Mobile Geräte im Unternehmseinsatz

In den Unternehmen gibt es eine immer größer werdende Anzahl von Smartphones, Tablets und anderen mobilen Endgeräten. Mitarbeiter können mittlerweile über eine Million unterschiedlicher mobiler Apps auf Smartphones und Tablets installieren.

Jedes Unternehmen muss für seine Mitarbeiter unternehmenswichtige Apps für Mobilgeräte verteilen, verwalten, sichern, supporten und updaten. Dabei sind Kriterien wie hohe Sicherheit, Administrationsaufwand, Umgang mit privaten Geräten (BYOD – Bring Your Own Device), rechtliche Aspekte und viele Fragen mehr zu berücksichtigen und abzuklären.

Denn gerade im Bereich der mobilen Geräte kann – und darf speziell auch aus rechtlicher Sicht – nicht alles technisch gelöst werden. Und auch umgekehrt ist nicht alles, was technisch machbar ist, auch wirklich sinnvoll (Usability, Akzeptanz).

Das sind Anforderungen, die es abzuklären gilt:

  • Betriebssystem(e): Kosten, Sicherheit, Anwendungsbereiche, Verwaltbarkeit
  • Firmeneigene Geräte und / versus BYOD (Bring Your Own Device)
  • Trennung zwischen Firmen- und Privatdaten (Funktional, Container, Hybrid)
  • Nutzung der Geräte (nur dienstlich oder auch privat)
  • Verhaltenskodex / Sensibilisierung der Anwender im Umgang mit den mobilen Geräten und Daten beziehungsweise Vorgehen im Verlustfall
  • Balance der Restriktionen zwischen Sicherheit & Usability
  • Konzepte für den Support (Roll-Out, Wartung, Rücknahme, Patches, Updates)
  • Rechtliche Aspekte (Gesetzliche Einschränkungen, Betriebs-/Personalrat)
  • Umgang mit dem Thema Cloud-Dienste
  • “Apps von der Stange” und / oder Eigenentwicklung
Quelle: Fotolia

Bei der Einführung von Mobile Device Management sind Kosten, Sicherheit, Anwendungsbereiche, Verwaltbarkeit, rechtliche Aspekte und viele weitere Fragen zu klären. Für all diese Fragen gibt es keine Musterlösung. Vielmehr muss im Rahmen der Anforderungen des Unternehmens vorab an erster Stelle die Entwicklung eines Konzepts stehen. Nur so kann der Aufbau eines wirklichen Mobile Device Managements erreicht werden.

Neue Regelungen zum Datenschutz

Im Frühjahr 2016 wurde die European General Data Protection Regulation (GDPR) durch die EU als Gesetz verabschiedet und löst die bisherigen nationalen Regelungen zum Datenschutz ab.

Firmen haben nun bis Frühjahr 2018 Zeit, dafür zu sorgen, dass sie die Anforderungen der GDPR erfüllen. Insbesondere sind folgende wesentliche Unterschiede zu den bisherigen Regelungen zu beachten:

  1. Die Definition von “Personal Data“ wurde deutlich erweitert. Letztlich beinhaltet sie nun alle Daten, die dazu geeignet sind, eine Person zu identifizieren. Dementsprechend sind z.B. auch IP-Adressen, MAC-Adressen UIDs, IMEIs sowie biometrische Daten (z.B. Fingerabdruck) aber auch Ortungsdaten (GPS) enthalten.
  1. Es gilt nun “Privacy by Design und by Default“. Dementsprechend ist es nicht mehr ausreichend nachzuweisen, dass man “das nötigste” für den Datenschutz getan hat, vielmehr ist nun die Wirksamkeit der Maßnahmen zu belegen und regelmäßig zu verifizieren. Damit verbunden ist auch die Pflicht entsprechende “Datenschutzverletzungen” zu erkennen und zu melden. Darüber hinaus sollten die entsprechenden Einstellungen von Haus aus gesetzt sein (z.B. zwingender und ausreichender PIN-Code).
  1. Die Strafen für Verletzungen wurden deutlich erhöht. Waren bisher bis zu €300.000 pro Verstoß möglich (§43 und 44 BDSG) können nun Bußgelder bis zu €20.000.000 oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden.

Das Gesetz ist derzeit vor allem im Bereich der Cloud-Anbieter und Social Media Dienste ein großes Thema, aber aufgrund der weitreichenden Definition von “Personal Data” ist letztlich jedes Unternehmen davon betroffen (Kunden- respektive Mitarbeiterdaten).

Denn um gerade Punkt 2 “Privacy by Design und by Default” erfüllen beziehungsweise entsprechende Datenschutzverletzungen erkennen zu können, muss ein Unternehmen wissen, was mit seinen Daten passiert und wo diese verarbeitet werden. Neben einer unumgänglichen Prüfung der eigenen Infrastruktur ist hier besonderes Augenmerk auf den Bereich der mobilen Geräte zu legen.

Das Zeitalter der “Mobile Devices”

Seit im Zusammnehang mit “Mobile“ vor allen Dingen von “Mobile Devices“ (Smartphones, Tablets) die Rede ist, ergeben sich gerade in Hinblick auf die GDPR ganz neue Herausforderungen. Denn aufgrund ihrer Konstruktion und Arbeitsweise bieten sie nämlich “Privacy weder by Design noch by Default”.

Die manuelle Kontrolle auf Einhaltung der geforderten Regeln ist selbst in kleinen Umgebungen einerseits praktisch unmöglich und wiederspricht andererseits ebenfalls der Anforderung “per Design / per Default“. Möchte man also nicht auf die Nutzung Mobiler Geräte komplett verzichten, ist der Einsatz eines automatisierten Systems (Mobile Device Management) zur Unterstützung unumgänglich.

Denn nur damit können entsprechende Schutzmaßnahmen getroffen werden (PIN, Verschlüsselung etc.) beziehungsweise sichergestellt/geprüft werden, dass die Anwender diese Maßnahmen auch entsprechend umsetzen.

Geichzeitig kann z.B. auch beschränkt werden, in welchen Anwendungen Firmendaten weiterverarbeitet werden, das Hochladen von Daten in nicht genehmigte Cloud-Apps oder private (nicht kontrollierbare) Datenspeicher verhindert oder beschränkt (z.B. Copy, Save To, Export To, Share, Open In) sowie die Nutzung/Installation potentiell gefährlicher Anwendungen kontrolliert werden.

Mobile Device Management und “Personal Data”

Der Einsatz eines MDM-Systems bedeutet aber wiederum auch, dass hier ebenfalls die Verarbeitung von “Personal Data“ vorliegt. D.h., neben der Notwendigkeit, ein solches System einzusetzen, um die Daten auf den mobilen Geräten zu schützen, ist ein entprechendes Konzept nötig, das sicherstellt, dass die vom MDM  erfassten Daten ebenfalls nicht “unzulässig” genutzt werden.

Hierzu zählen neben Zugriffsbegrenzungen auf den verantwortlichen Personenkreis (Administratoren) und entsprechende Datenschutzerklärungen auch der Umgang mit dem Thema “Datensammlung“. Hier ist – so wie bereits heute – der Betriebs-/Personalrat beziehungsweise Datenschutzbeauftragte (sofern jeweils vorhanden) zu involvieren. Aber auch der Anwender der mobilen Geräte muss beim Einsatz eines MDM über Art und Umfang der “Datensammlung“ informiert werden beziehungsweise kann dieser nach dem GDPR auch widersprechen. Dafür müssen dann entsprechende Maßnahmen implementiert sein: z.B. Ausschalten der GPS Ortung, Ortung nur auf Antrag durch den Anwender etc.

Im Falle des Einsatzes eines Cloud-basierten MDM sollte die Entscheidung für einen Anbieter fallen, der das GDPR unterstützt (ausreichende Verschlüsselung, Standort des Cloud-Servers in der EU etc.). Denn auch wenn in einem Cloud-MDM keine Firmendaten (im Sinne von E-Mails, Faxen, Dokumenten, SMS, Photos etc.) liegen, finden sich noch genügend Daten (IP-Adressen, Mac-Adressen etc.), die im Rahmen des GDPR zu schützen sind.

Die aktuelle Situation

Dass die GDPR erst 2018 in Kraft tritt, sollte nicht darüber hinwegtäuschen, dass auch jetzt schon entsprechende Anforderungen bestehen. Auch wenn diese bisher noch weniger restriktiv/scharf formuliert waren. Denn bereits heute gilt:

“…werden personenbezogene Daten automatisiert verarbeitet oder genutzt, so ist die … innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. (§9 Satz 1 BDSG)”

In Zusammenhang mit §91 AktG i.V.m. §43 GmbHG (der Pflicht eines Geschäftsführers zur Risikovorsorge für bestandsgefährdende Risiken und der Sicherstellung der Rechtmäßigkeit des Handelns aller im Unternehmen tätigen Personen) sowie der Sorge zur Einhaltung des Datenschutzes (§3 Abs. 7 BDSG) können hieraus bereits heute entsprechende Sanktionen abgeleitet werden

Hinweis von edcom:

Wir möchten ausdrücklich darauf hinweisen, dass es sich bei dieser Beschreibung um Hinweise und Verweise auf rechtliche Betrachtungen handelt, jedoch nicht um eine konkrete Rechtsberatung! Daher muss für eine entsprechende Umsetzung von Regelungen und/oder Dienstanweisungen ein zugelassener Rechtsbeistand konsultiert werden!

Unsere Services für Mobile Device Management

Wir, die edcom GmbH / TIMETOACT GROUP, bieten Ihnen für die Planung, Umsetzung und Einsatz von Mobile Device Management unsere Dienstleistungen an.

Schritt für Schritt gehen wir mit Ihnen Ihre Fragen durch und klären mit Ihnen Kostenaspekte, Sicherheit, Anwendungsbereiche, Verwaltbarkeit, rechtliche Aspekte und viele weitere Fragen.

Wir erarbeiten gemeinsam mit Ihnen ein Konzept, das Ihren Anforderungen gerecht wird.

Unsere Mitarbeiter haben in den letzten Jahren mehrfach erfolgreich Projekte bei der Einführung von Mobile Device Management in mittelständischen Unternehmen abgeschlossen.

Warum Unternehmen Mobile Device Management brauchen

  • Zu wenig administrative Kontrolle auf dem mobilen Gerät
  • Herstellerabhängige automatisierte Update-Zyklen
  • Beschränkungen bei eigenen Sicherheitsanwendungen durch das mobile Betriebssystem
  • “Always-On” … auch in ungesicherten Netzwerken
  • Vielfältige Ansatzpunkte für Angriffe durch Fragmentierung (OS-Versionen, Gerätetypen etc.)
  • Wenig sensitiver Umgang der Anwender mit dem mobilen Gerät (Keine PIN, Installation unsicherer Anwendungen, Verspätete Updates etc.)

Mobile Device Management – Unterschiede zwischen Cloud und OnPremise

Cloud

  • Kein Installationsaufwand, nur Konfiguration
  • Keine zusätzlichen Freischaltungen (Firewall etc.)
  • Schnelle Reaktion auf OS-Updates und Featureänderungen
  • Keine Downtime bei Wartung
  • Abrechnung pro Monat (pro Gerät beziehungsweise User)
  • Gerätebestandsdaten werden in einem Cloud-System gespeichert
  • Leistungsfähigkeit der Systemumgebung

OnPremise

  • Bereitstellung Infrastruktur und Installation ist notwendig
  • Freischaltungen sind erforderlich (Verbindung zu APNS etc.)
  • Anpassungen für OS-Updates werden verzögert bereitgestellt und müssen dann erst noch installiert werden (gegebenenfalls Downtime)
  • Abrechnung als Lizenzmodell + Wartung
  • Gerätebestandsdaten bleiben intern (soweit diese nicht sowieso bei Apple, Google, Microsoft gespeichert sind)
  • Steigerung der Leistungsfähigkeit der Systemumgebung eventuell mit Zusatzkosten (Hardware, Lizenzen) verbunden

Weitere Informationen