Trust Gap Survey: Status der Vertrauenslücke 2015

Der umfassende Einsatz von Mobilgeräten für berufliche Zwecke hat bei Mitarbeitern zu einem grundlegenden Wandel der Bewertung des Datenschutzes für ihre privaten Daten auf Mobilgeräten geführt. Vor 10 Jahren stellten Arbeitgeber den Arbeitnehmern Computer und Software zur Verfügung. Die meisten Mitarbeiter gingen daher davon aus, dass die Daten und Aktivitäten auf diesen Computern vom Arbeitgeber überwacht werden.

Dies änderte sich mit dem Aufkommen der Mobilgeräte, weil diese unabhängig davon, ob das Mobilgerät Eigentum des Unternehmens oder des Mitarbeiters ist, fast immer zugleich für private und berufliche Zwecke eingesetzt wird.

2013 ließ MobileIron die erste Umfrage zur Vertrauenslücke von Vision Critical durchführen, um zu verstehen, welche Erwartungen Mitarbeiter an den Datenschutz von Mobilgeräten haben. Ziel war die Entwicklung praktischer Richtlinien für Arbeitgeber, um Datenschutz in einer Welt zu gewährleisten, in der fast jedes Mobilgerät sowohl für berufliche als auch für private Zwecke verwendet wird. 2015 wiederholte MobileIron die Studie, um zu prüfen, ob sich die Erwartungen der Arbeitnehmer verändert haben. Die Umfrage wurde im Winter von Harris Poll durchgeführt. Mehr als 3.500 erwachsene Mitarbeiter, die in Frankreich, Deutschland, Japan, Spanien, Großbritannien und den USA ein Mobilgerät für berufliche Zwecke einsetzen, wurden wieder die gleichen Fragen gestellt.

Dieses Whitepaper fasst die Erkenntnisse der Umfrage zur Vertrauenslücke 2015 zusammen und leitet daraus verwertbare Empfehlungen für Arbeitgeber in Form datenschutzzentrierter Mobilgeräterichtlinien ab. In diesem Whitepaper werden außerdem die Erweiterungen des Datenschutzes vorgestellt, die Apple, Google und Microsoft in ihre Betriebssysteme integriert haben. Beim Einsatz auf einer Enterprise Mobility Plattform (EMM) ermöglichen diese Erweiterungen einen leistungsfähigeren Datenschutz als er noch vor zwei Jahren möglich war.

Hier die Erkenntnisse aus der Umfrage zur Vertrauenslücke 2015, die Empfehlungen von MobileIron an Arbeitgeber und eine Übersicht über die Datenschutzkontrollen auf Betriebssystemebene.

 

Vertrauen gesunkenLupe (Bild: MobileIron)

2013 gaben 66 % der Mitarbeiter an, dass sie sich darauf verlassen, dass ihr Arbeitgeber den Datenschutz privater Informationen gewährleistet. 2015 fiel diese Zahl auf 61 %. 30 % gaben an, dass sie kündigen würden, wenn der Arbeitgeber private Informationen, beispielsweise private E-Mails, Texte oder Fotos, auf dem Tablet oder Smartphone sehen könnte.

 

Es gibt viel Verwirrung darüber, was Arbeitgeber sehen bzw. nicht sehen können

Die Arbeitnehmer unterschätzen in der Regel, was Arbeitgeber an Unternehmensdaten sehen können, und überschätzen, was Arbeitgeber an privaten Daten sehen können.

Was können Arbeitgeber tatsächlich sehen? Die Antwort ist je nach mobilem Betriebssystem und Unternehmensrichtlinie unterschiedlich. In iOS beispielsweise kann ein Arbeitgeber möglicherweise den Anbieter, das Land, den Gerätehersteller und das Gerätemodell, die Betriebssystemversion, Telefonnummer, den Standort, eine Liste der installierten Apps und die Unternehmens-E-Mails einsehen. Selbst wenn sie es wollten, könnten die Arbeitgeber jedoch weder private E-Mails noch SMS, Fotos, Videos, Sprachnachrichten und Webaktivitäten einsehen.

Die einzige Ausnahme davon ist der Daten-Traffic, der über das Unternehmensnetzwerk läuft.

 

family (Bild: MobileIron)Die Mitarbeiter der „Generation M“ haben weniger Probleme damit, dass Arbeitgeber private Informationen sehen

Anfang dieses Jahres veröffentlichte MobileIron eine Marktforschungsstudie, die eine neue statistische Zielgruppe am Arbeitsplatz identifizierte: die Generation Mobile oder „Gen M“. Zur „Gen M“ gehören mobile Mitarbeiter im Alter von 18–34 Jahren, die entweder männlich sind oder Kinder im Alter unter 18 Jahren im Haushalt haben, Mobiltechnologien stärker nutzen als die Bevölkerung allgemein und mit größerer Wahrscheinlichkeit private und berufliche Aktivitäten auf dem gleichen Mobilgerät sowohl am Arbeitsplatz als auch außerhalb des Arbeitsplatzes kombinieren.

