So trennen Sie geschäftliche und private Daten auf Smartphones

von Robert Nagel, am 13.8.2020

Mobiles Arbeiten ist ein Trend, der bleiben wird: Arbeitnehmer und Arbeitgeber profitieren gleichermaßen vom flexiblen Einsatz mobiler Endgeräte wie Smartphones und Tablets. Zu den größten Herausforderungen hierbei zählen die Aspekte Datenschutz und Datensicherheit, insbesondere bei Geräten, die auch privat genutzt werden: Hier müssen die Datenströme sauber voneinander getrennt werden.

Daten trennen Smartphone
Für Datenschutz und Datensicherheit sollten private und dienstliche Daten
auf den Geräten sauber getrennt werden

Hinweis: Dieser Artikel befasst sich mit der Trennung beruflicher und privater Daten auf Smartphones. Wenn Sie wissen möchten, wie man berufliche und private Rufnummern auf einem Gerät trennt, gehen Sie bitte zu folgendem Artikel:
Dual-SIM und Rufnummerntrennung.

Dienstliche und private Daten auf einem Gerät? 

Es gibt Firmengeräte, die nur für eine einzige dienstliche Anwendung gedacht sind (COSU = Corporate Owned, Single Use), wie etwa das Präsentieren am Messestand. Andere sind für mehrere, ausschließlich dienstliche Anwendungen eingerichtet – dieses Konzept nennt man COBO (Corporate Owned, Business Only). Falls sich die Nutzer an die Nutzungsvorgaben halten, fallen auf diesen Geräten also nur dienstliche Daten an.

Berufliche und private Mischnutzung

Anders sieht es aus, wenn private Geräte auch für den Job genutzt werden (BYOD = Bring Your Own Device) oder das Firmenhandy ausdrücklich auch für eine dienstliche-private Mischnutzung vorgesehen ist (COPE = Corporate Owned, Personally Enabled).

Schutz privater und beruflicher Daten

Dann fallen sowohl dienstliche als auch private Daten auf den mobilen Endgeräten an. Das ist aus Gründen des Datenschutzes problematisch, wenn zum Beispiel dienstliche Kontakte in Apps verwendet werden, welche Daten in die USA übertragen (lesen Sie hierzu: WhatsApp auf dem Firmenhandy). Hier drohen satte Geldstrafen durch DSGVO-Verstöße, allerdings war dies schon vor der DSGVO noch im Rahmen des Bundesdatenschutzgesetzes ebenfalls kritisch.

Andererseits möchten natürlich auch die Mitarbeiter, dass ihre privaten Daten privat bleiben und nicht etwa von der IT eingesehen werden können, was die Akzeptanz für die Nutzung von Firmengeräten wohl kaum erhöhen dürfte. Dies gilt in besonderem Maße für die jungen Talente der „Generation Z“, bei denen das Smartphone das zentrale technische Gerät im Alltag darstellt und als Kommunikationszentrale, Kalender, Unterhaltungsplattform etc. umfassend und intensiv genutzt wird.

Ein in diesem Zusammenhang als unsicher empfundenes Firmenhandy wird damit zum Killer für die Mitarbeiterzufriedenheit. Andererseits kann das Firmenhandy auch zum Benefit werden, wenn es hochwertig und sicher eingebunden ist. 

Datensicherheit

Aber auch die mobile Sicherheit der Unternehmensdaten muss in den Blick genommen werden: Der Abfluss kritischer oder sensibler Geschäftsdaten muss auf jeden Fall verhindert werden. Das wird mit der privaten Nutzung dienstlicher Geräte erschwert, unter anderem, weil Anwender es mit der Datensicherheit manchmal nicht allzu genau nehmen und etwa unsichere mobile Apps aus diversen App-Stores installieren.

Bei BYOD-Szenarien, in denen private Geräte mit Billigung des Unternehmens auch im Job eingesetzt werden, entziehen sich die Geräte der Kontrolle der IT noch mehr – veraltete mobile Betriebssysteme, gerootete Handys und ausgelassene Sicherheits-Patches machen es fast unmöglich, ein mitgebrachtes Device zu einem wirklich sicheren Bestandteil des Firmennetzwerks zu machen.

Im schlechtesten Fall ist der IT nicht einmal bekannt, dass das Gerät überhaupt genutzt wird („Dark BYOD“). Lesen Sie hierzu auch: Die neun größten BYOD-Risiken.

