The easiest Way to lose your Enterprise Data, Reputation, Value

Bring your own Device? Disaster? Everything?

Wolfgang Boelmann
©istockphoto.com/Mustafahacalaki

MyPhone, myCloud, myCollaboration – der digitale Wandel und seine Auswirkungen auf die Arbeitswelt hinterlassen sichtbare Spuren in den Geschäftsprozessen vieler Unternehmen. Entwickelt sich nun die sonst so fortschritts¬orientierte IT in der Frage des Einsatzes von „BYOx“ zum vermeintlichen „Maschinenstürmer“, der die Zeichen der Zeit nicht vollständig zur Kenntnis genommen hat?

Dabei war doch BYOD erst der Anfang und wir erleben zurzeit die „Consumerization“ der IT, Technologie wird massentauglich und entwickelt sich zu „Bring your own Everything“. Neben all den damit verbundenen gesellschaftlichen Veränderungen, stellt sich für viele Unternehmen die Frage nach den Chancen und Risiken dieser Entwicklung, im Besonderen sind es schnell rechtliche und organisatorische Aspekte, die über Erfolg und Misserfolg entscheiden, denn technisch ist oft mehr realisierbar als sinnvoll nutzbar.

Bring your own Jail

Die Nutzung von BYOx bringt eine Vielzahl von rechtlichen Herausforderungen mit sich, die zwar eine Nutzung nicht unmöglich machen, jedoch einen nicht unbeträchtlichen Aufwand verursachen und daher möglichst im Vorfeld des Einsatzes bedacht und geregelt werden. Abbildung 1 zeigt eine Auswahl möglicher Rechtsgebiete, die von der Nutzung privater Geräte/Dienste betroffen sein können. Anhand einiger Beispiele wird gezeigt, wie weitreichend der Regelungsbedarf sein kann.

Abb. 1: Betroffene Rechtsgebiete

Ausgehend von der Tatsache, dass der Mitarbeiter Besitzer und Eigentümer des Geräts ist, hat dies zur Folge, dass er umfassend mit dem Gerät verfahren und alle anderen (auch Arbeitgeber) von der Sache ausschließen kann und dadurch Problemstellungen hervorruft, wie z. B.:

  • das Recht auf Zugriff des Arbeitgebers bezogen auf arbeitgebereigene Daten/Anwendungen sowie zu Wartungs- und Servicezwecken
  • die von Mitarbeitern verwendeten privaten Geräte/Dienste werden privat während der Arbeitszeit genutzt
  • die Kontrolle der regelkonformen Nutzung der mitarbeitereigenen Geräte/Dienste (z. B. illegale Downloads)
  • mögliche Leistungs- und Verhaltenskontrollen der Mitarbeiter betreffen die Mitbestimmungs- und Mitwirkungsrechte der Betriebsräte gemäß Betriebsverfassungsgesetz
  • gibt es ein Nutzungsrecht des AG bezüglich betrieblicher Belange auf einer vertraglichen Basis? Entgeltvereinbarungen für die Nutzung/Abnutzung haben in der Regel zur Folge, dass Instandhaltung, Gewährleistung, Haftung bei Ausfall, Ersatz geregelt werden müssen
  • dies kann wiederum zu steuerrechtlichem Regelungsbedarf hinsichtlich AfA, geldwerter Vorteil und auch Bilanzierung führen

Die rechtliche Wirksamkeit einer Einwilligung mit den Mitarbeitern oder einer Betriebsvereinbarung sollte unbedingt juristisch geprüft werden. Darüber hinaus ist durch regelmäßige Prüfungen/Audits sicherzustellen, dass die getroffenen Vereinbarungen eingehalten werden.

Verbunden mit der Nutzung privater Software/Dienste durch den Mitarbeiter für das Unternehmen stellen sich ggf. folgende urheberrechtliche/lizenzrechtliche Fragen:

  • Liegt überhaupt eine Nutzungsberechtigung des Mitarbeiters vor?
  • Darf die eingesetzte Software kommerziell eingesetzt werden und in welchem Umfang?
  • Darf eine vom Unternehmen erworbene Software auf einem privatem Endgerät gemäß den Lizenzbestimmungen des Lizenzgebers eingesetzt werden?
  • Berücksichtigung des § 99 UrhG Haftung des Inhabers eines Unternehmens (z. B. bei illegaler Musik, Bildern). Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus § 97  Abs. 1 und § 98 auch gegen den Inhaber des Unternehmens.
  • Nutzungsrechte des Arbeitgebers gegenüber dem Arbeitnehmer bedürfen der vertraglichen Regelung.
  • Gegebenenfalls sind wiederum steuerrechtliche Fragestellungen hinsichtlich Absetzung für Abnutzung (AfA), geldwerter Vorteil und Bilanzierung zu berücksichtigen.

Bezogen auf die Unternehmenssicherheit und den damit verbundenen Anforderungen an die IT-Compliance stellt BYOx eine weitere Herausforderung dar, müssen doch folgende Problemstellungen berücksichtigt werden:

  • Neben dem Zugriffsrecht des Arbeitgebers auf die mitarbeitereigenen Geräte/Dienste ist die jederzeitige Zugriffsmöglichkeit auf Unternehmensdaten auf die mitarbeitereigenen Geräte/Dienste zu gewährleisten.
  • Die Zugriffskontrolle auf Unternehmensdaten und Unternehmens-IT durch Dritte, innerhalb und außerhalb des Unternehmens, ist sicherzustellen. Zu den Dritten gehören auch die Familienmitglieder der Mitarbeiter.
  • Die Trennung von Unternehmensdaten und privaten Daten ist sicherzustellen.
  • Sind Unternehmensdaten auf dem privaten Gerät/Dienst ausgelagert, ist zu prüfen, inwieweit die revisionssichere Archivierung notwendig oder aber auch ggf. der Zugriff durch die Steuerbehörde zu ermöglichen ist.
  • Back-ups der unternehmensrelevanten Daten sind zu erstellen.
  • Unternehmensdaten müssen durch den Einsatz vor Viren- und Malwareschutzprogrammen geschützt werden. Aktuelle Sicherheitsupdates müssen verwendet werden.
  • Die Nutzung von BYOx ist im Risikomanagement des Unternehmens aufzunehmen.

Werden im Zusammenhang mit der Nutzung von BYOx auch personenbezogene Daten verarbeitet oder genutzt, dann sind insbesondere datenschutzrechtliche Aspekte zu berücksichtigen. Das Unternehmen ist und bleibt die verantwortliche Stelle im Sinne des § 3 Abs. 7 des BDSG, unabhängig davon, ob die Daten vom Mitarbeiter mit seinem eigenen Gerät/Dienst innerhalb oder außerhalb des Unternehmens verarbeitet oder genutzt werden. Das Unternehmen ist also für die Einhaltung und der Umsetzungskontrolle der Vorschriften des Bundesdatenschutzgesetzes und der ggf. weiter einschränkenden Vorschriften der einzelnen Landesdatenschutzgesetze verantwortlich.

Darüber hinaus handelt es sich in dem Fall, dass personenbezogene Daten des Unternehmens auf einem mitarbeitereigenen Gerät/Dienst verarbeitet oder genutzt werden, gemäß § 11 BDSG um eine Auftragsdatenverarbeitung. Dazu ist in § 11 Abs. 2 des BDSG ausgeführt: „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, die Berichtigung, Löschung und Sperrung von Daten, die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.“

Die Durchsetzung der Kontrollrechte und der Weisungsbefugnisse durch den Arbeitgeber als Auftraggeber der Datenverarbeitung dürfte bei nicht vorliegender Betriebsvereinbarung oder Einzelvereinbarung mit dem Mitarbeiter schier unmöglich sein.

Des Weiteren ist bei einem Verlust des mitarbeitereigenen Gerätes und der darauf ausgelagerten personenbezogenen Unternehmensdaten der §42 a des BDSG zu berücksichtigen. Er besagt, dass im Falle der unrechtmäßigen Übermittlung an Dritte oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gebrachte Daten, unverzüglich die Aufsichtsbehörden und die Betroffenen zu informieren sind. Gegebenenfalls sind die Betroffenen durch halbseitige Anzeigen in mindestens zwei überregionalen Tageszeitungen zu informieren.

Die bisher dargestellten rechtlichen Einflussgrößen der jeweiligen Rechtsgebiete zeigen die enorme Komplexität der juristischen Fragestellungen im Kontext des BYOx-Einsatzes auf und verlangen nach einer umfänglichen Regelung.

[ header = Bring your own Device? Disaster? Everything? – Teil 2 ]

Consumerization of IT (COIT) Governance

Neben den rechtlichen Aspekten des BYOx-Einsatzes stellt sich die Frage nach den organisatorischen Rahmenparametern zur Nutzung dieser mobilen Geräte und Dienste. Auch hier gibt es entsprechenden Handlungsbedarf. Wobei diese Betrachtung nicht losgelöst von dem grundsätzlichen Einsatz mobiler Endgeräte und Dienste im Unternehmen stattfinden darf und sicherlich einer umfassenden Geschäftsstrategie im Sinne eines geschäftsprozessoptimierten Leistungsangebots für alle Stakeholder des Unternehmens bedarf.

Endgeräte- und Dienstevielfalt werden somit Bestandteil einer grundlegenden IT-Strategie, unabhängig von der Eigentumsfrage an den Endgeräten, die es auszugestalten gilt und sinnvollerweise in eine Unternehmens-Governance-of-IT eingebettet ist. Fokussiert auf die COIT-Governance hat die ENISA (European Network and Information Security Agency) auf der Grundlage eigener Untersuchungen ein spezifisches Modell (Abb. 2) entwickelt und adressiert dabei drei strategische Bereiche, das Governance Management, das Compliance, Richtlinien und HR Management, sowie das technische Management. Das technische Management ist wiederum in die Bereiche Gerätemanagement, Anwendungsmanagement und Benutzer- und Datenmanagement aufgeteilt.

Abb. 2: COIT-Governance-Modell der ENISA

Ziel des Ansatzes der ENISA ist das Aufzeigen von Strategien zur Risikominimierung beim Einsatz mobiler Geräte und Dienste. Auf der Basis von 26 Richtlinien wurden für jede Richtlinie zu betrachtende Risiken, spezifische Kontrollen und bewährte Verfahrensansätze beschrieben (Tab. 1).

Tabelle 1: Richtlinien zu Risikominimierung bei Einsatz mobiler Geräte (ENISA/COBIT)

Strategic Management Area Policy Risks Controls Good Practices
Voluntary participation

RLR1

RLR3

4 1
Incentive-driven participation

RC1

RLR1

RD3

4 2
Proactive and effective compliance processes for user Devices

RLR1

RLR2

6 11
Governance Management Inclusion of COIT into ISMS corporate culture and governance structure

RC2

RLR1

RLR2

5 1
Integration of effective incident response system

RD1

RD4

8 2
Active monitoring of emerging threats in the area of COIT

Strategic

Management

Area

2 2
Usage of risk management to protect critical assets with periodic sessions

RC1

RD1

RD2

RD3

RD4

5 2
Periodic audits – application of “trust but verify” model

RL2

RD1

2 1
Acknowledgment of geographic, legal and regulatory variations/limitations in cross-border data exchange

RLR2

RLR3

2 2
Compliance with data protection laws

RLR3

RD1

RD2

7 2
Legal, Regulatory and HR Management Financial responsibility of COIT in exchange of legal control of managed devices

RC4

RLR1

RLR3

2 1
In-house COIT awareness raising programme for users

RD1

RD3

6 2
Synergies of COIT with Legal and HR

RLR1

RLR2

RLR3

RD1

RD2

4 3
End-to-end architecture re-design and MDM suites

RD1

RD2

RD3

RD4

7 4

Compliance of user device configuration with security

architecture and corporate standards

RD3

RD4

6 10
Device Management Incentive-driven usage of devices running approved OS and application software

RD3

RD4

RC2

RC3

RC4

7 6
Usage of devices that can enforce network-propagated policies and restrictions

RD2

RD3

3 1
Network segmentation according to security levels

RD1

RD2

RD3

2 1
Control of device configuration when accessing critical applications

RD2

RD3

RD4

3 1
Application Management Use of virtualization technologies

RD1

RD3

RD4

2 1
Control of the network perimeter limits

RD1

RD2

RD3

1 1
Transition to IPv6 RD2 1 2
Support the use of social networking RC1 2 1
User and Data Management Integrated, mutli-technology, data leakage/loss Protection

RD1

RD2

RD4

6 0
Cross-layer deployment of optimum authentication Mechanisms

RD1

RD2

5 1
Usage of encryption technologies for user devices

RD1

RD2

RD4

3 1

Dieses Vorgehensmodell ist orientiert am COBIT-Modell (COBIT = Control Objectives for Information and Related Technology) der ISACA (Information Systems Audit and Control Association), indem es ebenfalls Prozessdomänen, Prozesse, Kontrollen, Aktivitäten (Good Practices) und Risiken darstellt. In Abhängigkeit der IT-Strategie und der IT-Architektur des jeweiligen Unternehmens können so für jeden einzelnen Prozess die relevanten Risiken betrachtet und anhand der Kontrollen und Aktivitäten ein auf das Unternehmen zugeschnittenes Umsetzungskonzept realisiert werden.

Abb. 3: BYOD-Vorgehensszenario der ISACA

Auch die ISACA empfiehlt auf der Grundlage des aktuellen Frameworks COBIT 5 [3] ergänzt durch Publikationen zu Cobit 5 for Information Security [4] und Secure Mobil Devices Using Cobit 5 for Information Security [5], die Etablierung eines einheitlichen, umfassenden Managementframeworks. Zentrales Element im Zusammenhang mit der Verwendung von Mobil Devices im Kontext der BYOx ist das in Abbildung 3 dargestellte Vorgehensszenario. Bei dem vorgestelltem Modell geht die ISACA davon aus, dass der Aufbau einer Security Governance nur erfolgreich sein kann, wenn sowohl die Vorteile eines zentralen Sicherheitsmanagement als auch die höchstmögliche Flexibilität für den Benutzer angestrebt und verwendet werden. Dazu gehört unter anderem die Berücksichtigung folgender Aspekte:

  • Klare und eindeutige Prinzipien der BYOx-Nutzung und -Steuerung
  • Erstellung übergreifender Richtlinien und dokumentierte Handlungsanleitungen
  • Definition von Mindestanforderungen der mobilen Endgeräte
  • Einverständnisbasierte Regelwerke als Voraussetzung für die BYOx-Nutzung
  • Einverständnisbasiertes Systemmanagement und Monitoring der mitarbeitereigenen Endgeräte
  • Unterstützung durch den IT-Support, z. B. Bereitstellung von spezifischen Security-Apps

Im Vordergrund steht also der verantwortungsbewusste Umgang der Benutzer mit BYOx-Lösungen, welche entsprechendes Wissen und Erfahrung mit dem Umgang derselben voraussetzen. Fehlt diese Befähigung, so sind notwendigerweise Qualifizierungsmaßnahmen durchzuführen, um den erforderlichen Wissenstand aufzubauen, regelmäßige Wiederholung inbegriffen.

Im Wissen um die skizzierten Rahmenparameter der BYOx-Einführung müssen die Unternehmen letztendlich für sich beurteilen, ob nach einer Aufwands- und Nutzenanalyse eine sinnvolle und wirtschaftliche Einführung umgesetzt werden kann. Die technischen Aspekte sind in der Regel mit endlichem Aufwand zu realisieren. Darüber hinaus gibt es inzwischen geeignete Vorgehensmodelle zur Einführung und zum Betrieb der BYOx-Ansätze.

Die Frage, die bleibt, ist, ob es den Unternehmen gelingt, eine tragfähige, nutzenorientierte Mobile-Device- und Service-Strategie unter Berücksichtigung vorhandener Risiken und optimaler Ressourcennutzung zu entwickeln. Gleichzeitig gilt es dabei die richtige Balance zwischen Regelungsbedarf und Handlungsfähigkeit bei gleichzeitig technologiegetriebener Entwicklungsfähigkeit zu halten.

Geschrieben von
Wolfgang Boelmann
Wolfgang Boelmann
  Wolfgang Boelmann beschäftigt sich als Leiter IT-Management bei der AWO Bremerhaven  seit über zwanzig Jahren mit der Entwicklung und dem Betrieb innovativer Anwendungslösungen und -plattformen. Seine Themenschwerpunkte sind neben dem Technologie-Consulting die Begleitung von Unternehmen bei der Umsetzung von IT-Governance und IT-Compliance-Anforderungen. Daneben engagiert er sich als Vorstandsmitglied im Fachverband Informationstechnik in der Sozialwirtschaft und Sozialverwaltung und ist als Spezialist eines der Gründungsmitglieder der Initiative bestXperts.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.