RiLi-BYOD

Muster Richtlinie zur sicheren Integration privater Endgeräte (Smartphones, Tablets, Laptops) ins Unternehmensnetz. Vorgaben zu Verschlüsselung, MDM, Containerisierung & Compliance.

Mustervorlage: "Richtlinie für den Einsatz von Bring Your Own Device (BYOD)"

Einleitung

Bring Your Own Device (BYOD) eröffnet Mitarbeitenden große Flexibilität und steigert die Effizienz, indem sie ihre vertrauten und bewährten Smartphones, Tablets oder Laptops jederzeit und überall für Arbeitszwecke nutzen können. Durch den Wegfall fester Gerätezuweisungen lassen sich Anschaffungs- und Verwaltungskosten senken und die Mitarbeiterzufriedenheit erhöhen.

Gleichzeitig entstehen neue Angriffsflächen für unbefugten Datenzugriff, Malware-Verbreitung und Datenschutzverletzungen. Mit dieser Richtlinie stellen wir sicher, dass private Endgeräte nur unter klar definierten Bedingungen an die Unternehmensinfrastruktur angebunden werden. Du erfährst, welche Mindestanforderungen Geräte erfüllen müssen, wie Authentifizierung und Verschlüsselung umgesetzt werden und welche organisatorischen Maßnahmen (z.B. Mobile Device Management, Network Segmentation, Incident-Management) erforderlich sind, um die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit geschäftlicher Daten zu gewährleisten.

Ziel ist es, die Vorteile von BYOD optimal zu nutzen, ohne dabei die Sicherheits- und Datenschutzinteressen der Organisation zu gefährden. So ist ein flexibles, modernes Arbeiten möglich, das gleichzeitig den hohen Anforderungen an Informationssicherheit und Datenschutz entspricht.

Geltungsbereich

Diese Richtlinie gilt für alle Personen, die private oder organisationsfremde Endgeräte (Smartphones, Tablets, Laptops) für dienstliche Zwecke an unsere IT-Infrastruktur anbinden. Sie umfasst:

• Teilnehmende: Mitarbeitende, Führungskräfte und Auszubildende sowie externe Dienstleister mit BYOD-Zugang
• Geräte: Aktuelle iOS-, Android-, Windows- und macOS-Geräte
• Nutzung: Zugriff auf E-Mail, Intranet, Cloud- und Inhouse-Applikationen über drahtgebundene und drahtlose Netze
• Geltungsbereich: Weltweit, stationär und mobil

Ausgenommen sind Geräte, die ausschließlich zu Privatzwecken ohne jeglichen Zugriff auf Firmendaten eingesetzt werden.

Jeglicher Abgleich, Austausch oder Transfer von Unternehmensdaten auf privaten Endgeräten unterliegt den Bestimmungen dieser Richtlinie.

Zielsetzung

Diese Richtlinie hat das Ziel, die Vorteile von BYOD -Flexibilität, Kosteneinsparung und höhere Mitarbeiterzufriedenheit- zu nutzen, ohne die Sicherheit und den Datenschutz der Organisation zu gefährden. Sie legt verbindliche Vorgaben fest, um private Endgeräte sicher in die Organisationsinfrastruktur zu integrieren und dabei folgende Schutzziele sowie Anforderungen zu erfüllen:

• Vertraulichkeit: Schutz geschäftlicher und personenbezogener Daten auf privaten Geräten durch Verschlüsselung, Containerisierung und DLP-Maßnahmen.
• Integrität: Gewährleistung manipulationsfreier Systemzustände mittels Secure Boot, OS-Attestation und Code-Signing-Prüfungen.
• Verfügbarkeit: Sicherstellung des reibungslosen Zugriffs auf Unternehmensanwendungen durch Hochverfügbarkeits-MDM-Services, Offline-Modi und regelmäßige Backups.
• Risikominimierung: Einheitliche technische und organisatorische Maßnahmen (TOM) nach ISO/IEC 27001, BSI IT-Grundschutz und Art. 32 DSGVO zur Reduktion identifizierter Gefährdungen.
• Compliance & Verantwortlichkeiten: Klare Rollen und Prozesse für Registrierung, Betrieb, Audit und Incident-Management, um Rechts- und Normanforderungen dauerhaft nachzuweisen.

Gesetzliche Rahmenbedingungen

Auswahl der für die eigene Organisation verbindlichen Rehtsgrundlagen siehe Rechtsgrundlagen.

Datenschutz (DSGVO, BDSG)

Art. 32 DSGVO – Technische und organisatorische Maßnahmen (TOM)

Verantwortliche müssen ein dem Risiko angemessenes Schutzniveau gewährleisten, u. a. durch Verschlüsselung, Pseudonymisierung und Integritätsprüfungen.

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Alle BYOD-bezogenen Verarbeitungstätigkeiten (z. B. MDM-Prozesse, App-Logs) sind zu dokumentieren und den Aufsichtsbehörden auf Anforderung bereitzustellen.

BDSG – Ergänzende Maßnahmen

Zusätzlich zu Art. 32 DSGVO gelten für Verantwortliche des BDSG u. a. Vorgaben zu Zutritts- und Zugriffskontrollen auf datenschutzrelevante Systeme.

Verantwortlichkeiten

Geschäftsführung / Management

Verantwortet die Freigabe und Budgetierung der BYOD-Initiative, definiert strategische Ziele und genehmigt diese Richtlinie.

IT-Abteilung

Implementiert und betreibt Mobile Device Management (MDM), stellt Netzwerksegmentierung bereit und definiert Zugriffskonzepte für private Endgeräte.

Datenschutzbeauftragte (DSB)

Berät zu DSGVO-Konformität, bewertet technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO und überprüft die Dokumentation.

Endnutzer / Mitarbeitende

Halten die Richtlinie ein, konfigurieren Geräte gemäß Anweisungen, melden Sicherheitsvorfälle unverzüglich an die IT-Abteilung.

Nutzungsszenarien

Erlaubte Nutzung

• Zugriff auf E-Mail und Kalender über containerisierte Apps gemäß MDM-Vorgaben.
• VPN-Verbindung zum Intranet und zu Cloud-Diensten mittels Single Sign-On (SSO).
• Geschäftliche Dokumentenbearbeitung in abgesicherten Mobil-Apps mit Data-Leak-Prevention (DLP).

Eingeschränkte bzw. untersagte Nutzung

• Dateiübertragungen via USB oder unkontrollierte Speicherkarten im Organisationsnetz.
• Nutzung ungesicherter öffentlicher WLANs ohne aktiven VPN-Client.
• Installation nicht genehmigter Apps innerhalb des Unternehmenscontainers oder Umgehung von MDM-Kontrollen.

3.1 Datenschutz (DSGVO, BDSG)

Art. 32 DSGVO – Technische und organisatorische Maßnahmen (TOM)

Verantwortliche müssen ein dem Risiko angemessenes Schutzniveau gewährleisten, u. a. durch Verschlüsselung, Pseudonymisierung und Integritätsprüfungen EUR-Lex.

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Alle BYOD-bezogenen Verarbeitungstätigkeiten (z. B. MDM-Prozesse, App-Logs) sind zu dokumentieren und den Aufsichtsbehörden auf Anforderung bereitzustellen Wikipedia – Die freie Enzyklopädie.

BDSG – Ergänzende Maßnahmen

Zusätzlich zu Art. 32 DSGVO gelten für Verantwortliche des BDSG u. a. Vorgaben zu Zutritts- und Zugriffskontrollen auf datenschutzrelevante Systeme Wikipedia – Die freie Enzyklopädie.

3.2 Informationssicherheitsnormen

ISO/IEC 27001 A.6.2 – Mobilgeräte-Policy

Es ist eine verbindliche Richtlinie zu mobilen Endgeräten zu erstellen, in der Sicherheitsanforderungen und Verantwortlichkeiten definiert sind committee.iso.org.

ISO/IEC 27001 A.8.1 – Asset Management

Privat genutzte Endgeräte, die auf Unternehmensressourcen zugreifen, sind als Informationswerte zu inventarisieren und zu klassifizieren ISO.

