BYOD: Private Geräte geschäftlich nutzen

Immer mehr Unternehmen setzen auf die Nutzung von privaten Geräten wie Smartphones, Tablets oder Laptops am Arbeitsplatz. In diesem Fall spricht man von Bring Your Own Device – oder kurz BYOD. BYOD steht also für ein Konzept, welches eine geschäftliche Nutzung von privaten Geräten vorsieht. Zu den Vorteilen von Bring Your Own Device gehören in erster Linie Kosteneinsparungen, eine bessere Erreichbarkeit der Mitarbeiter und die Möglichkeit, mobil zu arbeiten.


Inhaltsverzeichnis

BYOD: Strategie, Konzept und Anforderungen

BYOD für Android-Geräte

BYOD für iOS-Geräte (iOS 13 und höher)

Technische Umsetzung und Lösungen

BYOD: Strategie, Konzept und Anforderungen

Jede BYOD-Strategie umfasst Überlegungen und Schritte, die eine datenschutzkonforme und sichere Nutzung von privaten Geräten im geschäftlichen Umfeld sicherstellen.

Hier sind die wichtigsten Anforderungen, die Sie bei der Einführung des BYOD-Programms berücksichtigen sollten:

Einbezug der Mitarbeiter

Für jedes BYOD-Programm sollten Mitarbeiter maximal einbezogen werden, sei es bei der Geräteauswahl, eine klare Kommunikation zur Datenschutzregelung, das Benutzererlebnis usw.

Minimierung der Sicherheitsrisiken

Sicherheitsrisiken müssen durch passende Lösungen minimiert und Sicherheitsrichtlinien bezüglich Transparenz und Kontrolle durchgesetzt werden.

Trennung der Daten

Im Rahmen des BYOD-Modells muss gewährleistet werden, dass private und geschäftliche Daten strikt getrennt und nicht kompromittiert werden. So sollte das Unternehmen unter anderem sicherstellen, dass Mitarbeitende einen abgesicherten Mail-Zugriff haben oder nur über einen sicheren Browser auf die IT-Ressourcen des Unternehmens zugreifen können.

Datensicherheit

Die Datensicherheit sollte durch Passwörter, Verschlüsselung oder mittels einer passwortlosen Authentifizierung im Rahmen des Sicherheitsmodells Zero Trust gewährleistet werden. Es sollte geregelt werden, wo geschäftliche Daten gespeichert werden.

Aktuelle Betriebssysteme

Um im Rahmen des BYOD-Modells eine lückenlose Sicherheit zu gewährleisten, sollte man auch die Betriebssysteme der privaten Geräte stets auf dem aktuellsten Stand halten. Da die Aktualisierung der privaten Geräte in der Regel durch den Benutzer erfolgt, sollten die Mitarbeiter sensibilisiert werden, ihre Apps und Betriebssysteme immer aktuell zu halten.

Schutz der Privatsphäre

Ausserdem muss die Privatsphäre der Mitarbeiter geschützt werden.

BYOD für Android-Geräte

Google hat mit Android Enterprise ein dynamisches Framework geschaffen, um Android insbesondere für Unternehmen anzubieten und dabei geschäftliche von privaten Daten strikt trennen zu können (BYOD). 

BYOD für iOS-Geräte (iOS 13 und höher)

Grundlegende Änderungen in der Verwaltung von Apple-Geräten trennen neu private und geschäftliche Daten strikt. Das macht BYOD-Szenarien für Unternehmen interessant. Apple hat dafür die entsprechenden Voraussetzungen seit iOS13 und macOS 10.15 geschaffen.

Management mit einem MDM- bzw. UEM-System

Durch europaweite Anforderungen an den Datenschutz (GDPR) ist der Schutz von privaten Daten der Benutzer für viele Unternehmen ein Thema (BYOD). Damit ein Apple-Gerät auf Unternehmensdaten zugreifen kann, muss es üblicherweise durch ein Mobile Device Management (MDM) bzw. Unified Endpoint Management System (UEM) verwaltet werden und eine Vertrauensstellung eingehen. Bei der Registrierung weist Apple darauf hin, dass technisch auf private Daten des Benutzers zugegriffen und ggf. das Gerät gelöscht werden könnte. Dies hält viele Mitarbeitende davon ab, ihr privates Gerät in ein MDM- bzw. UEM-System einzubinden und stellt Unternehmen vor technische und organisatorische Herausforderungen. 

Aktuelle Anforderungen an den Datenschutz gegenüber den Mitarbeitenden konnten erst mit der Einführung der Funktion User Enrollment gewährleistet werden. Das MDM- bzw. UEM-System hat keinen Zugriff auf private Daten der Benutzter, lediglich auf die im Geschäftskontext hinzugefügten Apps und Daten.

Apple Business Manager zur Verwaltung von Apple IDs

Die Mitarbeitenden haben auf ihrem geschäftlich genutzten Gerät in Zukunft zwei unterschiedliche Apple IDs. Einmal ihre private und zusätzlich eine durch die Firma zugeteilte Apple ID, welche im Apple Business Manager zentral verwaltet wird. Mit dieser zusätzlichen Apple ID wird ein separater, virtueller Bereich mit eigener Verschlüsselung auf den Geräten erstellt.

Im Apple Business Manager müssen die verwalteten Apple IDs manuell erfasst oder via Azure Active Directory synchronisiert werden. Somit kann der Anwender das gleiche Passwort für beide Anmeldungen benutzen. 

Nach der Anmeldung im User Enrollment hat das MDM- bzw. UEM-System keine Kontrolle über folgende Funktionen und Elemente:  

•    Zugriff auf den privaten Datenbereich der Gerätebesitzer

•    Komplettlöschung des Gerätes

•    Seriennummer, WLAN MAC

•    Zurücksetzen der Geräte-PIN

•    Geräteweites VPN

•    WLAN Proxy

Technische Umsetzung und Lösungen

Heute kann man mit Lösungen wie z.B. MobileIron (Ivanti) oder SecurePIM eine strikte Trennung von privaten und geschäftlichen Daten gewährleisten und sensible Unternehmensdaten auf privaten Geräten der Mitarbeiter schützen. Eine weitere Möglichkeit bietet die Containerisierung. In diesem Fall wird eine Container-App eingesetzt, die auf dem mobilen Endgerät einen bestimmten Bereich für Unternehmensdaten absichert.

Haben Sie Fragen zu Cybersicherheit? Schreiben Sie uns an!