Datenschutz bei BYOD

Den Ansprüchen der "Digital Natives" genügen

Interview mit Anngret Podschelni, Vice President Product Leader Mobile Enterprise Services, T-Systems über ein notwendiges Konzept bei der Einführung von Bring Your Own Device (BYOD)

Anngret Podschelni, T-Systems

Anngret Podschelni, Vice President Product Leader Mobile Enterprise Services, T-Systems

Frau Podschelni, wie lautet Ihre Definition von BYOD? Ist es mehr als das unerlaubte Weiterleiten geschäftlicher E-Mails auf private Geräte?

Anngret Podschelni:
BYOD ist kein neues Thema. Länger bekannt aus dem Desktopbereich, sehen wir heute auch eine starke Nachfrage für den Einsatz von Smartphones und Tablets. Grundsätzlich verbinde ich mit BYOD den Einsatz von privaten Endgeräten, mit denen auch ein Zugriff auf unternehmensinterne Daten möglich ist.

Der Mehrwert aus Sicht des Mitarbeiters entsteht, wenn er ohne größere Umwege über sein eigenes Gerät Zugriff auf IT-Ressourcen bzw. die Infrastruktur des Unternehmens erhält. Das geht natürlich bedeutend weiter als das "Weiterleiten" von E-Mails. Vielmehr hat der Mitarbeiter dabei beispielsweise direkten Zugriff auf seine Mails über einen Exchange-Server oder kann Dokumente vom unternehmenseigenen Server herunterladen.

Darüber hinaus sind in punkto BYOD mittlerweile verschiedene Ausprägungen erkennbar. Bei allen Varianten entsteht der größte Nutzen für ein Unternehmen, wenn es Anwendungen und Services als Standard aus einer zentralen Infrastruktur heraus (z.B der Cloud) auf den Endgeräten bereitstellt.

Inwieweit trifft der Eindruck zu, BYOD sei mehr ein Marketingthema der IT-Industrie denn gelebte Praxis?

Podschelni:
Dieser Eindruck trifft nicht wirklich zu. Laut einer Studie der IDC von 2012 fordern immerhin 20 Prozent der Business-Entscheider eine BYOD-Unterstützung von ihrer Unternehmens-IT.

Vanson Bourne Research hat sogar herausgefunden, dass 35 Prozent der "Digital Natives" darüber nachdenken, den Job zu wechseln, wenn es ihnen nicht erlaubt sei, die gewünschten Endgeräte zu nutzen.

An diesen beiden Fakten erkennt man deutlich, dass das Thema BYOD von der Fachseite und den Mitarbeitern getrieben ist. IT-Entscheider tun gut daran, sich mit diesem Thema auseinander zu setzen, um keine Schatten-IT entstehen zu lassen.    

Überspitzt gefragt: Wenn BYOD ein so großes Thema ist und die Zufriedenheit der Mitarbeiter steigert, warum fahren Außendienstler nicht lieber mit ihrem eigenen Golf zum Kunden, weil sie wissen, wie man das Radio bedient und wo der Eiskratzer ist?

Podschelni:
Es verhält sich genau anders herum, als in der Frage suggeriert. Das analoge Bild bei Autos wäre ja vielmehr: Der Mitarbeiter hat zuhause eine S-Klasse und seine Firma bietet ihm eine A-Klasse an. Würde er dann nicht viel lieber mit seiner S-Klasse weiterfahren gegen einen Tank- und Versicherungszuschuss?

In welchen Branchen und Fachbereichen findet BYOD denn am ehesten statt? Können Sie konkrete Szenarien skizzieren?

Podschelni:
Der Wunsch nach BYOD-Lösungen ist in unterschiedlichsten Branchen und Fachbereichen anzutreffen und nicht nur in solchen mit einer besonders ausgeprägten Mitarbeitermobilität. BYOD ist ein übergreifendes Thema und hängt damit zusammen, wie jedes Unternehmen am Markt positioniert ist, um junge Talente zu werben, oder wie das Unternehmen sich strategisch bzw. marketingtechnisch positionieren muss oder will. BYOD ist weniger ein Kostensenkungsprogramm, sondern vielmehr die Antwort der IT auf die Anforderungen der User und darüber hinaus ein Motivations-, HR- und Marketing-Instrument. Ein Unternehmen will sich als jung und innovativ positionieren, ein anderes lehnt BYOD aus Sicherheitsgründen kategorisch ab.

Will ein Unternehmen BYOD professionell einführen, wie sollte es vorgehen?

Podschelni:
Sicherlich gibt es hier kein allgemeingültiges Konzept zur Einführung von BYOD. Grundsätzlich ist es wichtig, die richtige Balance zu finden zwischen Sicherheit vs. Selbstverantwortung der Mitarbeiter, technischer Regulierung vs. Nutzungsrichtlinien und Betriebsvereinbarungen.

Unsere Erfahrungen zeigen, dass man bei der Einführung von BYOD stufenweise vorgehen sollte. Dies beginnt mit der Analyse der Ist-Situation im Unternehmen und mit der klaren Definition der erwünschten Ziele im Gesamtkontext der mobilen Strategie. Im nächsten Schritt ist es wichtig, die Sozialpartner frühzeitig einzubinden und die organisatorischen und technischen Regeln sowie Rahmenbedingungen für die Nutzung von BYOD zu definieren. Abschließend empfehlen wir Unternehmen, über entsprechende Kommunikationsmaßnahmen die Regeln und Rahmenbedingungen für den Einsatz von BYOD transparent zu machen.    

Welche Rolle spielt der Betriebsrat in einem solchen Szenario? Inwieweit muss er eingebunden werden?

Podschelni:
BYOD ist mitbestimmungspflichtig. Je nach Unternehmenskultur und politischer Situation kann der Zeitpunkt unterschiedlich sein. Generell gilt die Empfehlung, den Betriebsrat so früh wie möglich einzubinden und gemeinsam eine praktikable Regelung (z.B. in Form einer Betriebsvereinbarung) zu definieren. Deren Inhalte sind abhängig vom gewählten BYOD-Konzept – sie umfassen z.B. den Kreis der berechtigten Mitarbeiter oder Verhaltensregeln im Umgang mit dem Datenschutz. Geregelt werden zudem Kontroll- und Zugriffsrechte des Arbeitgebers auf das private Endgerät, bis hin zum Ende des Arbeitsverhältnisses und dem Löschen der geschäftlichen Daten auf dem Endgerät.    

Thema Datenschutz: Wie lässt sich sicherstellen, dass private Daten privat bleiben und betriebliche im Unternehmen?

Podschelni:
Deshalb sind technische Möglichkeiten zur strikten Trennung von privaten und geschäftlichen Daten Grundvoraussetzung für BYOD. Zu nennen ist hier u.a. die Virtualisierung - entweder in der Form, dass auf dem mobilen Endgerät eine virtualisierte Umgebung bereit gestellt wird, die die Trennung privat/geschäftlich ermöglicht. Oder dadurch, dass einzelne Anwendungen untereinander gekapselt werden (in diesem Fall spricht man auch von "Sandboxing"). Die gekapselten Anwendungen werden in einer eigenen Umgebung ausgeführt und sind somit vor Einflüssen privater Applikationen geschützt. Gleichzeitig beeinflusst eine gekapselte Anwendung auch die installierten privaten Applikationen nicht negativ.

Geht ein privates Gerät verloren, welche Handhabe hat das Unternehmen, etwa bezüglich Remote Wipe?

Podschelni:
Technisch gesehen ist ein Remote Wipe selbstverständlich möglich. Mobile-Device-Management-Systeme  können einen Löschbefehl absetzen, der das komplette Gerät in den Werkszustand zurückversetzt und dabei alle Daten löscht. Sandbox-Lösungen ermöglichen, dass etwa nur der geschäftliche Bereich auf dem nutzereigenen Device (also der Container) gelöscht wird. Die privaten Daten bleiben so unangetastet. Wie das Unternehmen im Verlustfall handeln soll, wird üblicherweise mit den Interessensvertretern in den Nutzungsbedingungen des Dienstes festgelegt.    

Wem bringt BYOD steuerliche Vorteile, beispielsweise als geldwerter Vorteil o.ä.?

Podschelni:
Die steuerrechtlichen Aspekte der Nutzung von BYOD sind auf jeden Fall zu prüfen und lassen sich nicht pauschal beantworten. Die Schwierigkeit in der Praxis besteht u.a. darin, private Aufwendungen des Mitarbeiters und betriebliche Aufwendungen des Arbeitgebers nachkontrollierbar abzugrenzen und verursachungsgerecht zuzuweisen.
Die Einbeziehung steuerrechtlicher Expertise ist in jedem Fall geboten.    

Was ist hinsichtlich der betrieblichen Software-Lizenzen zu beachten, wenn mit privaten Geräten auf SAP, Oracle oder andere betriebswirtschaftliche Lösungen zugegriffen wird?

Podschelni:
Die lizenzrechtliche Fragestellung im Kontext BYOD lässt sich ebenfalls nicht pauschal beantworten und braucht eine Einzelfallüberprüfung. Dies liegt unter anderem daran, dass Softwareanbieter durchaus zwischen der privaten und geschäftlichen Nutzung von Programmen in ihren Lizenzbedingungen unterscheiden. Es gibt Lizenzbedingungen, die Userlizenzen vorsehen oder auf Endgeräte bezogen sind und in machen Fällen erlauben die Lizenzbedingungen die Nutzung von BYOD nicht. Von daher kann es auch in diesem Fall sinnvoll sein, sich einer Fachexpertise zu bedienen. Bei einem Lizenzverstoß, z.B. durch Nutzen der Unternehmenslizenz auf dem privaten Endgerät, können Haftungsrisiken entstehen. Aus diesem Grund empfiehlt es sich dringend, immer die Unternehmenslizenzen zu überprüfen, ob sie auch für die Nutzung auf privaten Endgeräten eingesetzt werden können.

Wie können gefährdete Apps (Dropbox, Messenger-Apps o.ä.) wirkungsvoll abgesichert werden?

Podschelni:
Hierzu gibt es mehrere Ansätze. Für Dropbox wäre eine Lösung, die darin enthaltenen Daten zu verschlüsseln. Dies sollte jedoch nur als Notlösung gesehen werden. Die saubere und sichere Lösung wäre es, dem Mitarbeiter eine unternehmenseigene Alternative zu bieten, die genau so komfortabel ist. Darüber hinaus sorgen sogenannte "Container-Lösungen" dafür, dass unternehmensinterne Daten (z.B. Active Directory/Telefonbuch) und Applikationen (E-Mail) in einem isolierten Compartment für geschäftliche Anwendungen liegen. Damit lässt sich verhindern, dass Apps wie „Dropbox“ Zugriff auf Unternehmensdaten erhalten. Über ein Mobile-Device-Management-System lässt sich schlussendlich noch unterbinden, dass die "unerwünschten" privaten Apps auf dem " geschäftlichen Part" des Smartphones installiert werden.

Wie müssen Support und Wartung geregelt sein?

Podschelni:
Die Aspekte Support und Wartung sind bei BYOD vielschichtig und berühren die Bereiche Infrastruktur, Endgeräte und Services. Insgesamt lässt sich ein wirkungsvoller Support nur durch die Mitwirkung der Mitarbeiter sicherstellen (z.B. regelmäßige Betriebssystem-Updates auf den Endgeräten). Aus eigener Erfahrung bei T-Systems weiß ich, dass viele Unternehmen gerade bei BYOD auf einen erfahrenen Dienstleister setzen.

Wie kann die IT überhaupt die Mammut-Aufgabe bewältigen, alle möglichen Gerätetypen gleichermaßen zu verwalten und abzusichern?

Podschelni:
Genau diese Aufgaben leisten heute Mobile-Device-Management-Lösungen. Von zentraler Stelle aus lassen sich so die wichtigsten aktuellen mobilen Betriebssysteme (iOS, Android, Windows Phone, Blackberry, etc.) managen. T-Systems bietet hier Lösungen aus der Cloud als Self Service (dabei übernehmen die Kunden selbst die Administration ihrer mobilen Endgeräte) oder als Komplettservice (dann übernimmt T-Systems das Device Management für den Kunden). Sicherlich gilt es die Besonderheiten und Restriktionen der unterschiedlichen mobilen Betriebssysteme zu berücksichtigen. Das geht mit einem Mobile Device Management in der Form, dass man betriebssystemabhängige Vorgaben macht – alles von einer zentralen Stelle au

Mittlerweile kursieren neue Kürzel wie CYOD (Choose Your Own Device). Danach können die Mitarbeiter aus einem festen Pool von Unternehmensgeräten das für sie geeignete auswählen. Was ist davon zu halten?

Podschelni:
CYOD ist sicherlich eine weitere Möglichkeit, den "Digital Natives", also Mitarbeitern mit einer hohen Affinität zu bestimmten mobilen Endgeräten, eine interessante Arbeitsumgebung mit mehr Individualität anzubieten. In diesem Modell legen die IT-Verantwortlichen fest, welche Endgeräte vom Unternehmen zur Auswahl bereitgestellt werden und sind in der Lage, strenger zu reglementieren, welche Anwendungen für die Nutzung freigegeben sind. Dennoch gibt es zwischen dem CYOD- und dem BYOD-Konzept viele Ähnlichkeiten. Letztlich ist es die Frage, welche Integrationstiefe und Freiheitsgrade gewünscht sind.    

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok