Mobile Devices rechtssicher einsetzen Wichtige gesetzliche Anforderungen SSW Schneider Schiffer Weihermüller Rechtsanwalt Dominik Hausen itsa, Nürnberg, Lawyer meets IT, 16.10.2012
Bedeutung von mobilen Geräten (1) Quelle: BITKOM, Pressemitteilung vom 21.8.2012
Bedeutung von mobilen Geräten (2) Petabyte Quelle: BITKOM, Pressemitteilung vom 15.2.2012
Verbraucher treiben den Business-Markt vor sich her Cloud Apps Consumerization of IT Bring Your Own Device Social Media ortsbasierte Dienste
Herausforderungen Sichere Integration unterschiedlicher mobiler Endgeräte (Smartphones, Tablets)... mit unterschiedlichen Betriebssystemen (Android, ios, Windows Phone, Blackberry)... in die vorhandene IT-Infrastruktur (Mail-Server, Gateways, VPN-Tunnel).
eco-umfrage Internet-Sicherheit 2012 ggü.. 2011 sehr wichtig wichtig Quelle: Internet-Sicherheit 2012: Eine Umfrage der eco Kompetenzgruppe Sicherheit, Februar 2012 gar nicht wichtig
IT-Grundschutz-Kataloge des BSI Standardsicherheitsmaßnahmen für typische IT-Systeme mit normalem Schutzbedarf 570 Gefährdungen, 1.312 Maßnahmen auf über 4.000 Seiten (DIN A4) Mobile Security wird als Thema nur gestreift Leitfaden: Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen, Stand 2006 Sichere Softwareentwicklung unter Android Stand 30.7.2012, aus BSI-Empfehlungen zur Cybersicherheit
Gefährdungslage bei Mobile Devices (1) Gefahren von Außen: - Verlust des Gerätes durch Diebstahl (Vermögensschaden) - Nutzung des physischen Gerätes zur Authentifizierung gegenüber IT- Anwendungen und Zutrittskontrollanlagen (Gefahr: Identitätsklau) - Verlust von Daten, die noch nicht im Rahmen eines Backups gesichert werden konnten - Unbefugter Zugriff auf vertrauliche Daten auf dem Endgerät (auch remote per Malware wie Spy-Apps, Tojaner, Viren) - Unbefugter Zugriff auf Daten in Firmennetzen über ein komprommitiertes Endgerät - Unbemerkte Anwahl gebührenpflichtiger Rufnummern durch sog. Dialer, Premium-SMS-Kostenfallen - Missbrauch der Sensoren des Smartphones (Mikrofon, Kamera, Positionsbestimmung, Lagesensor) zur Spionage/Überwachung
Gefährdungslage bei Mobile Devices (2) Gefahren, die vom Mitarbeitern ausgehen: - Verlust des Gerätes aus Unachtsamkeit - Unkontrollierte Verwendung von Apps - Jailbreak oder Rooting des Geräts (Aushebelung von Schutzmechanismen des Bestriebssystem-Herstellers) - Preisgabe von Positionsdaten und geschäftlicher Kontaktdaten in soz. Netzwerken - (unbewusste) Übermittlung sensibler Daten an Dritte im Rahmen der Nutzung von Cloud-Diensten
Mobile Devices als Mittel zur Kontrolle von Mitarbeitern Aktivierung von Mikrofon und Kamera Erstellen von Bewegungsprofilen Zugriff auf private Daten Löschung auch privater Daten per remote wipe, sofern technisch keine Trennung möglich
Vorhandene Schutzmechanismen gängiger Smartphone-Betriebssysteme Autolock-Funktionen mit Passworteingabe Grundverschlüsselung der Daten auf dem mobilen Endgerät Ferngesteuertes Löschen von Daten (Remote Wipe) Zentrales Software Deployment (Walled Gardens, Closed Shop) Signierung von Apps Apps laufen in sog. Sandboxes größere Bandbreite an eingesetzten Smartphone-Betriebssystemen als bei Desktop-Betriebssystemen
Security-Defizite von Mobile Devices Zeitfenster von Entdeckung Schwachstelle bis zur Bereitstellung eines Patches im Vergleich zum Desktop wesentlich höher. Betriebssysteme bislang nicht mehrbenutzerfähig: Trennung privater und dienstlicher Daten nur unzureichend möglich. Konfigurationsmöglichkeiten der Betriebssysteme im Hinblick auf die Rechtevergabe und Zugriffskontrolle beschränkt - Unternehmen können Rechte der Nutzer nicht ausreichend einschränken - Sicherheitseinstellungen wie Browser Settings oder Rechte zur Installation von Apps können technisch nicht oder nur unzureichend erzwungen werden.
Mobile Device Management-Lösungen Mangement-Plattformen mit zentral durchsetzbaren Richtlinien (Policies) Grundfunktionen von MDM-Lösungen: - Softwareverteilung - Remote-Konfiguration - Inventarisierung - Backup und Restore - Endgerätesicherheit (Passwort-RL) - Container-Funktionalität: Kapselung der dienstlichen Nutzung in Form einer App, die eine isolierte Smartphone-Umgebung enthält, ermöglicht die Trennung geschäftlicher und privater Daten - Infrastrukturkontrolle (z.b. Verbindung zum Firmennetzwerk nur über verschlüsselte VPN-Verbindung)
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (1) Überblick: Implementierung im Unternehmen (Outsourcing?) Gestaltung von Benutzer- und Sicherheitsrichtlinien Rechtskonforme Kontrolle: Policy Monitoring, Lokalisierung, Fernlöschung Betriebliche Mitbestimmung bei der Einführung von MDM-Lösungen Haftungsrisiken für IT-Verantwortliche, Mitarbeiter und Unternehmen
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (2) Implementierung im Unternehmen: - Hosted- oder Managed-Service: Auftrags-DV, 11 BDSG ivm 9 BDSG und Anlage dazu sorgfältige Auswahl des Anbieters schriftlicher Vertrag Festlegung technischer und organisatorischer Schutzmaßnahmen Vorteil: Höheres Kosteneinsparungspotenzial Nachteil: Hohe Anforderungen an Erfüllung datenschutzrechtlicher Auflagen - On-Premise: Regelungen entspr. Auftrags-DV bei Wartungsarbeiten (v.a. auch bei Fernwartungszugängen) Vorteil: Datenschutzmaßnahmen bei Fernwartungszugriffen üblich, geringerer Umsetzungsaufwand., Nachteil: Höhere Investitionen erforderl.
