Die Qualitätsansprüche von Endnutzern an mobile IT-Geräte wachsen – damit auch der Unwille, sich am Arbeitsplatz mit weniger leistungsfähigem Equipment zufrieden zu geben. Immer mehr Arbeitnehmer bringen daher ihre eigenen Geräte mit ins Unternehmen. Da sich die Arbeitgeber dadurch ebenfalls Vorteile erhoffen, hält das Phänomen “Bring Your Own Device” (BYOD) auf breiter Fläche Einzug in deutsche Unternehmen. Damit dabei mehr Nutzen als Schaden entsteht, sind einige technische und organisatorische Vorkehrungen jedoch unerlässlich.
Die meisten Unternehmen erkennen darin einen Mehrwert für sich, wenn ihre Mitarbeiter private Endgeräte für die Arbeit nutzen. Neben Kostenvorteilen ist auch die dadurch gesteigerte Flexibilität der Beschäftigten ein Plus für das Unternehmen: Der Übergang zwischen Arbeits- und Freizeit wird durchlässiger, die Mitarbeiter arbeiten oft effektiv länger, weil sie mit den privaten Geräten auch die Arbeit aus dem Büro mitnehmen. Außerdem wollen Firmen insbesondere für hart umworbenes, qualifiziertes Fachpersonal attraktiv bleiben, das eine Einschränkung der erlaubten Arbeitsmittel schon jetzt weitgehend nicht mehr für akzeptabel hält.
Wie jede Neuerung bringt BYOD auch Herausforderungen mit sich, denen auf Unternehmensebene sinnvoll zu begegnen ist. Vor allem werden über Jahre mühevoll entwickelte und oft auch teure Datenschutz- und Datensicherheits-Mechanismen bedeutungslos, wenn vertrauliche Daten über private Geräte verarbeitet werden, auf denen die unternehmensinternen Schutzmechanismen schlicht nicht greifen.
Die meisten Unternehmen sind sich bewusst, dass eine Verletzung der Datensicherheit teuer bis existenzgefährdend für sie sein kann. Deshalb wird auch unabhängig von Compliance-Anforderungen viel Energie in den Schutz von Daten investiert. Daher ist es erstaunlich, dass sich viele Verantwortliche in Organisationen, in denen BYOD längst gelebte Praxis ist, bisher kaum Gedanken über die Absicherung in diesem Bereich gemacht haben.
Einer Studie von Dimensional Research zufolge betrachten 72 % der Befragten unvorsichtige Beschäftigte als eine größere Gefahr für die Datensicherheit als Hacker-Angriffe. Dennoch ist ein grundsätzliches Verbot, private Geräte zu nutzen, nicht notwendig – zumal häufig gegen ein solches Verbot verstoßen wird. Sinnvoller ist eine praktikable BYOD-Policy. Dabei muss ein Unternehmen nicht nur eine Richtlinie formulieren und kommunizieren, sondern auch Lösungen für deren praktische Umsetzung anbieten, indem beispielsweise notwendige Sicherheitssoftware zur Verfügung gestellt und die Möglichkeit gegeben wird, dass die IT-Abteilung sich um die Implementierung kümmert. Um Unstimmigkeiten zu vermeiden, sollte eine transparente Kostenregelung für solche Maßnahmen existieren, die auch ihre steuerliche Behandlung zwischen Mitarbeiter und Arbeitgeber eindeutig klärt.
Auf folgende Punkte sollten Sie achten:
Zunächst muss definiert werden, auf welche Daten mit unternehmensfremder Hardware überhaupt zugegriffen werden kann und wo das nicht erforderlich ist. Daten, die nicht über private Geräte erreicht werden müssen, sollten auch in einem Bereich liegen, auf den ein solcher Zugriff technisch nicht möglich ist.
Zugriffe sollten zuordenbar sein. Mitarbeiter sollten sich immer über ein Anmeldeverfahren mit individuellem Passwort identifizieren, um über eigene Geräte Zugang zum Firmennetzwerk zu erhalten. Um die Integrität der Unternehmensdaten zu gewährleisten, sollten die Zugriffe und vorgenommenen Änderungen nachvollziehbar protokolliert werden.
Ebenso wie innerhalb des Unternehmens müssen vertrauliche Daten auf privaten Geräten und während der Übermittlung zwischen dem Firmennetzwerk und dem Endgerät des Mitarbeiters vor unbefugtem Zugriff geschützt werden. Die gleichen Sicherheitsanforderungen bezüglich Virenschutz, Verschlüsselung und gesicherter Datenverbindung, die innerhalb des Unternehmens gültig sind, müssen daher auch auf den privaten Geräten umgesetzt werden. Richtlinien für Backups und Löschfristen sind auch auf Privatgeräten einzuhalten.
Eine besondere Herausforderung stellt sich in diesem Zusammenhang bei mobilen Geräten, die sowohl privat als auch geschäftlich genutzt werden, durch Apps, die oft unbemerkt durch den Nutzer Daten an ihre Hersteller und verbundene Unternehmen übertragen. Sehr häufig greifen Apps beispielsweise auf das Adressbuch von Smartphones und Tablets zu. Auch wenn ein Mitarbeiter für sich in Kauf nimmt, durch die Nutzung solcher Apps seine privaten Daten preiszugeben, kann er die gleiche Entscheidung natürlich nicht für Unternehmensdaten treffen, sondern ist verpflichtet, diese vor einem solchen Zugriff zu schützen.
Eine technische Lösung dafür bieten Datencontainer für mobile Geräte. Alle geschäftlichen Daten werden innerhalb dieses abgetrennten Containers verarbeitet und gespeichert. Die Lösung der Firma Good Dynamics beispielsweise bietet auch ein separates E-Mail-Programm, einen eigenen Browser und einen getrennten Personal Information Manager (PIM) für die Verwaltung von Kontakten, Aufgaben und Terminen an. Sämtliche Daten, die über diese Programme verarbeitet werden, bleiben im geschützten Datencontainer und kommen nicht mit privaten Anwendungen in Berührung.
Ein weiteres Problem, das die Trennung von privaten und geschäftlichen Daten erforderlich macht, ist der gesetzlich vorgeschriebene Schutz der Privatsphäre des Arbeitnehmers. Das Unternehmen muss im eigenen Interesse beispielsweise die Möglichkeit haben, über private Geräte verarbeitete Daten automatisiert zu sichern beziehungsweise über Remote-Funktionen zu löschen, wenn es deren Vertraulichkeit gefährdet sieht. Dabei ist aber zu vermeiden, dass von den Maßnahmen auch die privaten Daten des Mitarbeiters betroffen sind. Auch deshalb ist eine Container-Lösung, die die strikt getrennte Behandlung von privaten und geschäftlichen Daten erlaubt, von Vorteil.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.