BSI IT-Grundschutz

• SYS.3.2.1 Allgemeine Smartphones und Tablets: Vorgabe von Schutzmaßnahmen gegen Schadprogramme und unerlaubte App-Installationen BSI.
• SYS.3.2.2 Mobile Device Management (MDM): Zentralisierte Verwaltung, Compliance-Checks, Remote-Wipe und Containerisierung BSI.

Gefährdungsanalyse und Risikobewertung

Identifikation von Gefährdungen

Technische Gefährdungen

1. Malware und Schadsoftware
   • Installation von Trojanern, Keyloggern oder Ransomware über inoffizielle App-Stores oder bösartige Links.
2. Netzwerkbasierte Angriffe
   • Man-in-the-Middle (MitM) in offenen WLANs ohne aktiven VPN-Client.
   • DNS-Hijacking oder Rogue-Access-Points, die vertrauliche Daten abgreifen.
3. Geräteverlust und Diebstahl
   • Unzureichende Verschlüsselung oder fehlende Auto-Lock-Funktion führt zu unbefugtem Zugriff.
   • Fehlendes Remote-Wipe-Setup erschwert das Löschen sensibler Daten nach Verlust.
4. Unsichere Konfigurationen
   • Schwache Passwörter/PINs, deaktivierte Betriebssystem-Updates oder unsachgemäße Geräte-Backups.
5. Schwachstellen in Betriebssystem und Apps
   • Verzögerte oder ausbleibende Sicherheits-Patch-Zyklen erlauben Exploits (z. B. Zero-Day).

Organisatorische Gefährdungen

1. Shadow IT
   • Nutzung nicht genehmigter Apps und Cloud-Dienste außerhalb der MDM-Kontrolle.
2. Menschliches Fehlverhalten
   • Weitergabe von Passwörtern, unachtsames Öffnen von Phishing-Links oder unautorisierte Installation von Software.
3. Unklare Verantwortlichkeiten
   • Verwirrung, wer bei Sicherheitsvorfällen oder bei der Geräte-Deprovisionierung zuständig ist.
4. Unzureichende Schulung
   • Fehlendes Bewusstsein für BYOD-Risiken senkt die Compliance-Rate und erhöht Fehleranfälligkeit.

Rechtliche und Datenschutz-Risiken

1. Verletzung von Datenschutzvorgaben
   • Speicherung personenbezogener Daten in unverschlüsselten oder nicht DSGVO-konformen Apps.
2. Unklare Datenhoheit
   • Konflikte bei Zugriff von Aufsichtsbehörden auf privat gespeicherte Unternehmensdaten.
3. Rechtsverletzungen durch Dritte
   • Externer Zugriff auf betriebsinterne Informationen durch kompromittierte Endgeräte.

Prozess- und Lieferketten-Risiken

1. Abhängigkeit von MDM-Anbieter
   • Ausfall oder Sicherheitslücke im MDM-Dienst beeinträchtigt alle BYOD-Geräte.
2. Lieferkettensicherheit
   • Manipulationen oder Hardware-Backdoors bei zugekauften Geräten.
3. Support- und Patch-Management
   • Verzögerte OS- oder App-Updates durch fehlende organisatorische Prozesse.

Risikobewertung

Alle Risiken duch den Einsatz von BYOD in der Organisation müssen regelmäßig (jährlich) im Rahmen einer Risikoanalyse ermittelt und bewertet werden.

Anforderungen an private Geräte

Zulässige Gerätetypen und Mindestanforderungen

Es werden nur Geräte zugelassen, die folgende Bedingungen und Mindestanforderungen erfüllen:

Unterstützte Betriebssysteme

• iOS ab Version 16 oder höher
• Android ab Version 13 oder höher
• Windows 11 Pro/Enterprise oder höher
• Geräte mit nicht mehr unterstützten oder unsicheren OS-Versionen werden vom BYOD-Programm ausgeschlossen.

Hardware-Mindestanforderungen

• Prozessor und Speicherausstattung gemäß der erpfohlen Mindestausstattung der Hersteller des verwendeten Betriebssystems.
• Geräteverschlüsselung unterstützt (FIPS-zertifizierte Module empfohlen)
• TPM 2.0 oder Secure Enclave für Schlüsselverwaltung

Sicherheitskonfigurationen auf Endgeräten

Die folgende Sicherheitskonfigurationen müssen an den genutzt Geräten aktiviert sein:

• Geräteverschlüsselung: Vollständige Verschlüsselung aller lokalen und externen Speichermedien – mindestens AES-256.
• Authentifizierung:
  • Mindestens 6-stelliger PIN oder Kennwort mit alphanumerischen Zeichen
  • Biometrische Entsperrung (Fingerprint, FaceID) nur in Kombination mit PIN/Kennwort
• Auto-Lock & Löschung:
  • Automatische Gerätesperre nach max. 5 Minuten Inaktivität
  • Nach 10 Fehlversuchen automatisches Löschen aller Daten
• OS- und App-Updates:
  • Automatische Installation von Betriebssystem- und Sicherheitsupdates
  • Genehmigte Business-Apps nur aus offizieller Enterprise-App-Store-Umgebung
• Daten-Leak-Prevention (DLP):
  • Verhindere Copy/Paste und Screenshots für sensible Business-Container.
  • Blockieren unautorisierte Freigabe per Share-Sheet in offenen Apps.
• Secure Boot & OS-Attestation:
  • Setzen auf Hersteller-Mechanismen (z.B. Android SafetyNet Attestation, iOS Secure Enclave) zur Prüfung der Geräteintegrität vor Registrierung im MDM.
• Code-Signing-Prüfung:
  • Nur Apps mit gültigem Unternehmenszertifikat dürfen im Container installiert oder ausgeführt werden.

Mobile Device Management (MDM/EMM)

Enrollment und Compliance-Prüfung

• Alle BYOD-Geräte müssen über das zentrale MDM-Portal registriert werden.
• Compliance-Regeln (Verschlüsselung, PIN-Policy, OS-Version) werden bei jedem Verbindungsaufbau geprüft.

Containerisierung und App-Management

• Geschäftliche Daten und Apps laufen ausschließlich in separaten, verschlüsselten Containern.
• Whitelist/Blacklist von Apps: Nur geprüfte Anwendungen dürfen installiert werden.

Remote-Wipe und Geräte-Deprovisionierung

• IT kann bei Verlust/Diebstahl oder bei Beendigung der Beschäftigung selektiv Container oder das gesamte Gerät löschen.
• Rückgabeprozedur: Mitarbeitende quittieren die Durchführung des Wipes schriftlich.

Backup & Wiederherstellung:

• Automatisches, verschlüsseltes Backup der Container-Daten in die unternehmenseigene Cloud.
• Verfahren zur schnellen, automatisierten Wiederherstellung bei Gerätewechsel oder -verlust.

Offline-Modus / Notfallzugriff:

• Definiere einen abgesicherten Notfall-Modus, der Mitarbeitenden temporär Lesezugriff auf lokal gecachte, verschlüsselte Dateien ermöglicht, wenn der MDM-Server nicht erreichbar ist.

High-Availability & SLA:

• MDM-Infrastruktur muss eine Verfügbarkeit ≥ 99,5 % aufweisen; dokumentierte Prozesse für Ausfall- und Wiederanlaufzeiten.

Organisatorische IT-Sicherheitsmaßnahmen

Netzwerksegmentierung und Zugriffskontrollen

• VLAN-basiertes Segment: BYOD-Geräte werden automatisch in ein dediziertes VLAN für unbekannte oder persönliche Endgeräte geleitet.
• Zero-Trust-Prinzip:
  • Authentifiziere und autorisiere jede Verbindung individuell
  • Mikrosegmentierung sensibler Ressourcen (z. B. Finanz- und HR-Systeme)
• Multi-Factor Authentication (MFA):
  • Zweistufige Authentifizierung für alle VPN-, Cloud- und Intranet-Zugriffe
  • Push-Basierte Bestätigung über Smartphone-Authenticator oder Hardware-Token

Monitoring und Incident-Management

• Logging & SIEM-Integration
  • Zentralisiertes Log-Management aller BYOD-Verbindungen und Container-Aktivitäten
  • Automatisierte Alarmierung bei Policy-Verstößen (z. B. Installation unerlaubter Apps)
• Regelmäßige Audits und Penetrationstests
  • Halbjährliche technische Überprüfung der MDM-Compliance und Netzwerksegmentierung
  • Mindestens jährlicher Pen-Test unter Einbezug einer BYOD-Domaine
• Vorfall- und Eskalationsprozess
  • Meldepflicht: Mitarbeitende melden Sicherheitsvorfälle binnen 4 Stunden an die IT-Security
  • Eskalationsstufen:
    1. IT-Security nimmt Sofortmaßnahmen (Containerschließung, Remote-Wipe)
    2. Management-Information bei potenziellen Datenlecks
    3. Dokumentation und Lessons-Learned in der incident response-Datenbank

Akzeptanz- und Nutzungsvereinbarung

Vor der Teilnahme am BYOD-Programm ist eine schriftliche Akzeptanz- und Nutzungsvereinbarung zu unterzeichnen. Diese regelt:

• die Freiwilligkeit der Teilnahme und das jederzeitige Widerrufsrecht durch die Nutzenden oder die Organisation,
• die Einwilligung in notwendige technische Maßnahmen wie Remote-Wipe, Containerisierung, Compliance-Überwachung und Geräteinventarisierung,
• die Verpflichtung, die sicherheitstechnischen und organisatorischen Vorgaben dieser Richtlinie einzuhalten,
• die datenschutzrechtlichen Hinweise, insbesondere zur Verarbeitung personenbezogener Daten auf dem Gerät,
• die Rechtsfolgen bei Verstößen, z. B. Entzug des Zugriffs oder disziplinarische Maßnahmen.

Die unterzeichnete Vereinbarung wird dokumentiert und bei Änderungen neu eingeholt.

Regelungen zur privaten Nutzung und Monitoring

Die private Nutzung des Geräts bleibt grundsätzlich erlaubt, sofern sie die dienstliche Nutzung nicht beeinträchtigt und keine Sicherheitsrisiken verursacht. Dennoch gelten klare Einschränkungen:

• Die Organisation überwacht keine privaten Inhalte, z. B. Fotos, private E-Mails, Browser-Verläufe oder App-Nutzung außerhalb des geschäftlichen Containers.
• Die geschäftlichen Daten und Applikationen befinden sich in einem logisch getrennten Bereich (Container), der vollständig der Kontrolle der Organisation unterliegt.
• Die Organisation behält sich vor, den Container zu überwachen, z. B. auf:
  • Richtlinienverstöße (z. B. Jailbreak, veraltetes OS),
  • fehlgeschlagene Authentifizierungsversuche,
  • ungewöhnliches Kommunikationsverhalten.
• Nutzende werden über alle Maßnahmen des technischen Monitorings transparent informiert (MDM-Dokumentation, Verfahrensbeschreibung).

Der Zugriff auf private Daten ist ausdrücklich ausgeschlossen. Remote-Löschungen erfolgen ausschließlich auf den geschäftlichen Container.

Onboarding, Offboarding und Support

Onboarding-Prozess

• Registrierung des Geräts über ein zentrales Formular/Portal,
• Prüfung der Gerätevoraussetzungen (OS-Version, Gerätezustand),
• Installation der MDM-Komponenten und Konfiguration des Sicherheitscontainers,
• Schulung oder Kurzanleitung zur Nutzung der BYOD-Umgebung,
• Unterzeichnung der Nutzungsvereinbarung.

Offboarding-Prozess

• Entzug der Zugriffsrechte (Konten, VPN, Apps),
• vollständige Entfernung des Containers und aller geschäftlichen Daten (Remote oder durch IT-Support),
• optional schriftliche Bestätigung durch die betroffene Person.

Support-Strukturen

• Zentrale Anlaufstelle (Service Desk) für BYOD-Probleme,
• Klarer Scope: Der Support bezieht sich ausschließlich auf den dienstlichen Teil (Container, MDM, Apps), nicht auf das gesamte Gerät,
• FAQ, Self-Service-Angebote und Schulungsunterlagen stehen online zur Verfügung.

Notfallmanagement und Business Continuity

BYOD-Geräte sind in das übergeordnete Notfallmanagement (gemäß Notfallhandbuch und BCM-Konzept der Organisation) eingebunden:

• Verfügbarkeit: Notfall-Zugriff auf kritische Anwendungen über alternative Zugangswege (z. B. Webportal), falls MDM-Infrastruktur ausfällt.
• Wiederherstellung: Daten im Container werden regelmäßig automatisch verschlüsselt gesichert (Cloud-Backup); im Notfall kann der Zugriff auf einem neuen Gerät wiederhergestellt werden.
• Verlust/Diebstahl: Schnelle Meldungspflicht an den IT-Support, sofortiger Remote-Wipe und Sperrung des Zugriffs.
• Kommunikation im Notfall: BYOD-Geräte können als sekundärer Kommunikationskanal dienen, sofern sie im BCM-Plan entsprechend erfasst sind.
• Test und Dokumentation: Notfallverfahren werden regelmäßig getestet und dokumentiert, BYOD-Szenarien sind in der Testplanung berücksichtigt.

Schulung und Audit

Schulung und Sensibilisierung

Mitarbeitende sollen die Risiken und Regelungen rund um BYOD verstehen, sicherheitsbewusst handeln und im Ernstfall korrekt reagieren. Zu diesem Zweck werden jährlich Schulungen zur Sicherheit von BYOD angebten.

Verantwortlichkeiten

• IT-Security-Team: Technische Durchführung der Schulungen, Monitoring der Teilnahme und Ergebnisse.
• Datenschutzbeauftragte/r: Überprüfung der Schulungsinhalte auf DSGVO-Konformität.
• Führungskräfte: Sicherstellung, dass alle Teammitglieder an Schulungen teilnehmen.

Audit und Compliance-Checks

Regelmäßige Überprüfung der Einhaltung aller technischen und organisatorischen BYOD-Anforderungen und Nachweis der Wirksamkeit im ISMS.

Interne Audits

• Audit-Intervall:
  • Technische Compliance-Checks (MDM, Container-Policy) vierteljährlich mittels automatisierter Tools (z. B. Runecast Analyzer) Secure and Compliant Workloads Anywhere.
  • Vollständiger ISMS-Audit inkl. BYOD-Themen im Rahmen der jährlichen internen Audits/Grundschutzchecks.
• Audit-Inhalte:
  • Überprüfung aller registrierten BYOD-Geräte auf OS-Version, Verschlüsselungsstatus und PIN-Policy.
  • Kontrolle der MDM-Reports: App-Whitelist/Blacklist, erfolgreiche Remote-Wipes, Compliance-Alerts.
  • Netzwerksegmentierungs- und MFA-Logs auf unautorisierte Zugriffsversuche.
• Dokumentation:
  • Audit-Checklisten und Befunde sind revisionsfest abzulegen.
  • Management-Summary mit Risiken, Abweichungen und empfohlenen Korrekturmaßnahmen.

Externe Audits / Zertifizierungen

Ggf. Beschreibung externer Audits z.B. nach BSI IT-Grundschutz oder ISO/IEC 27001-Zertifizierung.

Maßnahmen-Tracking und Management-Review

Beschreibung gemäß interner Vorgaben:

• KPI-Beispiele:
  • Anteil der geprüften BYOD-Geräte mit Verstößen gegen Mindestanforderungen.
  • Zeit bis zur Behebung kritischer Compliance-Funde.
  • Anzahl gemeldeter und behobener Sicherheitsvorfälle pro Quartal.
• Review-Zyklus:
  • Quartalsweise Bericht an das Management-Review im ISMS.
  • Anpassung der Richtlinie und technischer Maßnahmen basierend auf Audit-Ergebnissen und neuen Bedrohungen.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung