Bring Your Own Device at my Company / 3 Technische Umsetzung von BYOD

Nahezu alle Arbeitnehmer verfügen heute über die Möglichkeit, am Arbeitsplatz Telefon, Internet und E-Mail zu nutzen. Die Privatnutzung birgt jedoch ein erhöhtes Gefahrenpotential mit Blick auf sensible Daten. Insbesondere gehen Risiken von Malware, Viren, Würmern und Trojanern aus. Dabei ist die Spionage durch Software zukünftig als besondere Herausforderung bei der Sicherung von BYOD-Modellen anzusehen. Eine weitere Bedrohung ist darin zu erkennen, dass diese Dienste zudem geeignet sind, das Verhalten und die Leistung der Mitarbeiter zu kontrollieren, zu überwachen und Inhalte Dritten zugänglich zu machen.

Die vielfältigen Einsatzszenarien von BYOD gehen einher mit der Vielfalt in der technischen Realisation. So kann von mittlerweile jedem Endgerät, das einen Internetzugang ermöglicht, auf entsprechende Dienste zugegriffen werden, um Anwendungen zu nutzen. Alle gängigen Betriebssystemhersteller unterstützen den Nutzer dadurch, dass Internetbrowser standardmäßig zum Lieferumfang gehören.

Es existieren derzeit im Wesentlichen drei technische Möglichkeiten bei der Umsetzung von BYOD-Modellen zur Trennung des privaten und beruflichen Bereiches. Alle Ansätze weisen unterschiedliche Vorteile und Nachteile auf. Vor diesem Hintergrund ist, je nach Einsatzszenario, gegebenenfalls eines der drei vorgestellten BYOD-Modelle einzusetzen.

3.1 Technische Ansätze von BYOD-Modellen

In einem "Grundfall "wird auf der Mitarbeiterhardware eine Applikation installiert, die einen Daten-Container mit allen beruflichen Daten verwaltet; dabei handelt es sich um eine sogenannte "Container-App".^[1] Diese Applikation muss für sämtliche berufliche Tätigkeiten ausgelegt sein. Dies bedeutet im Einzelnen, sie muss neben Groupware^[2] im Idealfall auch einen eigenen Browser beinhalten und gegebenenfalls selbsttätig eine verschlüsselte Verbindung zum Server des Steuerberaters aufbauen. In diesem Fall erfolgt die Trennung zwischen den Applikationen. Daher ist die Sicherheit dieser Trennung vom eingesetzten Betriebssystem und dessen Zugriffskontrollmöglichkeiten abhängig. Die Betriebssicherheit ist somit von System zu System unterschiedlich. Für diese Variante muss in der Regel nicht in das Betriebssystem eingegriffen werden und sie ist für verschiedene Betriebssysteme erhältlich.

Eine zweite Möglichkeit, die Daten des Steuerberaters zu schützen, ist, diese bei der Verarbeitung auf den Firmenserver zu belassen. Dabei wird auf Virtualisierungstechnik zurückgegriffen. Dem Nutzer wird lediglich eine Oberfläche bereitgestellt, die über eine abgesicherte Netzverbindung, in der Regel eine VPN-Verbindung, die Anwendung zur Bearbeitung der Information auf einem Server bedient. Die Softwareapplikation ist dabei regelmäßig so konfiguriert, dass Daten nicht lokal gespeichert werden können. Denn dies würde wiederum eine Sicherheitslücke bei der Datensicherheit darstellen. Diese serverbasierten Lösungen sind im Desktop-Bereich seit Längerem im Einsatz. Erforderlich ist dabei eine ausreichend dimensionierte Internetverbindung. Dies setzt bei mobilen Geräten voraus, dass diese beispielsweise über eine LTE-Anbindung verfügen.

Eine dritte Möglichkeit der Datentrennung besteht darin, unterschiedliche virtuelle Maschinen auf einem Gerät zu betreiben. Im Unterschied zum ersten Ansatz wird nicht auf Anwendungsebene, sondern auf Ebene des Betriebssystems getrennt. Ein Datenaustausch zwischen beiden virtuellen Maschinen ist nur über die tiefer liegende Virtualisierungsschicht möglich. Zudem können in den virtuellen Bereichen jeweils eigene Anwendungen installiert und getrennt voneinander betrieben werden. So kann beispielsweise dem Bedürfnis der Benutzer Rechnung getragen werden, eigene Apps zu installieren, die der Steuerberater als "kritisch" erachtet. Das bedeutet, dass eine Ausschlussliste für Anwendungen in diesem Fall in der Regel nicht notwendig ist, da die Anwendungen nur in einer virtuellen Maschine arbeiten und somit Anwendungen in dem privaten Bereich nicht auf berufliche Daten zugreifen können. Voraussetzung dafür ist jedoch weiter, dass das Filesystem entsprechend konfiguriert worden ist.

[1] Siehe dazu mit weiteren Nachweisen Zöll, in: Taeger/Gabel, 2013, § 32 BDSG, Rn. 41; Raif/Nann, GWR 2016, 221 (222).

[2] Als Groupware wird eine Software zur Unterstützung der Zusammenarbeit in einer Gruppe, etwa E-Mails, Termine, Kontakte oder Aufgaben, bezeichnet.

3.2 Unechtes BYOD – Choose Your Own Device

Von der Nutzung privat angeschaffter Hardware sind die Fallgruppen des "unechten" BYOD zu unterscheiden.^[1] Choose Your Own Device (CYOD) ist eine alternative Unternehmensstrategie zu BYOD. Die CYOD-Strategie kann dann unternehmensseitig angewandt werden, wenn die BYOD-Strategie nicht zum Tragen kommt, weil beispielsweise der Mitarbeiter nicht über entsprechende Smartphones, Tablets oder Notebooks verfügt.Der Steuerberater stellt seinen Mitarbeitern Endgeräte zur Verfügung und gestattet deren private Nutzung. Dabei muss der Mitarbeiter für private Belange keine eigene Hardware vorhalten.

Diese Fallgruppe muss nicht erst in der Bereitstellung firmeneige...