BYOD und Datenschutz: Ansatzpunkte einer ganzheitlichen Strategie

Verfasst am 25. Jun. 2013 von | Kategorie: BYOD, Datenschutz, Mobility, Sicherheit und Verschlüsselung

Aus dem Tagebuch eines Datenschutzbeauftragten: Dienstag, 18.06.2013

Im Auftrag von DANES war ich letzte Woche als Referent zum Expertenforum BYOD in Erfurt eingeladen. In meinem Vortrag im ersten Slot sollte ich Gefahren und Risiken aufzeigen, denen man mit den Systemen der Hersteller, die nach mir referierten, angemessen begegnen kann. Der Vortrag lief gut, die Teilnehmer waren trotz der hohen Außentemperaturen zunächst gut bei der Sache. Mir fiel jedoch auf, dass die Zuhörer im Laufe der Zeit immer ruhiger wurden. Ich berichtete über verschiedene BYOD-Aspekte wie IT-Security und Nutzerverhalten, Lizenz- und Steuerrecht, Datenschutz und Persönlichkeitsrechte und kam nach ca. 40 Minuten zum Ende meines Vortrags. Von den Teilnehmern war nun erst einmal gar nichts mehr zu hören, bis schließlich ein Anwesender äußerte, dass er jetzt am liebsten sein Smartphone wieder zurückgeben würde. Bestätigendes Nicken der anderen Teilnehmer.

Für mich stellte sich in diesem Moment die Frage: Hatte ich übertrieben und Risiken aufgezeigt, die in der täglichen Praxis nicht wirklich existent sind? Oder fehlt bei Nutzern und IT-Verantwortlichen das entsprechende Know-how bzw. das erforderliche Problembewusstsein, um diese Risiken auch zu erkennen? Dabei wird das Thema BYOD derzeit doch in allen Ausgaben der einschlägigen IT-Fachzeitschriften hoch gehalten – und der Lösungsmarkt ist mit vielen verschieden Anbietern hart umkämpft.

Bei der Erstellung des Vortrags war mir erst wieder klar geworden, wie viele Facetten von mobilen Nutzungsszenarien es gibt. Dies beginnt mit „Choose your own device“-Ansätzen (CYOD), bei denen Mitarbeiter aus einer Liste von unterstützen Firmengeräten ihr favorisiertes Modell auswählen dürfen. Wenn zudem die private Nutzung des Firmengeräts erlaubt ist, spricht man von „corporate owned, personally enabled“ (COPE). Der Begriff „Bring your own serviced device“ (BYOSD) wird verwendet, wenn Privatgeräte im Unternehmenseinsatz von der IT-Abteilung zentral administriert werden. Und schließlich gibt es klassische BYOD-Programme, bei denen Mitarbeiter private Devices für den Zugriff auf Unternehmensdaten verwenden – ohne dass das Unternehmen diese Geräte steuern oder kontrollieren kann. Zusammenfassend lässt sich festhalten: Je mehr Rechte und Freiheiten der Anwender besitzt, desto größer sind zunächst einmal die Risiken für das Unternehmen. Dies wird aus der nachfolgenden Darstellung noch einmal deutlich.

Expertenforum_Mobile-Devices_BYOD-2013

Meine Empfehlungen zur Umsetzung einer Mobility-Strategie sind deshalb:

  • Setzen Sie ein multidisziplinäres Projektteam ein. Nehmen Sie hierzu auch Vertreter aus den Bereichen Recht, Steuern und Mitarbeitervertretung hinzu.
  • Machen Sie eine Bedarfsanalyse, um festzustellen, was Sie tatsächlich benötigen, bzw. was sich Ihre Mitarbeiter durch BYOD erhoffen.
  • Schaffen sie einen definierten Zustand,  in dem Sie die Nutzungsbedingung eindeutig und für alle verständlich festlegen.  Zum definierten Zustand gehört auch die Erfassung aller mobilen Endgeräte. Es muss nachvollziehbar festgehalten werden, welche Mobilgeräte wann Zugriff auf das Unternehmensnetzwerk haben oder hatten.
  • Definieren Sie den Schutzbedarf der auf den mobilen Geräten verarbeiteten Daten.
  • Entscheiden Sie sich für eine Device-Management-Lösung, die eine strikte Trennung zwischen beruflicher und privater Nutzung ermöglicht und die es zulässt, den Zugriff auf Unternehmensdaten angemessen zu schützen. Der Markt bietet eine Vielzahl von Systemen für Mobile Device Management (MDM), Mobile Application Management (MAM) und Mobile Information Management (MIM) sowie Mischformen, die unterschiedliche Lösungsansätze beinhalten. Sprechen Sie mit dem Systemhaus Ihres Vertrauens.
  • Starten Sie mit einer Pilotphase und führen Sie ein Proof of Concept (PoC) durch.

Zusammenfassung

Mit

  • einem auf Ihre Bedürfnisse zugeschnittenen unternehmensspezifischem Konzept,
  • einer flexiblen MDM / MAM / MIM Lösung,
  • einem definierten Zustand hinsichtlich Rechten und Pflichten von Mitarbeitern des Unternehmens sowie der eingesetzten Geräte und
  • einem zuverlässigen Systempartner

schaffen Sie die grundlegenden Voraussetzungen für einen zuverlässigen und sicheren Einsatz von mobilen Geräten im Unternehmen.

Tags: , , , ,

Unser Newsletter informiert Sie über neue Beiträge in unserem Blog.

Ihre E-Mailadresse:

2 Kommentare
Hinterlassen Sie einen Kommentar! »

  1. Ich leite selber ein kleines Familienunterhemen und war anfangs MDM gegenüber auch sehr skeptisch. Aber ich kann es im Nachhinein nur jedem empfehlen.

  2. Vielen Dank Eva,
    das kann ich nur bestätigen. Die Erforderniss einer BYOD-Strategie und damit dem Einsatz eines MDM-Systems ist unabhängig von der größe eines Unternehmens zu sehen. Das ist in erster Linie Abhängig von der Art und der Sensibibilität der auf diesen Geräten genutzten Informationen.

Hinterlassen Sie einen Kommentar!


7 + = zwölf