Private Endgeräte für dienstliche Zwecke
Vorsicht beim Einsatz privater Endgeräte zu dienstlichen Zwecken
Gestattet eine verantwortliche Stelle, dass Mitarbeiterinnen und Mitarbeiter private Endgeräte und von ihnen selbst ausgewählte Apps zum Zugriff auf ihre IT-Systeme und -Dienste nutzen, muss sie darauf bezogene, geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Tut sie dies nicht, kann darin ein Datenschutzverstoß – insbesondere gegen die Vorschriften des Art. 32 Abs. 1 DSGVO – liegen, da sie ihre IT-Systeme und -Dienste der Gefahr eines unbefugten Zugriffs durch Dritte aussetzt, beispielsweise wenn das durch den Mitarbeiter oder die Mitarbeiterin genutzte Endgerät mit einer Schadsoftware infiziert ist oder eine genutzte App ein maliziöses Verhalten zeigt.
Im Berichtszeitraum erreichte die Datenschutzbehörde eine Meldung einer Hochschule über eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 1 DSGVO, die durch den Zugriff unbefugter Dritter auf das E-Mail-Konto eines Mitarbeiters der Hochschule verursacht wurde. Im Unterschied zu vielen anderen Meldungen im Zusammenhang mit E-Mail-Konten war in diesem Fall jedoch kein erfolgreicher Phishing-Angriff Grundlage für den Zugriff auf das E-Mail-Konto. Stattdessen hatte der Mitarbeiter eine von ihm selbst gewählte E-Mail-App auf seinem privaten Endgerät installiert, seine Zugangsdaten darin eingegeben und anschließend diese App für die Kommunikation mit dem dienstlichen E-Mail-Server verwendet. Der Verantwortliche hatte keine Dienstanweisung erlassen oder sonstige Maßnahmen getroffen, die diesem Einsatz entgegengestanden hätten. Die installierte App schien für den Mitarbeiter den gewünschten Zweck zu erfüllen, da sie ihm den Abruf sowie den Versand von E-Mails über das dienstliche E-Mail-Konto ermöglichte. Verborgen für den Mitarbeiter versendete diese App jedoch im Hintergrund die von dem Mitarbeiter preisgegebenen Zugangsdaten an Dritte. Diese nutzten die erbeuteten Zugangsdaten, um mehrfach auf Inhalte des betroffenen E-Mail-Kontos zuzugreifen und das Konto für den Versand von Spam- und Phishing-Mails zu missbrauchen.
Das Gestatten der Nutzung von privaten mobilen Endgeräten wie beispielsweise Handys und Tablets in der Organisation, auch als „Bring Your Own Device“ (BYOD) bezeichnet, kann mitunter zwar funktionale Vorteile, aber auch Risiken in den Bereichen des Datenschutzes oder der IT-Sicherheit für verantwortliche Stellen mit sich bringen. Die Beispiele für solche Risiken sind mannigfaltig und abhängig von den Gegebenheiten, bei denen der Einsatz von BYOD-Geräten im Organisationsbereich stattfindet. Aus technischer Sicht des Datenschutzes ergeben sich u. a. folgende Gefährdungen beim Einsatz von BYOD-Geräten im Organisationsnetzwerk, falls dieser ohne geeignete technische und organisatorische Maßnahmen erfolgt:
- Durch die Nutzung von BYOD-Geräten kann Schadsoftware in das Organisationsnetzwerk eingeschleust werden.
- Schadsoftware auf den BYOD-Geräten kann für die Nutzerin oder den Nutzer unbemerkt personenbezogene Daten an unbefugte Dritte übermitteln.
- Durch den Diebstahl oder Verlust von BYOD-Geräten können personenbezogene Daten Unbefugten offengelegt werden.
Aktuell gängige Plattformen für mobile Endgeräte wie Android oder Apple iOS bieten der Nutzerin oder dem Nutzer ferner die Möglichkeit, aus einer sehr großen Vielzahl von Apps auszuwählen und diese auf ihrem eigenen Gerät zu installieren. Hierbei können Nutzerinnen und Nutzer beispielsweise ungewollt Apps mit schädigendem Verhalten installieren, etwa wenn eine vermeintlich valide und sichere App aus einer unsicheren Quelle bezogen wird. Zu beachten ist hierbei, dass die bloße Anforderung an Nutzerinnen und Nutzer von BYOD-Geräten, Apps ausschließlich aus offiziellen Apps-Stores zu beziehen, ohne die Implementierung weiterer geeigneter Maßnahmen aus technischer Sicht des Datenschutzes regelmäßig noch nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten. In dem vorliegenden Fall hatte der Mitarbeiter die maliziöse E-Mail-App für sein BYOD-Gerät aus dem offiziellen App-Store des Anbieters des Geräts bezogen.
Um diesen und auch weiteren Risiken zu begegnen, haben verantwortliche Stellen gemäß Art. 32 Abs. 1 DSGVO die Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Die im Folgenden beschriebenen Maßnahmen stellen beispielhaft gängige Vorgehensweisen zur Minderung von Risiken im Zusammenhang mit BYOD-Geräten dar. Die Darstellung der Maßnahmen ist an dieser Stelle jedoch nicht abschließend. Verantwortliche Stellen müssen stets selbst und ausgehend von ihrer eigenen Verarbeitung – insbesondere anhand der Bewertungsmaßstäbe der Art. 24 Abs. 1, 25 Abs. 1, 32 Abs. 1 DSGVO – geeignete Maßnahmen auswählen, prüfen, umsetzen und fortlaufend auf ihre Geeignetheit prüfen sowie ggf. anpassen.
Auf organisatorischer Ebene sollten Verantwortliche beispielsweise klare BYOD-Richtlinien definieren, die Sicherheitsanforderungen, Verhaltensregeln und Datenschutzbestimmungen umfassen. Ferner können geeignete Schulungen der Mitarbeiterinnen und Mitarbeiter in Bezug auf bewusstes und sicheres Verhalten im Umgang mit den BYOD-Geräten dazu beitragen, mögliche Risiken zu reduzieren.
Auf technischer Ebene kann der Einsatz von Mobile Device Management (MDM)- oder Enterprise Mobility Management (EMM)-Lösungen helfen, die Sicherheit und das Management von BYOD-Geräten zu verbessern. Eine Möglichkeit zur Kontrolle der auf den BYOD-Geräten genutzten Apps ist beispielsweise, eine geeignete MDM- oder EMM-Lösung durch den Einsatz eines Whitelistings zu erweitern. Hierbei wird durch die zuständigen IT-Fachbereiche eine Liste von zugelassenen Anwendungen (Whitelist) erstellt und in der Lösung hinterlegt. Mitarbeiterinnen und Mitarbeiter können daraufhin nur Apps aus dieser Whitelist installieren und verwenden, während die Installation von Apps ohne Freigabe durch die Whitelist unterbunden wird.
Eine weitere Möglichkeit zur Einflussnahme auf die genutzten Apps stellt der Einsatz einer Verwaltungstechnik in Form eines getrennten Arbeitsbereiches oder eines speziellen App-Containers auf den BYOD-Geräten dar. Bei Geräten auf Android-Basis wird diese Technologie als Arbeitsprofil bezeichnet.
Ein Arbeitsprofil erstellt zwei separate Bereiche auf einem Android-Gerät, einen für persönliche und einen für berufliche Anwendungen und Daten. Diese Bereiche sind voneinander isoliert und können grundsätzlich nicht miteinander kommunizieren. Das Arbeitsprofil ermöglicht es den zuständigen IT-Fachbereichen, das berufliche Profil im Sinne der beruflich zu nutzenden Anwendungen und Daten zu verwalten sowie Richtlinien und Sicherheitsmaßnahmen umzusetzen, ohne dass hierbei die persönlichen Daten der Nutzerin oder des Nutzers beeinträchtigt werden. Der Anbieter Apple spricht bei seinen Geräten hingegen von einer sogenannten Verwaltungsarchitektur. Bei dieser ist die Funktionsweise ähnlich wie bei Android-Arbeitsprofilen, jedoch speziell auf Apple-Geräte und das Apple-Ökosystem abgestimmt.
Darüber hinaus sollten verantwortliche Stellen, wenn sie den Einsatz von BYOD-Geräten in ihrem Organisationsnetzwerk erlauben möchten, sicherstellen, dass ihre zuständigen IT-Fachbereiche fachlich und organisatorisch in der Lage sind, die getroffenen technischen und organisatorischen Maßnahmen umzusetzen und die verschiedenen Gerätetypen und -plattformen der Nutzer zu unterstützen. Das Management von Softwareupdates und Sicherheitsrichtlinien für diese verschiedenen Gerätetypen und -plattformen kann für diese Fachbereiche ebenso eine Herausforderung darstellen und sollte entsprechend fachlich und organisatorisch sichergestellt sein, z. B. durch das Bereitstellen angemessener personeller, technischer und finanzieller Ressourcen sowie die Festlegung geeigneter Prozesse, idealerweise unter Unterstützung durch Managementsysteme.
In dem vorliegenden Fall hat die Hochschule nach Rücksprache zum Sachverhalt zugesagt, geeignete technische und organisatorische Maßnahmen zu prüfen und umzusetzen, um den Risiken beim Einsatz von BYOD-Geräten zu begegnen und ein angemessenes Schutzniveau zu gewährleisten. Für die Nutzung von Apps auf BYOD-Geräten möchte die Hochschule als erste Maßnahme zukünftig Empfehlungen für geprüfte Apps aussprechen und den Zugriff von bekannten schadhaften Apps auf das Hochschulnetzwerk an den Firewall-Systemen der Hochschule blockieren.
In dem hier behandelten Beispielfall geht die Datenschutzbehörde davon aus, dass diese zusätzlichen Maßnahmen grundsätzlich geeignet sind, einen angemessenen Schutz personenbezogener Daten bei der Hochschule künftig zu gewährleisten.
Quelle: HBDI
Fragen Sie sich, ob Ihr Unternehmen bei Datenschutz und Datensicherheit gut aufgestellt ist?
Unverbindlich mit Datenschutzbeauftragten sprechen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks