Rechtliche Aspekte und Gefahren von Byod

Bring your own device in der Praxis

Byod am digitalen Arbeitsplatz ist ein regelrechter Trend. Googles Android bietet inzwischen eine Reihe von Ansätzen für die Umsetzung. Umsicht ist beim Einsatz dennoch geboten.

Tablet mit Lollipops

Die jüngste, im Oktober 2014 veröffentlichte Version von Googles mobilem Betriebssystem Android namens „Lollipop“ enthält eine Reihe von Features, die Unternehmen und ihren Angestellten den Einsatz von privaten Mitarbeitergeräten wie Smartphones oder Tablets im Firmenumfeld –kurz BYOD – erleichtern sollen. Mitarbeiter könnten auf diese Weise ihre persönlich bevorzugten Geräte in den Arbeitsprozess noch besser einbinden.

Das Beratungs- und IT-Dienstleistungsunternehmen Capgemini stellte in einer Studie fest, dass auf diese Weise die Zufriedenheit von Angestellten und damit ihre Produktivität gesteigert werden könne.  Allerdings gibt es beim Einsatz von Privatgeräten im Unternehmensumfeld einige Fallstricke, und die betreffen bei weitem nicht nur naheliegende Problemfelder wie Datenlecks.  Manche Menschen trauen ihrem Arbeitgeber nicht in Sachen Datenschutz und Privatsphäre. Doch hier soll ein besonderes Feature von Lollipop namens „Android for Work“ Abhilfe schaffen.

Neues Sicherheits-Level

Beim bereits im Juni 2014 vorgestellten Android for Work handelt es sich ursprünglich um die bisher von seinem Entwickler Samsung Electronics proprietär gehaltene Sicherheitsumgebung KNOX. Samsung KNOX arbeitet in Android OS 5.0 Lollipop unter dem neuen Namen und soll dafür Sorge tragen, dass Privates und Berufliches auf einem Gerät existieren kann, ohne dass Kompromisse entstehen oder etwas gefährdet wird.

Beispielsweise wird es zu einer sicheren Trennung im Dateisystem kommen – dabei muss ein Entwickler seine bereits geschriebene App nicht anpassen. Einzige Voraussetzung: Die Applikation muss ab Android OS 4.4 KitKat kompatibel sein. Ein Vorteil dieses Features ist das native Bearbeiten von Office-Dateien. Beispiel: Nutzer können nahtlos eine Word-Datei in einer E-Mail bearbeiten und gleich wieder versenden.

Die bisher für Smartphones und Tablets eingesetzte Sicherungsmethode hieß Mobile Device Management (MDM). MDM erlaubt der jeweiligen IT-Abteilung entweder den vollen Zugriff auf sämtliche Funktionen und Daten eines Geräts oder nur die eingeschränkte Kontrolle auf firmenrelevante Daten und Apps. Die Komplettkontrolle über das eigene Gerät dürf – te den allerwenigsten Angestellten gefallen, in solchen Fällen könnte Containerisierung, auch als Dual Persona bekannt, die bessere Wahl sein.

Dieses Konzept bietet eine Lösung für gleich zwei Aufgabenstellungen. Zum einen können dieselben Sicherheitsbestimmungen für sämtliche Smartphones und Tablets angewandt werden, außerdem werden die Bereiche von privaten und Unternehmensdaten streng voneinander getrennt.

Das Unternehmen sorgt dafür, dass alle relevanten E-Mails, Kontakte, Kalenderdaten und Apps in einem eigenen, verschlüsselten Container abgelegt werden. Einen Zugriff auf die persönlichen Daten des Angestellten gibt es dabei nicht. Die Firmenkontrolle beschränkt sich auf den Container. Dual Persona hat sich zunehmend als das geeignete Mittel herausgestellt, um eine effektive Trennung der Datenbereiche zu gewährleisten und den Arbeitsalltag möglichst sorgenfrei zu gestalten. Doch gilt es, eine Reihe von Problemen zu beachten, um einen möglichst reibungslosen Einsatz von Android-Geräten im BYOD-Bereich zu erreichen.  Welche Geräte?

Die erste Frage für die IT-Abteilung lautet, soll BYOD auf Smartphones und Tablet-Rechner beschränkt werden oder umfasst das Konzept auch Notebooks? Heute ist der Markt überschwemmt mit einer Smartphone- und Tablet-Auswahl von Apple, Google, Nokia, Microsoft, Samsung, HTC, Motorola, LG und sogar Amazon – um nur ein paar Hersteller zu nennen.

Neustes Android 5.0 Tablet von Polaroid
Neustes Android 5.0 Tablet von Polaroid, vorgestellt auf der CES 2015 (Quelle: Polaroid)

Die Frage ist, ob BYOD-Richtlinien für Smartphones und Tablets tatsächlich den Angestellten erlauben sollten, ihre eigenen Geräte unter der Annahme mitzubringen, sie seien sicher. Die Antwort ist: Nein. Nicht alle Mobilgeräte können auf dem gleichen Niveau abgesichert werden, außerdem sollten Privatgeräte von Mitarbeiter nie per se als sicher eingestuft werden.

 

Vorsicht Fallstricke!

Inzwischen sind sich die meisten Menschen der Einwände bewusst, die gegen den Einsatz von BYOD sprechen. Die Befürchtungen gelten Viren und Trojanern, Risiken durch Hack-Attacken sowie peinlichen Enthüllungen durch nach außen durchgesickerte, vertrauliche Unternehmensdaten.

Doch es gibt noch eine ganze Reihe weitere Risiken, über die sich Unternehmensverantwortliche im Vorfeld Gedanken machen sollten. So können Angestellte ihre Geräte für private Zwecke nutzen und dennoch den Kostenaufwand auf ihren Arbeitgeber abwälzen. Ein Phänomen, das auch in Verbindung mit Firmenwagen bekannt ist.  Vor allem Aufenthalte etwa in exotischen Ländern können schnell zu happigen Roaming-Kosten führen.

Überdies könnten die von einer Firma erlassenen BYOD-Richtlinien mit gesetzlichen Vorgaben kollidieren, was zum Beispiel das Herunterladen und Speichern von Daten betrifft. Mitarbeiter könnten endlos eigentlich für die Arbeit vorgesehene Zeit für das Herumstreifen auf Netzseiten wie Facebook oder Snapchat sowie mit Computerspielen wie Angry Birds vergeuden. Die Gefahr besteht, dass Angestellte den Verlust oder Diebstahl eines Geräts nicht oder zu spät melden, so dass wertvolle Daten des Unternehmens gar nicht oder nur viel zu spät durch Fernlöschung entfernt werden könnten.

Gefahren vermeiden

IT-Verantwortliche sollten beim Konzipieren von BYOD-Richtlinien bedenken, dass das Thema Datenschutz auf mehreren Ebenen eine Rolle spielt. BYOD bedeutet für Angestellte, dass sie Unternehmens- und private Daten auf ein und demselben Gerät verwenden.

Das heißt, die privaten Daten des Angestellten müssen genauso geschützt werden wie die Firmeninformationen und -anwendungen. Um das zu gewährleisten, müssen diese beiden Bereiche von Anfang sauber getrennt werden. Das ist deshalb so wichtig, weil die tägliche Arbeit mit BYOD-Geräten auf Dauer die Grenze zwischen der Arbeit eines Angestellten und seinem Privatleben verwischt.

Das Smartphone Nexus 5 wird durch Update zum Android 5.0 Gerät
Das Smartphone Nexus 5 wird durch Update zum Android 5.0 Gerät (Quelle: Entbert/Wikipedia)

Android 5.0 Lollipop bietet zum ersten Mal weitreichende BYOD-Funktionalitäten bei einem Betriebssystem. Google legte im Rahmen der I/O 2014 Entwicklerkonferenz großen Wert auf den Aspekt der kompletten Trennung von privaten und Unternehmensdaten, die durch Lollipop ermöglicht werde.

Anpassung der BYOD-Richtlinien

Unabhängig vom Betriebssystem verfügen die meisten Unternehmen bereits über gut etablierte Sicherheitsrichtlinien, die für von der Firma zur Verfügung gestellte Laptops gelten. Dazu gehören Kennwortrichtlinien, Festplattenverschlüsselung, Zwei-Faktor-Authentifizierung, begrenztes Web-Browsing sowie die Beschränkung von Speicherfunktionen, um nur einige zu nennen. Hier scheint es nahezuliegen, diese Richtlinien einfach für Mobilgeräte fortzuschreiben, die ebenfalls Zugriff auf Unternehmensressourcen besitzen. Davon kann jedoch nur abgeraten werden. Einige Vorschriften, die für Desktop-Rechner oder Notebooks konzipiert wurden, können nicht für den Mobilbereich übersetzt werden. Selbst solche Regeln, die sich auch für Smartphones oder Tablets anwenden ließen, können sich auf betroffene Mitarbeiter zu einschränkend auswirken.

Bring Your Own App (BYOA)

In Bezug auf die Containerisierung können die nötigen Schritte gleichsam auch eine Ebene tiefer angesetzt werden, auf dem Level der Applikationen. Dafür werden die für Unternehmensbelange relevanten Apps in einem Container verpackt und dieser dann auf die Geräte der Angestellten verteilt. Die Kontrolle der IT-Abteilung beschränkt sich auch hier auf die im Container enthaltenen Anwendungen, nicht aber auf das gesamte Gerät. Auf diese Weise werden auf der App-Ebene private und Firmendaten sauber getrennt.

Unterm Strich bedeutet das, dass bei der Erstellung von BYOD-Richtlinien eine ganze Reihe von unterschiedlichen Bereichen berücksichtigt werden müssen. Werden die Regeln zu eng oder aufdringlich formuliert, können so Mitarbeiter unnötig vor den Kopf gestoßen werden.  Zu lockere und großzügige Festlegungen können zu Datenlecks führen.

BYOD hat Vor- und Nachteile, die es vor Einführung sorgfältig abzuwägen gilt. Geschieht das in der angemessenen Art und Weise, können die Vorteile die Kosten und etwaige Risiken jedoch bei weitem überwiegen.

Keine Kommentare zu “Bring your own device in der Praxis”
Hinterlassen Sie einen Kommentar

Das könnte Dich auch interessieren: