BYOD-Fallstricke: Worauf Länder und Kommunen achten sollten

Werden BYOD-Smartphones verwendet, muss großen Risiken begegnet werden

[datensicherheit.de, 25.11.2020] Mobiles Arbeiten kann die öffentliche Verwaltung beschleunigen und den Mitarbeitern mehr Flexibilität ermöglichen. Werden allerdings private Smartphones verwendet, gingen Länder, Städte und Gemeinden „große Risiken“ ein, warnt Virtual Solution und klärt in einer aktuellen Stellungnahme über die „entscheidenden Fallstricke“ bei „Bring Your Own Device“-Modellen (BYOD) auf.

Foto: Virtual Solution AG

Sascha Wellershoff empfiehlt eine sogenannte Container-Lösung

Bei BYOD stellen sich wichtige rechtliche und technische Fragen

Mitarbeiter in der öffentlichen Verwaltung müssten auch von unterwegs oder im Home-Office mobil auf Dokumente und Fachanwendungen zugreifen können. Für die Kommunikation und Erledigung dieser Aufgaben verwendeten daher viele ihr privates Smartphone oder Tablet.
„Und selbst wenn dienstliche Geräte bereitgestellt werden, wollen die meisten weder veraltete Hard- und Software ihres Arbeitgebers verwenden noch mehrere Mobilgeräte mit sich führen.“ Bei BYOD, also der Integration privater Endgeräte in die behördliche IT-Struktur, stellten sich aber wichtige rechtliche und technische Fragen.

Warnung vor drei entscheidenden BYOD-Fallstricken und Empfehlungen zur Vermeidung:

1. Verbindliche Regelungen und Nutzungsvereinbarungen für Einsatz von Privatgeräten!
   Hat die Behörde die Nutzung privater Endgeräte nicht offiziell geregelt, gälten die gesetzlichen Bestimmungen. Daraus folge eine direkte Auswirkung auf die Haftung: Da die Nutzung des Privatgeräts für die Behörde und in deren Kenntnis und Interesse erfolge, sei sie auch dienstlich veranlasst. Bei einer Beschädigung oder dem Verlust des Geräts während der üblichen Arbeitszeit müssten Länder, Städte und Gemeinden grundsätzlich dafür aufkommen. Ein eventuelles Mitverschulden des Mitarbeiters, etwa wenn das Smartphone herunterfällt, sei aus Gründen der „beschränkten Arbeitnehmerhaftung“ ausgeschlossen. Aus diesem Grund sollten Behörden verbindliche Regelungen und Nutzungsvereinbarungen für den Einsatz von Privatgeräten am Arbeitsplatz festlegen.
2. Sicherheitsvorkehrungen und Datenschutz beachten!
   Neben den rechtlichen Problemen lauerten beim BYOD-Modell auch zahlreiche sicherheitstechnische und datenschutzrelevante Fallstricke. Veraltete Betriebssysteme, unsichere WLAN-Verbindungen „und die Nutzung von Apps, die es mit der Privatsphäre nicht so genau nehmen“, seien häufig Einfallstore für Cyber-Kriminelle und Gründe für die Verletzung der DSGVO. Bestes Beispiel sei „WhatsApp“, welche häufig für die informelle dienstliche Kommunikation innerhalb von Behörden genutzt werde: Diese App lese die Adressbücher der Mitarbeiter mit den Kontaktdaten von Kollegen und Lieferanten aus und gebe die Daten an die Konzernmutter Facebook weiter. Darüber hinaus erfasse „WhatsApp“ auch Metadaten, etwa GPS-Daten, Absturzberichte und Nutzerverhalten. Viele Länder und Kommunen hätten für „WhatsApp und Co.“ keine Nutzungsregelungen aufgestellt oder duldeten sie stillschweigend.
3. Kontrollverlust durch mangelnde Trennung zwischen dienstlich und privat vorbeugen!
   Werden dienstliche und private Daten und Anwendungen auf dem Smartphone nicht strikt voneinander getrennt, stünden die IT-Verantwortlichen vor einem weiteren großen Problem: „Sie verlieren auf einem Privatgerät die Kontrolle über die dienstlichen Daten und Systeme.“ Dies gelte insbesondere im Notfall, wenn etwa nach einem erfolgreichen Cyber-Angriff oder dem Verlust des Gerätes schnell sensible Informationen aus der Ferne gelöscht werden müssten.

Keine BYOD-Strategie ohne klare und sichere Trennung privater und dienstlicher Daten sowie Anwendungen

„Ohne eine klare und sichere Trennung von privaten und dienstlichen Daten und Anwendungen sollte eine BYOD-Strategie nicht verfolgt werden. Jetzt aber den Mitarbeitern die schnelle und unkomplizierte Kommunikation über das eigene Smartphone zu verbieten, ist ineffizient und demotivierend“, erläutert Sascha Wellershoff, Vorstand von Virtual Solution in München.
Er empfiehlt eine sogenannte Container-Lösung (wie z.B. „SecurePIM Government“), welche demnach auf dem Mobilgerät des Mitarbeiters den dienstlichen strikt vom privaten Bereich trennt. Die Daten und Dokumente würden nach höchsten Standards verschlüsselt gespeichert und auch Ende-zu-Ende verschlüsselt übertragen. Wellershoff: „Damit schützen sich Behörden und Ämter sicher vor Cyber-Angriffen und garantieren gleichzeitig die Einhaltung der DSGVO.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen / Michael Scheffler erörtert, warum BYOD nicht so einfach umsetzbar ist, wie es zunächst erscheint

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft / Ergebnisse der „2013 Mobile Enterprise Risk Survey“ von Absolute Software

datensicherheit.de, 24.08.2013
KASPERSKY-Umfrage 2013: Richtlinien für BYOD-Umgang in Unternehmen oft noch Mangelware / Laut der Studie „Global Corporate IT Security Risks: 2013“ hat jedes dritte deutsche Unternehmen hat noch gar keine Sicherheitsrichtlinien

datensicherheit.de, 11.04.2013
BYOD: Mitarbeiter verwenden ihre privaten Geräte für den Beruf / BITKOM veröffentlicht Leitfaden „Bring Your Own Device“

datensicherheit.de, 05.03.2013
BYOD: Hälfte der Unternehmen hat bereits ein Gerät mit wichtigen Daten verloren / Laut aktueller varonis-Studie seien 86 Prozent der Mitarbeiter sogar „süchtig nach mobilen Geräten“