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (3) Gestaltung von Benutzer- und Sicherheitsrichtlinien: Unterrichtung 33 BDSG Information: Heimliche Maßnahmen wg. Unverhältnismäßigkeit grds. unzulässig. Organisatorische Ebene Technische Ebene Verpflichtung z.b. durch Mitarbeiter-RL, -anweisung Schulungen Kontrolle: Durchsetzung Richtlinien (Enforcement)
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (4) Datenschutz- & Compliance-Anforderungen (hier Anlage zu 9 BDSG): werden personenbezogene Daten automatisiert verarbeitet oder genutzt, so ist die (...) innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. - Zugriffsschutz/Eingabekontrolle: Authentifizierung und Verschlüsselung sofern Daten direkt auf Smartphone gespeichert sind Authentifizierung und verschlüsselte Verbindungen (SSL/VPN) sofern Smartphone als Remote-Desktop. - Trennungsgebot: Abschottung von Anwendungen und Daten mittels Sandboxing (wichtig auch zur Trennung privater und dienstlicher Daten bei BYOD) - Verfügbarkeitskontrolle: Schutz vor Angriffen von Außen: Anti-Malware - Weitergabekontrolle: Verhinderung des unkontrollierten Abflusses von Informationen durch DLP (Data Loss oder Leakage Prevention)
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (5) Rechtskonforme Kontrolle - Policy Monitoring: etwa auf Vorhandensein von sog. Jailbreaks unkritisch je mehr Nähe zu DLP desto kritischer, s.a. Conrad, CR 2011, 797 - Lokalisierung: Dauerkontrolle des Arbeitsverhaltens unzulässig Anlassbezogene Kontrolle bei konkreten Verdachtsmomenten für arbeitsrechtliche Verfehlungen zulässig Konkrete Festlegung der Zwecke (!) Ortung im Falle eines Diebstahls unkritisch - Fernlöschung: Grds. Beschränkung auf dienstliche Daten
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (6) Mitbestimmungsrecht des Betriebsrats bei der Einführung von MDM-Lösungen: - 87 Abs. 1 Nr. 6 BetrVG: Der Betriebsrat hat mitzubestimmen bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; - Trotz der Formulierung bestimmt reicht objektive Kontrollmöglichkeit aus. - Alternative Mitarbeitereinwilligung? (P) Freiwilligkeit, Drucksituation im Arbeitsverhältnis - Aufklärung der Beschäftigten über Funktionsweise und Umfang des Einsatzes der MDM-Lösung Fortgesetzte Überwachung des rechtskonformen Einsatzes durch Betriebsrat, 80 Abs. 1 Nr. 1BetrVG. Einführung von MDM-Lösungen unterliegt der Vorabkontrolle durch den bdsb, 4d Abs. 5 BDSG.
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (7) Haftungsrisiken für Unternehmen und Beschäftigte - Geschäftsführer (GF): Trifft Pflicht zum Risikomanagement und zur Risikovorsorge im Hinblick auf bestandsgefährdende Risiken ( 91 AktG i.v.m. 43 GmbHG). Rechtsmäßigkeit des Handelns aller im Unternehmen tätigen Personen ist sicherzustellen. - Compliance Officer: Überleitung der Pflicht zur Überwachung der Einhaltung gesetzlicher Anforderungen auf einen Mitarbeiter/leitenden Angestellten Strafrechtliche Verantwortlichkeit bei Garantenpflicht (BGH v. 17.7.2009) Übertragbar auf Datenschutzbeauftragte?, dazu Barton, RDV 2010, 19.
Rechtliche Fragestellungen beim Einsatz von MDM- Lösungen (8) Haftungsrisiken für Unternehmen und IT-Verantwortliche - Datenschutzbeauftragter: Pflicht zur Hinwirkung auf die Einhaltung des Datenschutzes Verantwortlich für Einhaltung ist das Unternehmen als verantwortliche Stelle, 3 Abs. 7 BDSG. - Beschäftigte: Wahrung des Datengeheimnisses, 5 BDSG Treuepflicht aus Arbeitsverhältnis Verantwortlichkeit für Datenschutzverstöße nach 43, 44 BDSG, u.a. Bußgeld bis zu 300.000 pro Datenschutzverstoß.
Noch Fragen? Rechtsanwalt Dominik Hausen Beethovenstraße 6 80336 München dominik.hausen@ssw-muc.de JUVE Handbuch Wirtschaftskanzleien 2011/2012 über SSW: Eine der führenden IT-Boutiquen, die mit ihrer fachlichen Expertise mit internationalen Kanzleien konkurrieren kann [...]. IT-Rechts-Team: 16.5.2011 Rechtsanwalt Dominik Hausen 22