Interview

BYOD-Gefahren müssen zunächst erkannt werden

Im Gespräch mit Business&IT erläutert IT-Rechts-Experte Christian Hawellek die rechtlichen Konsequenzen von Bring-Your-Own-Device-Konzepten.

Privater Laptop am Arbeitsplatz

© PureSolution - Fotolia.com

Privater Laptop am Arbeitsplatz

Ist BYOD bereits in Deutschland angekommen?

Christian Hawellek: Es hat den Anschein, dass BYOD in Deutschland sehr unterschiedlich gehandhabt wird, wobei man den Eindruck gewinnen kann, dass entsprechende Konzepte in IT-affinen Branchen häufiger anzutreffen sind. Generell ist aber vielfach bereits das Sicherheitskonzept - gerade in größeren Unternehmen - so strikt, dass fremde Endgeräte in der Regel nicht zugelassen sind.

Teilweise werden auch Smartphones durch Mitarbeiter verwendet, um Informationen auszutauschen. Auch hier sind Fälle aus der Praxis bekannt, wo ein zu geringes Bewusstsein für technische und rechtliche Risiken deutlich wird. So kommt es beispielsweise vor, dass in Krankenhäusern Patientendaten per E-Mail mit Smartphones an Kollegen in anderen Abteilungen versendet werden. Dabei werden in der Regel überhaupt keine Sicherheitsvorkehrungen getroffen, gleichzeitig handelt es sich um sehr sensitive, rechtlich besonders geschützte Daten, die eigentlich die geschlossenen Netzwerke der Krankenhäuser überhaupt nicht verlassen sollten.

Zweifelsohne gibt es aber viele sinnvolle und nützliche Anwendungen von BYOD-Konzepten und es zeichnet sich ab, dass entsprechende Modelle an Bedeutung gewinnen werden. Deswegen ist es wichtig, in diesem Bereich für ein ausgeprägtes Bewusstsein hinsichtlich der notwendigen technischen und rechtlichen Maßnahmen zu sorgen, um die Einhaltung adäquater Sicherheitsstandards zu gewährleisten.

Was sind die ersten Schritte hin zu mehr Sicherheit?

Christian Hawellek: Die Gefahren rechtlicher und technischer Natur müssen zunächst erkannt werden, damit im Anschluss wirksame Risikominimierungsstrategien entwickelt und implementiert werden können. Rechtlich bedeutet dies in der Regel, dass eine Prüfungdurch die eigene Rechtsabteilung beziehungsweise eine Beratung und Auditierung durchunabhängige Dienstleister vorgenommen werden sollte.

Insbesondere werden transparente und verbindliche unternehmensinterne Regelungenund Richtlinien geschaffen werden müssen, die in den einzelnen Abteilungen Mitarbeiternklare Leitlinien an die Hand geben, wann, wie und unter welchen Voraussetzungen eigeneGeräte für die Erfüllung dienstlicher Pflichten verwendet werden dürfen. Ebenfalls geregelt werden sollte, unter welchen Voraussetzungen und in welchem Umfang das Unternehmen für die Endgeräte seiner Mitarbeiter (etwa bei Diebstahl am Arbeitsplatz) haftet.

Mit zunehmender Bedeutung von BYOD-Initiativen sollten Unternehmen entsprechendeSchulungen durchführen, um ein entsprechendes Bewusstsein für die technischen undrechtlichen Risiken zu schaffen.

Ist die Garantie der IT-Sicherheit eine rechtliche Notwendigkeit in Unternehmen?

Christian Hawellek: Zuverlässigkeit und Verfügbarkeit von IT-Systemen zu garantierenist essentiell für den Betrieb jedes Unternehmens. Aus diesen Gründen ist es mittlerweileseit Längerem anerkannt, dass die Gewährleistung der IT-Sicherheit schon aus diesen Gründen zu den rechtlichen Organisationspflichten der Geschäftsführung gehört. Für Aktiengesellschaften ergibt sich das etwa aus § 91 II des Aktiengesetzes.

Daneben gibt es diverse andere im Einzelfall einschlägige Rechtsnormen, welche die Gewährleistung der Datensicherheit vorschreiben - wichtig ist hier etwa § 9 des Bundesdatenschutzgesetzes. Werden unternehmensfremde Geräte in das unternehmensinterne Netz integriert, sind die Kontrollmöglichkeiten für die Sicherheitsverantwortlichen in der Regel eingeschränkt bis gar nicht vorhanden. EtwaigeRechtspflichten bleiben aber in der Regel unverändert bestehen.

Welche Mittel stehen zur Verfügung, um Rechtssicherheit bei BYOD-Initiativen zu schaffen?

Christian Hawellek: Aus den erwähnten Gründen entstehen erhöhte Haftungsrisiken,die es zunächst zu erkennen und denen es anschließend zu begegnen gilt. TechnischeLösungen können und sollten sowohl unternehmensseitig als auch auf den Endgerätender Mitarbeiter implementiert werden. So ist es beispielsweise denkbar, den Zugriff im Unternehmensnetzwerk bei Verwendung fremder Endgeräte entsprechend einzuschränkenund gleichzeitig die Einhaltung wesentlicher Sicherheitsstandards auf diesen Endgerätendurch die Sicherheitsverantwortlichen des Unternehmens sicherzustellen.

Für Letzteres bedarf es entsprechender Vereinbarungen mit denjenigen Mitarbeitern, dieihre Endgeräte im Betrieb nutzen wollen, und zugleich dem Unternehmen gestatten, gewisse Eingriffe zur Sicherstellung der IT-Sicherheit an den Geräten der Mitarbeiter vorzunehmen (zum Beispiel Installation und Wartung bestimmter Sicherheitssoftware). Dabei werden insbesondere datenschutzrechtliche Regelungen zu treffen sein.

Die Implementierung von BYOD-Modellen wird sich aus rechtlichen Gründen regelmäßigdort verbieten, wo besonders sensitive Daten betroffen sind und ein ausreichendes Schutzniveau nicht gewährleistet werden kann. Dies kann zum Beispiel Entwicklungsabteilungen eines Unternehmens betreffen oder aber Krankenhäuser.

Christian Hawellek

© Christian Hawellek

Christian Hawellek, Wissenschaftlicher Mitarbeiter des Instituts für Rechtsinformatik der Gottfried Wilhelm Leibniz Universität Hannover

Mehr zum Thema

Interview
Interview

Security-Experte Stefan Haunß spricht über die größten Risiken beim mobilen Surfen und gibt Tipps, mit denen sich Nutzer vor Angriffen schützen…
Hacker,DDOS,Firewall,Cyberwar,Cyber,Cyber-Attack,Angriff,Internet,PC
DDoS-Attacken auf Firmen

41 Prozent der Firmen weltweit wurden durch DDoS-Attacken gestört. Am Ende jeder Attacke steht ein Ausfall der Systeme.
Palo Alto Networks zeigt Sicherheitsrisiken im Android-Speicher
Android-Smartphones unsicher

Untersuchungen des Sicherheitsunternehmens Palo Alto Networks zeigen ein hohes Sicherheitsrisiko bei über 90 Prozent der Android-Apps.
E-Mail-Schutz

Das Bayerischen Landesamt für Datenschutzaufsicht hat bei einem automatischen Testverfahren bei etwa einem Drittel der geprüften Firmen…
it-sa Logo
Sicherheitsmesse in Nürnberg

Auf der it-sa in Nürnberg präsentieren Aussteller Erfindungen, mit denen sich Unternehmen effektiv vor Cyberkriminalität schützen können.