22. Juli 2013
Compliance

Wenn „bring your own device″ auf Sammelleidenschaft trifft

In vielen Unternehmen ist BYOD nicht nur ein Akronym für die betriebliche Nutzung von privaten Geräten (abgeleitet vom Englischen „bring your own device″) – sondern gelebte Realität. Immer mehr Unternehmen greifen bei der täglichen Arbeit auf Smartphones, Tablet-PCs, etc. der Mitarbeiter zurück. Da ist es nicht verwunderlich, dass eine kürzlich veröffentlichte Nachrichtenmeldung  für Aufsehen (etwa hier oder hier) sorgt:

Der Mitteilung nach speichert Android, das von Google bereitgestellte Betriebssystem unter anderem für Smartphones und Tablet-PCs, standardmäßig und damit oft unbemerkt WLAN-Kennwörter auf den Servern von Google – unverschlüsselt. Sind die Zugangsdaten einmal gespeichert, können diese nicht mehr gelöscht werden. Daten zur Bestimmung des Standortes des Drahtlosnetzwerks seien ebenfalls bei Google gespeichert. Jeder, der Zugriff auf den Google-Account hat, kann sich dann also in das entsprechende Netzwerk einloggen.

Da das Betriebssystem Android stark verbreitet ist, ist es nicht unwahrscheinlich, dass auch Daten von drahtlosen Unternehmensnetzwerken an Google übertragen wurden. Dies gilt umso mehr bei BYOD, da den Arbeitnehmern regelmäßig nicht vorgeschrieben wird, welche Geräte sie privat zu kaufen haben, um diese auch für die Arbeit nutzen zu können.

Die Speicherung der Daten, die als bequeme Wiederherstellungsfunktion gedacht war, entpuppt sich bei genauerer Betrachtung also als Sicherheitsrisiko für Unternehmen.

Erhebliches Risiko?

Klar ist aber auch: Allein mit dem Kennwort und Standort eines WLAN-Netzes ist in der Praxis nicht viel gewonnen. Selbst wenn der Zugang in ein lokales drahtloses Netzwerk gelingt, ist damit nicht automatisch Zugriff auf sensible Unternehmensdaten verbunden. Die Unternehmensserver sind regelmäßig nicht unmittelbar über die Drahtlosverbindung erreichbar oder durch zusätzliche Sicherungsmaßnahmen (etwa VPN-Clients) abgeschirmt.

Die Speicherung der Zugangsdaten wird allerdings dann zum Problem für Unternehmen, wenn der Sicherheitsschlüssel als „Masterkennwort″ sowohl für den drahtlosen Internetzugang innerhalb der Firmengebäude als auch für den Zugang zur IT-Arbeitsumgebung (wie etwa Server, betriebliches E-Mail-Programm) genutzt wird. Auf diese Weise wäre der Weg zur Ausspähung sensibler Unternehmensdaten geebnet.

Maßnahmen der Unternehmen gegen die Speicherung?

Ist das Kind nun in den Brunnen gefallen (also sind die Zugangsdaten einmal gespeichert), drängt sich natürlich die Frage nach dem Gegenmittel auf. Konkret: Ist dagegen ein juristisches Kraut gewachsen?

Gegen die Speicherung der WLAN-Daten rechtlich vorzugehen, ist nicht so einfach, wie es vielleicht bei erster Betrachtung scheint. Der „Rechtsweg″ ist nämlich zumindest mit vielen Unsicherheiten verbunden:

  • Datenschutzrechtliche Maßnahmen (wahrscheinlich ist deutsches Datenschutzrecht anwendbar) scheiden in nahezu allen denkbaren Fällen aus. Das Kennwort und die Benennung eines Drahtlosnetzwerkes eines Unternehmens sind keine personenbezogenen Daten; denn eine konkrete natürliche Person wird durch die Daten nicht erkennbar gemacht. Der datenschutzrechtlich relevante Personenbezug kann allerdings durch die Zuordnung zum Google-Account einer natürlichen Person hergestellt werden. Ob sich hieraus notwendig eine unbefugte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ergibt, ist allerdings fraglich.
  • Die Vorschriften des UWG zum Schutz von Betriebs- und Geschäftsgeheimnissen werden wahrscheinlich auch nicht weiterhelfen. § 17 II, 1., lit. a) UWG verlangt nämlich, dass „zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen″ gehandelt wird. Betrachtet man die Konkretisierung dieser Merkmale durch Rechtsprechung und Lehre, so wird im Ergebnis wohl keine dieser Voraussetzungen vorliegen. Die Speicherung der Zugangsdaten dürfte andere als die in § 17 UWG genannten Ziele verfolgen. Unsicher ist zudem auch, ob die gespeicherten Daten überhaupt ein Betriebs- oder Geschäftsgeheimnis darstellen. Daneben müsste darüber gestritten werden, ob die Datensicherung „unbefugt″ erfolgt ist.
  • Ob das Speicherverhalten von Google strafrechtliche Tatbestände erfüllt, ist ebenfalls zweifelhaft. Fraglich ist auch hier, ob die Daten möglicherweise mit Erlaubnis erhoben worden sind – und ob ausreichende Maßnahmen zur Sicherung der Daten getroffen worden sind – § 202b StGB. Alternativ wäre für ein erfolgreiches strafrechtliches Vorgehen nachzuweisen, dass die Speicherung der Passwörter erfolgt ist, um ein Ausspähen oder Abfangen von Daten vorzubereiten – § 202c StGB. Dies wird nicht vorliegen – primärer Zweck der Speicherung ist die Wiederherstellungsfunktion.

Besser Vorsorge als Nachsorge

Egal ob nun möglicherweise gefährdet oder nicht – eines zeigt der Fall jedenfalls deutlich:

Eine zentral abgestimmte und implementierte Strategie für BYOD im Unternehmen ist unerlässlich. Diese umfasst technische Sicherungsmaßnahmen, aber auch rechtliche Regelungen.

Aus aktuellem Anlass gehört dazu ein dezidiertes Passwort-Management, das die Nutzung von „single-sign-on″ Kennwörtern unmöglich macht. Daneben sollte die Nutzung externer Backup-Dienste für betrieblich genutzte Geräte ausgeschlossen werden.

Generell sollte mit den Mitarbeitern, die private Geräte auch beruflich nutzen, eine Vereinbarung getroffen werden, die unter anderem Regelungen über

  • Kontroll- und Zugriffsrechte für das Gerät und dort gespeicherte (unternehmensbezogene) Daten,
  • eine Einwilligung in weitere, näher zu bestimmende, Datennutzungen durch das Unternehmen,
  • Verpflichtungen zu technischen Sicherungsmaßnahmen – Filtersoftware, Virenscanner, Installation und Aufrechterhaltung einer „Container-Software″, etc.,
  • eventuelle Nutzungseinschränkungen (wie beispielsweise die Sperrung häufig Viren- oder Spysoftware belasteter Websites), sowie
  • die Löschung von Daten bei Verlust des Gerätes oder Beendigung des Arbeitsverhältnisses durch Fernzugriff

enthalten.

Tags: Betriebs- und Geschäftsgeheimnisse Betriebsspionage BYOD Informationsfreiheit Regelungen Smartphone Tablet-PC WLAN-Passwort