Bring your own device

Bring your Own Device – Chancen und Risiken für Unternehmen

Das private Gerät in der Firma zu nutzen, ist für viele Angestellte eine verlockende Vorstellung. Allerdings gibt es auch Risiken und Bring your own Device (BYOD) muss sorgfältig vorbereitet werden. Dieser Beitrag setzt sich mit den Chancen und Risiken auseinander.

Wer will schon mit einem alten und lahmen Firmen-Laptop oder Smartphone arbeiten, wenn das private Gerät zehnmal schneller und viel schicker ist? Gerade für die junge Generation ist es erfahrungsgemäß ein wichtiges Argument in der Wahl eines Arbeitgebers, ob Bring your own Device (BYOD) erlaubt ist oder nicht. Die vermehrte Arbeit im Home Office während der Corona-Krise hat diesen Trend nochmal verstärkt.

Auch hier hört man immer öfter, dass Millennials zusätzliche Technologien nutzen wollen, die nicht genehmigt sind oder die sie persönlich erworben haben. Das gilt beispielsweise für Anwendungen wie Social Media, Enterprise File Sync & Share oder Collaboration.

Private Geräte werden verstärkt genutzt

Laut den Marktforschern von IDC nutzen fast zwei Drittel der Angestellten Ihre eigenen Smartphones auch für berufliche Zwecke und die aktuelle Krise hat den Trend hin zu BYOD noch verstärkt.

Allerdings müssen all die Smartphones, Tablets und Notebooks auch gesichert und administriert werden, um Schaden vom Unternehmen abzuwenden. Da die Geräte öfter abhandenkommen, ist eine Diebstahlsicherung unabdingbar. Auch an Hacker muss gedacht werden. Und schließlich sollte auch auf privaten Geräten die Einhaltung der Unternehmensrichtlinien und des Datenschutzes gewährleistet sein.

Erhöhter Komfort, aber auch erhebliche Risiken

Es kann eine Menge schiefgehen, wenn Unternehmensinformationen auf privaten Geräten landen. Es besteht die Gefahr, dass Geräte in falsche Hände geraten, wenn Mitarbeiter sie irgendwo vergessen oder Opfer eines Diebstahls werden. Unter das Motto schlampige Angestellte fällt auch das Risiko, dass Unternehmensdaten während einer Bahnfahrt oder eines Fluges für Unbefugte leicht sichtbar sind. Auch Hackerangriffe sind eine erhebliche Gefahrenquelle, denn diese greifen mittlerweile auch Smartphones und Apple-Rechner an. Cyberkriminelle verschaffen sich über gefälschte E-Mails Zugriff auf Nutzerdaten (Phishing), verschlüsseln Dateien und erpressen Lösegeldzahlungen (Ransomware).

Die Sichtbarkeit und Kontrolle über die Daten beim Zugriff durch nicht verwaltete Geräte sollte für Unternehmen stets gegeben sein. Andernfalls bestehen Gefahren durch unbefugten Datenzugriff, unzulässiger Weitergabe oder schlichtweg Verlust der unternehmenseigenen Daten.

Die DSGVO gilt auch für privat genutzte Geräte

Die Richtlinien der Datenschutzgrundverordnung (DSGVO) gelten auch für privat genutzte Geräte in vollem Umfang. Für die Einhaltung der DSGVO ist der Schutz personenbezogener Daten von Mitarbeitern, Kunden und Geschäftspartnern vor Zugriffen durch Anwendungen wie WhatsApp entscheidend. Konkret muss verhindert werden, dass geschäftliche Kontakte im Adressbuch des Smartphones landen, die dann wiederum WhatsApp & Co. abgreifen können.

Rechtlich gesehen ist der Arbeitgeber die „verantwortliche Stelle“ im Sinne von § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) bzw. „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO. Damit ist er für die Einhaltung des Datenschutzes in Bezug auf die personenbezogenen Daten, die im Unternehmen verarbeitet werden (z.B. Kundendaten, Mitarbeiterdaten, usw.) verantwortlich. Er bleibt auch dann die verantwortliche Stelle, wenn seine Beschäftigten die Daten im Zuge eines BYOD-Modells auf ihren privaten Geräten verarbeiten.

Bei einem BYOD-Modell gehen auch die deutschen Datenschutzbehörden davon aus, dass die Daten des Unternehmens verschlüsselt gespeichert werden müssen und dass die beruflichen und die privaten Daten strikt zu trennen sind. Außerdem muss der Arbeitgeber die Möglichkeit haben, seine Daten – auch aus der Ferne – zu löschen.

Urheberrecht nicht vernachlässigen

Das Urheberrecht ist eine weitere Gefahrenquelle: Gemäß § 99 Urheberrechtsgesetz (UrhG).ist der Inhaber des Unternehmens auch ohne Verschulden verantwortlich, wenn ein Arbeitnehmer ein Urheberrecht verletzt. Ein Urheberrecht könnte z.B. dadurch verletzt werden, dass ein Arbeitnehmer im Rahmen des BYOD-Modells eine Software beruflich einsetzt, die er privat erworben hat und die nur für die private Nutzung lizenziert ist. Wenn dies bei einem Software-Audit offengelegt wird, drohen erhebliche Schadenersatzansprüche.

Ebenso müssen unternehmensinterne Richtlinien, Aufbewahrungspflichten und Compliance-Vorgaben auch bei BYOD stets beachtet werden. Mitarbeiter, die BYOD nutzen, müssen in jedem Fall geschult werden. Ohne den dringenden Hinweis auf die lauernden Gefahren geht es nicht.

EMM und Mobile Security gewährleisten Sicherheit

Um den richtigen Spagat zwischen Freiheit und Kontrolle zu erreichen, ist Mobile Device Management (MDM) erforderlich, das sicherstellt, dass die Geräte egal welcher Herkunft den Sicherheitsrichtlinien der jeweiligen Firma genügen. Auf MDM mit seinen Varianten Mobile Asset Management (MAM) und Enterprise Mobility Management (EMM) liegt der klare Fokus im Bereich Enterprise Mobility.

Proservia – Ihr Partner für BYOD

Proservia verfügt über umfassende Erfahrung mit BYOD-Projekten und bietet Ihnen flexibel und skalierbar qualifizierte Ressourcen und Skills.  Wir nutzen innovative und moderne Technologien, um sie gegen alle Risiken, die mit BYOD einhergehen, umfassend abzusichern und alle Risiken auszuschalten und schulen Ihre Mitarbeiter umfassend.

 

Quelle Titelbild: iStock / EmirMemedovski