Datentrennung per Container-App

Um dienstliche von privaten Daten auf mobilen Endgeräten effektiv zu trennen, setzen viele Unternehmen auf eine sogenannte Container-App. Das ist eine mobile Anwendung, die einen geschützten Bereich (Container) auf dem mobilen Endgerät abtrennt. In der Regel wird die Containerisierung von der IT administriert und überwacht. Ziel: IT-Compliance des Endgeräts in Bezug auf Datensicherheit und Datenschutz. Eine bekannte Container-App ist etwa „SecurePIM“, die von der Münchner Softwareschmiede Virtual Solution AG programmiert wird.

Datentrennung Smartphone SecurePIM Container App
Die SecurePIM-Grafik zeigt mehrere containerisierte Standardanwendungen wie Kalender, Mails und Dokumente.
(Quelle: Virtual Solution AG)

Für den Anwender bedeutet das, dass er auf seinem Smartphone Unternehmensdaten nur innerhalb einer geschützten und verschlüsselten Umgebung bearbeiten kann. Datenschutzrechtlich kritische Anwendungen wie WhatsApp erhalten zudem keinen Zugriff auf geschäftliche Kontakte.

Container-Apps lösen im Prinzip die angesprochenen Probleme, bringen aber auch Nachteile mit sich, wie zum Beispiel die Abhängigkeit vom Hersteller und gegebenen Mehraufwand bei Updates. Einige Container-Apps bieten zudem nur eingeschränkte Möglichkeiten bei Textbearbeitungen und generell beim Filesharing. Auch Schnittstellen zu anderen Apps können neue Probleme verursachen.

Im schlechtesten Fall sorgen eingeschränkte Nutzererfahrungen mit dem Container dazu, dass MitarbeiterInnen die vorgesehenen Anwendungen dann lieber gar nicht nutzen. Damit wäre das genaue Gegenteil dessen erreicht, was mit der Einführung der Container-App eigentlich geplant war – nämlich sicheres und effizientes Mobiles Arbeiten.

Datentrennung Smartphone Anwender
Wenn der Nutzer die Lösungen nicht annimmt, ist niemandem geholfen

Datentrennung per Mobile Device Management

Eine zweite Möglichkeit ist der Einsatz einer Mobile-Device-Management-Software. Solche Tools sind oft Bestandteil größerer EMM-Suiten; das Kürzel steht dabei für Enterprise Mobility Management

Gängige MDMs wie die von VMware, Microsoft (Intune) oder Baramundi sorgen ebenfalls für einen abgetrennten Bereich auf dem Smartphone. Allerdings setzt hier der „Container“ am mobilen Betriebssystem selbst an und nicht auf Anwendungsebene.

Datentrennung Smartphone AndroidBeispiel eines Android-Workspaces (rechts).
Die Workspace-Icons sind durch ein kleines Schloss als verschlüsselt gekennzeichnet. 

Neben der Abtrennung eines administrierbaren Workspaces bieten MDM-Anwendungen noch weitere Funktionen, die zur Umsetzung einer unternehmensweit einheitlichen Mobilstrategie höchst hilfreich sind.

Genannt seien hier erstens das sogenannte Staging, also das Konfigurieren der Geräte und Einrichten von Anwendungen schon vor der Übergabe an den Anwender. Erhält der Anwender sein neues Diensthandy und verbindet sich dieses für das Enrollment erstmalig mit einem WLAN-Netzwerk, werden automatisch das Nutzerprofil und die vom Unternehmen lizenzierten Apps im Workspace eingerichtet.

Zweitens lassen sich mit einem MDM die Geräte übersichtlich inventarisieren. Was ein MDM noch alles kann, erfahren Sie hier: Darum brauchen Sie jetzt ein MDM-System.

Datentrennung bei gemieteten Smartphones

Wenn Sie bei everphone ein Firmenhandy mieten, erhalten Sie immer auch ein MDM dazu – es sei denn, Ihr Unternehmen verwendet bereits eine MDM-Software. Dann wird diese Software in unseren Mietgeräten integriert.

Der privaten Nutzung des Firmenhandys steht damit nichts mehr im Wege, sofern diese von der Unternehmensführung gewünscht ist. Unserer Erfahrung nach ist dies nicht nur die Variante mit der höchsten Akzeptanz bei den Mitarbeitern, die nur noch ein Endgerät besitzen müssen – sondern auch die nachhaltigste und umweltfreundlichste. 

Weblinks zur Datentrennung auf Smartphones

Whitepaper MDM


Bitte bewerten Sie unseren Artikel!
 
Themen:Mobile Device ManagementEU-DSGVODatenschutzFirmenhandy-MietmodellMobile SecurityProduktivität

Kommentare