Österreich
Secure Your Business
 

BYOD: Risikoanalyse und sinnvolles Regelwerk

 

Ergänzend zum Vortrag von RA Dr. Frank auf dem 9. IS-Symposium, WIEN 2013 finden Sie hier eine Zusammenfassung mit einer inhaltlichen Checkliste für ein wirksames BYOD-Regelwerk. 


(CIS-Newsletter Sept 2013)
- Die Abkürzung „BYOD“ steht für „Bring Your Own Devices“, also „Bring Deine Eigenen Arbeitsmittel“. Gemeint ist, dass Mitarbeiter (kurz: MA) ihre privaten Laptops, Smart Frank_web 1Phones oder Tablet-PCs geschäftlich für den Arbeitgeber (kurz AG) nutzen. Grundsätzlich hat AG mangels ausdrücklicher Vereinbarung keine Kontrolle über private Geräte des Mitarbeiters. Durch die Einbindung solcher Fremdgeräte in die IT-Infrastruktur der AG können besondere IT-Sicherheitsrisiken entstehen – und lange unentdeckt bleiben. Diese können jedoch durch angemessene Regeln und Maßnahmen zumindest weitgehend beherrscht werden.

 
Risiko-Szenarien

Ein MA kann seine eigenen Geräte im Vergleich zu den Geräten des AG grundsätzlich leichter missbräuchlich verwenden, um Daten des AG zu verändern, zu löschen oder sogar zu stehlen. So kann ein MA auf seinen privaten Geräten ohne ausreichende Kontrolle etwa die vom AG gewünschten Sicherheitskonfigurationen ändern oder deren Aktualisierung unterlassen, sicherheitskritische Apps hinauf laden, Funktionseinschränkungen umgehen etc.. Ein MA hat sein privates Gerät vielleicht verborgt oder verloren, es mit anderen Geräten Dritter synchronisiert oder es auch nur vorübergehend unbeaufsichtigt gelassen und dadurch einem Dritten ermöglicht, Kontrolle über sein Gerät zu erlangen. Eine Display-Sperre kann auch ohne Kenntnis des PIN sogar bei modernsten Geräten oft binnen weniger Sekunden umgangen werden (Unlock-Umgehung).


Welche Schäden oder Haftungen drohen Unternehmen?

Wichtige Daten, die im Unternehmen verwendet werden (z.B. eigene Betriebsgeheimnisse und auch Daten über Mitarbeiter oder Dritte), können gelöscht oder verändert werden oder an unbefugte Dritte (z.B. an Konkurrenten oder an die Öffentlichkeit etc.) gelangen. Dadurch können allen Betroffenen Schäden entstehen. Dem Unternehmen können „Softschäden“ entstehen (z.B. Imageverlust für Banken wegen der „Steuer-CDs“, Konkurrenz-Nachteile), direkte finanzielle Schäden (Know-How-Verlust, Leistungsmängel etc.) oder auch Haftungen gegenüber Dritten. Letzteres, weil das Unternehmen Geheimhaltungspflichten gegenüber Mitarbeitern, Kunden und Lieferanten hat, manchmal sogar gegenüber Dritten, die nicht Vertragspartner des Unternehmens sind. Gelangen deren Daten, welche im Unternehmen grundsätzlich zulässig verwendet wurden, an unbefugte Dritte, kann dadurch den Betroffenen Schaden entstehen. Für Schadenersatz haftet das Unternehmen üblich bei Verschulden. Angemessener Schutz von Daten wird oft schon eine stillschweigend vereinbarte vertragliche Nebenpflicht des Unternehmens sein. Verschulden liegt grundsätzlich schon darin, wenn das Unternehmen eine vom Gesetz verlangte angemessene IT-Sicherheitsorganisation nicht errichtet hat. Eine solche schreibt etwa  § 14 DSG vor.


Regress-Möglichkeiten gegen verantwortliche Mitarbeiter stark eingeschränkt

Mitarbeiter können dem Unternehmen für Regress haften, wenn sie ihre privaten Geräte fahrlässig oder sogar vorsätzlich missbräuchlich verwendet haben und daraus dem Dienstgeber Schaden entstanden ist. Das Österreichische Gesetz schränkt die Haftung des Dienstnehmers gegenüber seinem Dienstgeber aber stark ein (Dienstnehmerhaftpflichtgesetz). Für entschuldbare Fehlleistungen haften Dienstnehmer nicht. Bei leichter Fahrlässigkeit kann das Gericht den Ersatz mindern oder sogar gänzlich erlassen, bei grober Fahrlässigkeit immerhin noch mindern. Bei vorsätzlicher Schädigung bleibt die Ersatzpflicht des MA gegenüber dem AG unbeschränkt. Der Geschädigte ist vor Gericht unter anderem für die Höhe des erlittenen Schadens beweispflichtig. Die Bewertung der Höhe von Schäden stellt besonders bei „Softschäden“ wie Imageverlust etc. nicht selten ein großes Problem dar.

BYOD_istockphoto Geber86
Schäden für Mitarbeiter
Werden private Geräte von einem MA privat und beruflich genutzt, kann dieser auch dadurch Schäden erleiden, dass seine privaten Daten dem AG zur Kenntnis gelangen, weil letzterer Zugriff auf jene Geräte hat. Für solche Schäden könnte das Unternehmen dem Mitarbeiter bei Verschulden haften. Oft wird in diesem Fall aber zumindest ein Mitverschulden des MA vorliegen, welcher seine privaten Daten nicht ausreichend geschützt hat, sodass sein Schadenersatz-Anspruch gegenüber dem Unternehmen zumindest vermindert wird. Sogenannte Mobile-Device-Management-Software (MDM) ermöglicht die Trennung von privaten und beruflichen Daten auf einem Gerät, sodass letztere Nachteile üblich von vornherein vermieden werden können. Für den Mitarbeiter wichtige Fragen sind weiters, wer Wartung, Reparatur oder Neuanschaffung von privaten Geräten im Fall von deren beruflicher Verwendung zahlt, wer Internetkosten oder Versicherungskosten trägt, wie Roaming-Gebühren aufgeteilt werden etc.


Wem nutzt ein klares BYOD-Regelwerk?
Klare Regeln gewährleisten möglichst reibungslose Arbeitsabläufe. Nur durch klare BYOD-Regeln, entsprechende Schulung, Kontrolle und Korrekturen schafft das Unternehmen auch für den BYOD-Bereich ein angemessenes IT-Sicherheitssystem. Letzteres trägt dazu bei, kostspieligen Datenpannen vorzubeugen. Es schützt aber auch weitgehend gegen vorsätzlichen Daten-Missbrauch (Gelegenheit macht den Dieb!). Dadurch werden Unternehmen, Mitarbeiter und auch Dritte (Kunden etc.) geschützt. Entstehen dennoch Schäden bei Dritten (z.B. Kunden), kann die Dokumentation des angemessenen IT-Sicherheitssystems das Unternehmen und dessen Geschäftsführung weitgehend vor dem Schuld-Vorwurf – und damit vor Schadenersatz-Pflichten und auch vor Strafen – schützen.


Checkliste für BYOD-Regeln
Der Arbeitgeber muss berücksichtigen, dass er sich trotz aller BYOD-Verhaltensregeln nur dann die Kontrolle über solche Geräte sichert, welche im Eigentum des Mitarbeiters stehen, wenn diese Kontrolle und ein Zugriff auf die Geräte ausdrücklich und möglichst konkret vereinbart wurden.

Die Inhalte der BYOD-Regeln richten sich nach den konkreten Bedürfnissen und Risiken aller Betrof-fenen. Beispiele für Inhalte: 

  • Trennung von privaten Daten und Unternehmensdaten auf den privaten Geräten (Mobile-Device-Management-Software MDM)
  • Funktionseinschränkungen der Geräte
  • verbotene Dienste und Apps
  • Synchronisation mit anderen privaten Geräten (PC etc.)
  • Verwendung der Geräte durch Dritte wie Partner, Kinder, Freunde etc.
  • Einsatz der Geräte auch für weitere Arbeitgeber des Mitarbeiters
  • Verschlüsselung und Datenweitergabe (EWR-Ausland!)
  • Security + Updates
  • Backups und Löschen von Daten
  • Compliance-Vorschriften für sensible Daten, Geheimnisse, Archivierung,
  • Lizenzrechte (inkl. Provider-Vertrag)
  • Orientierung an IT-Sicherheitsmanagement-Normen wie ISO 27001 und ISO 20000 oder spezifische Regelwerke für Banken, im Gesundheitswesen etc.
  • Kontrollrechte des AG für die MA-Geräte
  • Zugriffsrechte des AG
  • Notfall-Plan bei Verdacht auf Missbrauch oder Beschädigung oder Verlust von Gerät und/oder Daten
  • Technischer Support bei Problemen
  • Geräte-Wartung, Reparatur und Einkauf
  • Begrenzung der zulässigen Hardware, Betriebssysteme und Software
  • Versicherungen für Unternehmens- und Mitarbeiterhaftung und für die Geräte
  • sonstige Kosten (Roaming etc.)
  • Haftung und dienstrechtliche Konsequenzen im Fall von Verstößen
  • Abwesenheit des Mitarbeiters und Ende der Zusammenarbeit
  • etc.

Einführung von BYOD-Regeln
BYOD-Vereinbarungen können zwischen Arbeitgeber und Mitarbeiter individuell oder als Betriebs-vereinbarung geschlossen werden. Vor der Einführung werden die wichtigsten BYOD-relevanten Bedürfnisse der Mitarbeiter und des Unternehmens sowie dessen Vertragspartner (Kunden etc.) erfasst und deren BYOD-Risiken analysiert und nach Ihrer Wichtigkeit bewertet.
Für Inhalt und Umfang der zu vereinbarenden Schutzmaßnahmen werden allgemeingültige Aspekte für IT-Sicherheitssysteme (s. z.B. § 14 DSG) beachtet wie: 

  • Art der gefährdeten Daten (z.B. sensible Daten, Betriebsgeheimnisse)
  • Umfang und Zweck der Verwendung der Daten (z.B. Einsicht, Veränderung, Über-mittlung)
  • Stand der technischen Möglichkeiten (z.B. Funktionseinschränkungen und Sicher-heitskonfigurationen)
  • wirtschaftliche Vertretbarkeit der Schutzmaßnahmen.

Ist ein Informationssicherheits-Managementsystem nach ISO 27001 im Unternehmen bereits vor-handen, sollten die BYOD-Regeln in dieses eingebunden werden. Die Einführung von BYOD kann schrittweise erfolgen – anfangs mit beschränkter Teilnehmerzahl und wenigen Geräten. Die Mitar-beiter müssen zu den BYOD-Regeln auch geschult werden. Ebenso sind Kontrollen und Korrektur-maßnahmen sind sicherzustellen. 
 

  

Der Autor RA Dr. Markus Frank ist auf Wirtschaftsrecht spezialisiert. Er unterstützt bei der Durchfüh-rung von Kurz-Audits zur BYOD-Thematik – inkl. abschließenden Vorschlägen für ein individuell angepasstes BYOD-Regelwerk – sowie bei BYOD-Mitarbeiter-Schulungen. Für die akkreditierte Zertifizierungsorganisation CIS fungiert er als Trainer für IT-Recht im Rahmen des Lehrgangs „Information Security Manager nach ISO 27001“. office@frank-law.at, T: 01 523 44 02

  

Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90,  office@cis-cert.com
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB