Seiten
Veranstaltungen
Whitepapers
BYOD: Bring Your own Device – und Alternativen
In unserer modernen Arbeitswelt entwickeln sich stets neue Methoden, um die Zusammenarbeit zu erleichtern. Als Angestellte während der Coronapandemie von heute auf morgen aus dem Homeoffice heraus arbeiten musste, verstärkte dies den ohnehin bereits wachsenden Trend BYOD. Wie dieses Konzept funktioniert und was Unternehmen bei der Einführung von Bring your own Device beachten müssen, erfahren Sie hier.
Was ist BYOD?
BYOD ist die Abkürzung für „Bring your own Device“, was auf Deutsch so viel wie “Bringe dein eigenes Endgerät mit” bedeutet. Diese Bezeichnung bezieht sich darauf, dass private Smartphones, Laptops und Tablets in geschlossene Netzwerke integriert werden. Dazu zählen neben Schulen, Universitäten und Bibliotheken auch die von Unternehmen.
BYOD Konzept in Unternehmen: Wie funktioniert es?
Immer mehr Angestellten ist es erlaubt, mit ihrem eigenen Endgerät zu arbeiten – und die Tendenz ist laut einer aktuellen Analyse des Marktforschungsunternehmens Mordor Intelligence weiter steigend. Für Unternehmen bedeutet dies, dass Mitarbeiter die von ihnen bevorzugten Laptops oder Smartphones für ihre Arbeit nutzen. Dafür laden sie dann unternehmensspezifische Anwendungen und Programme auf ihre privaten Geräte herunter. So können sie auf ihrem persönlichen Laptop an jeder Zeit und von jedem Ort aus ihrer Arbeit nachgehen.
BYOD Modelle: Die 3 Level
Es gibt drei Stufen für Bring your own Device, die sich darin unterscheiden, wie sicher sie für das jeweilige Unternehmen sind.
Stufe 1: Informelles BYOD (Unofficial BYOD):
Die erste Ebene von BYOD ist die nicht regulierte Form. Sie erlaubt den Mitarbeitern die Nutzung ihrer privaten Endgeräte für geschäftliche Zwecke, ohne dass es dazu Richtlinien oder Sicherheitsmaßnahmen vom Unternehmen gibt. Dies führt zu erheblichen Sicherheitsrisiken, da Unternehmensdaten unverschlüsselt auf fremden Geräten gespeichert sind.
Stufe 2: Bring Your Own Device mit Richtlinien (Policy-Based BYOD):
In der zweiten Ebene von BYOD haben Unternehmen feste Sicherheitsrichtlinien, Datenschutzrichtlinien und Vorschriften für die Nutzung persönlicher Geräte am Arbeitsplatz etabliert. Obwohl diese Stufe deutlich mehr Sicherheit bietet als die erste, erfordert sie eine gewisse Eigenverantwortung der Mitarbeiter. Schließlich liegt es an ihnen, sich an besagte Vorschriften zu halten – tun sie es nicht, können sensible Daten in fremde Hände gelangen.
Stufe 3: Managed BYOD (Fully Managed BYOD):
Die dritte Ebene beschreibt ein vollständig verwaltetes BYOD-Modell, in dem Unternehmen strenge Sicherheits- und Verwaltungsmaßnahmen für BYOD-Geräte implementieren. Dies kann beinhalten, dass Angestellte nur solche Geräte und Betriebssysteme verwenden dürfen, die der Arbeitgeber als sicher ansieht. Außerdem ermöglicht sie Unternehmen beispielsweise die Verwaltung der betroffenen Geräte sowie den Fernzugriff darauf. Diese Stufe bietet das höchste Maß an Sicherheit und die größte Kontrolle fürs Unternehmen.
BYOD Datenschutz: Wie sicher ist das Konzept?
Die Sicherheit des Bring Your Own Device (BYOD)-Konzepts hängt von verschiedenen Faktoren ab. Wie oben beschrieben gehört dazu der Grad an Sicherheitsmaßnahmen, die Unternehmen implementieren. Zusätzlich kommt es auf die Einhaltung von Richtlinien und die Sensibilisierung der Mitarbeiter für Datenschutz und Sicherheit an.
Welche Möglichkeiten zur besseren Sicherheit durch BOYD-Richtlinien gibt es?
In BYOD-Richtlinien sollte insbesondere auf folgende Punkte eingegangen werden:
- Sicherheitsrichtlinien umfassen die Verwendung von Passwörtern oder PIN-Codes, die Aktualisierung von Betriebssystemen und Anwendungen, die Verschlüsselung von Daten und die Aktivierung von Fernlöschungsfunktionen für verlorene oder gestohlene Geräte.
- Die Implementierung von Mobile Device Management (MDM) verbessert die Sicherheit von BYOD-Geräten erheblich. MDM ermöglicht es Unternehmen, Geräte zu verwalten, Sicherheitsrichtlinien durchzusetzen, Unternehmensdaten zu schützen und im Notfall Daten zu löschen.
- Unternehmen müssen sicherstellen, dass die Verarbeitung personenbezogener Daten auf BYOD-Geräten den geltenden Datenschutzgesetzen und Compliance-Vorschriften entspricht.
- Schulungen der Mitarbeiter sorgen dafür, dass diese bewährte Sicherheitspraktiken für BYOD-Geräte kennen. Diese umfassen die Vermeidung von unsicheren WLAN-Netzwerken, die sichere Nutzung von Apps und die Identifizierung von Phishing-Angriffen.
- Auch die Datenverschlüsselung von geschäftlichen Informationen auf BYOD-Geräten ist wichtig, um schwerwiegenden Folgen von Diebstahl oder Verlust vorzubeugen.
- In solchen Fällen hilft auch das sogenannte Remote-Wiping, das Unternehmen erlaubt, Daten auf BYOD-Geräten aus der Ferne zu löschen.
- In unternehmensinternen BYOD-Richtlinien sollte außerdem festgehalten sein, dass IT-Administratoren die Kontrolle über jedes Gerät übernehmen dürfen, das auf das Unternehmensnetzwerk zugreifen kann. Auf diese Weise können von zentraler Stelle aus Sicherheits-Updates ausgespielt, Anwendungen installiert und die Geräte auf Schadsoftware hin überprüft werden.
Rechtliche Grundlagen
Laut Art. 4 Nr. 7 DS-GVO ist der Arbeitgeber auch dann für die Geräte verantwortlich, auf denen geschäftsbezogene Prozesse abgewickelt werden, wenn sie ihm nicht gehören und er nur beschränkt Zugriff hat. Der beschränkte Zugriff bezieht sich darauf, dass bei privaten Endgeräten nur unternehmensspezifische Daten vom IT-Administrator eingesehen werden dürfen. Das bedeutet, dass Gefahren deutlich schlechter erkannt werden können, da nicht auf alle Programme zugegriffen werden kann.
Ist BYOD überhaupt DSGVO-konform?
Durch BYOD ist es Angestellten erlaubt, personenbezogene Daten auf persönlichen Geräten zu verarbeiten. Damit dies DSGVO-konform passieren kann, müssen Unternehmen die geltenden Datenschutzgesetze und -vorschriften einhalten, die den Schutz personenbezogener Daten regeln. Dies kann die Einholung der Zustimmung der Mitarbeiter zur Verarbeitung ihrer Daten, die Umsetzung angemessener Datenschutzmaßnahmen und die Meldung von Datenschutzverletzungen umfassen.
BYOD Arbeitsrecht: Risiken für Arbeitgeber
Die Arbeitsrechtskanzlei Taylor Wessing stellt klar: Grundsätzlich steht der Arbeitgeber in der Pflicht, die für die Arbeitsleistung erforderlichen Arbeitsmittel zur Verfügung zu stellen. Tut er das nicht, kann der Arbeitnehmer sein eigenes Endgerät unter bestimmten Voraussetzungen beruflich nutzen. In diesem Fall ist es essenziell, dass im Vorhinein festgelegt wird, wer im Falle von Verlust, Diebstahl oder Beschädigung die Kosten des Endgerätes trägt. Allerdings ist nicht jeder Mitarbeiter von BYOD überzeugt, da Unternehmen tief auf persönliche Endgeräte zugreifen. Hier kann der Eindruck entstehen, dass der Arbeitgeber geizig ist, was wiederum die Akzeptanz des Konzeptes sowie die Mitarbeiterzufriedenheit und Arbeitsmotivation senken kann.
Zudem bestehen Risiken für den Arbeitgeber darin, dass Privat- und Betriebsdaten auf einem privaten Laptop nicht klar voneinander getrennt werden. Somit steigt die Gefahr, dass sensible Daten unerlaubt gespeichert oder vervielfältigt werden und in die Hände von Dritten gelangen. Um dies zu vermeiden, sind detaillierte BYOD-Richtlinien auf Basis aktueller Datenschutzkonzepte ein Muss.
BYOD Richtlinie erstellen: Welche Punkte sind wichtig?
Bevor Unternehmen ihren Angestellten erlauben, geschäftliche Belange mit ihren eigenen Endgeräten zu bearbeiten, ist eine Richtlinie unumgänglich. Computerweekly empfiehlt hierzu, dass die Richtlinie folgende Punkte abdeckt:
- Verschlüsselte Verbindung (VPN) für den Zugriff auf Unternehmenssysteme
- Sicherheitskontrollen auf dem Gerät
- Komponenten wie SSL-Zertifikaten (Secure Sockets Layer) für die Authentifizierung der Geräte und die Benutzeridentität vorschreiben
- Rechte des Unternehmens zur Änderung der Anwendungen und Daten auf dem Gerät festlegen – insbesondere bei Verlust oder Diebstahl
- Verschlüsselung gespeicherter Daten
- Verbot von Speicherung der Passwörter für Geschäftsanwendungen
- Schutz von Gerätekennwörter
- Registrierung von Geräten bei einer MDM-Plattform oder im UEM (Unified Endpoint Management)
BYOD Muster Betriebsvereinbarung
Um eine solche Betriebsvereinbarung zu schließen, eignen sich Muster wie das von Haufe zu “§ 6 Überlassung und Nutzung von Arbeitsmitteln / VI. Betriebsvereinbarung: Bring Your Own Device (BYOD)”.
Welche Vorteile bietet BYOD?
- Kostenersparnis für Unternehmen: Nutzen Angestellte ihre privaten Endgeräte, fallen Anschaffungskosten für Unternehmen weg. Außerdem nutzen sich bereits im Unternehmen vorhandene Geräte langsamer ab, wenn Mitarbeiter ihre eigenen bevorzugen.
- Produktivität: Mitarbeiter kennen ihre eigenen Geräte und gehen sicher und vertraut mit ihnen um. Da sie intuitiv und geübt damit arbeiten, sind sie daher mit ihren eigenen Endgeräten häufig produktiver. Das kann zudem daran liegen, dass diese moderner sind als die Hardware, die ihnen im Unternehmen zur Verfügung steht.
- Mitarbeiterzufriedenheit: In der Regel haben Angestellte Spaß daran, mit den von ihnen bevorzugten Geräten zu arbeiten. Dies steigert die Mitarbeiterzufriedenheit und wirkt sich auch positiv auf die Bindung zum Unternehmen aus.
- Flexibilität: Verfügen Mitarbeiter nicht nur über ein modernes Endgerät, sondern können dieses auch jederzeit und von jedem Ort aus geschäftlich nutzen, können Meetings flexibler stattfinden. Auch E-Mails werden dann oft schneller beantwortet.
Welche Nachteile entstehen durch BYOD?
- Komplexität: Durch verschiedene Endgeräte mit unterschiedlichen Betriebssystemen wird die IT-Landschaft in Unternehmen komplexer. Das birgt Sicherheitsrisiken. Die IT-Sicherheit im Homeoffice ist somit nicht ansatzweise so hoch wie im Unternehmen selbst und bringt Einfallstore für Schadsoftware mit sich.
- Kontrolle: IT-Administratoren sind dafür verantwortlich, die geschäftlichen Anwendungen und Prozesse auf privaten Endgeräten zu kontrollieren. Dies erfordert nicht nur Einarbeitungszeit, sondern auch die Mitarbeit der Angestellten.
- Datenschutz: Um den personenbezogenen Datenschutz trotz privater Geräte sicherzustellen, sind detaillierte Richtlinien sowie Kontrollmaßnahmen nötig. Außerdem können Interna durch Verlust oder Diebstahl von Handy oder Laptop in die Hände unbefugter Dritter geraten.
- Einfallstor für Schadsoftware: Da IT-Administratoren nur die betrieblich genutzten Anwendungen kontrollieren dürfen, können Viren auf andere Weise auf privat genutzte Endgeräte gelangen und auf unternehmensinterne Daten zugreifen.
Welche BYOD Lösungen gibt es?
BYOD-Lösungen sind Technologien, Strategien und Ansätze, die Unternehmen nutzen, um die Verwendung persönlicher Geräte ihrer Mitarbeiter am Arbeitsplatz zu ermöglichen – und dabei die Sicherheit von Unternehmensdaten sowie die Einhaltung von Unternehmensrichtlinien zu gewährleisten. Dazu gehören:
- BYOD Management
Das BYOD-Management übernimmt die Verwaltung und Kontrolle von persönlichen Endgeräten, die von Mitarbeitern in einem Unternehmen für geschäftliche Zwecke verwendet werden. Das Ziel des BYOD-Managements besteht darin, die Sicherheit, Compliance und Effizienz dieser Geräte zu gewährleisten.
- BYOD App
Die BYOD-App ist eine Softwareanwendung, die auf privaten Endgeräten von Angestellten installiert wird und ihnen den Zugriff zu geschäftlichen Anwendungen ermöglicht. Mithilfe der BYOD-App gelingt die klare Trennung beruflicher und persönlicher Daten. Zudem erhöht sie die Sicherheit unternehmensspezifischer Informationen, da diese unter anderem über Fernzugriff überwacht und verwaltet werden können.
BYOD Strategie
- Best Practices
Bewährt hat sich die Verwaltung von BYOD mit der cloudbasierten Softwarelösung Microsoft Intune. Diese ermöglicht Administratoren Zugriff auf alle mobilen Geräte im Firmennetzwerk, sodass sie Anwendungen aktualisieren und deinstallieren können. Damit diese Lösung in der Praxis optimal mit einer bestehenden UEM Anwendung genutzt werden kann, eignet sich der ACMP Intune Connector. Dieser bietet einen besseren Überblick und vereinheitlicht die Oberflächen in der ACMP Console.
- Voraussetzungen
Neben den technischen Voraussetzungen – dass also jeder Mitarbeiter die nötigen mobilen Endgeräte privat besitzt – ist für die rechtlichen Voraussetzungen zu sorgen. Überdies unterliegt der Einsatz privater Arbeitsmittel der Mitbestimmung des Betriebsrats nach Betriebsverfassungsgesetz § 87 Mitbestimmungsrechte durch § 87 Abs. 1 Nr. 6 BetrVG (Einführung und Anwendung technischer Einrichtungen), § 87 Abs. 1 Nr. 1 BetrVG (Ordnung des Betriebs bei Vorgaben zum Nutzungsverhalten) sowie § 87 Abs. 1 Nr. 2, 3 BetrVG (Arbeitszeit).
- Was ist zu beachten?
Führt ein Unternehmen eine BYOD-Strategie ein, ist es essenziell, dass alle Angestellten darüber Bescheid wissen und auch damit einverstanden sind. Zudem sind diverse Schulungen zu den Themen Schadsoftware sowie Richtlinien nötig, damit jeder Mitarbeiter mit seinem Endgerät arbeiten kann, ohne dem Unternehmen Schaden zuzufügen.
- Organisatorische und technische Maßnahmen zur Umsetzung
Sind schriftliche Richtlinien erstellt und alle Mitarbeiter geschult, werden technische Maßnahmen wie MDM, Verschlüsselungen, Authentifizierungen, Netzwerkzugriffskontrollen sowie Sicherheitsüberwachungen eingeführt.
Alternative Konzepte: COPE, CYOD, COBO
Modell | BYOD | COPE | CYOD | COBO |
Bedeutung | Bring your own Device | Corporate-owned, personally enabled | Choose your own Device | Corporate, Business only |
Zusammenfassung | Mitarbeiter dürfen private Endgeräte für geschäftliche Zwecke nutzen. | Unternehmen stellt Endgerät Mitarbeitern nicht nur für geschäftliche Zwecke, sondern auch privat zur Verfügung. | Unternehmen stellt Auswahl an mobilen Geräten für Angestellte bereit, aus denen sie auswählen dürfen, welches sie beruflich nutzen. | Vom Unternehmen gestelltes Gerät darf ausschließlich für geschäftliche Zwecke genutzt werden. |
Pro | Mitarbeiter haben die Kontrolle über die Geräteauswahl.
| Arbeitgeber kontrollieren die Gerätepalette, die sie unterstützen. | Mitarbeiter haben eine gewisse Auswahl an Geräten. | Die IT-Abteilung kontrolliert das Gerät und die darauf befindlichen Anwendungen, um maximale Sicherheit und einfache Verwaltung zu gewährleisten. |
Pro | Mitarbeiter nutzen dasselbe Telefon beruflich und privat. | Mitarbeiter erhalten die Vorteile eines mobilen Geräts ohne die damit verbundenen Kosten ganz oder teilweise zu tragen. | Die IT-Abteilung legt den Umfang der Gerätevielfalt fest, z. B. dass nur mit Apple iOS-Produkten gearbeitet wird. | Die Belegschaft ist mobil. |
Contra | Umfangreiche BYOD-Richtlinien sind nötig, um Datenschutz sowie Privatsphäre zu gewährleisten. | Mitarbeiter erwarten die Freiheit, mobile Geräte auszuwählen, aufzurüsten und gemeinsam zu nutzen - Einschränkungen sind unerwünscht. | Mitarbeiter haben möglicherweise bereits ein persönliches mobiles Gerät. | Mitarbeiter haben nur begrenzte Flexibilität und Kontrolle. |
Contra | IT-Abteilung verwaltet eine unbegrenzte Anzahl von Geräten und Betriebssystemen. | Kosten- und Verwaltungskompromisse bei einem Plan für mobile Geräte. | Unternehmen sind für Geräte verantwortlich, auf denen persönliche Informationen und Anwendungen gespeichert sind. | Das Unternehmen ist für die Kosten und die Verwaltung der Geräte verantwortlich. |
Use Case | In Unternehmen, in denen Mitarbeiter bereits berufliche E-Mails und andere Anwendungen auf privaten Geräten installieren. | In Unternehmen mit Sicherheits- und Compliance-Einschränkungen, die dennoch eine mobile, flexible Belegschaft ermöglichen wollen. | In Unternehmen, in denen die Mitarbeiter nicht bereits über persönliche mobile Geräte verfügen oder die IT-Abteilung die Verwaltung mobiler Geräte rationalisieren muss. | Arbeitsplätze, die bestimmte Anwendungen/ mobile Gerätefunktionen außerhalb des Arbeitsplatzes erfordern. Die Geräte können von den Mitarbeitern gemeinsam genutzt werden. |
Fazit: BYOD
Obwohl BYOD viele Vorteile wie Flexibilität und Kosteneinsparungen bietet, bringt es auch Herausforderungen in Bezug auf Sicherheit und Datenschutz mit sich. Unternehmen müssen diese Herausforderungen angehen, indem sie geeignete Sicherheitsmaßnahmen implementieren, die Einhaltung von Richtlinien sicherstellen und die Mitarbeiter in Sicherheitsbewusstsein und -praktiken schulen. Mit den richtigen Maßnahmen und Vorkehrungen kann BYOD sicher und effektiv in einem Unternehmen eingesetzt werden.
Es scheint, als wären Sie auf nicht auf der gewünschten Sprachversion dieser Website gelandet. Möchten Sie wechseln?