pflege, Sicherheit und Sicherheitsmaßnahmen unternehmensseitig und mitarbeiterseitig regeln. 18 Für Mitarbeiter und Unternehmen ist es gleichermaßen wichtig, sich auf ein faires BYOD Modell zu einigen, bei dem die Sicherheit gewährleistet ist, jedoch der Mitarbeiter nicht nur Scherereien mit dem von ihm gewollten eigenen Device hat. Schon bei der Anschaffung des Gerätes muss geregelt sein, ob und in wie fern sich des Unternehmen beteiligt. Weiter geht es mit dem Abschluss eines Mobilfunkvertrags sowohl für Telefonie, als auch für Datenverbindungen mit dem Smartphone. Auch zur Nutzung von mobilen Anwendungen (browserbasiert oder Apps) mittels Tablet sind ein Mobilfunkverträge notwendig. Wichtig ist dabei, dass derjenige für Wartung, Pflege und Lizenzen aufkommt, der einen Vertrag mit dem Anbieter eingeht. Je nach Regelung kann das der Mitarbeiter oder auch das Unternehmen sein. In der Unternehmensvereinbarung sollte dies also geregelt werden, denn danach muss ebenfalls geregelt werden, ob eine private Nutzung von Unternehmenssoftware erlaubt wird oder andersherum eine dienstliche Nutzung von privater Software auch den Sicherheitsanforderungen genügt. 19 Eine Nutzung mit Wissen des Unternehmens ohne eine explizite Regelung wird rechtlich als Duldung ohne Einschränkungen oder Vorbehalte behandelt. Änderungen in der Nutzung des privaten Gerätes sind später nur schwer durchsetzbar. 20 Was zur Vermeidung solcher Szenarien möglich ist und welche Möglichkeiten Unternehmen haben, sich vor den Gefahren der own Devices zu schützen, werden wir im Abschnitt Sichere Wege mit BYOD untersuchen, von MDM bis zu Kryptokarten im Kanzler-Phone. Sicher mit BYOD Mobile Device Management Lösungen versprechen viel. Sie sollen Ferndiagnose, -Wartung, -Konfiguration, -Provisionierung, -Steuerung, -Sperrung, -Löschung und -Administration ermöglichen, Softwareverwaltung und -Deployment sollen zentral gesteuert werden, einheitliche Richtlinien und Po Device%20Management%20-%20rechtliche%20Fragen.pdf 8

9 licies sollen sie durchsetzen, VPN integrieren, Backups und Wiederherstellung sicherstellen, Overthe-Air-Updates von Firmware und Betriebssystem erlauben und sie sollen Protokollierung, Reporting, Mobile-Asset-Tracking und -Management mitbringen. Das ist ein ganzer Berg an Anforderungen, die jedoch nicht alle erfüllt werden können. Jedes derzeitig am Markt verfügbare Tool deckt nur einen Teil dieser Wunschfunktionen ab und der Kunde muss sich entscheiden, welche Komponenten die höchste Priorität haben. Hinzu kommt ein weiteres wichtiges Kriterium, die Plattformabdeckung. Für eine Anbindung an Apple Systeme in iphone und ipad muss das MDM durch Apple zertifiziert werden. 21 Was muss bei der Wahl eines MDM beacht werden und welche Kriterien sind wichtig, wenn ein Unternehmen Mobile Device Managements in der Breite einsetzen möchte? Mit der Einführung einer MDM-Lösung wird eine langfristigere Bindung eingegangen. Welche Kriterien sind entscheidend und welche schränken das Feld für eine Auswahl ein? Hier eine Auswahl von Entscheidungskriterien, die einen Vergleich erleichtern: Deckt das MDM wirklich alle Plattformen gleich gut und gleich problemlos ab? Bei BYOD Lösungen ist im Vorfeld nicht abzusehen, welche Geräte die Mitarbeiter benutzen wollen oder ob Mitarbeiter vielleicht gern und häufig die Geräte wechseln. Wenn also ein Mobile Device Management gewählt wird, um die Mitarbeitergeräte optimal verwalten zu können, ist die Kompatibilität zu allen Plattformen (Android, ios, Windows Phone, BlackBerry) ein sehr wichtiges Kriterium. Haben Sie Bedenken ein MDM zu nutzen, welches Daten außerhalb Europas speichert? Dies bezieht sich zum einen ähnlich wie Regelungen zu Cloud Lösungen auf das Speichern von Kundendaten im 21 Ausland, zusätzlich sind die Risiken einer außereuropäischen Speicherung in Bezug auf die Rechtslage der Datensicherung, Sicherheit vor Fremdzugriffen und rechtliche Greifbarkeit bzw. Konflikte mit Landesrecht bei Verstößen gegen deutschen Datenschutz einzubeziehen. Fast unvermeidbar ist es, in Frage kommende Produkte im eigenen Unternehmenskontext zu testen. Dies kostet zwar Zeit und ist in der Regel auch mit weiteren Kosten verbuinden, aber es verspricht einen besseren Überblick der Produkte und erlaubt zumindest Konstelationen zu testen, die bereits als kritisch erkannt wurden. Denn eine hübsche Broschüre und eine schicke Präsentation ersetzen keine praktischen Erfahrungen. Hinzu kommt eine der wichtigsten Fragen: Welche Probleme soll ein MDM lösen? Also welche sicherheitskritischen Bedenken bestehen gegenüber den own Devices und kann diesen Punkten mit einem Mobile Device Magangement System entgegengewirkt werden? Denn das heißt möglicherweise, dass ohne ein schlüssiges Sicherheitskonzept, welcher Art auch immer, BYOD für ein Unternehmen nicht in Frage kommt. Auch Lösungen, die einzelne Anwendungen kapseln, wie zum Beispiel AppConnect von MobileIron, kann für Mitarbeiter im Außendienst eine gute Lösung bieten. Die in Container verpackten Daten der Anwendung sind sicher vor unautorisiertem Zugriff, was dem Schutz von Unternehmens- und Kundendaten gerecht wird und es ist sowohl auf ios als auch auf Android eine volle Nutzung des Gerätes möglich. Für Mitarbeiter im Außendienst, die aufgrund von Datenschutzrichtlinien bisher nur mit Firmenhardware arbeiten durften, jedoch ohnehin nur die Anwendung zur Kundenbetreuung, -aquise auf dem Tablet genutzt hat, könnte dies nun auch mit seinem eigenen De- 9

10 vice und einer Container-Lösung tun ohne zu viele Zugriffe des Unternehmens auf das Privatgerät des Mitarbeiters zuzulassen. Mobile Device Management Systeme sollen durch die Einschränkung sicherheitskritscher Funktionen den Anforderungen an Datenschutz gerecht werden. So vermitteln es die Anbieter verschiedenster MDM Lösungen. Jedoch erscheint es oft nur als Vorwand, endlich das MDM zu verkaufen, unabhänig von BYOD. Symptomatisch ist etwa das Marketing der Firma Aagon. Sie bietet eine MDM Lösung, sieht es aber auch durchaus kritisch, dass diese alle Probleme des BYOD lösen sollen, denn ein Grundproblem bliebe stets bestehen, die Rechte des Mitarbeiters, auf seinem Gerät zu tun und zu lassen was er möchte, werden eingeschränkt. Diese Maßnahmen sind, wenn man eine MDM Lösung zum Schließen der Sicherheitslücken des Own Devices nutzen will, zum Schutz der Daten auch unausweichlich, jedoch stellt sich die Frage, ob eine MDM Lösung denn wirklich für ein BYOD-Konzept ohne Alternative ist. Während Aagon die Frage stellt, ob man denn nicht besser fährt, wenn man für unternehmenseigene Geräte MDM-Lösungen einkauft und diese dann vollumfänglich nutzen kann, ohne einen wirklichen Zorn der Mitarbeiter zu Themen wie Einschränkungen der Geräteeigenschaften, Monitoring usw. für alle zufriedenstellend lösen zu müssen. Doch BYOD ist für Unternehmen aufgrund des aufwändigeren Managements und vor allem der rechtlichen und administrativen Herausforderungen nicht unbedingt immer günstig und vor allem nicht alternativlos. Aber ist es nicht eher das MDM was nicht günstig und nicht alternativlos in der Frage des Own Devices ist? Gibt es Gegenvorschläge zum MDM, um die Bedenken in Unternehmen gegenüber BYOD auszuräumen? Die gibt es nämlich durchaus. Und sie bieten Sicherheit ohne übermäßige Einschränkung und Überwachung. Langsam etablieren sich Mechanismen zur Trennung von privatem und beruflichem in den Betriebssystemen. Sehr früh - schon vor dem großen Druchbruch von Smartphones - boten BlackBerry-Geräte businesstaugliche Sicherheitsfunktionen und hoben sich dadurch lange im Businesssegment von anderen Geräteherstellern ab. Mit dem neuen BlackBerry 10 wurde ein Rollenkonzept eingeführt, das eine durchgehende Trennung von privaten und dienstlichen Daten und Anwendungen verspricht. Auch bietet Android seit der Version 4.2 eine Mehrbenutzerfähigkeit. 22 Es ist damit möglich die Forderung des Datenschutzes nach der Einrichtung mehrerer Accounts mit unterschiedlichen Rechten zumindest mit Android Geräten zu erfüllen. Jeder Account kann eigene Apps installieren und nutzen und Daten und Einstellungen können unabhängig gespeichert werden. Einen Schritt weiter gehen Virtualisierungs-Lösungen. Dabei werden für verschiedene Aspekte getrennte virtuelle Maschinen bereitgestellt. Dabei kann eine Instanz für dienstliche Belange genutzt werden, eine andere für Freizeitzwecke. Beide sind strikt von einander getrennt. Eine mögliche Kompromitierung des privaten Bereichs gefährtet die Firmendaten nicht. Umgekehrt bleibt der private Bereich von dienstlichen Richtlinien und Überwachungen frei. 23 Sicher sind all diese Möglichkeiten immer nochmals unter den spezifischen Sicherheitskriterien jedes Unternehmens zu beurteilen und es gibt auch noch eine ganze Reihe weiterer Maßnahmen im Umgang mit BYOD, jedoch müssen Unternehmen, die ihren Mitarbeitern die Möglichkeit bieten wollen eigene Geräte zu verwenden, ihre Tatsächlichen pages/trust2core.aspx

11 Sicherheitsproblematiken genau kennen, die richtige Lösung für maximale Sicherheit finden ohne BYOD absurd zu machen. Abschließend sollte also die Frage nicht lauten ob BYOD oder sondern eher wie. Quellen Stefanie Griebe Gartner: Bring Your Own Device: New Opportunities, New Challenges, Gartner: Magic Quadrant for Mobile Device Management Software, gelegenheiten-neue-herausforderungen-meint-gartner/#.uij- 9zY6jhu8 baust/b02/b02010.html kataloge/m/m02/m02218.html baust/b03/b03404.html kataloge/m/m05/m05078.html Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen: Mobiles Controlling im Betrieb kann unschöne Folgen haben, November 2008 Landesbeauftragter für den Datenschutz Niedersachsen: Mobiles Arbeiten - datenschutzgesrecht gestaltet - Orientierungshilfe und Checkliste, Landesbeauftragter für den Datenschutz Niedersachsen: Datenschutzgerechter Einsatz von Notebooks und mobilen Endgeräten Orientierungshilfe Technologie, Mobile Device Management - rechtliche Fragen; Thorsten Walter, Joachim Dorschel, WuM Cisco: 2011 Cisco Connected World Technology Report, macmon: Presseinformation: Unternehmen beklagen eine zu aufgeregte BYOD-Diskussion; Berlin, Symantec: Internet Security Threat Report, 2011 Trends. Volume 17, April 2012 Citrix: IT Organizations Embrace Bring-Your-Own Device - Global BYO Index. Juli 2011 Citrix: Bring Your Own Device. White Paper, Best Practices für eine einfache und sichere BYOD-Infrastruktur - Anleitung zum Implementieren von BYOD-Programmen, Mai 2012 Regierungspräsidium Darmstadt, Hildebrnad-Beck: Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer, Landesbeauftragter für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: und Internet am Arbeitsplatz, September 2007 Europäische Kommission: Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freuen Datenverkehr (Datenschutz-Grundverordnung), Digitalstrategie: Studie: BYOD setzt sich immer mehr durch in Unternehmen, IDC: IDC iview Content 2011 Consumerization of IT Study: Closing the Consumerization Gap, Juli 2011 Apple: Deploying iphone and ipad Mobile Device Management, März 2012 Kaspersky lab: Global IT Security Risks: 2012 International Working Group on Data Protection in Telecommunications: Arbeitspapier Mobile Verarbeitung personenbezogener Daten und Datensicherheit, Universität zu Köln: Rahmenvereinbarung über den Einsatz der informationstechnischen Einrichtungen in der Verwaltung der Universität zu Köln, Januar 2011 Bundesbeauftragte für den Datenschutz und Informationsfreiheit: Telearbeit - Ein Datenschutz-Wegweiser, August 2012 Bundesamt für Sicherheit in der Informationstechnik: Überblickspapier IT-Grundschutz Smartphones, Visions Mobile: Cross-Plattform Developer Tools 2012, Februar