Bring Your Own Device: Datenschutz und Informationssicherheit beachten

Der Einsatz privater Mobilgeräte im Unternehmen wirft zahlreiche Fragen rund um den Datenschutz auf. Einige Tipps worauf Firmen achten müssen.

Bring Your Own Device (BYOD) bedeutet, dass Mitarbeiter ihre eigenen mobilen Endgeräte wie Smartphones oder Tablets auch beruflich nutzen und mit ihnen auf das Unternehmensnetzwerk sowie geschäftliche Inhalte zugreifen.

Eine effektive BYOD-Strategie bietet viele Vorteile für Unternehmen. Dazu gehören eine höhere Zufriedenheit der Mitarbeiter sowie höhere Effizienz und Flexibilität. BYOD senkt zudem die Kosten für den Einkauf mobiler Geräte, die laufende Nutzung und den IT-Support (Helpdesk), die die Mitarbeiter in ihre eigenen Geräte investieren.

Weil aber die Mitarbeiter mit ihren eigenen Geräten auf Informationen des Unternehmens zugreifen, stellen sich eine Reihe von Fragen rund um Datenschutz und Informationssicherheit. Unternehmen müssen diese Fragen auch im Hinblick auf Compliance und die Einhaltung gesetzlicher Verpflichtungen zum Datenschutz beantworten.

Fragen des Eigentums

Viele dieser Probleme entstehen aus dem Wesen beziehungsweise der Definition von BYOD: Da der Mitarbeiter Eigentümer des mobilen Geräts ist, kümmert er sich zum Großteil auch um die Wartung und den Support seines Smartphones oder Tablets. Das Unternehmen besitzt damit weit weniger Kontrolle über das private Gerät als über ein zentral bereit gestelltes Gerät, das ausschließlich beruflichen Zwecken dient. 

Unternehmen sollten Sandboxes und Container für Daten einsetzen.

Ein Unternehmen muss diese Fragen rund um BYOD klären, bevor die Mitarbeiter ihre eigenen Geräte in die Arbeit mitbringen dürfen. So muss beispielsweise sichergestellt sein, dass die beruflichen und geschäftlichen Informationen strikt von den privaten Daten des Mitarbeiters getrennt sind. Zudem dürfen andere Nutzer des Geräts wie etwa Familienmitglieder nicht auf die geschäftlichen Daten zugreifen. Und was passiert, wenn ein Mitarbeiter das Gerät verliert oder das Unternehmen verlässt?

Beschließt ein Unternehmen den Einsatz von BYOD, sollte es zuvor seine geschäftlichen Ziele und die erwarteten Vorteile definieren und identifizieren sowie gleichzeitig Themen wie Sicherheit, Audits und Anforderungen des Datenschutzes berücksichtigen. Dazu empfiehlt sich der Aufbau eines interdisziplinären Teams mit IT-Experten sowie Mitarbeitern aus den Fachabteilungen (vor allem Personal und Recht), um koordinierte und unternehmensweite Richtlinien für BYOD zu erstellen.

Unterstützung bietet unter anderem der IT-Branchenverband Bitkom, der einen Leitfaden zum Thema Bring Your Own Device veröffentlicht hat. Aber auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bietet Anknüpfungspunkte. Wenn Unternehmen die Datenschutzrisiken von Anfang an berücksichtigen, können sie Datenschutz in das Zentrum ihrer Geschäftstätigkeit einbetten. Damit verbessern sie die allgemeinen Standards für Sicherheit und Datenschutz.

Geschäftliche Richtlinien für BYOD

Entscheidend für den Erfolg eines BYOD-Projekts sind eindeutige geschäftliche Richtlinien (Policy). Dadurch können Mitarbeiter eindeutig ihre Verantwortung erkennen, wenn sie ihre Geräte mit der IT-Infrastruktur ihres Arbeitgebers verbinden. Ein eigener Plan für die Implementierung führt zudem zu einer besseren Trennung der Daten. Zudem sollten Unternehmen in einem Audit prüfen, auf welche persönlichen Daten sie zugreifen und welche Geräte sie erlauben.

