Immer mehr Unternehmen setzen auf die Nutzung von privaten Geräten wie Smartphones, Tablets oder Laptops am Arbeitsplatz. In diesem Fall spricht man von Bring Your Own Device – oder kurz BYOD. BYOD steht also für ein Konzept, welches eine geschäftliche Nutzung von privaten Geräten vorsieht. Zu den Vorteilen von Bring Your Own Device gehören in erster Linie Kosteneinsparungen, eine bessere Erreichbarkeit der Mitarbeiter und die Möglichkeit, mobil zu arbeiten.
Inhaltsverzeichnis
BYOD: Strategie, Konzept und Anforderungen
Jede BYOD-Strategie umfasst Überlegungen und Schritte, die eine datenschutzkonforme und sichere Nutzung von privaten Geräten im geschäftlichen Umfeld sicherstellen.
Hier sind die wichtigsten Anforderungen, die Sie bei der Einführung des BYOD-Programms berücksichtigen sollten:
Für jedes BYOD-Programm sollten Mitarbeiter maximal einbezogen werden, sei es bei der Geräteauswahl, eine klare Kommunikation zur Datenschutzregelung, das Benutzererlebnis usw.
Sicherheitsrisiken müssen durch passende Lösungen minimiert und Sicherheitsrichtlinien bezüglich Transparenz und Kontrolle durchgesetzt werden.
Im Rahmen des BYOD-Modells muss gewährleistet werden, dass private und geschäftliche Daten strikt getrennt und nicht kompromittiert werden. So sollte das Unternehmen unter anderem sicherstellen, dass Mitarbeitende einen abgesicherten Mail-Zugriff haben oder nur über einen sicheren Browser auf die IT-Ressourcen des Unternehmens zugreifen können.
Die Datensicherheit sollte durch Passwörter, Verschlüsselung oder mittels einer passwortlosen Authentifizierung im Rahmen des Sicherheitsmodells Zero Trust gewährleistet werden. Es sollte geregelt werden, wo geschäftliche Daten gespeichert werden.
Um im Rahmen des BYOD-Modells eine lückenlose Sicherheit zu gewährleisten, sollte man auch die Betriebssysteme der privaten Geräte stets auf dem aktuellsten Stand halten. Da die Aktualisierung der privaten Geräte in der Regel durch den Benutzer erfolgt, sollten die Mitarbeiter sensibilisiert werden, ihre Apps und Betriebssysteme immer aktuell zu halten.
Ausserdem muss die Privatsphäre der Mitarbeiter geschützt werden.
Google hat mit Android Enterprise ein dynamisches Framework geschaffen, um Android insbesondere für Unternehmen anzubieten und dabei geschäftliche von privaten Daten strikt trennen zu können (BYOD).
Grundlegende Änderungen in der Verwaltung von Apple-Geräten trennen neu private und geschäftliche Daten strikt. Das macht BYOD-Szenarien für Unternehmen interessant. Apple hat dafür die entsprechenden Voraussetzungen seit iOS13 und macOS 10.15 geschaffen.
Durch europaweite Anforderungen an den Datenschutz (GDPR) ist der Schutz von privaten Daten der Benutzer für viele Unternehmen ein Thema (BYOD). Damit ein Apple-Gerät auf Unternehmensdaten zugreifen kann, muss es üblicherweise durch ein Mobile Device Management (MDM) bzw. Unified Endpoint Management System (UEM) verwaltet werden und eine Vertrauensstellung eingehen. Bei der Registrierung weist Apple darauf hin, dass technisch auf private Daten des Benutzers zugegriffen und ggf. das Gerät gelöscht werden könnte. Dies hält viele Mitarbeitende davon ab, ihr privates Gerät in ein MDM- bzw. UEM-System einzubinden und stellt Unternehmen vor technische und organisatorische Herausforderungen.
Aktuelle Anforderungen an den Datenschutz gegenüber den Mitarbeitenden konnten erst mit der Einführung der Funktion User Enrollment gewährleistet werden. Das MDM- bzw. UEM-System hat keinen Zugriff auf private Daten der Benutzter, lediglich auf die im Geschäftskontext hinzugefügten Apps und Daten.
Die Mitarbeitenden haben auf ihrem geschäftlich genutzten Gerät in Zukunft zwei unterschiedliche Apple IDs. Einmal ihre private und zusätzlich eine durch die Firma zugeteilte Apple ID, welche im Apple Business Manager zentral verwaltet wird. Mit dieser zusätzlichen Apple ID wird ein separater, virtueller Bereich mit eigener Verschlüsselung auf den Geräten erstellt.
Im Apple Business Manager müssen die verwalteten Apple IDs manuell erfasst oder via Azure Active Directory synchronisiert werden. Somit kann der Anwender das gleiche Passwort für beide Anmeldungen benutzen.
Nach der Anmeldung im User Enrollment hat das MDM- bzw. UEM-System keine Kontrolle über folgende Funktionen und Elemente:
• Zugriff auf den privaten Datenbereich der Gerätebesitzer
• Komplettlöschung des Gerätes
• Seriennummer, WLAN MAC
• Zurücksetzen der Geräte-PIN
• Geräteweites VPN
• WLAN Proxy
Heute kann man mit Lösungen wie z.B. MobileIron oder SecurePIM eine strikte Trennung von privaten und geschäftlichen Daten gewährleisten und sensible Unternehmensdaten auf privaten Geräten der Mitarbeiter schützen. Eine weitere Möglichkeit bietet die Containerisierung. In diesem Fall wird eine Container-App eingesetzt, die auf dem mobilen Endgerät einen bestimmten Bereich für Unternehmensdaten absichert.
