Aus dem Alltag der meisten Menschen ist das Smartphone nicht mehr wegzudenken. Morgens wird man vom Wecker des Ger\u00e4ts geweckt, schreibt schnell noch eine WhatsApp an Schatzi\/Sohnemann\/Mutti, und springt dann unter die Dusche, um dort \u00fcber die wasserfesten Lautsprecher via Bluetooth die Musik-App abzuspielen. Auf dem Weg zur Arbeit ruft man noch schnell die letzten B\u00f6rsennachrichten ab, f\u00e4hrt dank SmartHome die Heizung runter, die zu Hause noch auf voller Power brummt, weil man vergessen hat, sie auszuschalten. Abends auf dem Heimweg besorgt man noch die Sachen, die man im Laufe des Tages via Smartphone-Assistent auf die Einkaufsliste gesetzt hat, um im Anschluss an das Date erinnert zu werden, zu dem man sich nat\u00fcrlich mittels GPS lotsen l\u00e4sst. Zum Tagesabschluss geht’s noch ins Fitnessstudio, dessen Auswertungs\u00adergebnisse dank SmartWatch direkt beim lokalen Sportschuh\u00adgesch\u00e4ft, wahlweise direkt bei der Krankenkasse gespeichert werden. Oder hoffentlich doch nur auf dem Ger\u00e4t?<\/p>\n
Die M\u00f6glichkeiten dieser kleinen Wundercomputer sind scheinbar grenzenlos und ein Ende der Leistungsf\u00e4higkeit dieser Ger\u00e4te ist noch lange nicht in Sicht. Kein Wunder, dass viele einen solchen Allesk\u00f6nner auch im Unternehmen einsetzen m\u00f6chten.<\/p>\n
Als Unternehmen unterliegen Sie allerdings vielfachen rechtlichen Vorschriften, unter anderem denen der Datenschutz-Grundverordnung (DSGVO). F\u00fcr die Frage, welche Smartphones rechtm\u00e4\u00dfigerweise im Unternehmen eingesetzt werden d\u00fcrfen, spielt nicht zuletzt das Betriebssystem eine entscheidende Rolle. Hierbei spielen am Markt nur zwei Varianten eine Rolle \u2013 iOS von Apple und Android von Google. Bei der Beurteilung dieser Systeme wird man insbesondere zwei Betrachtungs\u00adwinkel beleuchten m\u00fcssen: einerseits die Sicherheit des Ger\u00e4ts, damit unplanm\u00e4\u00dfige Datenabfl\u00fcsse weitestgehend ausgeschlossen werden k\u00f6nnen, andererseits aber auch m\u00f6gliche planm\u00e4\u00dfige Datenabfl\u00fcsse, die das Ger\u00e4t per se vorsieht.<\/p>\n
Strukturell unterscheiden sich die Betriebssysteme deutlich. Das Android-Betriebssystem ist im Kern ein Open-Source-Projekt, das jedermann Einsicht in die zu Grunde liegende Programmierung gew\u00e4hrt. Im Unterschied dazu h\u00e4lt Apple sein Betriebssystem iOS ausschlie\u00dflich in den eigenen H\u00e4nden und l\u00e4sst sich nicht in die Karten gucken. Dadurch k\u00f6nnen Hacker sehr viel einfacher Sicherheits\u00adschwachstellen unter Android ausfindig machen und ausnutzen als dies bei iOS m\u00f6glich ist, da der Quellcode f\u00fcr iOS nicht \u00f6ffentlich ist.<\/p>\n
Ein weiteres potentielles Sicherheits\u00adrisiko ist, dass es App-Herstellern sehr viel leichter gemacht wird, ihre Software bei Android im Play Store zu platzieren als dies im App Store von Apple der Fall ist. Apps, die in Apples App Store vertrieben werden wollen, durchlaufen ein strengeres Auswahlverfahren. Zudem werden die Zugriffs\u00adberechtigungen auf die Ressourcen des Ger\u00e4ts durch Apple restriktiver be\u00e4ugt als dies bei Google der Fall ist. Dementsprechend ist es einfacher, im Play Store von Google Schadsoftware zu platzieren als im App Store von Apple.<\/p>\n
Dar\u00fcber hinaus gibt es Unterschiede in der Verbreitung von Software-Updates, die unter anderem auch dazu dienen, potentielle Sicherheits\u00adschwachstellen zu schlie\u00dfen. Bei Android l\u00e4uft dies sehr viel schleppender als bei iOS. Dadurch dass viele Smartphone-Hersteller oder Mobilfunkanbieter eigene Anpassungen am Kern-Betriebssystem von Android vornehmen, ist ein unmittelbares Durchreichen an die Endnutzer nicht m\u00f6glich. Erst m\u00fcssen die Anpassungen der Hersteller in das neue Update eingearbeitet werden, bevor es an alle verteilt werden kann. Dadurch bleiben m\u00f6gliche Sicherheitsl\u00fccken l\u00e4nger als notwendig offen und sind dann durch die Freigabe des Updates auch noch allgemein bekannt. Dadurch dass iOS lediglich auf Apple-Ger\u00e4ten betrieben wird und keine weiteren Instanzen zwischen\u00adgeschaltet sind, kann die Verbreitung von Updates unmittelbar auf s\u00e4mtliche Ger\u00e4te ausgerollt werden. Insgesamt ist die Update-Rate des iOS-Betriebssystems ohnehin sehr viel h\u00f6her als bei Android.<\/p>\n
Auch aus Sicht der planm\u00e4\u00dfigen Datenabfl\u00fcsse unterscheiden sich die Betriebssysteme wiederum strukturell. Das eigentliche Gesch\u00e4ftsmodell von Google ist die Sammlung m\u00f6glichst vieler Nutzerdaten, um diese gewinnbringend zu verwerten. Nach einer Studie aus August 2018<\/a> funkt Android 10-mal \u00f6fter nach Hause (zu Google) als iOS [Fun-Fact am Rande: Google erhebt bei normalem Gebrauch sogar mehr Daten \u00fcber iOS-Nutzer als Apple selbst].<\/p>\n Apple jedoch versucht weitestgehend, Dienste und Daten \u00fcber das lokale Ger\u00e4t abzuwickeln, wie beispielsweise Standort-Daten und Navigationsrouten, die bei Apple selbst lediglich mit einer zuf\u00e4lligen und damit nicht r\u00fcckverfolgbaren Kennung verarbeitet werden. Auch intelligente Foto-Auswertungen finden auf dem Ger\u00e4t selbst statt und nicht wie bei Google \u00fcber die Server des Anbieters. Insgesamt finden viele der Verarbeitungs\u00adschritte mit zuf\u00e4lligen Kennungen statt und zudem voneinander unabh\u00e4ngig, so dass eine Zusammenf\u00fchrung der Daten technisch bedingt eingeschr\u00e4nkt ist.<\/p>\n Im Hinblick auf alle diese Aspekte ist mithin aus Datenschutz-Sicht f\u00fcr ein Unternehmen iOS der Vorzug zu geben.<\/p>\n F\u00fcr beide Varianten gilt allerdings: sofern Cloud-Dienste der Anbieter genutzt werden sollen, um dort personenbezogene Daten zu speichern wie beispielsweise Adressb\u00fccher, Terminb\u00fccher und \u00e4hnliches, egal ob Google, Apple oder ein anderer Anbieter, bedarf es hierf\u00fcr einer datenschutz\u00adrechtlichen Auftragsverarbeitungs\u00advereinbarung. In dieser Vereinbarung sind grundlegende Regeln zum Umgang mit diesen Daten festgehalten, insbesondere das Verbot, die Daten f\u00fcr eigene Zwecke zu nutzen. Liegt diese nicht vor, kann der Cloud-Dienst nicht datenschutzkonform eingesetzt werden. Bei grenz\u00ad\u00fcberschreitendem Datenaustausch sind zus\u00e4tzliche Ma\u00dfnahmen zum Datenschutz zu treffen.<\/p>\n Dar\u00fcber hinaus gilt f\u00fcr beide Betriebssysteme, dass eine strikte Trennung zwischen gesch\u00e4ftlichen und privaten Daten stattzufinden hat. Wenn Sie private und gesch\u00e4ftliche Daten vermischen, werden Sie eine saubere L\u00f6sung niemals hinbekommen. Scheidet ein Mitarbeiter aus, werden entweder die privaten oder die gesch\u00e4ftlichen Daten kompromittiert.<\/p>\n Egal, welches Betriebssystem Sie letztendlich w\u00e4hlen, empfiehlt sich ein Mobile Device Management, mit dem Sie die Ger\u00e4te zentral verwalten k\u00f6nnen, Updates zentral einspielen k\u00f6nnen, Sicherheits\u00adeinstellungen festlegen k\u00f6nnen und im Krisenfall die Ger\u00e4te auch aus der Ferne zur\u00fccksetzen k\u00f6nnen. Ab zehn Ger\u00e4ten ist der Einsatz eines Mobile Device Managements unabdingbar. Bei einem geringeren Einsatz l\u00e4sst sich statt eines MDM auch organisatorisch gegensteuern. Zu empfehlen ist in jedem Fall eine Richtlinie f\u00fcr die betreffenden Mitarbeiter, die genau regelt, welche Apps genutzt werden d\u00fcrfen, welche Passwort-Vorgaben einzuhalten sind, wie mit den Verbindungs\u00adm\u00f6glichkeiten des Ger\u00e4ts umzugehen ist, welche Verschl\u00fcsselungen zu verwenden sind, welche Updates von wem unter welchen Bedingungen aufgespielt werden d\u00fcrfen oder m\u00fcssen, und weitere sicherheits\u00adrelevante Fragen gekl\u00e4rt werden k\u00f6nnen.<\/p>\n Das Bundesamt f\u00fcr Sicherheit in der Informations\u00adtechnik (BSI) hat sich mit der Frage besch\u00e4ftigt, welche Grund\u00adeinstellungen vorgenommen werden sollten und was zu beachten ist bei der Einrichtung sowohl eines iOS-Ger\u00e4ts als auch eines Android-Ger\u00e4ts, hier finden Sie die entsprechenden Informationen:<\/p>\n Letzen Endes bringen die besten Sicherheits\u00adeinrichtungen nichts, wenn der Nutzer nicht f\u00fcr sicherheits\u00adkritische Belange sensibilisiert ist. Das gr\u00f6\u00dfte Einfallstor f\u00fcr Durchbrechungen der Sicherheit ist derzeit der Mensch. Aus diesem Grunde empfehlen wir die Installation der App \u201eMenschenverstand\u201c bei Ihren Mitarbeitern und regelm\u00e4\u00dfige Awareness-Ma\u00dfnahmen.<\/p>\n Ass. iur. Nicole Krause Aus dem Alltag der meisten Menschen ist das Smartphone nicht mehr wegzudenken. Morgens wird man vom Wecker des Ger\u00e4ts geweckt, schreibt schnell noch eine WhatsApp an Schatzi\/Sohnemann\/Mutti, und springt dann unter die Dusche, um dort \u00fcber die wasserfesten Lautsprecher via Bluetooth die Musik-App abzuspielen. Auf dem Weg zur Arbeit ruft man noch schnell die letzten … <\/p>\n\n
\nJuristische Mitarbeiterin bei der GINDAT GmbH<\/p>\n","protected":false},"excerpt":{"rendered":"