unkategorisiert
      Zurück zur Startseite
      1. Startseite
      2. unkategorisiert

      Welche Optionen gibt es, um den Umgang mit privaten Geräten im beruflichen Kontext zu regeln?

      Es gibt 3 wesentliche Optionen:

      1. Verbot private Geräte zu nutzen & Bereitstellung von betrieblichen Geräten

      Die Organisation definiert eine Regelung, wonach es organisationsweit verboten ist, private Geräte für berufliche Zwecke zu nutzen (bspw. E-Mails aufzurufen). Stattdessen - sofern benötigt - können betriebliche Mobilgeräte durch die Organisation bereitgestellt werden. Für diese Geräte sollte ein Mobile Device Management (MDM) implementiert werden, um Softwarelösungen, Sicherheitseinstellungen und Passwortrichtlinien zentral zu steuern und zu verwalten. Darüber hinaus bieten MDMs Funktionen wie die Fernlöschung, mit der ganze Geräte gelöscht werden können, wenn sie verloren gehen.

      2. Erlaubnis der Nutzung privater Geräte gemäß einer Richtlinie & Implementierung einer Container-Lösung

      Die Organisation definiert in diesem Fall, dass die Nutzung privater Geräte erlaubt ist. Bei der Nutzung privater Geräte müssen aber bestimmte Regeln befolgt werden, die bspw. in einer Bring-Your-Own-Device-Policy (BYOD Policy) definiert werden. Darüber hinaus sollte ein angemessenes Maß an Informationssicherheit durch technische Schutzmaßnahmen gewährleistet werden, z. B. durch die Installation von Container-Lösungen. Eine Container-Lösung ist in der Regel eine App, die sich Mitarbeiter auf ihr privates Endgerät herunterladen können. Innerhalb der Container-App werden dann durch die Organisation alle relevanten Apps, SIcherheitseinstellungen, etc. verwaltet. Der Vorteil an einer solchen Lösung ist, dass die privaten und beruflichen Daten auf dem Mobiltelefon technisch getrennt sind und die Organisation keinen Zugriff auf die privaten Daten des Mitarbeiters hat.

      Folgendes sollte bei der Auswahl und Implementierung von Container-Lösungen auf privaten Geräten berücksichtigt werden:

      • Die Authentifizierung sollte stark sein und im besten Falle eine Multi-Faktor-Authentifizierung haben. Neben einem Passwort sollte also z. B. ein biometrisches Merkmal, wie der Fingerabdruck oder ein Gesichtsscanner auf dem Smartphone verwendet werden müssen, wahlweise ein Sicherheitscode, der per Mail oder SMS versendet wird.

      • Die Lösung sollte geeignete Verschlüsselungsmechanismen haben, wie eine AES-265 Verschlüsselung. Eine gute Übersicht über Verschlüsselungsmechanismen nach aktuellem Stand der Technik ist in der Handreichung des Teletrust zum aktuellen Stand der Technik zu finden.

      • Eine Mobile Device Management Funktionalität sollte vermieden werden, da sonst unzulässige Adminrechte auf private Telefone der Mitarbeiter erlangt werden können.

      • Es muss gewährleistet werden, dass Daten, die über Apps im Container (z. B. Teams) auf dem Smartphone heruntergeladen werden im Container bleiben und getrennt von den privaten Daten sind.

      • Es sollte eine BYOD (Bring Your Own Device) Richtlinie etabliert werden, die formell anweist die Container App für dienstliche Zwecke auf privaten Telefonen zu nutzen.

      • Mögliche Lösungen sind z. B. Virtual Solution, MobileIron Appconnect, Miradore oder Intune. Intune verfügt scheinbar auch über eine BYOD Funktionalität und könnte Kosteneffizient sein (Abhängig von der vorhandenen O365 Lizenz)

      3. Verbot private Geräte zu nutzen mit Ausnahme

      Die Organisation definiert eine Regelung, wonach es organisationsweit verboten ist, private Geräte für berufliche Zwecke zu nutzen (bspw. E-Mails aufzurufen). Sie definiert, aber auch in diesem Kontext eine einzige, klar formulierte Ausnahme, nämlich, dass private Geräte für die Authentifizierung im Rahmen von Multi-Faktor-Authentifizierungsverfahren im beruflichen Kontext erlaubt ist.

      Hinweis zu Option 3: es gilt bei dieser Option zu beachten, dass Mitarbeiter grundsätzlich nicht dazu verpflichtet werden können, ihre privaten Geräte für berufliche Zwecke zu nutzen. Wenn Mitarbeiter nicht gewollt sind, ihr privates Gerät zu nutzen, so muss die Organisation ein betriebliches Mobiltelefon stellen, wenn die Aktivierung einer MFA bspw. verpflichtend für die Mitarbeiter ist.

      Fazit: Es gibt verschiedene Optionen den Umgang mit privaten Geräten zu handhaben. Die Optionen hängen u. a., von den finanziellen Ressourcen der Organisation ab. Optionen 1 und 2 sind dabei die aus Informationssicherheitssicht besten Optionen. Option 3 ist mit Restrisiken verbunden.