Arbeiten mit dem privaten Gerät? Für viele Behörden in den letzten Jahren überhaupt kein Thema. Zu groß sind die Bedenken bezüglich IT-Sicherheit und rechtlichen Rahmenbedingungen. Laut einer 2015 veröffentlichten Studie des nationalen E-Government Kompetenzzentrums (NEGZ) verfolgen gerade mal 19 Prozent der Kommunalverwaltungen eine Strategie bezüglich Bring-Your-Own-Device (BYOD), 45 Prozent kennen gar keine expliziten Regeln. Ein gefährliches Versäumnis: denn private Geräte werden durchaus genutzt. Fast die Hälfte der befragten Verwaltungsmitarbeiterinnen und -mitarbeitern geben an, private Geräte wie Smartphone und Tablets für dienstliche Zwecke zu nutzen, knapp zwei Drittel von ihnen ohne Erlaubnis. Und gibt es keine klaren Regeln, so ist der Gebrauch unkontrolliert und das Sicherheitsrisiko folglich größer. Träger der öffentlichen Verwaltung sollten deshalb nicht einfach die Augen verschließen, sondern geeignete Konzepte erarbeiten. Was ist dabei zu beachten?
Über die Studie
Die Studie "Gefährliche Ignoranz? – Bring-Your-Own-Device, IT Consumerization und Co in der öffentlichen Verwaltung" wurde durch die Universitäten Siegen und Münster in Kooperation mit dem NEGZ erstellt. Befragt wurden Mitarbeiterinnen und Mitarbeiter in 400 verschiedenen deutschen Kommunalverwaltungen. Die Auswahl der Verwaltungen erfolgte repräsentativ über das Bundesgebiet verteilt, geschichtet nach Gemeindegrößenklassen.
Zur Studie
BSI rät zu umfassender BYOD-Strategie und klaren Regeln
Zentral ist vor allem die Einhaltung des Datenschutzes nach BDSG und DSGVO – bezüglich dienstlichen als auch privaten Daten. Der Arbeitgeber sollte sicherstellen, dass dienstliche Daten nur datenschutzkonform verarbeitet werden und nicht abfließen können. Aber auch die Privatsphäre von Mitarbeiterinnen und Mitarbeitern muss gewahrt werden. Private Fotos auf dem privaten Gerät sollten auch privat bleiben, eine umfassende Fernsteuerung und Fernüberwachung des gesamten Geräts ist also nicht möglich.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Arbeitgebern für den dienstlichen Gebrauch von privaten Geräten eine umfassende Strategie zu erarbeiten und daraus abgeleitet klare Regeln festzulegen und durchzusetzen. In einem ersten Schritt muss grundsätzlich entschieden werden, welche Gerätetypen sowie Betriebssysteme überhaupt eingesetzt werden sollen und welche Mitarbeitergruppen welche Daten in welchem Umfang verarbeiten können. Weiter sollen präventiv sowie reaktiv wirkende Maßnahmen für den Fall eines Verlusts oder Diebstahls ergriffen werden. Präventive Maßnahmen sind beispielsweise Regelungen bezüglich Datenverschlüsselung oder Inaktivitätssperre und Passwortschutz des Geräts. Reaktive Maßnahmen sind beispielsweise die Möglichkeiten von Fernlöschung, Fernsperrung oder Ortung.
Strikte Trennung von dienstlichen und privaten Daten
Auch technische Einstellungen am Gerät sollten von einer zentralen Stelle in der Institution vorgenommen werden. Die Einstellungen sollten laut BSI sicherstellen, dass dienstliche und private Daten strikt voneinander getrennt bleiben. Durch automatische Synchronisation sollten beispielsweise nicht plötzlich dienstliche Mails und Kalendereinträge beim privaten Cloud-Dienst landen. Dies ist beispielsweise dadurch zu erreichen, dass Daten und die Verarbeitung dieser weiterhin auf dem dienstlichen Server verbleiben. Vom privaten Gerät haben Mitarbeiterinnen und Mitarbeiter über einen Client lediglich Zugang zur dienstlichen Umgebung, die Daten werden dabei zu keinem Zeitpunkt auf dem privaten Gerät gespeichert. Diese Lösung hat einerseits den Nachteil, dass eine gute und stabile Internetverbindung dauerhaft nötig ist. Anderseits ist die dienstliche Umgebung meist nicht für den Gebrauch durch mobile Geräte ohne Maus oder externer Tastatur ausgelegt.
Eine andere weit verbreitete Lösung ist die Container-Technologie. Bei dieser wird eine Container-Anwendung mit allen wichtigen Arbeitsfunktionen auf dem privaten Gerät eingerichtet. Die Container-Anwendung ist komplett isoliert zu den restlichen Daten und Anwendungen auf dem Gerät läuft. Der private Teil des Geräts bleibt außerhalb des Containers komplett unberührt. Eine solche Container-Lösung wird beispielsweise in Hamburg, Schleswig-Holstein und Sachsen-Anhalt mit DME (Dynamic Mobile Exchange) genutzt. Mit einer Smartphone-App haben Beschäftigte Zugriff auf zentrale Arbeitswerkzeuge wie E-Mails, Kalender, Aufgaben sowie Kontakte. Die Daten lassen sich dabei jedoch nur innerhalb der App speichern, Copy und Paste in andere Anwendungen ist nicht möglich. Die Beschäftigten sind an den zentralen Verzeichnisdienst der Behörden angebunden. Darauf zugegriffen werden kann aber nur online, direkt auf dem Smartphone werden keine Daten gespeichert. Auch ein kompletter Download oder eine Synchronisation der Daten ist nicht möglich.
Am wichtigsten bleiben Achtsamkeit und die Sensibilisierung der Mitarbeitenden
Mit einer BYOD-Strategie wird den Mitarbeiterinnen und Mitarbeitern große Verantwortung übertragen, aber auch großes Vertrauen entgegengebracht. Zentral bleibt darum - wie auch bei dienstlichen Geräten - die Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter. Das BSI rät, Beschäftigte regelmäßig auf aktuelle Gefahrenlagen und mögliche Prävention dieser aufmerksam zu machen. Zudem sollen klare Regeln kommuniziert werden. Nicht nur als Akt der Kontrolle, sondern viel mehr als klare Standards, an denen sich orientiert werden kann. Das BSI rät deshalb, mit allen Beschäftigten, die ihr privates Gerät für dienstliche Zwecke nutzen, eine Vereinbarung abzuschließen. In dieser sind die Pflichten aber auch die Rechte des Users geregelt.
- Welcher Virenschutz muss verwendet werden und wie oft wird dieser aktualisiert?
- Welche Anwendungen dürfen ausgeführt werden und welche auf keinen Fall?
- Was ist zu tun bei Verlust oder Schaden des Geräts?
Eine BYOD-Strategie lässt sich nicht von heute auf morgen umsetzen. Für das aktuelle Corona-bedingte Home Office sollte darum erstmal auf klare und gute Kommunikation gesetzt werden. Doch nach Corona sollte das Thema nicht einfach wieder unter den Tisch fallen: Strategien und Regeln sind sinnvoll, um eine "Schatten-IT" zu verhindern, die ohne klare Regeln und geprüften Schutz eingesetzt wird.