Aktuelles, Branche - geschrieben von dp am Mittwoch, November 25, 2020 19:43 - ein Kommentar
BYOD-Fallstricke: Worauf Länder und Kommunen achten sollten
Werden BYOD-Smartphones verwendet, muss großen Risiken begegnet werden
[datensicherheit.de, 25.11.2020] Mobiles Arbeiten kann die öffentliche Verwaltung beschleunigen und den Mitarbeitern mehr Flexibilität ermöglichen. Werden allerdings private Smartphones verwendet, gingen Länder, Städte und Gemeinden „große Risiken“ ein, warnt Virtual Solution und klärt in einer aktuellen Stellungnahme über die „entscheidenden Fallstricke“ bei „Bring Your Own Device“-Modellen (BYOD) auf.
Sascha Wellershoff empfiehlt eine sogenannte Container-Lösung
Bei BYOD stellen sich wichtige rechtliche und technische Fragen
Mitarbeiter in der öffentlichen Verwaltung müssten auch von unterwegs oder im Home-Office mobil auf Dokumente und Fachanwendungen zugreifen können. Für die Kommunikation und Erledigung dieser Aufgaben verwendeten daher viele ihr privates Smartphone oder Tablet.
„Und selbst wenn dienstliche Geräte bereitgestellt werden, wollen die meisten weder veraltete Hard- und Software ihres Arbeitgebers verwenden noch mehrere Mobilgeräte mit sich führen.“ Bei BYOD, also der Integration privater Endgeräte in die behördliche IT-Struktur, stellten sich aber wichtige rechtliche und technische Fragen.
Warnung vor drei entscheidenden BYOD-Fallstricken und Empfehlungen zur Vermeidung:
- Verbindliche Regelungen und Nutzungsvereinbarungen für Einsatz von Privatgeräten!
Hat die Behörde die Nutzung privater Endgeräte nicht offiziell geregelt, gälten die gesetzlichen Bestimmungen. Daraus folge eine direkte Auswirkung auf die Haftung: Da die Nutzung des Privatgeräts für die Behörde und in deren Kenntnis und Interesse erfolge, sei sie auch dienstlich veranlasst. Bei einer Beschädigung oder dem Verlust des Geräts während der üblichen Arbeitszeit müssten Länder, Städte und Gemeinden grundsätzlich dafür aufkommen. Ein eventuelles Mitverschulden des Mitarbeiters, etwa wenn das Smartphone herunterfällt, sei aus Gründen der „beschränkten Arbeitnehmerhaftung“ ausgeschlossen. Aus diesem Grund sollten Behörden verbindliche Regelungen und Nutzungsvereinbarungen für den Einsatz von Privatgeräten am Arbeitsplatz festlegen. - Sicherheitsvorkehrungen und Datenschutz beachten!
Neben den rechtlichen Problemen lauerten beim BYOD-Modell auch zahlreiche sicherheitstechnische und datenschutzrelevante Fallstricke. Veraltete Betriebssysteme, unsichere WLAN-Verbindungen „und die Nutzung von Apps, die es mit der Privatsphäre nicht so genau nehmen“, seien häufig Einfallstore für Cyber-Kriminelle und Gründe für die Verletzung der DSGVO. Bestes Beispiel sei „WhatsApp“, welche häufig für die informelle dienstliche Kommunikation innerhalb von Behörden genutzt werde: Diese App lese die Adressbücher der Mitarbeiter mit den Kontaktdaten von Kollegen und Lieferanten aus und gebe die Daten an die Konzernmutter Facebook weiter. Darüber hinaus erfasse „WhatsApp“ auch Metadaten, etwa GPS-Daten, Absturzberichte und Nutzerverhalten. Viele Länder und Kommunen hätten für „WhatsApp und Co.“ keine Nutzungsregelungen aufgestellt oder duldeten sie stillschweigend. - Kontrollverlust durch mangelnde Trennung zwischen dienstlich und privat vorbeugen!
Werden dienstliche und private Daten und Anwendungen auf dem Smartphone nicht strikt voneinander getrennt, stünden die IT-Verantwortlichen vor einem weiteren großen Problem: „Sie verlieren auf einem Privatgerät die Kontrolle über die dienstlichen Daten und Systeme.“ Dies gelte insbesondere im Notfall, wenn etwa nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes schnell sensible Informationen aus der Ferne gelöscht werden müssten.
Keine BYOD-Strategie ohne klare und sichere Trennung privater und dienstlicher Daten sowie Anwendungen
„Ohne eine klare und sichere Trennung von privaten und dienstlichen Daten und Anwendungen sollte eine BYOD-Strategie nicht verfolgt werden. Jetzt aber den Mitarbeitern die schnelle und unkomplizierte Kommunikation über das eigene Smartphone zu verbieten, ist ineffizient und demotivierend“, erläutert Sascha Wellershoff, Vorstand von Virtual Solution in München.
Er empfiehlt eine sogenannte Container-Lösung (wie z.B. „SecurePIM Government“), welche demnach auf dem Mobilgerät des Mitarbeiters den dienstlichen strikt vom privaten Bereich trennt. Die Daten und Dokumente würden nach höchsten Standards verschlüsselt gespeichert und auch Ende-zu-Ende verschlüsselt übertragen. Wellershoff: „Damit schützen sich Behörden und Ämter sicher vor Cyber-Angriffen und garantieren gleichzeitig die Einhaltung der DSGVO.“
Weitere Informationen zum Thema:
datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen / Michael Scheffler erörtert, warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint
datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft / Ergebnisse der „2013 Mobile Enterprise Risk Survey“ von Absolute Software
datensicherheit.de, 24.08.2013
KASPERSKY-Umfrage 2013: Richtlinien für BYOD-Umgang in Unternehmen oft noch Mangelware / Laut der Studie „Global Corporate IT Security Risks: 2013“ hat jedes dritte deutsche Unternehmen hat noch gar keine Sicherheitsrichtlinien
datensicherheit.de, 11.04.2013
BYOD: Mitarbeiter verwenden ihre privaten Geräte für den Beruf / BITKOM veröffentlicht Leitfaden „Bring Your Own Device“
datensicherheit.de, 05.03.2013
BYOD: Hälfte der Unternehmen hat bereits ein Gerät mit wichtigen Daten verloren / Laut aktueller varonis-Studie seien 86 Prozent der Mitarbeiter sogar „süchtig nach mobilen Geräten“
ein Kommentar
Kristian Hartmann
Kommentieren
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Sehr wichtige Punkte wurden aufgelistet vielen Dank. Wir nutzen in unserer Gemeinde die Software von AppTec zur Verwaltung unserer mobilen Geräte. Dabei können wir private und geschäftliche Inhalte gut trennen, bisher hat dies ohne Probleme funktioniert.