In Unternehmen ist BYOD nach wie vor beliebt, denn es erspart die Anschaffung, Verwaltung und Instandhaltung eigener Firmenhandys. Angestellten die Nutzung ihrer eigenen Geräte für die Arbeit zu erlauben, birgt für ein Business aber auch signifikante Risiken hinsichtlich Datenschutz und Sicherheit.
„Bring Your Own Device“ – was heißt das konkret?
BYOD ist die Abkürzung für „Bring Your Own Device“ – dies bedeutet so viel wie „Bring dein eigenes Gerät mit“. Im Firmenkontext heißt dies also, dass Mitarbeiter*innen ein privates Smartphone zur Erledigung ihrer Arbeit benutzen.
Dies kann das primär genutzte Handy, theoretisch aber auch ein Zweithandy sein, das ausschließlich für Unternehmensangelegenheiten genutzt wird. Auch ein eigener Laptop oder ein Tablet können zum Einsatz kommen und so mobiles Arbeiten und Homeoffice ohne große Umwege ermöglichen.
Für ein Business bietet BYOD natürlich auch einige Vorteile: Man spart sich die Kosten, die durch ein Firmenhandy für jede*n Angestellte*n anfallen würden. Auf den ersten Blick entsteht zudem kaum Aufwand für die IT-Abteilung oder Accounting, da Geräte selbst verwaltet und instandgehalten werden.
Hinzu kommt: Es ist schwierig, allen Mitarbeiteransprüchen in Sachen Hardware und Betriebssystem gerecht zu werden. Dennoch hat diese Herangehensweise auch einige Nachteile für Firmen, die unbedingt bedacht werden sollten.
Warum BYOD risikoreich sein kann
Der berufliche E-Mail-Account wird mit dem Handy verknüpft; Telefonnummern, die man für die Arbeit benötigt, wandern in die gespeicherten Kontakte und sind dadurch auch via WhatsApp nutzbar.
All dies mag im Alltag praktisch sein, birgt jedoch potenzielle Risiken beim Datenschutz. Das Problem: DSGVO-konform ist insbesondere die WhatsApp-Nutzung nicht, da unverschlüsselte Metadaten an das Unternehmen gesendet werden. Dies müsste im Vorfeld von allen Parteien akzeptiert werden, was aber in der Praxis eher selten vorkommt.
Datenschutz vs. BYOD
Es gibt aber noch weitere rechtliche Aspekte zu BYOD, die es zu beachten gilt. Die größten BYOD-Risiken im Überblick:
- Fehlender Passwortschutz und Bildschirmsperren
- Private Software-Lizenzen könnten beruflich genutzt werden, was einen Verstoß gegen die Allgemeinen Geschäftsbedingungen oder die EULA („Endbenutzer-Lizenzverträge“) darstellt
- Fehlende Verschlüsselung bei der Nutzung bestimmter Webseiten oder Hotspots kann für Datenleaks sorgen und sensible Informationen preisgeben
- Apps können nicht nur personalisierte, sondern auch firmeninterne Daten auslesen
- Download von Apps aus unsicheren Quellen („Sideloading“)
- Auslassen von Patches und/oder Betriebssystemupdates
- Nutzung von Geräten ohne Kenntnis der IT („Dark BYOD“)
BYOD-Regelung in Unternehmen noch immer verbreitet
Trotz der Gefahren, die durch die BYOD-Regelung für Unternehmen besteht, machen sich vor allem in Deutschland noch immer zu wenige Firmen Gedanken darüber, dass geleakte Firmeninterna dem Business schaden könnten.
Hinzu kommt das Risiko, bei einer Datenschutzkontrolle Ärger zu bekommen und Abmahnungen zu kassieren.
Sicher spielt Unwissenheit dabei eine entscheidende Rolle. Deshalb raten wir dazu, dass jedes Unternehmen in Abstimmung mit der eigenen IT oder einer externen Beratung einen sicheren und datenschutzkonformen Weg einschlagen sollte.
BYOD bedeutet letztendlich Mehraufwand für die IT-Abteilung
Zu bedenken ist auch, dass BYOD trotz seiner offensichtlichen Vorzüge nicht immer der günstigste Weg ist. Das hat folgenden Grund: Einige Angestellte nutzen Android, andere wiederum iOS – und auch dies jeweils in verschiedenen Versionen.
Hinzu kommt, dass mit neuen und älteren Modellen gearbeitet wird. Die heterogene Hard- und Software von BYOD-Geräten sorgt jedoch auch für viel Arbeit bei der Verwaltung, wenn diese ins Unternehmensnetzwerk integriert werden müssen.
Gerade in der IT frisst diese Arbeit Ressourcen, die dann an anderer Stelle dringend benötigt werden.
BYOD erlaubt? Klare Ansagen für die Belegschaft sind wichtig
Immer wieder kommt es vor, dass es beim Einstellen von neuen Mitarbeiter*innen gar kein Gespräch darüber gibt, ob und wie das private Handy zur Erledigung der anfallenden Arbeit genutzt werden kann. Daher sollte es bereits beim Onboarding unmissverständliche Ansagen geben, damit Angestellte verantwortungsbewusst mit sensiblen Daten umgehen können.
Wie man in puncto Sicherheit Handy und Personal fit macht, um die Gefahren so gering wie möglich zu halten? Wir empfehlen Folgendes:
- Guter Virenschutz auf dem Handy (gegebenenfalls mit Remote-Wipe-Funktion)
- MDM-Lösungen nutzen, um Privates von Geschäftlichem zu trennen
- Schulungen, wie sich betrügerische E-Mails erkennen lassen
- Offene Hotspots nach Möglichkeit meiden
- Fremde Webseiten nur mit Bedacht öffnen
- Keine sensiblen Daten wie Passwörter weitergeben oder auf dem Handy speichern
- Passwort- und Bildschirmsperren aktivieren
- Regelmäßiges Aktualisieren des Betriebssystems
- Handy sicher entsorgen, wenn es ausgedient hat
Alternativen zu BYOD – warum CYOD geeigneter ist
Sicherer als BYOD ist CYOD – „Choose Your Own Device“. Angestellte können hierbei im Rahmen eines günstigen Mietservices mit Rundum-sorglos-Paket („Device as a Service“, kurz DaaS) ihr Lieblingsgerät wählen. Dies ist ein ansprechender Mitarbeitervorteil und eine sichere Lösung für Firmen, da sich Mobile-Device-Management-Lösungen einfach installieren und verwalten lassen.
So wird Privates von Geschäftlichem in zwei Containern auf dem Smartphone getrennt. Angestellte können dadurch auch problemlos WhatsApp auf dem Firmenhandy nutzen, wenn es im privaten Bereich liegt.
Darüber hinaus müssen sie sich keine Sorgen mehr darüber machen, ob bei der privaten Nutzung eines Firmenhandys die Kündigung drohen könnte, wenn es zu einem Datenleak oder einer Abmahnung kommt. Dies ist zwar unwahrscheinlich, aber dennoch eine häufige Sorge, die man dem Personal ersparen kann.
Angesichts berechtigter Sicherheitsbedenken mit BYOD sollten Unternehmen also stets vorsorgen, um das Business, aber auch ihre Mitarbeiter*innen zu schützen.