Das eigene private Handy oder Tablet auch im Unternehmen nutzen? „Bring Your Own Device“ – kurz BYOD – lautet in vielen Unternehmen die Devise. Oft werden die Geräte in das Mobile-Device-Management (MDM) des Unternehmens eingebunden. Die Firma erspart sich die Anschaffungskosten und die Mitarbeiter*innen verwenden Geräte, die sie kennen und lieben. Klingt nach einer Win-win-Situation. Aber wer haftet bei Schäden und wie sieht es eigentlich mit der IT-Security aus?

MDM und BYOD – was ist das eigentlich?

MDM (Mobile Device Management (MDM) ist eine Software, mit der mobile Endgeräte komfortabel verwaltet werden. Zusätzlich wird über das MDM Software zentral auf die einzelnen Geräte verteilt, Patches und Upgrades aktualisieren das System automatisch. Das funktioniert übrigens auch im Zusammenhang mit BYOD.

BYOD ist ein IT-Bereitstellungsmodel, bei dem die Mitarbeiter*innen ihre eigenen Mobilgeräte wie Smartphones oder Tablets für dienstliche Zwecke nutzen. Ein Teil der Kosten wird dabei vom Arbeitgeber vergütet.

… und warum sollte man das eigene Gerät für Unternehmenszwecke nutzen?

Studien zeigen, dass Mitarbeiter*innen tendenziell die eigenen Geräte auch für dienstliche Verwendungen bevorzugen. Sie sind mit den Geräten gut vertraut und arbeiten produktiv mit ihnen.

Im betrieblichen Kontext wird das Mobilgerät ähnlich verwendet, wie für private Zwecke: Für Email und Internet-Verbindungsaufbau, Chat mit den Kollegen oder Fotos vom Außeneinsatz. Meist gibt es auch spezielle Unternehmensanwendungen, ganz generell werden Unternehmensdaten auf den Mobilgeräten vielfältig verarbeitet.

BYOD-Vorteile

Für den Dienstnehmer bedeutet dies die Bequemlichkeit, nur ein einziges Gerät mit sich führen zu müssen. Oft geben die Firmen auch einen Zuschuss zum Gerät oder beteiligen sich an den Kosten für den Mobilfunktarif, manchmal auch beides. Angestellte können mit den von ihnen bevorzugten Geräten arbeiten, mit deren Apps und Betriebssystem sie vertraut sind. Das Unternehmen wiederum kann Anschaffung und Wartung auf die Mitarbeiter*in abwälzen. Das spart interne und externe Kosten.

BYOD-Nachteile

Allerdings stellen Mobilgeräte für die IT-Landschaft des Unternehmens immer ein gewisses Risiko dar. Insbesondere bei Geräten, für die nicht das Unternehmen, sondern der User selbst verantwortlich ist, besteht ein erhöhtes Sicherheitsrisiko. Die IT muss nun nämlich eine inhomogene Menge an unterschiedlichsten Geräten und Betriebssystemen verwalten. Von manch eingesetztem Gerät erfährt sie dabei erst gar nicht (‚Dark-BYOD“).

Die Definition der finanziellen Entschädigung der Mitarbeiter*innen kann Probleme bereiten, da die tatsächlichen Kosten häufig schwer festzustellen sind. Das steuerlich saubere Aufdröseln der einzelnen Posten ist kompliziert.

Hinzu kommen Fragen zur Haftung und zum Schadenersatz bei Verlust, Diebstahl oder Beschädigung des Geräts. Das kann unangenehme Konflikte zwischen Arbeitnehmer und Arbeitgeber verursachen. Last but not least: Nicht jede/r findet es toll, sein eigenes Gerät mitbringen zu müssen. Im Gegenteil wird von vielen geschätzt, dass ihnen der Arbeitgeber ein wertiges Gerät zur Verfügung stellt, welches auch privat genutzt werden kann. Dieses Vorgehen nennt sich COPE (= Corporate Owned, Privately Enabled).

BYOD: Gefahren und Risiken

Die Verwendung privater Endgeräte für dienstliche Zwecke birgt Gefahrenpotenzial – und das für beide Parteien: Der Dienstnehmer gewährt dem Dienstgeber Zugriff auf seine Privatsphäre, BYOD kann in Bezug auf Datenschutz problematisch sein.

Der Unternehmer wiederum geht das Risiko ein, dass er den Zugriff auf Netzwerk und Daten über Geräte zulässt, deren Security-Level er nicht zu 100% kontrollieren kann.

Dabei können sich Risiken insbesondere ergeben durch:

1. Die Mobilen Endgeräte selbst: Denn nicht die IT, sondern der User ist für die Sicherheit des Geräts zuständig.
2. Peripherie-Geräte: USB-Sticks und externe Laufwerke sind beliebte und gefährliche Hilfsmittel zur Speicherung von Unternehmensdaten.
3. Datenübertragung: Es macht einen Unterschied, ob der Datentransfer zwischen Unternehmen und Benutzer verschlüsselt über eine VPN-Verbindung oder etwa im Klartext über ein öffentliches WLAN aus einem Internet-Café stattfindet.
4. Software: Bewegen sich mobile Endgeräte sowohl im unkontrollierten privaten Bereich als auch im Unternehmensnetzwerk, kann Schadsoftware auf diesem Weg eingeschleppt werden.
5. Lizenzen: Wird die kostenpflichtige App gerade beruflich oder privat genutzt? Oft lässt sich das nicht sauber trennen. Es drohen Verletzungen der Endbenutzerverträge für lizenzierte Anwendungen (EULA).
6. Datenschutzverstoß: Die betriebliche Verarbeitung von personenbezogenen Daten erfordert eigentlich eine Erlaubnis. Also besser keine Job-Kontaktdaten auf einem Privathandy mit WhatsApp speichern. Der Messenger überträgt nämlich fröhlich Daten an Facebook-Server in den USA.

Unsere BYOD-Tipps

Wichtig: Hinterfragen Sie ernsthaft, ob BYOD die richtige Strategie ist. Es gibt elegantere Lösungen wie zum ‚Beispiel Phone as a Service“. Wenn es denn unbedingt BYOD sein muss, sollten sie drei Dinge beherzigen.

Erstens: Sorgen Sie unbedingt für einen verschlüsselten Arbeitsbereich mittels einer MDM-Lösung oder mittels einer sogenannten Container-Lösung.

Zweitens: Schärfen Sie das Bewusstsein Ihrer Mitarbeiter*innen für Fragen der IT-Sicherheit. Denn leider ist der Mitarbeiter-Faktor mithin das größte Security-Problem. Überaltete Betriebssysteme, verschobene Sicherheits-Updates und Apps aus unsicheren Quellen sind ein absolutes No-go!

Drittens: Was ist erlaubt, was nicht? Schaffen Sie Klarheit bei den Nutzungsvorgaben!

BYOD und MDM: Zusammen sind sie stark?

Nicht nur im Zusammenhang mit dem BYOD-Ansatz – auch im COPE-Bereitstellungsmodell (‚Corporate Owned, Private Enabled“) wäre die professionelle Verwaltung mobiler Endgeräte ohne MDM undenkbar.

Gerätesoftware, Apps, Updates und Patches werden auch bei BYOD zentral über das Mobile Device Management an alle Geräte verteilt und unabhängig vom Benutzer installiert. So sind alle mobilen Endgeräte immer up-to-date und in Punkto Sicherheit immer auf dem letzten Stand.

Das entlastet die IT-Abteilung, die standardisierte Aktualisierung aller mobilen Endgeräte muss nicht manuell auf jedem einzelnen Gerät durchgeführt werden.

Ganz im Nebenbei erfolgt auch Inventarisierung und Geräteverwaltung durch das MDM. Aktuelle Daten für das Endgerät, etwa Infos zu Nutzungsdauer, Gerätedetails oder Mobilfunkverträgen sind jederzeit verfügbar.

Erfahrungsgemäß funktioniert die Inventarisierung ohne MDM extrem schlecht und intransparent. Die Folge ist die sogenannte Dark BYOD in Form der unkontrollierten Verwendung nicht-autorisierter Endgeräte – der Alptraum jedes IT-Verantwortlichen.

Voraussetzung dafür: Die Geräte werden über ein MDM verwaltet. Das ist allerdings bei Geräten, die im Eigentum der Mitarbeiter*innen stehen, nicht nur aus Gründen der Privatautonomie und Privatsphäre ein heikles Thema. Bei betrieblich genutzten Privatgeräten ist beim Einsatz eines MDM daher Fingerspitzengefühl notwendig.

Doch nur bei Einbindung in ein MDM können zumindest eine Reihe von verbindlichen technischen Rahmenbedingungen für die sogenannte ‚Mischnutzung“ etabliert werden: vom Unternehmen definierte Zugangsrechte und Richtlinien für den Datenzugriff sichern den Einsatz von privaten Geräten bis zu einem gewissen Grad ab.

BYOD – bloß nicht ohne klare Rahmenvereinbarung!

Haftung und die Sicherheit der Unternehmensdaten sind zentrale Themen, die unbedingt vor der Verwendung von Privatgeräten im Rahmen einer BYOD-Strategie in jeder Nutzervereinbarung ausführlich behandelt werden müssen. Nutzungsregeln, insbesondere wenn sie einschränkender Natur sind, werden allerdings von den Mitarbeiter*innen häufig als unzulässige Eingriffe in die Privatsphäre empfunden.

Die schwierige Aufgabe besteht nun darin, den Bereitstellungsansatz oder die Nutzungsvereinbarung so zu gestalten, dass einerseits die Unternehmensinteressen bestmöglich gewahrt werden. Andererseits müssen diese Regelungen auch praktikabel sein, damit sie von allen Beteiligten akzeptiert werden.

Zum einen haftet grundsätzlich der Dienstgeber oder die Dienstgeberin für die vom Dienstnehmer eingebrachten Sachen, sofern diese betrieblich genutzt werden. Zum anderen kann aber unter Umständen auch den Dienstnehmer oder die Dienstnehmerin eine Haftung für Schäden treffen, die dem Unternehmen durch sein oder ihr (grob) fahrlässiges Verhalten entstanden sind: Eine Verschlüsselung von Unternehmensdaten durch Ransomware, eingeschleppt durch eine zweifelhafte App auf einem schlecht gewarteten Privathandy, wäre etwa einer der Fälle, mit denen Anwälte ihren Spaß haben.

BYOD: Datentrennung – die DSGVO lässt grüßen

Große Probleme bereitet BYOD insbesondere auch im Zusammenhang mit der DSGVO. Grundsätzlich sind die Bestimmungen der DSGVO anwendbar, wenn personenbezogene Daten für das Unternehmen auf dem Privatgerät verarbeitet werden.

Nun verpflichtet die DSGVO zu einer strikten Trennung zwischen privaten und dienstlichen Daten. Private mobile Endgeräte sind jedoch in aller Regel dafür nicht ausgerichtet. Eine Vermengung von Unternehmens-sphäre und Privatbereich ist damit ebenso unausweichlich wie problematisch.

Fixer Bestandteil jeder Benutzervereinbarung sollten daher auch klare Regelungen sein, ob und in welcher Form dienstliche Daten auf dem Privatgerät gespeichert werden. Verschlüsselung ist hier ein ganz großes Thema.

BYOD und MDM: Auch unter Apple kein Problem

Egal, welche MDM-Software du bereits verwendest – MobileIron, MaaS360, VMware oder Cortado: Device-as-a-Service von Everphone kann deine Lösung integrieren.

Aber auch in neueren Apple-Betriebssystemen ist Bring Your Own Device umsetzbar. Möglich wird dies durch die Option Benutzerregistrierung (User Enrollment). Ähnlich wie bei Android-Geräten wird ein eigener, von den privaten Daten abgegrenzter Bereich für das Unternehmen angelegt.

Die Unternehmensdaten werden dabei auf getrennten, kryptografisch gesicherten APFS-Volumes gespeichert. Der unternehmerische Bereich ist somit sind nicht an das Gerät, sondern an die Managed-Apple-ID gekoppelt. Das ermöglicht den Unternehmen die volle Freiheit bei der Auswahl des MDM, die Integration der Apple-Endgeräte ist in jeder Umgebung problemlos möglich.

Integration von iPhones im MDM

Das Konzept des User Enrollment macht iPhones seit iOS 13 auch für BYOD-Konzepte geeignet. Damit schafft Apple den Spagat zwischen Flexibilität für seine Nutzer*innen bei gleichzeitiger Wahrung der Interessen von Unternehmen nach größtmöglicher Sicherheit für ihre Daten.

Fazit: Sicherheit und Nutzungsvereinbarung sind entscheidend

Möchte man maximale Sicherheit bei minimalem Aufwand, ist BYOD wohl nicht die komfortabelste Lösung. Da ist man mit einem COPE-Modell wie Device-as-a-Service wesentlich besser bedient. BYOD ist überall dort eine Option, wo den Mitarbeiter*innen maximale Freiheit bei der Verwendung ihrer bevorzugten Mobilgeräte gewährt werden soll.

Lese auch:

• MDM: COPE bei privater Nutzung mobiler Endgeräte
• Tablet leihen – teure Geräte preiswert nutzen

Fragen der Sicherheit und des Zugriffs auf Unternehmensdaten sind allerdings zentrale Bereiche, die – besonders im Fall von BYOD – bereits im Vorfeld überlegt und zwischen Unternehmen und Belegschaft abgeklärt werden müssen.

Klare Rahmenbedingungen sollten unbedingt in einer schriftlichen Nutzervereinbarung festgehalten werden, um im Fall von Diebstahl, Verlust oder Beschädigung des privaten Endgerätes konkrete Richtlinien zu haben.

Ohne geeignetes MDM wird BYOD aufgrund unterschiedlicher Gerätetypen und Betriebssystemen schwer administrierbar. Das gilt im Übrigen unabhängig von der Betriebsgröße, insbesondere gibt es auch MDM-Lösungen für kleine Unternehmen!