Graphicroyalty - stock.adobe.com
Datenschutzprobleme bei BYOD vermeiden
Bei BYOD werden Arbeits- und persönliche Daten auf einem Gerät gespeichert. Unternehmen sollten Maßnahmen ergreifen, um Datenschutz und Sicherheit der Geräte zu gewährleisten.
Wenn Mitarbeiter im BYOD-Modell (Bring Your Own Device) ihr privates Gerät auch für berufliche Zwecke nutzen, benötigen sie nur ein einziges Gerät. Allerdings entstehen beim Speichern von persönlichen und beruflichen Daten auf einem Gerät Bedenken hinsichtlich des Datenschutzes. Mit BYOD können die Mitarbeiter mit ihren persönlichen Geräten auf Unternehmensressourcen zugreifen, während das Unternehmen gleichzeitig die Komponenten des Geräts verwalten und die Einhaltung von Sicherheitsstandards und -praktiken sicherstellen kann.
Um ein BYOD-Modell erfolgreich einzuführen, müssen Unternehmen jedoch ihre Sicherheitsstrategie neu überdenken. Endanwender sind möglicherweise besorgt über das Ausmaß der Kontrolle durch die IT-Abteilung. Diese muss daher sorgfältig abwägen, welche Arten von Richtlinien und Sicherheitskontrollen sie auf den Geräten der Mitarbeiter implementiert, um ein Gleichgewicht zwischen Risiko und Datenschutz herzustellen.
Ein weiteres Problem: Für Mitarbeiter, die ihre privaten Geräte beruflich nutzen, verschwimmen die Grenzen zwischen Arbeits- und Privatleben. Der Zugriff auf E-Mails und andere Unternehmensressourcen innerhalb und außerhalb der Geschäftszeiten kann sich negativ auf die Work-Life-Balance der Mitarbeiter auswirken. Das führt zu zusätzlichem Stress und Datenschutzproblemen, wenn die Mitarbeiter das Gefühl haben, außerhalb der Geschäftszeiten arbeiten zu müssen.
BYOD: Herausforderung Datenschutz
Zu den Bedenken von Arbeitnehmern und Arbeitgebern in Bezug auf den Datenschutz bei BYOD gehören folgende Punkte:
- Datensicherheit des Unternehmens versus Geräte- und Informationsschutz der Mitarbeiter.
- Zugang der Mitarbeiter zu Arbeitsdaten versus Work-Life-Balance.
- Erzwingen von Sicherheitsmaßnahmen wie Betriebssystem-Updates versus Gerätefreiheit.
- Kosteneinsparungen des Arbeitgebers gegenüber finanziellem Zuschuss an die Mitarbeiter für die Nutzung privater mobiler Datentarife für den Zugriff auf Unternehmensressourcen.
Sicherheits- und Datenschutzbelange spielen bei jeder Entscheidung eines Unternehmens eine Rolle, insbesondere wenn man die besonderen Risiken berücksichtigt, die mit BYOD verbunden sind. So ist es zum Beispiel eine scheinbar einfache Entscheidung, E-Mail auf einem persönlichen Gerät zuzulassen.
Es kann jedoch schwierig sein, angemessene Sicherheitskontrollen wie Data Loss Prevention (DLP) und Beschränkungen für die gemeinsame Nutzung von Daten in Unternehmens- und privaten Anwendungen zu aktivieren. Während Unternehmen Maßnahmen zum Schutz von Unternehmensdaten ergreifen müssen, sind Mitarbeiter oft besorgt darüber, welche und wie viele persönliche Daten ihr Unternehmen auf ihren Geräten sehen und kontrollieren kann.
IT-Administratoren setzen häufig Lösungen wie Mobile Device Management (MDM) ein, um die Geräte der Mitarbeiter zu verwalten und Unternehmensressourcen wie E-Mails und Anwendungen zu verteilen. Diese Technologien sind zwar nützlich, können aber auch die Bedenken der Endbenutzer hinsichtlich des Datenschutzes verstärken, wenn es darum geht, wie viel Einblick die IT-Abteilung in die Geräte der Mitarbeiter hat.
Worauf können Arbeitgeber also mit MDM auf den Geräten der Mitarbeiter zugreifen und worauf nicht? Ein IT-Administrator kann mehrere MDM-Funktionen nutzen, um die Geräte- und Datensicherheit zu gewährleisten. Es gibt jedoch einen Unterschied zwischen dem, was die IT-Abteilung tun kann und was sie tun wird. Obwohl Tools wie MDM wesentliche Sicherheitsfunktionen zur Sicherstellung der Gerätekonformität bieten, werden nicht alle Unternehmen diese Funktionen optimal nutzen. Darüber hinaus sind mit den neuen Programmen von Apple und Google einige dieser Funktionen auf BYOD-Geräten im Besitz der Mitarbeiter deaktiviert:
- Geräte aus der Ferne sperren.
- Fernlöschen und Entfernen aller Unternehmensanwendungen und -daten.
- Installierte Anwendungen anzeigen.
- Anzeige der Telefonnummer.
- Anzeige der Gerätekennungen, einschließlich Seriennummer und International Mobile Equipment Identity (IMEI).
- Zugriff auf bestimmte Gerätefunktionen und Dienste wie etwa DLP-Kontrollen einschränken.
Eine weitere Funktion ist der vollständige Hard-Reset. Diese Funktion hängt jedoch davon ab, wie ein Gerät etwa mit Apple-Programmen wie User Enrolment und Googles Android Enterprise Work Profile aktiviert wird. Mit MDM können IT-Teams auch GPS- und Standortinformationen überwachen – wenn das MDM diese direkt oder über Anwendungen von Drittanbietern einbindet. Dies erfordert jedoch immer noch die Interaktion des Endbenutzers und die Zustimmung zu den Anwendungsberechtigungen.
Sowohl Apple als auch Google listen auf, was ein MDM auf einem Apple-Gerät beziehungsweise auf einem Android-Gerät sehen und tun darf – und was nicht. Um Informationen wie den Browserverlauf einzusehen, sind zusätzliche Tools von Drittanbietern erforderlich.
Maßnahmen, die Unternehmen ergreifen können
Unternehmen können einige Vorkehrungen treffen, um sicherzustellen, dass BYOD-Smartphones sicher sind und die Mitarbeiter die Kontrolle und den Datenschutz über ihre persönlichen Geräte behalten. Es gibt zwei wichtige Schritte: Durchsetzung einer BYOD-Richtlinie und Einsatz einer MDM-Plattform. Diese beiden Maßnahmen sind eng verzahnt, da die IT-Abteilung MDM nutzen kann, um bestimmte Aspekte einer BYOD-Richtlinie durchzusetzen, zum Beispiel die Fernlöschung von Geräten und Betriebssystem-Updates.
Erstellen einer BYOD-Richtlinie
Die erste Maßnahme, die ein Unternehmen ergreifen sollte, nachdem es die Nutzung von firmeneigenen Geräten durch Mitarbeiter erlaubt hat, ist das Erstellen einer BYOD-Richtlinie. Sie sollte Vorgaben für mobile Sicherheit, Datenschutz und andere Aspekte der Geräteverwaltung enthalten. Als Nächstes sollten die IT-Teams geeignete Verfahren und Dokumentationen für die Aktivierung und Anmeldung der Geräte erstellen. Anschließend können die Nutzer auf Unternehmensressourcen, Support und Ressourcen für die Behebung von Fehlern zugreifen.
Die Richtlinie sollte folgende Punkte abdecken:
- Geräteanforderungen
- Mindestanforderungen an das Betriebssystem
- Zuschuss durch das Unternehmen
- Verlorene, gestohlene oder beschädigte Geräte
- Datenschutz und Sichtbarkeit im Unternehmen
Achtung: BYOD ist nicht gleichbedeutend mit Bring Your Own Everything!
Auch wenn BYOD-Smartphones für viele Unternehmen sinnvoll sind, bedeutet dies nicht, dass Mitarbeiter auch all ihre anderen privaten Geräte, Konten oder Services beruflich nutzen sollten. Wenn ein Gerät zu alt ist oder vom Hersteller nicht mehr unterstützt wird, kann es anfällig sein, weil es dafür keine Sicherheits-Updates mehr gibt. Beim Erstellen einer BYOD-Richtlinie sollten Unternehmen zumindest angeben, welche Betriebssystemversion sie zulassen. Noch besser ist eine Liste mit empfohlenen Geräten für Mitarbeiter.
Apple kann in mancher Hinsicht einfacher sein, da das Unternehmen für seine Geräte über einen langen Zeitraum nach deren Veröffentlichung Support bietet. Google stellt das Android Enterprise Recommended Directory zur Verfügung, das IT-Administratoren für bevorzugte Geräte nutzen können. Das Verzeichnis listet Android-Geräte auf, die eine spezielle Zertifizierung von Google durchlaufen haben, um mindestens ein Jahr lang Betriebssystem-Updates und drei Jahre lang Sicherheits-Patches zu erhalten.
MDM einführen
Viele Unternehmen nutzen MDM, um sicherzustellen, dass die Geräte den Unternehmensrichtlinien und Sicherheitsstandards entsprechen. MDM ermöglicht Sicherheitsfunktionen wie das Löschen von Daten aus der Ferne, wenn ein Gerät verloren geht oder gestohlen wird – und ist daher für Unternehmen unerlässlich, die besonderen gesetzlichen Anforderungen unterliegen. Bei der Auswahl einer MDM-Plattform müssen Unternehmen zahlreiche Faktoren berücksichtigen, da es eine Vielzahl von MDM-Plattformen gibt.
Sobald sich die IT-Abteilung für ein MDM-Angebot entschieden hat, muss sie sich Gedanken über die Art der Richtlinien und Kontrollen machen, die sie an persönliche Geräte verteilt – und dabei den Datenschutz und die Kontrolle der Benutzer im Auge behalten. Glücklicherweise helfen die meisten MDMs den IT-Administratoren bei der Definition geeigneter Richtlinien für unternehmenseigene und BYOD-Geräte, je nachdem, wie die IT-Abteilung ein Gerät anmeldet. Dennoch können Komponenten wie Always-on-VPN, Hard-Reset und andere den Datenschutz beeinträchtigen. Die IT-Abteilung muss ihre Maßnahmen daher sorgfältig prüfen.