Bring your own Device (BYOD)
Was ist BYOD?
Bei “Bring your own Device” (kurz BYOD) handelt es sich um ein Konzept aus dem IT-Bereich, das es Mitarbeitern eines Unternehmens oder Mitglieder einer Organisation erlaubt, private Endgeräte wie beispielsweise Notebooks, Smartphones oder Tablets für Ihre Arbeit zu verwenden.
Für den Arbeitgeber hat dies z.B. den Vorteil, dass sich die Anschaffungskosten der IT-Ausstattung reduzieren. Der Arbeitnehmer wiederum kann sein eigenes, gewohntes Gerät für die Arbeit nutzen, muss sich nicht umstellen, spart sich ein Zweitgerät und profitiert von der in vielen Fällen höheren Leistungsfähigkeit des Privatgerätes im Gegensatz zu Arbeitsgeräten. Jedoch ergeben sich auch einige Nachteile bei BYOD. Dabei behindert es die Einführung einer einheitlichen IT im Unternehmen. Die Komplexität durch die Nutzung vieler verschiedener Geräte steigt und es entsteht ein höherer Aufwand für die Einrichtung und das Management der unterschiedlichen Endgerätetypen. Ebenso stellt BYOD ein Sicherheitsrisiko für die IT-Infrastruktur des Unternehmens dar und dieses hat weniger Kontrolle über Geräte, Anwendungen und Daten.
Nebenbei müssen nämlich auch noch verschiedene Sicherheits- und Datenschutzaspekte gewährleistet werden. Dabei dürfen z.B. keine Daten des Unternehmens auf externen Speichermedien wie beispielsweise Festplatten oder USB-Sticks abgelegt werden. Ebenso wird auf den meisten Endgeräten eine spezielle Software installiert, die dafür sorgt, dass z.B. externe Schnittstellen gesperrt werden oder Anwendungen nur über Verschlüsselte Umgebungen ausgeführt werden. Dabei kann sich jedoch die private Nutzung einschränken.
Ebenso müssen die Bestimmungen der Datenschutzgrundverordnung (DSGVO) sichergestellt werden und somit alle privaten zu den Unternehmensdaten getrennt werden.
Es gibt auch einige Alternativen zu BYOD. Eine davon ist z.B. COPE (Corporate Owned, Personally Enabled). Dabei bleibt das Gerät Eigentum des Unternehmens, der Mitarbeiter darf es jedoch zur privaten Nutzung mit verwenden. Aber auch CYOD (Choose your own Device), bei dem der Mitarbeiter sich das Endgerät selbst aussuchen darf, wird immer häufiger von Unternehmen angewandt.
Lesen Sie hierzu den ausführlichen Beitrag.
Die größten Risiken bei „Bring your own Device“
Durch die aktuelle Pandemie mussten viele Mitarbeiter plötzlich ins Homeoffice gehen. Da viele Unternehmen für solch ein Szenario nicht vorbereitet waren und nicht die Geräte für diesen Einsatz kurzfristig stellen konnten, nutzten viele Mitarbeiter ihre privaten Endgeräte (Bring your own Device, kurz BYOD), um ihre Arbeit zu verrichten.
Hier finden Sie eine kurze Zusammenfassung von Risiken und Herausforderungen die BYOD mit sich bringt mit Lösungen.
Ein großes Sicherheitsproblem stellen oftmals die Mitarbeiter selbst dar, indem sie z.B. leicht zu erratende Passwörter nutzen, ungeschützte WLAN-Netzwerke nutzen, Familienmitgliedern unbedacht Zugang zu den Geräten verschaffen oder nicht-genehmigte Programme installieren. Daher müssen die Mitarbeiter ausreichend informiert und geschult werden. Ebenso können technische Sperren verwendet werden, damit keine ungewollten Programme installiert werden können, wobei sich hier der Mitarbeiter oftmals dagegenstellt da er hierbei bei seinem eigenen Gerät eingeschränkt wird.
Ein zweites Risiko stellen Sicherheitslücken im Betriebssystem dar. Um sich vor Schadsoftware und anderen Angriffen zu schützen, müssen die Mitarbeiter dafür sensibilisiert werden, dass sie regelmäßig die neuesten Updates vom entsprechenden Betriebssystem-Anbieter installieren.
Datenlecks durch die Vermischung von beruflichen und privaten Daten ist ebenfalls keine Seltenheit. Hierzu bieten z.B. einige neuere Smartphones bereits die Möglichkeit private und geschäftliche Bereiche voneinander zu trennen. Generell lassen sich aber auf allen Endgeräten auch Sandbox-Lösungen einrichten, in denen sich die Software ausführen lässt, ohne dass diese auf die eigentliche Systemumgebung Zugriff hat.
Durch einen Remote-Zugriff durch eine entsprechende Software und VPN-Verbindung kann gewährleistet werden, dass keine Daten auf den privaten Geräten lokal gespeichert werden müssen. Somit sind die verfügbaren Anwendungen und Datensätze nur als Bild virtualisiert, aber nicht tatsächlich auf dem privaten Endgerät vorhanden.
Lesen Sie hierzu den ausführlichen Beitrag.
Umsetzung einer BYOD-Strategie
Mit gewissen Verhaltensregeln in bestimmten Situationen und Schulungen der Mitarbeiter können die Risiken bei einer BYOD-Strategie (Bring your own Device) stark verringert werden.
Dazu zählt z.B., dass es eine Kostenregelung bei der Anschaffung oder bei Schäden am Gerät gibt. Aber auch für die SIM-Kartennutzung zur Telefonie.
Es sollte geregelt sein, welche Gerätemodelle, Versionen von Betriebssoftwaresystemen und Anwendungen (Black/White-Lists) zugelassen sind.
Verwahrungsvorschriften sind ebenfalls sinnvoll. Dazu zählt z.B., dass der Laptop nicht im Auto liegen gelassen werden darf oder die Kinder nicht mit dem Handy spielen dürfen.
Ebenso muss definiert sein, inwieweit der Mitarbeiter bei der Wartung der Geräte (Einrichtung, Updates) mitwirken muss.
Zugriffsrechte und Kontrollen z.B. zur Fernlöschung bei Diebstahl müssen geregelt sein, sowie die Anzeigepflicht bei Verlust (Achtung hier die 72 Stunden für die Meldung eines Data-Breaches nach der DSGVO beachten!).
Des Weiteren müssen Sicherheitsvorgaben z.B. für Passwörter definiert werden und Konsequenzen bei Verstößen gegen die Nutzungsrichtlinien (z.B. der Umstieg auf ein Firmengerät).
Ein weiterer Punkt ist die Rückgabe der Daten beim Verlassen des Unternehmens, sowie die Informationen über das Datengeheimnis zur Einhaltung von Geschäfts- und Betriebsgeheimnissen.
Durch regelmäßige Schulungen kann das Sicherheitsverständnis der Mitarbeiter erhöht werden, um Risiken zu vermeiden.
Ein weiterer wichtiger Punkt ist die Ergänzung der BYOD-Strategie im Verzeichnis der Verarbeitungstätigkeiten und die Durchführung einer Datenschutz-Folgenabschätzung.
Lesen Sie hierzu den ausführlichen Beitrag.
