Hinweis: Dieser Artikel befasst sich mit der Trennung beruflicher und privater Daten auf Smartphones. Wenn du wissen möchtest, wie man berufliche und private Rufnummern auf einem Gerät trennt, gehe bitte zu folgendem Artikel:
Dual-SIM und Rufnummerntrennung.
Dienstliche und private Daten auf einem Gerät?
Es gibt Firmengeräte, die nur für eine einzige dienstliche Anwendung gedacht sind (COSU = Corporate-Owned, Single Use), wie etwa das Präsentieren am Messestand. Andere sind für mehrere, ausschließlich dienstliche Anwendungen eingerichtet – dieses Konzept nennt man COBO (Corporate-Owned, Business Only). Falls sich die Nutzer*innen an die Nutzungsvorgaben halten, fallen auf diesen Geräten also nur dienstliche Daten an.
Berufliche und private Mischnutzung
Anders sieht es aus, wenn private Geräte auch für den Job genutzt werden (BYOD = Bring Your Own Device) oder das Firmenhandy ausdrücklich auch für eine dienstliche-private Mischnutzung vorgesehen ist (COPE = Corporate-Owned, Personally Enabled).
Schutz privater und beruflicher Daten
Dann fallen sowohl dienstliche als auch private Daten auf den mobilen Endgeräten an. Das ist aus Gründen des Datenschutzes problematisch, wenn zum Beispiel dienstliche Kontakte in Apps verwendet werden, welche Daten in die USA übertragen (lies hierzu: WhatsApp auf dem Firmenhandy). Hier drohen satte Geldstrafen durch DSGVO-Verstöße; allerdings war dies schon vor der DSGVO noch im Rahmen des Bundesdatenschutzgesetzes ebenfalls kritisch.
Andererseits möchten natürlich auch die Mitarbeiter*innen, dass ihre privaten Daten privat bleiben und nicht etwa von der IT eingesehen werden können, was die Akzeptanz für die Nutzung von Firmengeräten wohl kaum erhöhen dürfte. Dies gilt in besonderem Maße für die jungen Talente der „Generation Z“. Bei ihnen stellt das Smartphone das zentrale technische Gerät im Alltag dar und als Kommunikationszentrale, Kalender, Unterhaltungsplattform etc. umfassend und intensiv genutzt wird.
Ein in diesem Zusammenhang als unsicher empfundenes Firmenhandy wird damit zum Killer für die Mitarbeiterzufriedenheit. Andererseits kann das Firmenhandy auch zum Benefit werden, wenn es hochwertig und sicher eingebunden ist.
Datensicherheit
Aber auch die mobile Sicherheit der Unternehmensdaten muss in den Blick genommen werden. Der Abfluss kritischer oder sensibler Geschäftsdaten muss auf jeden Fall verhindert werden. Das wird mit der privaten Nutzung dienstlicher Geräte erschwert – unter anderem, weil Anwender*innen es mit der Datensicherheit manchmal nicht allzu genau nehmen und etwa unsichere mobile Apps aus diversen App-Stores installieren.
Bei BYOD-Szenarien, in denen private Geräte mit Billigung des Unternehmens auch im Job eingesetzt werden, entziehen sich die Geräte der Kontrolle der IT noch mehr. Veraltete mobile Betriebssysteme, gerootete Handys und ausgelassene Sicherheits-Patches machen es fast unmöglich, ein mitgebrachtes Device zu einem wirklich sicheren Bestandteil des Firmennetzwerks zu machen.
Im schlechtesten Fall ist der IT nicht einmal bekannt, dass das Gerät überhaupt genutzt wird („Dark BYOD“).
Lies hierzu auch: Die neun größten BYOD-Risiken.
Datentrennung per Container-App
Um dienstliche von privaten Daten auf mobilen Endgeräten effektiv zu trennen, setzen viele Unternehmen auf eine sogenannte Container-App. Das ist eine mobile Anwendung, die einen geschützten Bereich (Container) auf dem mobilen Endgerät abtrennt. In der Regel wird die Containerisierung von der IT administriert und überwacht.
Ziel: IT-Compliance des Endgeräts in Bezug auf Datensicherheit und Datenschutz. Eine bekannte Container-App ist etwa „SecurePIM“, die von der Münchner Softwareschmiede Virtual Solution AG programmiert wird.
Die SecurePIM-Grafik zeigt mehrere containerisierte Standardanwendungen wie Kalender, Mails und Dokumente.
(Quelle: Virtual Solution AG)
Für Anwender*innen bedeutet das, dass sie auf dem Smartphone Unternehmensdaten nur innerhalb einer geschützten und verschlüsselten Umgebung bearbeiten können. Datenschutzrechtlich kritische Anwendungen wie WhatsApp erhalten zudem keinen Zugriff auf geschäftliche Kontakte.
Container-Apps lösen im Prinzip die angesprochenen Probleme, bringen aber auch Nachteile mit sich, wie zum Beispiel die Abhängigkeit vom Hersteller und gegebenen Mehraufwand bei Updates. Einige Container-Apps bieten zudem nur eingeschränkte Möglichkeiten bei Textbearbeitungen und generell beim Filesharing. Auch Schnittstellen zu anderen Apps können neue Probleme verursachen.
Im schlechtesten Fall sorgen eingeschränkte Nutzererfahrungen mit dem Container dazu, dass Mitarbeiter*innen die vorgesehenen Anwendungen dann lieber gar nicht nutzen. Damit wäre das genaue Gegenteil dessen erreicht, was mit der Einführung der Container-App eigentlich geplant war – nämlich sicheres und effizientes Mobiles Arbeiten.
Wenn Nutzer*innen die Lösungen nicht annehmen, ist niemandem geholfen.
Datentrennung per Mobile-Device-Management
Eine zweite Möglichkeit ist der Einsatz einer Mobile-Device-Management-Software. Solche Tools sind oft Bestandteil größerer EMM-Suiten; das Kürzel steht dabei für Enterprise-Mobility-Management.
Gängige MDMs wie die von VMware, Microsoft (Intune), Baramundi oder Cortado sorgen ebenfalls für einen abgetrennten Bereich auf dem Smartphone. Allerdings setzt hier der „Container“ am mobilen Betriebssystem selbst an und nicht auf Anwendungsebene.
Beispiel eines Android-Workspaces (rechts).
Die Workspace-Icons sind durch ein kleines Schloss als verschlüsselt gekennzeichnet.
Neben der Abtrennung eines administrierbaren Workspaces bieten MDM-Anwendungen noch weitere Funktionen, die zur Umsetzung einer unternehmensweit einheitlichen Mobilstrategie höchst hilfreich sind.
Genannt seien hier erstens das sogenannte Staging, also das Konfigurieren der Geräte und Einrichten von Anwendungen schon vor der Übergabe an den Anwender bzw. die Anwenderin. Erhält der Anwender bzw. die Anwenderin das neue Diensthandy und verbindet sich dieses für das Enrollment erstmalig mit einem WLAN-Netzwerk, werden automatisch das Nutzerprofil und die vom Unternehmen lizenzierten Apps im Workspace eingerichtet.
Zweitens lassen sich mit einem MDM die Geräte übersichtlich inventarisieren. Was ein MDM noch alles kann, erfährst du hier: Darum brauchst du jetzt ein MDM-System.
Datentrennung bei gemieteten Smartphones
Wenn du bei Everphone ein Firmenhandy mietest, erhältst du immer auch ein MDM dazu – es sei denn, dein Unternehmen verwendet bereits eine MDM-Software. Dann wird diese Software in unseren Mietgeräten integriert.
Der privaten Nutzung des Firmenhandys steht damit nichts mehr im Wege, sofern diese von der Unternehmensführung gewünscht ist. Unserer Erfahrung nach ist dies nicht nur die Variante mit der höchsten Akzeptanz bei den Mitarbeiter*innen, die nur noch ein Endgerät besitzen müssen – sondern auch die nachhaltigste und umweltfreundlichste.
Weblinks zur Datentrennung auf Smartphones
- Datentrennung auf Handys – Antworten auf die häufigsten Fragen (heise c’t/FAQ)
- Mobile-Content-Management – Container vs. native Datentrennung (lanline.de)
- Was ist das Android-Arbeitsprofil? (cortado.com)