Überraschend war die Tatsache, dass die Generation Mobile deutlich weniger Probleme damit hatte, dass ihr Arbeitgeber private Informationen auf dem Mobilgerät sehen kann, als Mitarbeiter, die nicht zu dieser Gruppe gehören. Von den Mitarbeitern der „Gen M“ störte es 62 % nicht, dass ihr Arbeitgeber private Informationen auf ihren Mobilgeräten sieht, dagegen 51 % der Mitarbeiter, die nicht zu dieser Gruppe gehören. Ein Grund dafür könnte sein, dass diese Gruppen stärker Social Media auf Mobilgeräten nutzen als andere Gruppen. Nach Angaben des Pew Research Center nutzen 67 % der Mobiltelefonbesitzer im Alter von 18–29 und 50 % der Mobiltelefonbesitzer im Alter von 30–49 Jahren ihre Mobilgeräte für Social Media. Dies überlappt sich mit den statistischen Angaben der „Gen M“. Man kann daraus schlussfolgern, dass die „Generation Mobile“ weniger Probleme damit hat, wenn der Arbeitgeber private Daten sieht, weil sie bereits viele private Daten in öffentlichen und halb öffentlichen Foren teilt.

 

Definieren Sie klare und logische Richtlinien

Da Menschen ihre Mobilgeräte sowohl für private als auch für berufliche Zwecke nutzen, erfordert Mobiltechnologie mehr Kommunikation zum Thema Datenschutz mit Mitarbeitern als jede andere Technologie im Unternehmen. Die Arbeitgeber sollten nicht nur ausführlich erläutern, welche Informationen sie sehen können, sondern auch, welche Informationen sie nicht sehen können. Darüber hinaus sollten die Arbeitgeber beschreiben, welche Maßnahmen der Arbeitgeber für die Informationen auf dem Mobilgerät ergreifen kann. Nicht zuletzt sollten die Arbeitgeber erklären, warum sie Informationen, auf die sie zugreifen können, einsehen oder bearbeiten müssen.

Beispiel 1: Ein Arbeitgeber muss möglicherweise wissen, ob ein Mitarbeiter sein Telefon außerhalb des Landes verwendet, um Roaming-Warnmeldungen zu versenden, sodass keine hohen Datenübertragungsgebühren anfallen können.

Beispiel 2: Zum Schutz von Unternehmensdaten kann der Arbeitgeber den Zugriff eines Mobilgeräts auf das Unternehmensnetzwerk sperren, wenn die EMM-Plattform des Arbeitgebers einen Jailbreak oder eine andere Gefährdung des Geräts erkennt.

 

Kommunizieren Sie mit den Mitarbeitern verständlich

Sobald ein Arbeitgeber Richtlinien definiert und Maßnahmen für das Gerät eines Arbeitnehmers festgelegt hat, muss er diese Information den Mitarbeitern verständlich vermitteln. Manche Unternehmen benötigen einen offiziellen Servicevertrag. Die Informationen über den Datenschutz der Mitarbeiter sollten jedoch davon getrennt und in einer Sprache formuliert sein, die alle Mitarbeiter verstehen.

 

Machen Sie Informationen zum Datenschutz für die Mitarbeiter an prominenter Stelle auffindbar

Es hat sich bewährt, diese Informationen dort zu präsentieren, wo die Mitarbeiter am ehesten daran denken, beispielsweise wenn sie die EMM-Lösung aktivieren und ihr Gerät konfigurieren. Das heißt, Sie könnten beispielsweise einen Popup-Bildschirm ähnlich wie bei beliebten Produktivitäts-Apps wie Evernote und Dropbox anzeigen oder die Informationen auf einer leicht auffindbaren Website ablegen.

 

Welche Rechte müssen Arbeitgeber haben?

Die meisten CIOs werden Ihnen bestätigen, dass sie eigentlich keinen Zugriff auf den privaten Content ihrer Mitarbeiter haben wollen. Was sie wollen, sind angemessene Kontrollen, die verhindern, dass Unternehmensinformationen verloren gehen oder gefährdet werden. Aus diesem Grund müssen die Arbeitgeber folgende Rechte besitzen:

Kontrolle des Datenzugriffs

  • Zugriff auf das Unternehmensnetzwerk
  • Unternehmens-E-Mails und Unternehmens-Dateianhänge
  • Kontrolle der Unternehmensdokumente, die in Apps oder Cloud Repositories gespeichert sind
  • Kontrolle des Browser-Traffics für Unternehmens-Websites, Intranets usw.

Kontrolle der Integrität der App

  • Verhinderung eines Verbindungsaufbaus mit Unternehmensressourcen durch nicht autorisierte Apps

Durchsetzung des Verhaltenskodex

  • Kontrolle der Einhaltung des Verhaltenskodex zur Nutzung der Technik durch die Mitarbeiter. Das könnte beispielsweise eine Sperrung des Zugriffs auf das Unternehmensnetzwerk für Geräte mit Glücksspiel-Apps oder Passwort-Spoofing-Apps bedeuten.

Speichern Sie Daten, die für eine Klage relevant sind, und sichern Sie den Zugriff darauf

  • Mitarbeiter müssen verstehen, dass alle E-Mails, die über die E-Mail-Server des Unternehmens versendet oder empfangen werden, aus juristischen Gründen gespeichert werden.

 

Neue Datenschutzkontrollen auf Betriebssystemebene jetzt verfügbar

Die mobilen Betriebssysteme haben sich seit der ersten Umfrage zur Vertrauenslücke 2013 weiterentwickelt. Apple, Google und Microsoft erkennen, dass fast jedes Mobilgerät sowohl privat als auch beruflich genutzt wird und es daher genauso wichtig ist, den Datenschutz der Benutzer zu gewährleisten wie den Schutz der Unternehmensdaten. Infolgedessen gibt es jetzt mehrere wichtige Datenschutzfunktionen, die Arbeitgeber auf Betriebssystemebene auf einer EMM-Plattform aktivieren können. Diese sind unter anderem:

Datenschutzkontrollen in Apple iOS

  • Per-App VPN: Über das Unternehmensnetzwerk wird nur Traffic der Unternehmens-Apps, nicht der privaten Apps übertragen.
  • Verwaltung der Öffnungsfunktion: Es kann verhindert werden, dass private Dokumente in Unternehmens-Apps und Unternehmensdaten in privaten Apps geöffnet werden.
  • Nur verwaltete Apps anzeigen: Verwaltete Apps sind die Apps, die ein Mitarbeiter über die EMM-Plattform des Unternehmens erhält. Die IT kann die privaten Apps ausblenden und nur die verwalteten Unternehmens-Apps auf dem Gerät anzeigen.
  • TouchID / Secure Enclave: Fingerabdruckdaten werden verschlüsselt, so dass keine Apps auf den aktuellen Fingerabdruck zugreifen können. Entwickler können zwar die TouchID anfordern, erhalten zur Authentifizierung jedoch nur eine Ja/Nein-Antwort. Sie erhalten keinen Zugriff auf die Anmeldeinformationen.
  • Gesundheitsinformationen, die in der HealthKit-Plattform von Apple erfasst werden, können weder von der IT noch von anderen Apps ohne explizite Genehmigung des Benutzers abgerufen werden.

Datenschutzkontrollen in Google Android for Work

  • Getrennte Anwendungscontainer: Mit Android for Work auf Android L und höher gibt es nun getrennte Container für berufliche und private Daten. Die Administratoren können entscheiden, ob die Benutzer Daten aus dem privaten Container in einen beruflichen Container verschieben können. Benutzer können keine Unternehmensdaten in den privaten Container verschieben.
  • App-VPN und Unterstützung für Split Tunneling: Diese Funktion erlaubt VPN-Verbindungen für spezifische Apps sowie pro Container und unterstützt ein geteiltes Tunneling, so dass nur arbeitsrelevanter Daten-Traffic verschlüsselt und über das VPN-Gateway gesendet wird.
  • App-Differenzierung: Zu Android for Work gehört eine Reihe sicherer, gekennzeichneter PIM-Apps, die den Mitarbeitern helfen sollen, private und berufliche Apps auf dem Gerät schnell zu identifizieren.
  • Verwalteter Chrome Browser: Die IT kann eine Abspeicherung der Browser-History deaktivieren.
  • App-Berechtigungen: Mit Android M erhalten die Benutzer eine Anfrage von einer App, die auf wichtige Teile des Geräts zugreifen will, beispielsweise Standortdaten, Kamera, Mikrofon, Kontakte, Telefon, SMS, Kalender und Sensor.

Datenschutzkontrollen in Windows 10

  • App-VPN: Erlaubt nur Unternehmens-Apps einen VPN, das heißt, private Apps auf dem Gerät können sich nicht mit dem Unternehmensnetzwerk verbinden.
  • Datenschutz für das Unternehmen: Unternehmensdaten werden geschützt, damit Unternehmensdaten nicht in privaten Apps gespeichert werden. Die Benutzer können dennoch private Daten in Unternehmensanwendungen öffnen.
  • Verwalteter Edge-Browser: Die IT kann den Edge-Browser so konfigurieren, dass die Browser-History nicht gespeichert wird.

 

Fazit

Seit MobileIron vor zwei Jahren erstmals die Umfrage zur Vertrauenslücke durchführte, wurden auf Betriebssystemebene von Apple, Google und Microsoft neue Technologien und Funktionen eingeführt, die die Arbeitgeber bei der Gewährleistung des Datenschutzes ihrer Mitarbeiter unterstützen. Die Unternehmen erhalten damit mehr und bessere Optionen, allerdings müssen sie sich auch über die Änderungen auf dem Laufenden halten. In einer Welt, in der Smartphones und Tablets immer mehr sensible private Daten enthalten, dürfen die CIOs nicht vergessen, dass jedes Gerät sowohl privat als auch beruflich verwendet wird und müssen den Datenschutz für die Mitarbeiter genauso streng durchsetzen wie den Schutz der Unternehmensdaten.

Themenseiten: BYOD by MobileIron, MobileIron, Vertrauenslücke

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: