In der aktuellen Situation ist das Thema Bring Your Own Device (BYOD) wieder mehr in den Fokus gerückt als Alternative für firmeneigene Geräte. Das Ziel dieser Hausarbeit ist es, die Einsatzmöglichkeiten von BYOD zu beschreiben, auf die Notwendigkeit und Möglichkeiten der Absicherung einzugehen, rechtliche Aspekte und Einschränkungen aufzuzeigen sowie zuletzt mögliche Alternativen zu BYOD vorzustellen.
Die Einleitung beinhaltet neben einer kurzen Einführung in die Thematik auch die Motivation und das Ziel dieser Arbeit, um dem Leser einen ersten Eindruck zu geben. Dabei werden Inhalte der Arbeit genannt, die erst im späteren Verlauf ausgearbeitet werden. Im zweiten Kapitel wird BYOD vorgestellt sowie der Nutzen aufgezeigt. Während zum Ende des Kapitels auf die damit verbundenen rechtlichen Aspekte eingegangen wird. Die Notwendigkeit zur Absicherung der Endgeräte sowie deren Umsetzung wird im dritten Kapitel erläutert, während abschließend im vierten Kapitel auf alternative Strategien zu BYOD eingegangen wird.
Inhaltsverzeichnis
I. Abkürzungsverzeichnis
1 Einleitung
1.1 Motivation
1.2 Ziel der Hausarbeit
2 Grundlagen
2.1 Was ist BYOD?
2.2 Nutzen von BYOD
3 Rechtliche Aspekte
4 Notwendigkeit und Möglichkeiten der Absicherung
4.1 Verschlüsselung und Authentifizierung
4.2 Sicherheitsrisiko durch Apps
4.3 Einsatz von VM
4.4 Containerlösungen und MDM
5 Alternativen zu BYOD
5.1 CYOD
5.2 COPE
5.3 Take this Device
6 Fazit
7 Literaturverzeichnis
I. Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1 Einleitung
Die Einleitung beinhaltet neben einer kurzen Einführung in die Thematik auch die Motivation und das Ziel dieser Arbeit, um dem Leser einen ersten Eindruck zu geben. Dabei werden Inhalte der Arbeit genannt, die erst im späteren Verlauf ausgearbeitet werden.
Im zweiten Kapitel wird BYOD vorgestellt sowie der Nutzen aufgezeigt. Während zum Ende des Kapitels auf die damit verbundenen rechtlichen Aspekte eingegangen wird.
Die Notwendigkeit zur Absicherung der Endgeräte sowie deren Umsetzung wird im dritten Kapitel erläutert, während abschließend im vierten Kapitel auf alternative Strategien zu BYOD eingegangen wird.
1.1 Motivation
Bei BYOD (Bring Your Own Device) handelt es sich um einen Trend, der im letzten Jahrzehnt aufgekommen ist. Hierbei geht es darum, dass Unternehmen ihren Mitarbeitern erlauben mit ihren privaten Endgeräten für das Unternehmen zu arbeiten. So war das Thema BYOD auf Platz 5 der wichtigsten IT-Trends 20131 sowie 20142 auf Platz 8 bei der jährlichen Erhebung der Bitkom.
Aufgrund der aktuellen Corona-Pandemie wird Home-Office in vielen Bereichen ermöglicht und zugelassen, in denen dies bisher nicht gestattet war. In diesem Zusammenhang rückt BYOD immer mehr in den Vordergrund. Denn durch die rasante Ausbreitung der Corona-Pandemie mussten Unternehmen schnell Entscheidungen treffen. Es war ihnen oft nicht möglich in der Kürze der Zeit alle Mitarbeiter mit der entsprechenden Hardware wie Laptop oder Smartphone auszustatten, damit diese von zu Hause aus arbeiten können.
Zu dieser Situation kam es auch in meinem Unternehmen. Die Möglichkeit von Home-Office gab es bisher nur vereinzelt für bestimmte Mitarbeiter. Da sie bereits über die entsprechende Hardware verfügten, konnten diese Mitarbeiter sofort ausschließlich von zu Hause aus arbeiten. Zum Schutz und zur Sicherheit für die Mitarbeiter hat das Unternehmen entschieden, diese Möglichkeit auch allen anderen Mitarbeitern zu ermöglichen. Es war jedoch unmöglich in so kurzer Zeit mehrere tausend Laptops zu organisieren und von der IT vorzubereiten. Als Lösung wurde die Möglichkeit geschaffen, von seinem eigenen Laptop oder PC sich per VPN mit dem Rechenzentrum zu verbinden. Da im Unternehmen fast alle Mitarbeiter mit einem Citrix Client auf ihren virtuellen Desktop zugreifen, konnte die gleiche Lösung auch mit dem privaten Endgerät realisiert werden. Zur Authentifizierung wird auf eine Token-Lösung gesetzt. Für den Verbindungsaufbau erhält der Mitarbeiter einen Code auf sein Smartphone.
