Datenschutz trotz «Bring Your Own Device»

Datenschutz trotz «Bring Your Own Device»

Was bedeutet «Bring Your Own Device»?

Mit «Bring Your Own Device» (kurz «BYOD») ist gemeint, dass private elektronische Geräte für berufliche Zwecke genutzt werden. Angestellte greifen dabei mit den eigenen Smartphones, Laptops oder Tablets nicht nur auf das Geschäftsnetzwerk des Arbeitgebers zu, sondern verarbeiten und speichern auch firmeneigene Daten auf der privaten Hardware. Neben BYOD gibt es Geräte-Strategien, die sich wie folgt unterscheiden:

  • BYOD (Bring Your Own Device): Mitarbeiter nutzen ihre privaten Geräte für berufliche Zwecke. Hierbei ist zwischen gemanagten oder ungemanagten Geräten zu unterscheiden.
  • CYOD (Choose Your Own Device): Unternehmen geben vor, welche Endgeräte genutzt werden dürfen und welche nicht. Mitarbeiter, die ein entsprechend freigegebenes Endgerät besitzen, können dieses ins Unternehmensnetzwerk einbinden. Jedoch immer unter der Voraussetzung, dass die IT-Abteilung den geschäftlichen Teil auf dem Endgerät verwaltet.
  • COPE (Corporate Owned, Personally Enabled): Mitarbeiter wählen aus einer Liste genehmigter Geräte, die das Unternehmen erstellt, eines aus. Diese Geräte dürfen auch für private Zwecke genutzt werden.
  • COBO (Corporate Owned, Business Only): Mitarbeiter nutzen unternehmenseigene Geräte ausschliesslich für berufliche Zwecke.

Jede dieser mobilen Strategien hat Vor- und Nachteile. In diesem Beitrag erfahren Sie alles Wichtige zu BYOD beim Instant Messaging.

Vorteile von BYOD beim Instant Messaging

Nicht jedes Unternehmen verfügt über die finanziellen Mittel, um alle Angestellten mit einem eigenen Smartphone auszustatten, und nicht jede Mitarbeitergruppe benötigt zwingend ein geschäftliches Gerät. Trotzdem kann es aus Unternehmenssicht von grossem Vorteil sein, auch diese Mitarbeiter in die mobile Unternehmenskommunikation einzubinden (damit sie z.B. miteinander telefonieren oder chatten können). BYOD ist die dafür passende Mobile Device-Strategie.

Die Vorteile von BYOD aus Unternehmens- und Mitarbeitersicht:

  • Kostenersparnis: Bei BYOD entfallen Anschaffungskosten, da keine geschäftlichen Geräte angeschafft werden müssen.
  • Organisatorische Ersparnisse: Das Einrichten und Verwalten von Corporate-Owned Devices fällt weg und somit auch allfällige Lizenzkosten für ein teures MDM-System (Ausnahme: Die BYOD-Richtlinie sieht vor, auch private Geräte an ein bestehendes MDM-System anzuschliessen).
  • Steigerung der Mitarbeiterzufriedenheit: Angestellte arbeiten mit ihren bereits vertrauten Geräten und müssen sich nicht mühsam in fremde Systeme eingewöhnen. Zudem fällt das aufwendige Onboarding weg.
  • Förderung der Mobilität und Effizienz: Durch die Möglichkeit, private Mobilgeräte für die berufliche Kommunikation zu verwenden, können die Mitarbeiter Aufgaben unabhängig vom Standort und zu jeder Zeit erledigen.
  • Einfache Einbindung mobiler und externer Mitarbeiter: Mobile Arbeitnehmer, Non-Desktop-Workers ohne Computer-Anbindung oder auch Externe können dank einer BYOD-Strategie problemlos in die Unternehmenskommunikation eingebunden werden.

Gemanagte vs. ungemanagte Mobilgeräte

Ungemanagte Mobilgeräte sind Smartphones, die nicht über ein bestehendes MDM-System an die Unternehmens-IT angebunden sind. Die IT-Abteilung hat somit auf Geräteebene keine Möglichkeit, Unternehmensrichtlinien zu forcieren (beispielsweise lässt sich die Verwendung bestimmter Apps nicht unterbinden). Bei gemanagten Geräten kann die Unternehmens-IT festlegen, welche Aktivitäten und Apps zugelassen sind. Bei einer BYOD-Strategie bleiben die privaten Smartphones oft ungemanagt, da die Verwaltung dieser Geräte datenschutzrechtlich problematisch und von Mitarbeitern unerwünscht sein kann. Wie Sie trotz fehlender Anbindung an ein externes MDM-System eine gewisses Mass an Kontrolle auf App-Ebene sicherstellen, erfahren Sie im Kapitel So gelingt Datensicherheit trotz BYOD.

Diese Risiken entstehen durch BYOD

Die Erlaubnis, das private Mobilgerät für die berufliche Kommunikation einzusetzen, kann für Unternehmen schwerwiegende Konsequenzen haben – insbesondere dann, wenn die Geräte nicht über ein MDM-System gemanagt werden.

Datenverlust und mangelnde Datensicherheit

Eine 2018 durchgeführte Studie des Cloud-Dienstleisters Bitglass zum Thema BYOD (unter 400 IT-Experten, welche für die Device-Strategie in Unternehmen zuständig sind) kam zu folgenden Ergebnissen:

  • 30% sehen BYOD als grosses Sicherheitsrisiko:
    • 61% befürchten Datenverluste
    • 53% befürchten den unerlaubten Zugriff auf Unternehmensdaten sowie Datendiebstahl
  • 15% der Unternehmen, denen die Experten angehören, erlauben BYOD nicht

Tatsächlich können durch private Smartphones gravierende Sicherheitslücken entstehen. Ein Beispiel: Ist ein privates Gerät von Schadsoftware befallen, kann sie die Tastatureingabe und somit auch Logins und Passwörter mitlesen. So erlangen Hacker Zugriff auf sensitive Firmendaten. Auch veraltete Betriebssysteme erhöhen die Gefahr von Cyberangriffen.

Verstoss gegen europäische Datenschutzvorgaben

Weiterhin verletzt «Bring Your Own Device» unter Umständen die Datenschutz-Grundverordnung (DSGVO), sobald personenbezogene Daten wie Kunden- oder Mitarbeiterkontakte auf privaten, ungemanagten Geräten verarbeitet und gespeichert werden.

Zum Beispiel greifen populäre US-amerikanische Messenger wie WhatsApp standardmässig auf die Kontaktliste der Nutzer zu. Unternehmen müssen deshalb den rechtskonformen Umgang mit personenbezogenen Daten nachweisen können, was sehr aufwändig ist. Um datenschutzrechtliche Konsequenzen einfach zu umgehen, sollte ein professioneller Business-Messenger für Unternehmen eingesetzt werden.

Alle wichtigen Fakten zum EU-US-Datentransfer

Was Unternehmen bei der Einhaltung europäischer Datenschutzvorgaben dringend beachten müssen, erfahren Sie in unserem Blogbeitrag Ein Jahr nach dem Aus der Privacy-Shield-Ab­kom­men: 5 Hand­lungs­emp­feh­lungen für die da­ten­schutz­kon­for­me und si­che­re Un­ter­neh­mens­kom­mu­ni­ka­ti­on.

Fehlende Administrierbarkeit

Sind die mobilen Geräte in einem BYOD-Umfeld nicht gemanagt, stellt sich eine wichtige Frage: Wie können Unternehmensrichtlinien durchgesetzt und zugleich sensible Firmendaten geschützt werden?

Unternehmen müssen verhindern, dass geschäftliche Daten in privat genutzten Applikationen geteilt werden. Zudem muss Mitarbeitern nach einem Arbeitgeberwechsel der Zugriff auf Inhalte des früheren Unternehmens untersagt werden.

Mehraufwand für IT-Abteilung

Ungemanagte Geräte im BYOD-Umfeld führen nicht nur zu fehlender Administrierbarkeit, sondern verunmöglichen auch die Einführung einer einheitlichen Unternehmens-IT. Für die IT-Abteilung stellt es einen erheblichen Mehraufwand dar, zahlreiche unterschiedliche Geräte- und Softwaretypen auf Sicherheitslücken zu kontrollieren.

So gelingt Datensicherheit trotz BYOD

Um das «Bring Your Own Device»-Modell für Instant Messaging erfolgreich in Ihrem Unternehmen zu etablieren, ohne dabei die Datensicherheit zu gefährden, sollten folgende Massnahmen ergriffen werden.

Einführung einer BYOD-Richtlinie

Die Arbeitnehmer müssen für selbst verursachte Sicherheitslücken sensibilisiert werden, die z.B. entstehen können, wenn sie leicht zu erratende Passwörter oder unsichere WLAN-Netzwerke nutzen. Ein internes Regelwerk zu «Bring Your Own Device» sollte folgende Punkte abdecken:

  • Welche Software darf/muss auf den privaten Geräten installiert sein?
  • Inwiefern darf der Arbeitgeber auf die Geräte der Angestellten zugreifen?
  • Welche Massnahmen müssen Arbeitnehmer umsetzen, die nicht länger im Unternehmen arbeiten, oder ab sofort firmeneigene Geräte nutzen wollen?

Trennung von privater und beruflicher Kommunikation: Einsatz eines firmeninternen Messengers

Es muss sichergestellt werden, dass unternehmensbezogene Kontaktdaten trotz BYOD nicht durch private Apps an Dritte gelangen. Dazu eignet sich die Nutzung eines firmeninternen Messengers, der ausschliesslich dem Austausch beruflicher Informationen dient.

Hohes Datenschutzrisiko durch Schatten-IT-Messenger

In unserem Blogbeitrag Messenger und Schatten-IT: Die Risiken erfahren Sie, welche Gefahren entstehen, wenn Angestellte mit Chat-Apps arbeiten, die von der IT-Abteilung nicht freigegeben wurden.

Good Practice: Threema Work und Threema-MDM

Mit Threema Work bieten Sie Ihren Angestellten einen firmeninternen Messenger für die berufliche Kommunikation. Dabei profitieren Sie von den Vorteilen von BYOD und gewährleisten gleichzeitig maximale Datensicherheit. Falls keine gemanagten Geräte im Einsatz und an ein externes MDM- oder EMM-System angebunden sind, nutzen Sie Threema-MDM für die Durchsetzung von Firmenrichtlinien. Threema-MDM ermöglicht die Vorkonfiguration der App mittels zahlreichen Parametern. Erfahren Sie in unserem Video, wie einfach die Nutzung von Threema-MDM zur Applikationsverwaltung ist:

Eine Übersicht aller Konfigurationsmöglichkeiten erhalten Sie in der Übersicht der MDM-Parameter sowie in der Threema Work-Dokumentation. Am besten probieren Sie Threema Work gleich selbst aus: