Bring-Your-Own-Device (BYOD) Handout Rechtliche und sicherheitsbezogene Aspekte des Einsatzes privater Endgeräte im Unternehmen OCG, 10.09.2013 1
Über uns, CISM, CPP, CISSP, SSCP, ISMS LA, CRISC Unternehmensberater und Spezialist für Informationssicherheitsmanagement und Datenschutz; seit über 20 Jahren in der Beratung tätig; Schwerpunkte u.a. Risikomanagement, Informations- und IT-Sicherheit, Richtlinien- und Strategieentwicklung, Kreditkartendatensicherheit (PCI DSS QSA), ISMS auf Basis ISO 27001. Rechtsanwalt und Partner bei Willheim Müller Rechtsanwälte; Experte für IT-Recht und Immobilienrecht; im IT-Recht liegen die Schwerpunkte in den Bereichen Software, Outsourcing und IT-Projektvertragsrecht, wo er seit mehr als 10 Jahren internationale und nationale Unternehmen bei der vertraglichen Strukturierung von IT-Vorhaben unterstützt. 2
Was ist BYOD? Versuch einer zweckmäßigen Definition für diesen Vortrag: BYOD ist die vereinbarungsgemäße Nutzung von Privatgeräten durch Mitarbeiter/innen (gemeint: Smartphones/Tablets/Notebooks) zur Verrichtung dienstlicher Tätigkeiten in der Regel mit Zugriff in die betriebliche IT-Infrastruktur und einer SIM-Karte, die vom Unternehmen gestellt wird. Die Mitarbeiter/innen bleiben Eigentümer des Geräts. 3
Einige Varianten von Bring Your Own Device Privates Endgerät mit privater SIM-Karte Nutzungsform Privates Endgerät plus unternehmenseigene SIM-Karte Infrastruktur Privates Endgerät ohne SIM-Karte Nur BYOD-Geräte BYOD parallel zu dienstlichen Geräten Endgerätemanagement Vom Unternehmen gemanagtes Endgerät Vom Mitarbeiter gemanagtes Endgerät Gemeinsam gemanagtes Endgerät 4
Geräteeigentümer versus SIM-Karten-Eigentümer Wer bestimmt? Und wer haftet? Eigentümer der SIM-Karte Eindeutig via IMSI & ICCID Eigentümer z.b. des Smartphones Eindeutig via IMEI 5
Food for thought zu BYOD Wie eröffne ich meinen Mitarbeitern einfache und verlässliche Nutzungsmöglichkeiten ihrer privaten Endgeräte? Wie schütze ich meine Daten, IT-Infrastruktur und deren andere Nutzer? Vor allem aber: Wie bleibe ich rechtskonform? 6
Rechtlich relevante Themenkreise Beispiele Thema (Beispiel) Steuerrecht Arbeitsrecht Schadenersatzrecht Haftung Zulässigkeit von BYOD Datenschutzrecht Datensicherheit Urheberrecht Verschiedenes Aspekt (Beispiele) Aufbewahrungspflichten (Sicherungen), geldwerter Vorteil bei Zuschüssen Zugriff auf Daten durch den Arbeitgeber, Kontrolle der Nutzung und Logging (SIM, Gerät), Management-Software-Einsatz, Überstundenregelungen und Erreichbarkeit, Frage Betriebsvereinbarungen versus Einzelvereinbarungen Wenn Gerät bei dienstlicher Nutzung beschädigt oder zerstört wird Bei Datenverlust oder Fernlöschung des Geräts Bankwesengesetz Bankgeheimnis? Telekommunikationsgesetz? Gesundheitstelematikgesetz? Geheimschutzverordnung? Versicherungsvertragsgesetz E-Mailen von sensiblen Daten? Dienstrecht Beamte? Standesregeln Anwälte? Vermischung privater und betrieblicher Daten, Cloud-Ablage, Backups, Management- Software-Einsatz Entsorgung der Geräte und Datenlöschung V.a. Lizenzen verstößt der Mitarbeiter bei dienstlicher Nutzung des Endgeräts u.u. dagegen? Dokumentationspflichten, Aufbewahrungspflichten über Steuerrecht hinaus, Verbandsverantwortlichkeit 7
Die großen Fragen zu BYOD 8
Ein Axiom Datensicherheit und Datenschutz dürfen durch den Einsatz von privaten Endgeräten nicht in Frage gestellt werden. Dies gilt insbesonders im direkten Vergleich mit dienstlichen Endgeräten. 9
Was macht ein mobiles Endgerät, z.b. ein Smartphone, aus? Das Smartphone selbst Das Gerätezubehör Die SIM-Karte Das Betriebssystem Die integrierten Applikationen Die zusätzlich ladbaren Apps Die privaten Daten Die dienstlichen Daten Die Market/Store ID/IDs, Credentials u.a. 10
Gängige Verwundbarkeiten von Smartphones/Tablets Hardware - Empfindliche Materialien wie Glas - Geringe Größe der Geräte (Verlust, Diebstahl) - Häufige Verwendung im öffentlichen Raum - Hohe Wertigkeit und damit Attraktivität der Geräte - Nicht gesetzte Passwörter: SIM-Karten PIN, System-PIN oder Passcode Personell - Sorglosigkeit - Fehlende Information über Risiken - Leichtgläubigkeit trifft auf professionelle Angriffsversuche Gemischt - Fehlende Multi-Faktor-Authentifizierung - Kein Integriertes Sicherheits-Subystem - Oft eingeschränkte Datensicherungsmöglichkeiten - Oft unzureichende Datenlöschungsmöglichkeiten - Eingeschränkte System-Wiederherstellungsmöglichkeiten - Teilweise schwach gesicherte Netzwerkverbindungen - Eingeschränkte Möglichkeiten zum Wiederauffinden - Möglichkeit der Verwendung von Mehrwertnummern durch Apps inkl. Missbrauch über SMS und MMS - Vorhandene, mögliche Maßnahmen sind nicht gesetzt Organisatorisch - Kein oder problematisches Konfigurations-, Änderungs- und Patch-Management - Kein Prozess für den Umgang mit Sicherheitsvorfällen (Incident Handling) - Unzureichende Richtlinien - Kein oder ungenügendes Logging Software - Fehlende oder schwache Passwörter für Netzwerk und Anwendungen - Fehlender oder unzureichend gewarteter Schadsoftwarescanner, keine Personal Firewall etc. - Kein Screen Lock mit Passwortschutz und manueller Aktivierungsmöglichkeit - Keine Verschlüsselung einzelner Dateien und Verzeichnisse oder gesamter Datenträger (vor allem von mobilem Speicher wie SD-Karten) - Kein oder unzureichender Schutz von Passwörtern - Mangelhaftes Betriebssystem-Hardening - Unzureichendes Anwendungs-Hardening - Zweifelhafte Apps mit umfangreichen oder überschießenden Zugriffsrechten - Unprofessionell programmierte Anwendungen - Schwachstellen z.b. in Social Media-Applikationen 11
Wozu Smartphones/Tablets gerne missbraucht werden Passwort- und Identitätsdiebstahl Informationsabschöpfung Kontodatenmissbrauch Unzulässige Ortung Spionageaktivitäten Facebook-Scams und anderes: http://www.facecrooks.com/ 12
Data Breach Notification Duty 24 Abs 2a DSG Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. 13
Incident Handling nach ISO 27001 Auswirkungsanalyse (=Impact Analyse) Rechtfertigung für Präventivmaßnahmen Ausarbeitung von Sicherheitsmaßnahmen Prozess für Vorfälle aus der Schublade ziehen Informieren und für Feedback bereitstehen Datenlecks schließen, Schäden begrenzen Beweismaterial sammeln Vorher jedoch: einen Vorfall durchrechnen = Auswirkungsanalyse 14
BYOD Notwendige Sicherheitsmaßnahmen Daten Benutzer BYOD- Strategie* plus Regeln Anwendungen Gerät * Wer, was, wann, wie, wo etc. die Basis 15
Wer ist wofür verantwortlich im BYOD-Lebenszyklus? Beschaffung Endgerät Beschaffung Gerätezubehör, z.b. Netzteil für Arbeitsplatz Mitarbeiter Arbeitgeber?? Einrichtung?? Betrieb Telefonie/Daten inkl. Roaming, Gerätemanagement/Patching, Betriebssystem- Updates, Datensicherung, Synchronisation mit Cloud etc.?? Fehlerbehebung?? Reparatur?? Ersatz?? Datenlöschung, z.b. bei Diebstahl oder Verkauf?? Entsorgung, ggf. auch von Speicherkarten?? 16
Beachtenswerte Punkte bei der Evaluierung von MDM-Lösungen Welche Kontrolltiefe durch MDM wird tatsächlich benötigt? ABC-Analyse der Features für dienstliche Geräte und für BYOD-Geräte Ist i.d.r. verfügbare MDM-Funktionalität wie z.b. mittels ActiveSync vielleicht sogar ausreichend? Ist die MDM-Lösung in der angedachten Form auch wirklich geeignet, die zugrundeliegenden Anforderungen zu erfüllen? Agent Software installierbar? Welche Funktionen einer MDM-Lösung sollen genutzt und unterstützt werden? z.b. Anwendungs-Management? Aufwand! Spezial-Features? Rechtliche Zulässigkeit! Sind die zugrundeliegenden und für die Konfiguration notwendigen Richtlinien und Prozesse bereits ausgearbeitet? 17
Einige Schutzmaßnahmen für Smartphones/Tablets Klassifizierung Klassifizierung der Daten was darf dort überhaupt liegen? Zugriffskontrolle SIM-PIN Geräte-PIN oder Passcode Manuelle Aktivierungsmöglichkeit für PIN/Passcode Passwörter für einzelne Applikationen Multi-Faktor-Authentifizierung bei sensiblen Anwendungen Schutz von Passwörtern (keine Ablage im Browser-Store) Verschlüsselung des gesamten Datenträgers Verschlüsselung einzelner Dateien Verschlüsselung einzelner Verzeichnisse Physische Sicherheit Bumper und Taschen Theft Recovery und Asset Tracking-Lösungen Neutrale Kontaktadresse auf einem Aufkleber Personelle Sicherheit Sensibilisierung Schulung von Mitarbeitern/innen Deaktivierung einzelner Features der Smartphones Verzicht auf Smartphones in bestimmten Situationen Sicherheitspolitik und Richtlinien Passwort-Richtlinien Richtlinien für Acceptable Use ; private Nutzung etc. Sicherheit von Kommunikation und Betrieb Schadsoftware-Scanner Personal Firewall Lösungen für sicheres E-Mailen Abgesicherte Netzwerkverbindungen (VPN) Konfigurationsmanagement Änderungsmanagement Patch-Management Betriebssystem-Hardening Fernlöschung zur Missbrauchsverhinderung Aufrechterhaltung der Betriebsbereitschaft Datensicherung und (System-)-wiederherstellung Einhaltung von Sicherheitsvorschriften Sichere Datenlöschung bei Weitergabe Logging Sicherheitsorganisation Prozess für den Umgang mit Sicherheitsvorfällen Anwendungs-Sandboxing und Virtualisierung sind sinnvolle Konzepte 18
Inhalte einer Vereinbarung mit Mitarbeitern Warum also Regelungen mit den Mitarbeitern treffen? Haftungsreduktion, gesetzlicher Datenschutz, Arbeitsrecht, ordnungsgemäße Datenverarbeitung, Konfliktvermeidung Regelungsbedürftige Themen ideal: Einzelvereinbarungen mit Mitarbeitern Trennung betrieblicher und privater Daten Daten, die vom Unternehmen erhoben und ausgewertet werden: Zugriff auf das Smartphone, dessen Firmware, Einstellungen und v.a. Auslesen von darauf liegende Daten (Verbindungsdaten, Ortungsdaten, App-Listen, Roaming-Status, Betriebssystem-Version etc.) Installation von Apps durch das Unternehmen z.b. MDM-Agent Datenlöschung: Wann? Durch wen Self Service-Portal? Teilweise Löschung wenn ja, muss MDM vom Mitarbeiter akzeptiert werden (Agent-App) Vornahme von Einstellungen bzw. Verwaltung durch das Unternehmen (Verhindern von Datensicherung in die Cloud und einzelner Apps, d.h. Blacklists oder Whitelists; Jailbreaking) Monitoring von Web-Zugriffen und Telefonverbindungen oder letzter Verbindung zwecks Mail- Abfrage, Ortung Nutzung des Geräts durch Dritte etc. 19
Schritte im Rahmen des BYOD-Risikomanagements Schaffen eines Rahmens Klären der Frage: Wie sollen Mitarbeiter Smartphones und Tablets verwenden? Ziel: die unternehmensweite Mobilgeräte-Strategie, Richtlinien und das Sensibilisierungs-und Schulungsprogramm zu formulieren Entwickeln der Strategie und Richtlinien Herstellen eines Bezugs zu den Unternehmenszielen und Einholen der Zustimmung der Geschäftsleitung. Beinhaltet u.a.: Einsatzgebiete, Art der Verwendung, Risiken, Monitoring der Nutzung, Mobile Device Management Managen und Reduzieren von Risiken Identifizieren von Maßnahmen, um Risiken zu transferieren, zu reduzieren oder zu vermeiden Setzen technischer und organisatorischer Sicherheitsmaßnahmen Sensibilisierung bzw. Schulung Sensibilisieren von Mitarbeitern, d.h. Kommunizieren der Richtlinien Monitoring und Device Management Schaffen von Mechanismen für technisches Risikomanagement, periodische Schulung bzw. Sensibilisierung 20
Fazit Was nötig ist Technische Maßnahmen Organisatorische Maßnahmen Ein BYOD-Konzept, klare Gebote und Verbote sowie Nutzungstipps Personelle Maßnahmen Technische Absicherung: Endgeräte-Strategie Sensibilisierung und Schulung: Bewusstmachen eigenen Verhaltens 21
Vielen Dank für Ihr Interesse Wir freuen uns, von Ihnen zu hören Formanekgasse 22 1190 Wien +43 664 4662567 Christoph.Riesenfelder@riesenfelder.com www.riesenfelder.com www.xing.com/profile/christoph_riesenfelder Willheim Müller Rechtsanwälte Rockhgasse 6 1010 Wien +43 676 5050900 S.Winklbauer@wmlaw.at www.wmlaw.at 22