Das erste Mal begegnete mir BYOD während des Studiums. Ich möchte mich in dieser Hausarbeit intensiver mit BYOD auseinandersetzen, da mich die Umsetzung, mit privaten Endgeräten für das Unternehmen zu arbeiten, vor allem aufgrund der aktuellen Corona-Pandemie sowie der Nutzung von BYOD in meinem Unternehmen sehr interessiert.
1.2 Ziel der Hausarbeit
In der aktuellen Situation ist das Thema BYOD wieder mehr in den Fokus gerückt als Alternative für firmeneigene Geräte. Das Ziel dieser Hausarbeit ist es, die Einsatzmöglichkeiten von BYOD zu beschreiben, auf die Notwendigkeit und Möglichkeiten der Absicherung einzugehen, rechtliche Aspekte und Einschränkungen aufzuzeigen sowie zuletzt mögliche Alternativen zu BYOD vorzustellen.
Diese Hausarbeit verfolgt nicht das Ziel für oder gegen die Einführung von BYOD zu argumentieren. Vielmehr geht es um die objektive Beschreibung der Inhalte der BYOD-Strategie sowie welche Aspekte hierbei zu beachten sind. In dieser Hausarbeit wird auf die wesentlichen Punkte für BYOD eingegangen, um dem Leser einen Überblick über die Thematik zu geben.
2 Grundlagen
Im folgenden Kapitel erfolgt eine Begriffsbestimmung von BYOD, um einen Überblick zur Thematik zu geben. Zudem werden die beteiligten Bereiche der Strategie vorgestellt. Anschließend wird der Nutzen von BYOD für die Arbeitnehmer sowie für das Unternehmen näher betrachtet.
2.1 Was ist BYOD?
BYOD steht für die Strategie private Endgeräte auf ein anderes Netzwerk zugreifen zu lassen. Im Allgemeinen wird darunter verstanden, dass private Endgeräte der Mitarbeiter wie Smartphones, Tablets oder Laptops, die Erlaubnis und Möglichkeit erhalten, sich mit dem Firmennetzwerk zu verbinden, damit diese für betriebliche Zwecke genutzt werden können.3 Die Strategie beinhaltet aber auch andere Szenarien. Zum Beispiel, dass private Endgeräte von Schülern sich mit dem Schulnetzwerk oder Besucher in einem Museum sich mit dem dortigen Netzwerk verbinden können.4 In den folgenden Kapiteln wird ausschließlich auf die Nutzung von privaten Endgeräten für betriebliche Zwecke eingegangen.
BYOD als Strategie umfasst nicht nur die technische Umsetzung in der IT-Abteilung, sondern sie geht auch darüber hinaus. So ist das Herzstück die BYOD-Policy. In dieser wird unter anderem festgelegt, wie die Umsetzung der BYOD-Strategie erfolgt, wer alles daran teilnehmen darf und was überhaupt ermöglicht werden soll.5
Über die IT-Abteilung hinaus gibt es noch weitere wichtige beteiligte Bereiche.
Ein Bereich stellt die Rechtsabteilung dar. Dieser Fachbereich ist unverzichtbar, da unter anderem der Datenschutz der Unternehmensdaten als auch der privaten Daten des Mitarbeiters zu beachten ist. Für dieses komplexe Thema ist es von Bedeutung, die Experten frühzeitig einzubinden.6
Weiterhin ist der Finanzbereich beteiligt, da die Einführung von BYOD fast immer Investitionen nach sich ziehen.7
Darüber hinaus ist der Betriebsrat mit einzubeziehen. Denn die Mitarbeiter stellen ihre privaten Endgeräte dem Unternehmen zur Verfügung, wodurch die Art der Datenverarbeitung betrachtet werden muss. Zudem sind die privaten Daten der Mitarbeiter, die auf dem Endgerät gespeichert sind, zu schützen.8
Es ist festzustellen, dass die Einführung von BYOD ein Thema ist, das viele Bereiche quer durch das Unternehmen betrifft. Es ist daher wichtig, diese Bereiche frühzeitig bei der Einführung und auch beim späteren Betrieb einzubinden.9
2.2 Nutzen von BYOD
Der Wunsch, mit den privaten Endgeräten auch für das Unternehmen arbeiten zu können, beruht auf der Idee der Arbeitnehmer, nur mit einem Endgerät zu arbeiten. Denn aufgrund der privaten Nutzung des Endgerätes ist der Arbeitnehmer bereits an dieses gewöhnt. Durch das bereits bekannte Handling mit dem Endgerät findet sich der Nutzer schneller zurecht. Da es sich um die eigene Hardware handelt, wird diese in der Regel auch sorgsamer behandelt als vom Unternehmen gestellte Endgeräte.10
Des Weiteren entfällt es verschiedene Endgeräte einer Art, wie ein privates und ein dienstliches Smartphone, mitzuführen. Da sowohl private als auch geschäftliche Dinge auf demselben Endgerät verfügbar sind.
Der Arbeitnehmer hat die Möglichkeit, sich sein bevorzugtes Endgerät in Bezug auf die Ausstattung sowie die Software nach seinen Vorlieben selbst auszusuchen. So kann er die Konfiguration auswählen, mit der er am besten zurechtkommt.
Die Firmen versprechen sich dadurch eine Kostenersparnis, da sie die Endgeräte nicht mehr selber anschaffen müssen. Allerdings können durch die Anpassung der eigenen Infrastruktur auf die neuen Bedürfnisse, die durch BYOD entstehen, auch höhere Kosten entstehen.11
Indem Unternehmen BYOD anbieten, können diese sich auf dem Arbeitsmarkt von ihren Konkurrenten abheben und somit ihre Arbeitgeberattraktivität steigern.12 So erlauben bereits 76 % der Unternehmen ihren Angestellten mit privaten Endgeräten zu arbeiten.13
3 Rechtliche Aspekte
Bei der Nutzung von BYOD sind einige rechtliche Aspekte zu berücksichtigen. Zu einer der größten Herausforderungen gehört die Trennung von privaten und dienstlichen Daten auf dem jeweiligen Endgerät. Dies hat mehrere Gründe. Unter anderem ist im Bundesdatenschutzgesetz (BDSG) verankert, dass private Daten von Mitarbeitern nicht einfach vom Unternehmen mitverarbeitet werden dürfen. Vielmehr sind diese zu schützen, da sie keine dienstlichen Belange haben und somit keinen Bezug zum Unternehmen darstellen.14
Des Weiteren muss auch damit gerechnet werden, dass mobile Endgeräte verloren gehen oder gestohlen werden können. Um zu verhindern, dass Unternehmensdaten in die Hände der Konkurrenz oder an die Öffentlichkeit gelangen sowie zur Gewährleistung des Datenschutzes, wird auf dem Endgerät häufig eine Funktion implementiert, die das Löschen der Daten aus der Ferne ermöglicht. Hierbei ist zu beachten, dass die privaten Daten des Mitarbeiters nicht gelöscht werden. Wenn dies geschieht, könnten Haftungsansprüche des Arbeitnehmers gegenüber dem Arbeitgeber entstehen.15
Somit ist es elementar wichtig, die privaten und dienstlichen Daten getrennt zu halten, um eine Vermischung zu verhindern. Dabei kommen oft Container-Apps und Software zum Einsatz. Die Funktionsweise dieser wird im folgenden Kapitel beschrieben.16
Ein weiterer rechtlicher Fallstrick ist der Einsatz von Software beziehungsweise Apps auf den privaten Endgeräten. So werden auf den privaten Endgeräten häufig nur Apps beziehungsweise Software installiert, die auch Lizenzen für den privaten Gebrauch beinhalten. Diese dürfen jedoch nicht für die berufliche Tätigkeit verwendet werden. Denn hierfür sind spezielle Lizenzen durch das Unternehmen zu erwerben und dem Arbeitnehmer bereitzustellen. Für den Fall, dass ein Mitarbeiter eine Software mit lediglich einer privatrechtlichen Lizenz für die Arbeit verwendet, begeht er einen Lizenzverstoß. Sowohl der Mitarbeiter als auch das Unternehmen sind in diesem Fall haftbar. Vom Softwareanbieter können Lizenzgebühren und Schadensersatz eingefordert werden. Daher ist es wichtig, dass Apps beziehungsweise Software, die der Arbeitnehmer sowohl privat als auch dienstlich nutzt, über eine private sowie eine dienstliche Lizenz verfügen.17 18
Neben der Beschreibung der technischen Absicherung, die im folgenden Kapitel erläutert wird, ist es auch wichtig, vertragliche Vereinbarungen zu treffen. Diese können zum Teil über eine Betriebsvereinbarung geregelt werden. Diese sollte beispielsweise Aspekte enthalten, wie mit der Lizenzierungsfrage umgegangen wird, wie die Haftung bei Verlust des Endgerätes erfolgt, ob es eine Herausgabepflicht des Endgerätes des Beschäftigten in bestimmten Situationen gibt sowie ob der Arbeitgeber einen Zuschuss für den Kauf des Endgerätes leistet.19
Durch die Einführung der Datenschutzgrundverordnung (DGSVO) gewinnt der Datenschutz für die Unternehmen an noch größerer Bedeutung. So sind die Strafen bei Verstößen erheblich erhöht worden und können Unternehmen empfindlich treffen. Wichtig sind in diesem Zusammenhang technische und organisatorische Maßnahmen zu treffen, um Datenschutzverstöße zu verhindern oder zumindest das Risiko zu minimieren.20
4 Notwendigkeit und Möglichkeiten der Absicherung
Die Notwendigkeit der Absicherung von Unternehmensdaten beruht einerseits auf diverse rechtliche Vorgaben als auch auf Unternehmensinteressen. Damit die Mitarbeiter auch unterwegs arbeitsfähig sind, müssen dennoch einige wichtige Unternehmensinterna auch mit den mobilen Endgeräten abrufbar sein.
Durch den Verlust oder Diebstahl von mobilen Endgeräten entstehen in diesem Zusammenhang höhere Risiken für die Unternehmen.21 Aufgrund der Vielzahl von verschiedenen Betriebssystemen, Hardware und Softwareversionen ist es für die IT-Abteilung des Unternehmens schwer Sicherheitsrisiken einzudämmen. Durch die Vielzahl an Kombinationsmöglichkeiten sind einheitliche Sicherungsmaßnahmen kaum möglich.22
In den folgenden Abschnitten werden einige Risiken und Ansätze zur Risikominimierung beschrieben.
4.1 Verschlüsselung und Authentifizierung
Grundsätzlich sollten nur notwendige sensible Daten auf dem Endgerät gespeichert werden. So kann das Ausmaß des entstehenden Schadens bei Verlust oder Diebstahl reduziert werden. Ebenso gehört es mittlerweile zum Standard, Daten nur verschlüsselt auf den Endgeräten zu speichern. Im Bereich von Smartphones und Tablets ist eine Verschlüsselung bei den beiden am weitesten verbreiteten Betriebssystemen, Android und iOS, von Haus aus implementiert.23 Bei Laptops gibt es bereits seit vielen Jahren etablierte Programme für Windows und Mac OS, die die Verschlüsselung der Festplatte sicherstellen.
Hier gibt es unterschiedliche Varianten der Verschlüsselung. Die sicherere Variante ist die der Dateienverschlüsselung (File-based Encryption). Das heißt, es wird jede Datei einzeln verschlüsselt. Nur sofern die Datei gerade genutzt wird, ist diese entschlüsselt. Die restlichen Dateien bleiben verschlüsselt. Dem gegenüber steht die komplette Verschlüsselung aller Daten (Full-Disk Encryption). Hierbei erfolgt die Entschlüsselung sämtlicher Dateien, wenn das System entsperrt ist. Das bedeutet solange das System nicht gesperrt wird, stehen alle Dateien unverschlüsselt zur Verfügung.24 Die Entschlüsselung erfolgt vom System automatisch sobald die Authentifizierung erfolgt ist.
Daher ist es wichtig einen sicheren Authentisierungsmechanismus vorzugeben. Im Folgenden werden einige Beispiele hierfür vorgestellt:
[...]
1 Bitkom 2013
2 Bitkom 2014.
3 Vgl.Müller 2018, S. 543.
4 Vgl.Pöllmann und Herrmann 2019, 195ff.
5 Vgl.Kohne et al. 2015, S. 16.
6 Vgl.Kohne et al. 2015, S. 14.
7 Vgl.Kohne et al. 2015, S. 15.
8 Vgl.Kohne et al. 2015, S. 15.
9 Vgl.Kohne et al. 2015, S. 14.
10 Vgl.Knoll und Meinhardt 2016, 33f.
11 Vgl.Fortmann und Kolocek 2018, S. 334.
12 Vgl.Kohne et al. 2015, S. 189.
13 Vgl.Nagel 2018.
14 Vgl.Kohne et al. 2015, 26ff.
15 Vgl.Christian K. Bosse und Klaus J. Zink 2019, S. 45.
16 Vgl.Christian K. Bosse und Klaus J. Zink 2019, S. 45.
17 Vgl.Christian K. Bosse und Klaus J. Zink 2019, S. 45.
18 Vgl.Fortmann und Kolocek 2018, S. 336.
19 Vgl.Christian K. Bosse und Klaus J. Zink 2019, S. 46.
20 Vgl.Fortmann und Kolocek 2018, S. 336.
21 Vgl.Kohne et al. 2015, S. 134.
22 Vgl.Knoll und Meinhardt 2016, 34f.
23 Vgl.Mark Zimmermann 2018.
24 Vgl.Mark Zimmermann 2018.