Smartphones sind inzwischen in immer mehr Unternehmen als Diensthandys im Einsatz und Teil der Unternehmenskultur geworden. Dabei stellt das Unternehmen das Smartphone den Mitarbeitern zur Verfügung oder der Mitarbeiter nutzt sein eigenes privates Smartphone auch für dienstliche Zwecke („Bring your own device“,BYOD).
Einsatz von Smartphones in Unternehmen
Der Charme von Smartphones gegenüber bisherigen Handys liegt in seinen vielfältigen Anwendungsmöglichkeiten. Letztlich ist das Smartphone nichts weiter als ein kleiner leistungsfähiger Computer. Es ist damit aber auch ähnlichen Gefahren ausgesetzt. Dies betrifft die Sicherheit, aber auch den Schutz persönlicher Daten der Nutzer, aber – gerade im Unternehmensumfeld – auch von Daten Dritter, die ggfls. geheimhaltungsbedürftig sind. Die Gefahren gehen dabei einerseits von den technischen Möglichkeiten der Geräte, der Handlichkeit (etwa im Hinblick auf Diebstahl und Verlust) aber auch von dem Nutzer selbst aus. So bringt beispielsweise der beste Virenscanner auf einem PC nichts, wenn er nicht regelmäßig vom Nutzer aktualisiert wird. Ähnlich verhält es sich bei Smartphones. Es sind daher zwei Risikofaktoren zu unterscheiden: Die technischen Möglichkeiten, die ein Smartphone bietet und die Nutzer der Smartphones selbst.
Die technischen Möglichkeiten und deren Risiken
Aufgrund der mittlerweile hohen Verbreitungsdichte von Smartphones muss an dieser Stelle nicht mehr ausgeführt werden, welche diversen Verarbeitungsmöglichkeiten die heutigen Geräte bieten, neben den bekannten Apps können aktuelle Smartphones problemlos sogar Datenbank- und Serverdienste bereitstellen – einschließlich aller damit bei stationären Geräten verbundenen Risiken.
Bei der „klassischen“ Nutzung besteht u.a. das Risiko, bei dem Abruf von E-Mails auch unscheinbare Anhänge auf das Smartphone zu laden, die Schadsoftware enthalten kann und die, genauso bei den „großen Brüdern“, z.B. das gesamte Adressbuch ohne Mitwirken des Nutzers an vordefinierte Ziele übermittelt. Auch beim Surfen im Internet mit dem Gerät ist es möglich, sich über den Aufruf von Webseiten Schadsoftware einzufangen.
Aber nicht nur das Gerät selbst kann eine Gefahrenquelle für die dort befindlichen Daten werden. Eine andere Sicherheitslücke kann ausgenutzt werden, wenn das Smartphone eine unverschlüsselte Internetverbindung aufbaut. Bei dieser drahtlosen Verbindung haben Dritte die potentielle Möglichkeit, den Datenfluss, der aus geschäftlichen E-Mails oder Dokumenten bestehen kann, zwischen Gerät und Internet „abzuhören“ und so Zugriff auf die ausgetauschten Daten zu erhalten.
Aber nicht nur in Gestalt von Schadsoftware oder im unbefugten „Abhören“ von Datenflüssen liegen Gefahren. Auch bei dem regulären Installieren von Apps, die an sich aus einer vertrauenswürdigen Quelle kommen, ergeben sich Unsicherheiten für die gespeicherten Daten. So können Apps im Rahmen ihrer regulären Funktionsweise Zugriff auf das Adressbuch des Smartphones nehmen. Für den Nutzer ist häufig unklar, was bei diesem Zugriff geschieht. In vielen Fällen wird der Inhalt der elektronischen Adressbücher auf den Server des Unternehmens übertragen, das die App kreiert hat. Was dort mit den Daten geschieht und ob sie gegen Fremdzugriffe ausreichend geschützt sind, ist häufig unklar. Für weitere Informationen zum Thema „Apps“ finden Sie hier einen Artikel mit dem Titel: „Datenschutzrechtliche Bestimmungen und Smartphone-Apps“.
Inzwischen ermöglichen verschiedene Betriebssysteme für Smartphones Einstellungen für den Datenschutz. So bietet das aktuelle Betriebssystem iOS 6 für Unternehmen ein iPhone-Konfigurationsprogramm an, mit dem Unternehmen für Dienst-iPhones alle Geräte mit den WLAN-Einstellungen für das Firmennetz versorgen, oder auch bestimmte Sicherheitsrichtlinien, wie die Mindestlänge des Passcodes (Zugangssperre) festlegen kann. Darüber hinaus bietet iOS 6 auch die Möglichkeit einzustellen, welche Apps auf welche auf dem Smartphone gespeicherten Daten zugreifen dürfen.
Das Betriebssystem Android für Smartphones bietet ähnliche Einstellungen. So können bspw. die Standortzugriffe für alle Apps von Google aktiviert oder deaktiviert werden.
Mögliche technische Sicherheitsvorkehrungen
Um eine gewisse Sicherheit des Smartphones zu erreichen, gibt es verschiedene Möglichkeiten. So sollte der Zugriff auf das Smartphone generell durch eine Zugangssperre geschützt sein, hier kann je nach Sensibilität der (Unternehmens-)Daten entschieden werden, ob eine 4-/5-/6-stellige PIN ausreicht oder ein komplexes Passwort eingegeben werden muss. Ergänzend hierzu sollten nach höchstens 3 falschen Eingaben alle Informationen auf dem Gerät gelöscht und es in den Werkszustand zurückversetzt werden.
Ebenso wichtig ist es, das Gerät so zu konfigurieren, dass es aus bei Diebstahl oder Verlust aus der Ferne gesperrt werden kann. Auch hier kann es so konfiguriert werden, dass es bei erstmaliger Nutzung (durch einen Dritten) in den Werkzustand zurückversetzt wird. Sofern iPhones in kleinen Unternehmen eingesetzt werden, kann dazu der Löschservice der iCloud genutzt werden. Mittlere oder größere Unternehmen, sowie Android-Nutzer sollten eine Mobile-Device-Management-Software mit dieser Funktionalität einführen. Dies sind Programme wie beispielsweise „Afaria“ von Sybase, „Good Mobile Control“ von Good Technology oder „ubi Suite“ der deutschen Firma Ubitexx.
Eine weitere Schutzmöglichkeit ist die Verschlüsselung des Speichers oder eine andere gleichwertige Maßnahme, um die auf dem Gerät befindlichen Daten vor einem unbefugten Zugriff zu schützen. Sofern das Smartphone SD-Karten unterstützt, ist unbedingt darauf zu achten, dass sensible Informationen nicht unverschlüsselt auf der Karte gespeichert werden. Aktuelle Android-Versionen ermöglichen hier z.B. eine verschlüsselte Speicherung. Man muss sich hierbei allerdings im Klaren darüber sein, dass die Apps auch ohne Passwort-Eingabe jeweils Zugriff auf die verschlüsselten Daten haben – und damit mittelbar wiederum eine ungeschützte Zugriffsmöglichkeit besteht. Eine echte Sandbox-Lösung, d.h. eine Trennung von Daten und Apps in verschiedene Schutzbereiche ist von Haus aus nicht möglich. Eine Entwicklung des Fraunhofer-Institus mit dem Namen „BizzTrust“ kann dagegen eine solche grundsätzliche Trennung im Prinzip ermöglichen und damit vertrauenswürdige Daten sicherer machen: (http://www.bizztrust.de/). Auch gibt es für das Android-Betriebssystem mittlerweile eine VM-Ware-Lösung, die es ermöglicht, sicher auf den Unternehmens-Desktop zuzugreifen.
Nicht vergessen werden darf natürlich, Updates für das auf den Smartphones installierte Betriebssystem und für sicherheitsrelevante Applikationen zeitnah zu installieren. Auch ist wichtig, dass der Zugang zum Unternehmensnetzwerk in jedem Fall verschlüsselt erfolgt, wobei eine 2-Faktor-Authentisierung empfehlenswert ist.
Der Nutzer als Risikofaktor
Auch die aktuellsten technischen Sicherheitsmaßnahmen können nur dann wirksam sein, wenn der Nutzer entsprechend sensibilisiert ist. Daher muss das Unternehmen im Vorfeld wichtige Entscheidungen treffen:
- Welche Daten sollen bzw. dürfen auf dem Smartphone gespeichert werden?
- Wie sollte der Mitarbeiter mit dem Smartphone umgehen?
- Wenn das Unternehmen die Smartphones herausgibt; dürfen diese von den Mitarbeitern auch privat genutzt werden?
So wenig sensible Daten wie möglich auf dem Smartphone verwenden
Grundsätzlich sollte das Unternehmen so wenige Daten wie möglich auf dem Smartphone speichern. So ist es zwar eine Arbeitserleichterung, wenn auf dem Smartphone neben den geschäftlichen Kontakten zum Beispiel auch die E-Mailkorrespondenz mit Kunden abgerufen und bearbeitet werden kann. Sollte das Smartphone dann aber verloren gehen und Unbefugte ungehindert Zugang zu E-Mails und Kontaktdaten haben, könnten schnell Interna des Unternehmens in die falschen Hände geraten und Betriebsgeheimnisse an die Öffentlichkeit gelangen. Daher sind hier die Risiken gegen den Nutzen bezüglich der Menge gespeicherten Daten gegeneinander sorgfältig abzuwägen.
Verhaltensregeln für Mitarbeiter im Umgang mit dem Smartphone
Weiter sollten dem Mitarbeiter konkrete Verhaltensregeln an die Hand gegeben, wie er mit dem Smartphone umzugehen hat, bzw. was er darf und was er nicht darf. Dabei ist zu beachten, dass bei der Aufstellung solch einer Regelung der Betriebsrat nach § 87 I Nr.6 BetrVG zu beteiligen ist, da das Smartphone zur Überwachung der Mitarbeiter geeignet ist. Unerheblich dabei ist, ob das Unternehmen die Überwachung tatsächlich vorhat.
Die arbeitgeberseitige Richtlinie bzw. Betriebsvereinbarung im Umgang mit Smartphones sollte dabei folgende Vorgaben enthalten:
- Hinweise zum sorgsamen Umgang mit dem Smartphone (Aufbewahrung, Weitergabe)
- Umgang mit Codes und Passwörtern (verdeckte Eingabe, keine Weitergabe, Folgen mehrmaliger falscher Eingaben)
- Vorgaben für den Zugangscode / Passwörter (bspw. Länge, Zusammensetzung, Änderungszeitraum)
- Untersagung einer unverschlüsselten Speicherung von Daten (bspw. auf SD-Karte)
- ggfls. obligatorische Verwendung von Sicherheits-Apps
- Hinweise zur Aktivierung / Deaktivierung von Datenübertragungsschnittstellen (bspw. WLAN, Bluetooth oder Infrarot)
- Koppelung externer Geräte (z.B. zur Datensynchronisation)
- Verbot des Aushebelns von Smartphone-Sperren (z.B. Jailbreak)
- Regelung zur Installation von Apps / Fremdsoftware
- Zeitnahe Installation von Updates und sicherheitsrelevanten Apps
- Regelung der Nutzung öffentlicher Hotspots / Nutzung des Geräts als WLAN-Hotspot
- Nutzung von SMS-/ MMS-/ Fax-Diensten
- Hinweis auf mögliche Ortung und Fernlöschung
- Allgemeine Verhaltensgrundsätze (z.B. Regelung zulässiger/unzulässiger Inhalte)
Daneben sollte ebenfalls geregelt werden, wie der Mitarbeiter bei Verlust, Diebstahl oder Beschädigung des Geräts zu reagieren hat. So sollte sich der Mitarbeiter unverzüglich an einen Notfallkontakt des Unternehmens wenden und den Verlust oder den Diebstahl melden. Dieser muss dann eine Fernlöschung durch Rückversetzung in den Werkzustand des Geräts ermöglichen.
Private Nutzung des dienstlichen Smartphones
Die Entscheidung, ob der Mitarbeiter das Smartphone auch privat nutzen darf, hat für das Unternehmen vor allem rechtliche Konsequenzen.
Sobald das Unternehmen die private Nutzung erlaubt, wird es Anbieter von Telekommunikationsdiensten (§ 3 Nr. 6 und § 10 TKG). Dies hat wiederum zur Konsequenz, dass es das Fernmeldegeheimnis gemäß § 88 TKG beachten muss, das durch § 206 StGB strafrechtlich geschützt ist.
Neben einer Richtlinie bzw. einer Betriebsvereinbarung bedarf es dann von jedem Nutzer noch einer separaten Einwilligungserklärung. Diese Einwilligungserklärung sollte umfassen:
- die generelle Zugriffsmöglichkeit auf gespeicherte Daten und Programme durch die Administratoren (Protokollierung, Installation Software),
- die eventuelle Zurücksetzung in den Werkszustand (Falscheingabe des Codes, Fernlöschung),
- die Ortung im Falle eines Verlustes,
- die Kontrolle der Einhaltung der Vorgaben der Richtlinie
- sowie die Löschung privater Daten bei Rückgabe des Gerätes.
Sollten durch die zusätzliche private Nutzung des Smartphones auch zusätzliche Kosten für das Unternehmen entstehen, die dieses nicht tragen will, so sind außerdem Regelungen zur Kostentragung für die private Telefonie, die private Nutzung von SMS-/MMS- und sonstiger Dienste und zum Download von Apps zu treffen.
Zu beachten ist weiter, dass bei einer Fernlöschung des Smartphones auch die privaten Daten des Nutzers betroffen sind. Hierfür muss der Nutzer im Zweifel selbst für entsprechende Backups sorgen.
Bei Rückgabe des Geräts durch Ausscheiden aus dem Unternehmen oder wegen Beschädigung sollte der Mitarbeiter verpflichtet werden, seine privaten Daten zu löschen. Auf diese Weise kann das Unternehmen eventuellen Missverständnissen vorbeugen und davon ausgehen, dass sich keine privaten Daten mehr auf dem Gerät befinden.
Olaf Rossow | | Allgemein |