Der angesprochene Leitfaden und der Jahresbericht des BfDI sieht Datensicherheit als wichtiges Anliegen für Arbeitgeber. Sie sollten darauf achten, dass sie mit BYOD keine neuen Schwachstellen in ihre bestehenden Sicherheitsumgebungen einführen. Zudem raten sie zum Einsatz von Sandboxes oder abgeschlossenen Daten-Containern für spezifische Anwendungen sowie geeigneten Notfall-Maßnahmen, wenn das Gerät gestohlen wird oder verloren geht. Die Daten müssen als Backup vorliegen, sollten vertraulich bleiben und dürfen nicht in die Hände des Diebes fallen.

Hier bestehen hohe gesetzliche Risiken. Verliert die Firma persönliche Informationen der Mitarbeiter oder Kundendaten, verstößt sie gegen geltendes Recht und damit auch gegen die Compliance. Damit drohen Klagen der betroffenen Mitarbeiter oder Kunden sowie Geldbußen.

Um diese Risiken bei Datenschutz und IT-Sicherheit zu minimieren, sollten Unternehmen gemäß dem BfDI folgende Punkte berücksichtigen:

  • Welche Unternehmensdaten dürfen auf persönlichen Geräten gespeichert und bearbeitet werden?
  • Welche Maßnahmen eigenen sich zur Verschlüsselung und zum sicheren Zugriff auf die Unternehmensdaten?
  • Wie sollen die Unternehmensdaten auf den Endgeräten gespeichert werden?
  • Wie und wann dürfen die Unternehmensdaten von den persönlichen Geräten gelöscht werden?
  • Wie werden die Daten vom persönlichen Gerät des Mitarbeiters auf die Server des Unternehmens übertragen?

Informationssicherheit

Das BfDI empfiehlt die Installation von Antivirussoftware auf Endgeräten sowie technischen Support für die privaten Geräte der Mitarbeiter, wenn sie diese zu beruflichen Zwecken verwenden. Sehr wichtig sind BYOD-Richtlinien mit klaren Hinweisen für die Nutzer, inwieweit sie mit ihren eigenen Geräten persönliche und geschäftliche Daten verarbeiten können. Die Mitarbeiter sollten dadurch erkennen, dass sie die Daten des Unternehmens ausschließlich zu beruflichen Zwecken nutzen dürfen.  

Mehr zum Thema BYOD-Richtlinien:

BYOD-Vorgaben für jede Stufe der mobilen Initiative.

IT-Priorities 2015: BYOD-Programme haben in Unternehmen Vorfahrt.

BYOD oder COPE: Welche Strategie für mobile Endgeräte eignet sich besser?

MDM und BYOD: Sicherheit der Daten geht vor Schutz der Geräte.

Der BfDI geht auch auf die Risiken der zunehmenden Kontrolle der Mitarbeiter ein, die mit der BYOD-Strategie verbunden sind. So könnte das Unternehmen technische Maßnahmen zur stärkeren Überwachung der Mitarbeiter ergreifen, um die Sicherheit der geschäftlichen Daten zu erhöhen, die der Mitarbeiter auf seinem privaten Gerät verarbeitet. 

Mögliche Maßnahmen sind zum Beispiel die Aufzeichnung des geografischen Standorts der mobilen Geräte oder die Überwachung des Internetverkehrs auf den Endgeräten. Die Unternehmen müssen die Mitarbeiter über das Ausmaß der Überwachung informieren und diese von den Vorteilen der Kontrolle überzeugen. Der Mitarbeiter muss wissen, dass die Überwachung seine Privatsphäre nicht verletzt.

Der Einsatz von privaten Geräten am Arbeitsplatz nimmt ebenso zu wie die potenziellen Datenschutzrisiken. Unternehmen sollten daher genau prüfen, ob sie von BYOD profitieren. Falls ja, müssen sie geeignete Konzepte und Verfahren zur Lösung dieser Probleme einführen, um die mit BYOD verbundenen Risiken zu minimieren. Denn letztlich sind die Unternehmen für die Sicherheit von Unternehmensdaten und die Einhaltung der Datenschutzanforderungen verantwortlich, unabhängig davon, wem das Gerät gehört. Daher müssen sie verantwortungsvoll agieren.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Erfahren Sie mehr über Mobile Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close