insta_photos - stock.adobe.com
Datenschutzbedenken der Mitarbeiter bei BYOD ausräumen
Bei Datenschutzbedenken rund um BYOD dreht sich alles darum, inwieweit die IT-Abteilung Zugriff auf private Geräte hat. Eine transparente und klare Strategie ist gefragt.
BYOD-Programme können die Flexibilität der Mitarbeiter verbessern und die Hardwarekosten senken. Sie zwingen jedoch auch die IT-, Sicherheits- und Führungskräfte dazu, klare Datenschutzgrenzen auf Geräten zu definieren, die sich nicht vollständig im Besitz des Unternehmens befinden.
Die eigentliche Frage zum Datenschutz lautet nicht, ob die IT ein privates Gerät verwalten kann. Vielmehr geht es darum, wie viel Transparenz und Kontrolle das Unternehmen benötigt, um Unternehmensdaten zu schützen, Compliance-Vorgaben einzuhalten und auf Ereignisse wie das Ausscheiden von Mitarbeitern, den Verlust von Geräten oder verdächtige Zugriffe zu reagieren.
Moderne BYOD-Programme bieten heute mehr Optionen als noch vor einigen Jahren. Unternehmen können datenschutzkonforme Registrierungsmodelle, Arbeitscontainer und Schutzmaßnahmen auf App-Ebene nutzen, um Unternehmensdaten zu sichern, ohne jedes private Smartphone wie ein vollständig verwaltetes Unternehmensgerät zu behandeln.
BYOD kann zudem die Grenze zwischen Arbeit und Privatleben verwischen. Wenn Mitarbeiter den Druck verspüren, auch nach Feierabend erreichbar zu bleiben, überschneiden sich Datenschutzbedenken oft mit der Work-Life-Balance, den Erwartungen an den Support sowie Fragen zur Vergütung, etwa zu Aufwandsentschädigungen oder der Erstattung von Mobilfunkkosten.
Die Herausforderungen in Bezug auf Datenschutz und BYOD
Datenschutzbedenken im Rahmen von BYOD lassen sich in der Regel auf einige wenige, immer wiederkehrende Abwägungen zwischen Sicherheit, Kontrolle und Autonomie der Mitarbeiter zurückführen. Dazu gehören unter anderem die Folgenden:
- Datensicherheit des Unternehmens versus Geräte- und Informationsschutz der Mitarbeiter.
- Zugang der Mitarbeiter zu Arbeitsdaten versus Work-Life-Balance.
- Erzwingen von Sicherheitsmaßnahmen wie Betriebssystem-Updates versus Gerätefreiheit.
- Kosteneinsparungen des Arbeitgebers gegenüber finanziellem Zuschuss an die Mitarbeiter für die Nutzung privater mobiler Datentarife für den Zugriff auf Unternehmensressourcen.
Sicherheits- und Datenschutzbelange spielen bei jeder Entscheidung eines Unternehmens eine Rolle, insbesondere wenn man die besonderen Risiken berücksichtigt, die mit BYOD verbunden sind. So ist es zum Beispiel eine scheinbar einfache Entscheidung, E-Mail auf einem persönlichen Gerät zuzulassen. Es kann jedoch schwierig sein, angemessene Sicherheitskontrollen wie Data Loss Prevention (DLP) und Beschränkungen für die gemeinsame Nutzung von Daten in Unternehmens- und privaten Anwendungen zu aktivieren. Während Unternehmen Maßnahmen zum Schutz von Unternehmensdaten ergreifen müssen, sind Mitarbeiter oft besorgt darüber, welche und wie viele persönliche Daten ihr Unternehmen auf ihren Geräten sehen und kontrollieren kann.
Um Apps zu verteilen, Richtlinien durchzusetzen und Unternehmensdaten auf privaten Geräten zu schützen, nutzen IT-Administratoren häufig MDM- und UEM-Lösungen sowie App-Management-Tools. Die Datenschutzbedenken beziehen sich jedoch nicht nur auf die Existenz dieser Tools. Vielmehr geht es darum, ob die Mitarbeiter verstehen, welche Daten das Unternehmen tatsächlich einsehen und steuern kann.
Je nach Plattform und Registrierungsmethode variiert diese Transparenz mittlerweile erheblich. Bei BYOD-Modellen, die den Datenschutz gewährleisten, können Unternehmen in der Regel arbeitsbezogene Einstellungen, verwaltete Apps, den Konformitätsstatus der Geräte sowie bestimmte grundlegende Gerätedaten einsehen und verwalten. Außerdem können sie Unternehmens-Apps und -Daten mittels selektiver Löschung entfernen.
Was Unternehmen bei diesen Modellen in der Regel nicht einsehen können, ist ebenso wichtig. Beim Apple User Enrollment verwaltet die IT-Abteilung lediglich die Unternehmenskonten, Einstellungen und bereitgestellten Informationen, nicht jedoch das persönliche Konto des Benutzers. Bei Android-Arbeitsprofilen kann das Unternehmen das Arbeitsprofil verwalten, persönliche Apps, Daten und Nutzungsdetails bleiben jedoch privat. Microsoft weist die Benutzer bei der Intune-Registrierung ebenfalls darauf hin, dass keine persönlichen Informationen offengelegt werden, obwohl Administratoren weiterhin begrenzte Geräteinformationen wie Modell und Seriennummer einsehen können.
Aus diesem Grund sollte sich die BYOD-Datenschutzrichtlinie nicht darauf beschränken, die Existenz von MDM zu erwähnen. Sie sollte die Registrierungsmethode erläutern, darlegen, welche Daten die IT einsehen kann, aufzeigen, welche Maßnahmen die IT ergreifen kann und erklären, wann selektives Löschen oder andere Kontrollen zum Einsatz kommen.
Maßnahmen, die Unternehmen ergreifen können
Unternehmen können Datenschutzbedenken im Zusammenhang mit BYOD verringern, indem sie drei Entscheidungen klar festlegen:
- Welche Richtlinien gelten.
- Welches Verwaltungsmodell das Unternehmen anwendet.
- Welche Daten die IT-Abteilung auf einem privaten Gerät einsehen darf und welche nicht.
Diese Entscheidungen greifen ineinander. Eine schriftlich festgelegte BYOD-Richtlinie definiert die Datenschutz- und Sicherheitsregeln. Das Registrierungs- oder App-Schutzmodell bestimmt den Umfang der Kontrolle durch die IT-Abteilung. Eine transparente Kommunikation hilft den Mitarbeitern, zu verstehen, wie Arbeitsdaten getrennt, geschützt und bei Bedarf gelöscht werden.
Erstellen Sie eine BYOD-Richtlinie
Nachdem ein Unternehmen beschlossen hat, die geschäftliche Nutzung von mitgebrachten Geräten zuzulassen, sollte es als ersten Schritt eine BYOD-Richtlinie erstellen. In dieser Richtlinie sollten die Anforderungen an die mobile Sicherheit, die Datenschutzgrenzen, die Erwartungen an die Registrierung, die Support-Verantwortlichkeiten sowie die Rechte des Unternehmens zur Löschung von Unternehmensdaten festgelegt werden.
Die Erstellung klarer Registrierungsverfahren und einer für die Nutzer verständlichen Dokumentation ist zudem eine Aufgabe für das IT-Team. Die Mitarbeiter sollten über einige Dinge Bescheid wissen:
- Sie sollten wissen, wie die Registrierung funktioniert.
- Sie sollten auch wissen, welche Daten die IT einsehen kann.
- Außerdem sollten sie darüber informiert sein, was passiert, wenn ein Gerät verloren geht oder der Mitarbeiter das Unternehmen verlässt.
- Sie sollten wissen, ob das Unternehmen einen Zugriff außerhalb der Arbeitszeiten erwartet oder eine Erstattung für die Nutzung privater Geräte anbietet.
Zu den zu berücksichtigenden Richtlinienpunkten können folgende gehören:
- Unterstützte Gerätetypen und Mindestanforderungen an das Betriebssystem.
- Zugelassene Registrierungs- oder App-Schutzmodelle.
- Datenschutzgrenzen und Einsehbarkeit durch das Unternehmen.
- Verlorene, gestohlene oder beschädigte Geräte.
- Verfahren zur selektiven Löschung und zum Ausscheiden von Mitarbeitern.
- Zuschüsse, Erstattungen und Erwartungen außerhalb der Arbeitszeiten.
Bring Your Own Device und nicht Bring Your Own Everything
Auch wenn BYOD-Smartphones für viele Unternehmen sinnvoll sind, sollte BYOD nicht bedeuten, dass Mitarbeiter jedes beliebige veraltete Gerät, jeden beliebigen Account oder jeden beliebigen Dienst nutzen können. Nicht unterstützte Geräte bergen sowohl Sicherheitsrisiken als auch Datenschutzprobleme. Bei mangelnder Support-Fähigkeit muss die IT-Abteilung möglicherweise strengere Kontrollen anwenden.
Unternehmen sollten Mindestversionen für Betriebssysteme, unterstützte Registrierungsmethoden und Zulassungsregeln für Geräte festlegen, die auf Unternehmensdaten zugreifen. Zwar kann eine Liste empfohlener Geräte hilfreich sein, doch die wichtigere Frage ist, ob der Endpunkt das vom Unternehmen gewählte, datenschutzkonforme BYOD-Modell unterstützen kann.
Für Android ist das Programm Android Enterprise Recommended nach wie vor ein nützlicher Ausgangspunkt, da Google die Geräte anhand von Unternehmensanforderungen überprüft. Die aktuellen Anforderungen sehen Sicherheitsupdates innerhalb von 90 Tagen sowie eine Verfügbarkeit von Sicherheitsupdates über fünf Jahre ab dem ursprünglichen Auslieferungsdatum vor.
Setzen Sie auf selektives Management statt auf pauschale Kontrolle.
Viele Unternehmen benötigen nach wie vor MDM- oder UEM-Lösungen, um Gerätekonformität durchzusetzen, Zertifikate zu verteilen, Einschränkungen anzuwenden und selektives Löschen zu ermöglichen. Doch die vollständige Geräteregistrierung ist nicht mehr der einzige Ansatz für BYOD.
In vielen Fällen können Unternehmen ihre Datenschutzbedenken verringern, indem sie App-Schutz mit identitätsbasierten Zugriffskontrollen und datenschutzfreundlichen Registrierungsmodellen wie „Apple User Enrollment” oder „Android-Arbeitsprofile” kombinieren. So kann die IT-Abteilung Unternehmensdaten schützen, ohne das gleiche Maß an Kontrolle anzuwenden wie bei unternehmenseigenen Endgeräten.
Wenn die IT-Abteilung ein privates Gerät registriert, sollte sie sorgfältig abwägen, welche Kontrollen gerechtfertigt sind. Selektives Löschen, kontrollierte App-Nutzung und minimale Compliance-Anforderungen sind in der Regel sinnvoll. Eingreifendere Kontrollen wie strenge Einschränkungen oder Maßnahmen auf dem gesamten Gerät erfordern eine klarere Begründung und eine intensivere Kommunikation mit den Benutzern.
Dieser Artikel wurde ursprünglich von Michael Goad verfasst und von der ComputerWeekly-Redaktion aktualisiert, um Branchenveränderungen widerzuspiegeln und das Leseerlebnis zu verbessern.
Dieser Artikel ist im Original in englischer Sprache auf Search Mobile Computing erschienen.
