Bring your own device – wenn Mitarbeitende private Geräte nutzen


Mit der Verbreitung von Homeoffice nutzen Mitarbeitende zunehmend auch private Geräte für die Arbeit. Das ist ein grosses Sicherheitsrisiko für Ihr Unternehmen.

Bring your own device (BYOD) und die sichere Einbindung privater Geräte in die Firmen-IT beinhaltet ein Spannungsfeld, eine Gratwanderung zwischen Kontrolle, Vorgaben und Privatsphäre. Es ist Ihre Sache als Arbeitgeber, die Daten- und IT-Sicherheit auch der privaten Geräte zu gewährleisten. Es reicht nicht, die Verantwortung auf die Mitarbeitenden abzuwälzen.


Weshalb nutzen Mitarbeitende private Geräte für die Arbeit?

Oft wollen Mitarbeitende ihre privaten Handys, Tablets und Laptops auch im Büro einsetzen – insbesondere wenn sich das «Büro» zu Hause befindet. Denn viele Tools, die im Geschäftsalltag gebraucht werden, nutzen Angestellte auch privat, beispielsweise Skype, Doodle oder eine Cloud. Sich doppelt anmelden zu müssen und verschiedene Accounts für ähnliche Services zu führen, empfinden vor allem die Jüngeren in Ihrer Belegschaft oft als unnötig mühsam.

Auch die folgenden Argumente nennen Mitarbeitende in der Diskussion um BYOD (Bring your own device) immer wieder:

  • Sie sind produktiver: Die Umgewöhnung auf verschiedene Betriebssysteme und Geräte entfällt.
  • Sie können flexibler arbeiten: Da private Geräte immer in Reichweite sind, lassen sich Arbeitsort und Arbeitszeit freier wählen.
  • Sie sind auf dem neuesten Stand: Die meisten Menschen haben stets das neueste Gerät zu Hause.

Diese vermeintlichen Vorteile erweisen sich im Ganzen oft als Trugschluss. Denn es fehlt bisher an griffigen Massnahmen, um eine sichere digitale Brücke zwischen Privat- und Berufsleben zu bauen.

BYOD integrieren

BYOD lässt sich auf ganz unterschiedliche Arten umsetzen. Es lohnt sich, für Ihr Unternehmen eine BYOD-Strategie zu definieren, in der Sie festhalten, wie Sie grundsätzlich mit dem Thema umgehen wollen. Die Endpunkte des Spektrums für den Einsatz von Privatgeräten bei der Arbeit reichen von «alles ist erlaubt» bis «nichts ist erlaubt». Dazwischen liegen – konkreter formuliert – folgende Strategien:

  • BYOD ist erlaubt, eigene Geräte können ohne Einschränkungen im Firmennetz verwendet werden.
  • BYOD ist erlaubt, eigene Geräte können ohne Einschränkungen im Firmennetz verwendet werden, aber auf dem Gerät muss für die Arbeit ein separates Benutzerkonto eingerichtet sein.
  • BYOD ist erlaubt, eigene Geräte können mit bestimmten Einschränkungen – beispielsweise Einloggen nur über VPN– im Firmennetz verwendet werden.
  • Die Nutzung mobiler Geräte (Handys, Tablets) ist für bestimmte Anwendungsfälle möglich, zum Beispiel nur auf Auslandsreisen.
  • BYOD ist nicht erlaubt, E-Mails dürfen aber via Webmail von privaten Geräten gelesen und bearbeitet werden.
  • BYOD ist nicht erlaubt; es müssen ausnahmslos geschäftliche Geräte genutzt werden.


Technische Risiken bei privaten Geräten

Wenn Ihre Angestellten die privaten Geräte für die Arbeit nutzen, entstehen mehrere Gefahren:

  • Sicherheitsvorgaben und Standardkonfigurationen sind viel schwieriger durchzusetzen und zu überprüfen. Oft sind zum Beispiel die Festplatten privater Geräte nicht verschlüsselt. Oder es gibt keine Trennung zwischen normalen Benutzerkonten und dem Administratorkonto, das Administratorkonto wird standardmässig im Alltag benutzt.
  • Es ist viel schwieriger, einheitliche Lösungen für Back-ups von Daten einzusetzen.
  • Eigene Mobilgeräte können schneller verloren gehen oder gestohlen werden als ein Computer, der fix auf dem Schreibtisch am Arbeitsplatz platziert ist.
  • Private Geräte werden oft auch von anderen Familienmitgliedern genutzt, denen die Bedeutung von Datenschutz und IT-Sicherheit eventuell nicht ausreichend bewusst ist. Dies kann zu ungewollten Datenlecks oder Infektionen mit Schadsoftware führen.
  • Auf private Geräte werden unbedacht Daten und Applikationen heruntergeladen, wodurch Malware aufs Gerät und von dort ins Firmennetz gelangen kann.
  • Die Nutzung privater Geräte macht die IT-Landschaft einer Firma heterogener und damit schwerer kontrollier- und schützbar. Es ist beispielsweise schwierig sicherzustellen, dass die Antivirensoftware auf privaten Geräten immer aktuell gehalten wird und den Unternehmensvorgaben entspricht. Das Gleiche gilt für die Umsetzung von Passwortrichtlinien.
  • Wenn Daten gestohlen werden, liegt eine allfällige rechtliche Verantwortlichkeit beim Unternehmen, auch wenn das private Gerät genutzt wurde. Umgekehrt besteht das Risiko, dass private Daten der Angestellten von Massnahmen des Unternehmens betroffen sind – etwa bei einer Fernlöschung von Daten auf dem Gerät bei einer Überwachung des E-Mail-Verkehrs. Ein schwieriges Spannungsfeld, das zwischen dem Angestellten und dem Unternehmen geregelt werden muss.

Tipp: Sie müssen jederzeit wissen, welche privaten Geräte für die Arbeit genutzt werden und wie diese geschützt sind. Am besten erstellen Sie ein Verzeichnis, ein einfaches Excel genügt. Erlauben Sie die Verwendung privater Geräte erst, wenn Sie alle Angaben haben.

Vorlage: Liste der privaten Geräte Ihrer Mitarbeitenden


Stolpersteine bei der Nutzung privater Geräte

Mitarbeitende können durch die Verwendung von privaten Geräten im Büro vermehrt Stress ausgesetzt sein, und auch bei Konflikten drohen weitere Probleme:

  • Die Grenze zwischen Berufs- und Privatleben verschwimmt durch die Doppelverwendung von Geräten zunehmend. Als Arbeitgeber sind Sie aber verantwortlich dafür, dass die gesetzliche Arbeitszeit eingehalten wird (Fürsorgepflicht des Arbeitgebers). Werden Geräte sowohl für die Arbeit als auch im Privatleben benutzt, besteht eher die Gefahr einer Überbeanspruchung. Das private Handy ist ja auch am Feierabend und in den Ferien dabei.
  • Bei Streitigkeiten zwischen Angestellten und dem Arbeitgeber ergeben sich Problemfelder: Die Mitarbeitenden können im Konfliktfall ihre Privatsphäre nur noch schlecht schützen, wenn sich die Firma Zugriffsrechte auf die privaten Geräte ausbedungen hat.
  • Als Arbeitgeber können Sie die Überwachung eines Geräts anordnen, wenn Betrugsverdacht besteht. Handelt es sich aber um ein Privatgerät, steigen die rechtlichen Hürden. Denn Sie dürfen beispielsweise private E-Mails nicht einsehen – eine Vorgabe, die bei einer Überwachung des Netzwerkverkehrs praktisch kaum umsetzbar ist.
  • Die Mitarbeitenden riskieren, dass Telefonnummern, die sie gleichzeitig privat verwenden, gesperrt werden – etwa wenn der Administrator in der Firma das Handy wegen Virusbefall stilllegt.
  • Die Angestellten riskieren, dass Personen, mit denen sie privat nicht in Kontakt stehen würden (Kunden, Lieferanten etc.), private Angaben, beispielsweise die Telefonnummer, erhalten.

Gut zu wissen: Firmen dürfen Mitarbeitende nicht dazu zwingen, bei einem BYOD-Programm mitzumachen. Grundsätzlich hat der Arbeitgeber die Arbeitsinstrumente zur Verfügung zu stellen. Von Gesetzes wegen muss er die «notwendig entstehenden Auslagen» und die «erforderlichen Aufwendungen», die ein Mitarbeiter für seine Arbeit hat, vergüten.


So sichern Sie Ihr Unternehmen gegen BYOD-Risiken

Prüfen Sie zuerst eingehend, ob Sie Ihren Angestellten nicht doch besser Geräte mit allen Sicherheitsvorkehrungen zur Verfügung stellen können und wollen. Falls Sie Ihren Mitarbeitenden die Nutzung privater Geräte für geschäftliche Zwecke erlauben, sollten Sie einige Sicherheitsmassnahmen ergreifen, um die Risiken zu minimieren.

  • Entwerfen Sie eine Vereinbarung zur BYOD-Nutzung.
  • Setzen Sie auf eine Cloudlösung, die den orts- und zeitunabhängigen sowie abteilungsübergreifenden Zugriff ermöglicht, damit Ihre Mitarbeitenden sowohl vom Arbeitsplatz als auch von zu Hause aus gemeinsam an Dokumenten arbeiten und Unterlagen teilen können: Speichern Sie sensible Daten beispielweise in einem zertifizierten, spezialisierten Rechenzentrum, damit ein Download auf einzelne Endgeräte gar nicht mehr nötig ist. Gleichzeitig lösen Sie so das Problem der Erstellung regelmässiger Back-ups.
  • Sorgen Sie dafür, dass die Verschlüsselung der Festplatte auch auf privaten Geräten aktiviert ist (Bitlocker).
  • Versorgen Sie Ihre Mitarbeitenden mit guter Antivirensoftware.
  • Ziehen Sie eine virtuelle Trennung von Privat- und Berufsleben auf privaten Geräten in Erwägung. Dabei sind verschiedene Ansätze denkbar:
    • Sie setzen für die Arbeit auf privaten Geräten virtuelle Maschinen (Computer auf dem Computer) ein. Das ermöglicht eine strikte Trennung von privaten und geschäftlichen Daten.
    • Sie setzen sogenannte Terminal-Services ein und «degradieren» das private Gerät aus Unternehmensperspektive so zum Thin-Client.
    • Sie richten für die Arbeit einen separaten Benutzeraccount auf dem privaten Gerät ein.
  • Schulen und sensibilisieren Sie Ihre Belegschaft regelmässig. Damit können Sie einigem Fehlverhalten vorbeugen. Gerade bei BYOD, bei dem Mitarbeitende mehr Verantwortung für die Sicherheit übernehmen sollen, ist es umso wichtiger, sie über Gefahren und Fehlverhalten regelmässig aufzuklären.

Achtung: Oft schliessen Betriebe für die verwendeten Programme Lizenzvereinbarungen mit dem Herausgeber ab, etwa mit Microsoft oder Adobe. Klären Sie ab, ob solche Programme auch auf Privatgeräten genutzt werden dürfen oder ob Ihnen dadurch weitere Kosten entstehen, weil diese Nutzung in Ihrer Vereinbarung nicht enthalten ist.

Checkliste: Das gehört in die BYOD-Vereinbarung

Regeln Sie in Ihrer Vereinbarung zur Nutzung privater Geräte mindestens die folgenden Punkte:

  • Zugriffsrechte: Wer kann auf welche Informationen und Dienste zugreifen und für wie lange?
  • Hard- und Software: Welche Geräte (Laptops, Tablets, Handys) mit welchen Betriebssystemen (Windows, MacOS, Linux) sind den Mitarbeitenden erlaubt?
  • IT-Support: Wofür und von wem erhalten die Mitarbeitenden Support von der Unternehmens-IT?
  • Passwortschutz: Wie ist mit Passwörtern und anderen Authentifizierungsmitteln umzugehen?
  • Zugriff auf Daten: Wie funktioniert der Remote-Zugriff? Ist der Zugriff auf das Firmennetz von privaten Geräten aus via VPN erlaubt?
  • Verschlüsselung: Welche Verschlüsselung muss bei Geräte-Festplatten und privaten Datenträgern (USB-Sticks) eingesetzt werden?
  • Nutzung von Clouds: Inwiefern dürfen Mitarbeitende private Cloudspeicher nutzen? Dürfen Mitarbeitende geschäftliche Cloudspeicher privat nutzen?
  • Nutzung von E-Mail-Accounts: Inwiefern dürfen private E-Mail-Accounts geschäftlich genutzt werden? Und dürfen geschäftliche E-Mail-Accounts auch privat genutzt werden? Welche Sicherheitslösungen müssen auf den privaten Geräten eingesetzt werden – Monitoring, Antivirensoftware, Verschlüsselung der Festplatte?
  • Sicherungsmassnahmen: Behalten Sie sich vor, Sicherungsmassnahmen, etwa einen Virenschutz, auf dem Privatgerät vorzuschreiben und durch technische und/oder organisatorische Massnahmen auch zu überprüfen. Achtung: Da es sich um Privatgeräte der Mitarbeitenden handelt, ist dies in der Realität oft schwierig umsetzbar.
  • Kostenverteilung: Wie werden die Kosten (Anschaffung, Wartung, Material etc.) eines privat und beruflich genutzten Geräts auf Arbeitnehmer und Arbeitgeber verteilt?
  • Beendigung des Arbeitsverhältnisses: Mitarbeitende sind verpflichtet, alle geschäftlichen Daten zu löschen. Wie müssen sie Ihnen dies beim Austritt belegen?

Tipp: Verlangen Sie, dass Ihre Angestellten geschäftliche und private Daten auf dem eigenen Gerät strikt trennen. Sie als Arbeitgeber sollten sich ein Zugriffsrecht auf die geschäftlichen Daten ausbedingen.