Ausgehend von der Literaturanalyse und den Ergebnissen der empirischen Untersuchung habe ich im letzten Teil meiner Masterthesis eine Handlungsempfehlung für kleine und mittlere Unternehmen für die Einführung von Bring your own Device gegeben. Ziel Empfehlung sind erste Schritte unter besonderer Beachtung der Anforderungen und Voraussetzungen.

Viele Mitarbeiter, gerade die jungen, haben den Wunsch nach neuer bzw. aktueller Hard- und Software. Dies ist eine Herausforderung für die Unternehmen, da nicht jeder Mitarbeiter auf Anhieb mit neuer Technik klar kommt. Daher würde es sich für Unternehmen anbieten, dass sie es akzeptieren, wenn die jüngeren Mitarbeiter ihre eigenen Endgeräte mitbringen. Dies ist jedoch, wie bereits beschrieben, aus rechtlicher und IT Sicherheitssicht ein größeres Problem. Daher sollten die Unternehmen einen geeigneten Mittelweg finden, um die Mitarbeiterzufriedenheit zu steigern, und sich aber auf der anderen Seite nur mit geringen rechtlichen / sicherheitstechnischen Anforderungen auseinander setzen zu müssen.

Nach einer Schätzung des Sicherheitsspezialisten Juniper Research, die auf einer Auswertung interner Firmendaten beruht, soll die Anzahl beruflich genutzter privater Endgeräte bis zum Jahr 2018 auf mehr als einer Milliarde ansteigen. Trotz der oftmals vorhandenen Sicherheitsrisiken, sowohl für die Firmen als auch für die Nutzer, die mit einer solchen Nutzung verbunden sind.

Leider geht die kostenfrei zugängliche Pressemeldung zur BYOD-Analyse nicht auf tiefere Details zum Forschungssetting ein. Kernaussage ist aber, das bis zum Jahr 2018 mehr als eine Milliarde privater Handys und Tablets auch im beruflichen Umfeld wie selbstverständlich genutzt werden sollen. Bei der Betrachtung des Gesamtmarktes für die Kategorie der Smartphones entspräche dies in vier Jahren einem beachtlichen Anteil von deutlich über 35 Prozent aller vorhandenen und aktiven smarten Endgeräte.

Gerade im Hinblick auf die auch gesetzlich verankerte Informationssicherheit, sind Unternehmen ebenso aus wettbewerbs und wirtschaftlichen Interessen daran gehalten die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten jederzeit sicherzustellen. Wie bereits im Blog Eintrag „Datensicherheit und ByoD“ dargestellt ist dieses Thema im Besonderen bei aktuellen Bring your own Device initiative nur mit einigen Hürden umsetzbar. Vor den aktuellen Überwachungsskandalen PRISM (und weiterer) der NSA hat eine Google-Sprecherin gegenüber der Nachrichtenagentur Bloomberg jetzt bestätigte, dass das Unternehmen der Implementierung von umfangreichen Programmbestandteilen, die von Programmieren der NSA stammen, vorbehaltslos zugestimmt habe. Der vollständige Code für das mobile Betriebssystem und Listen von weiteren Entwicklern seien jederzeit unter source.android.com öffentlich und könnten von jedem jederzeit eingesehen werden.

Dies ist insbesondere vor der kontinuierlichen Verbreitung von Smartphones und Tablets mit dem Android Betriebssystem bedenklich (Link). Moderne Smartphones wissen somit jederzeit, wo der Besitzer sich aufhält, mit wem er sich unterhält (telefonisch, per Messenger oder E-Mail) und welche sonstigen Interessen (Internet und Apps) er hat (Link). Google hat angeblich der Eingliederung von NSA-Code in sein Open-Source Android-Projekt bereits im Jahr 2011 zugestimmt. und zugesichert den von der NSA erstellten Code auch in zukünftige Versionen des Betriebssystems zu integrieren. Nach Angaben einer NSA-Sprecherin handelt es sich bei den von Geheimdienstmitarbeitern erstellten Programmteilen jedoch lediglich um „Sicherheitsverbesserungen“ von Android. Wem diese Sicherheit letztlich nützt, den Nutzern der Smartphones oder der NSA beim Zugriff auf diese, wurde nicht gesagt.

In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit:

In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling von Security Updates, sowie ein Schutz gegen Malware installiert sein muss.

Auch aus datenschutzrechtlicher Sicht kann es zu Schwierigkeiten bei Bring your own Device kommen. Anforderungen an den Datenschutz gibt es in Bezug auf die Zugriffskontrolle auf Unternehmensdaten, sowie im Umgang mit privaten Daten.

Daher muss aus datenschutzrechtlicher Sicht bei der Verarbeitung von Daten der Nutzer erfasst werden aufgrund von Vorschriften zu technischen und organisatorischen Maßnahmen, auf der anderen Seite jedoch ist der Arbeitgeber nicht berechtigt die bei der privaten Nutzung angefallenen personenbezogenen Daten zu kontrollieren. Denn grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beide gelten nur für das jeweilige Unternehmen