MobiVisor-Blogreihe: Container-App oder MDM zur Datentrennung?
Der Einsatz mobiler Geräte in Unternehmen erfordert besondere Anforderungen, zum Beispiel in Bezug auf den Datenschutz. Angesichts verschiedener Nutzungsmodelle für mobile Geräte, wie BYOD oder CO-WP, ist es besonders wichtig, diese Anforderungen zu kennen und sicher umzusetzen.
Eine dieser Anforderungen besteht in der sauberen Datentrennung auf mobilen Geräten. Im folgenden Artikel zeigen wir Ihnen, welche Möglichkeiten es gibt und wie diese umgesetzt werden können.
Container-App: Einfach umzusetzen und anzuwenden
Eine Container-App beinhaltet alle Funktionen, die für das mobile Arbeiten im Unternehmen genutzt werden. Dazu gehören zum Beispiel File Sharing, Adressbücher, Kalender und E-Mails. Die App ist autorisiert, auf das Unternehmensnetzwerk zuzugreifen und in der Regel mit dem Unternehmensserver verbunden. Außerdem können zusätzliche Autorisierungsverfahren eingerichtet werden, z.B. die Identifikation mittels Fingerabdruck, wie man es auch von Banking-Apps kennt.
Der Vorteil liegt hier in der relativ einfachen Umsetzbarkeit, da das Unternehmen die Container-App einfach auf bereits vorhandene Geräte installieren lassen kann. Besonders praktisch ist dies, wenn private mobile Geräte – gemäß des BYOD-Modells – genutzt werden dürfen. Zu bedenken ist jedoch, dass diese Apps zwar datenschutzkonform sind, jedoch nicht auf das Betriebssystem zugreifen können und daher umfangreicheren Datenschutzbestimmungen nicht genügen.
Datentrennung per Mobile Device Management
Eine umfangreichere Variante für die Datentrennung im Vergleich zur Container-App stellt ein Mobile Device Management dar. Der grundlegende Unterschied besteht schon allein darin, dass ein Mobile Device Management (MDM) auf das Betriebssystem des mobilen Gerätes zugreifen kann.
Je nach Unternehmensanforderung gibt es unterschiedliche Möglichkeiten, eine Datentrennung zu erreichen, wobei es auch zwischen Apple- und Android-Geräten Unterschied gibt.
BYOD und CO-WP: Mischnutzung bei Android-Geräten
BYOD (Bring Your Own Device) bedeutet, dass die Nutzer*in ein bereits vorhandenes, privates Gerät auch beruflich verwenden darf. Der Vorteil für das Unternehmen liegt darin, dass kein neues Gerät angeschafft werden muss und die Bedienung bereits bekannt ist. Im Falle einer BYOD Nutzung lädt die Nutzer*in die Client-App des MDMs einfach herunter und meldet sich an. Es wird dann automatisch auf dem Gerät ein Container mit allen Arbeits-Apps, gekennzeichnet durch einen kleinen Koffer, erstellt. Das Gerät erscheint in der Geräteübersicht des MDM. Von dort können auf dem Arbeitsprofil Sicherheitsrichtlinien angewendet werden. Der MDM-Client kann jedoch jederzeit von der Nutzer*in entfernt werden.
Es muss also im Unternehmen eine klare Richtlinie in Bezug auf BYOD geben, da sonst auch rechtliche Konsequenzen drohen können. Um für Akzeptanz unter den Mitarbeitenden zu sorgen, sollten dringende Fragen zudem vorher erklärt werden, wie zum Beispiel: “Kann das MDM meine privaten Daten ausspionieren?”. In diesem Sinne ist das BYOD-Modell wohl am ehesten mit der Container-App zu vergleichen, wenn auch etwas umfangreicher in Bezug auf die anwendbaren Sicherheitsrichtlinien.
Eine weitere Möglichkeit, Geräte für die berufliche und private Nutzung einzurichten, ist das Company Owned – Work Profile (COWP) Modell. Hierbei stellt das Unternehmen ein Gerät bereit, welches dann so eingerichtet wird, dass zwei Profile auf diesem erscheinen. Hierfür stellt Android bei der Einrichtung die entsprechende Auswahlmöglichkeit bereit. Die Nutzer*in kann ohne Probleme zwischen den Profilen wechseln. Jedoch kann per MDM verfügt werden, dass geschäftliche Daten zum Beispiel nicht in den privaten Bereich übertragen werden dürfen usw. Der IT-Admin hat in diesem Modell den größten Spielraum in Bezug auf die Richtlinien des Arbeitsprofils. Der MDM-Client kann vom User außerdem nicht deinstalliert werden. Möchten Sie noch mehr erfahren?
Hier erklären wir das Container-Setup noch einmal ausführlich: IOTIQ auf YouTube.
Datentrennung auf Apple-Geräten: Möglich ohne Container-App!
Bei Apple-Geräten funktioniert die Datentrennung etwas anders, da es hier keinen Container oder zwei Profile auf dem Gerät gibt. Grundsätzlich unterstützt Apple eine Mischnutzung von Geräten für private und geschäftliche Belange nur bedingt, weswegen sich hier auch Nachteile ergeben können. Bei Apple-Geräten werden die Apps in “verwaltete” und “nicht verwaltete” Apps unterteilt. Systemapps erhalten innerhalb einer App zwei Profile, jedoch ist ein Datenaustausch auch hier nicht möglich. Die Trennung zwischen den verwalteten und nicht verwalteten Apps erfolgt im Hintergrund. Die verwalteten Apps können dabei vom MDM, wie der Name schon sagt, verwaltet werden. Es kann zudem konfiguriert werden, ob die Nutzer*in über den App-Store unverwaltete Apps herunterladen darf oder nicht. Eine visuelle Trennung der beiden Bereiche im Sinne eines Containers gibt es bei Apple-Geräten nicht.
Das BYOD-Modell ist bei Apple-Geräten ebenfalls möglich. Dazu lädt sich die Nutzer*in wiederum die MDM-Client-App herunter und gewährt dem MDM einen beschränkten Zugriff auf das Gerät. Das Tutorial hierfür finden Sie hier: BYOD für iOS-Geräte.
Fazit
Um die rechtliche Sicherheit der privaten und geschäftlichen Nutzung von mobilen Geräten zu erlangen, sowie DSGVO-Richtlinien einzuhalten, ist die sachgerechte Trennung der Daten in geschäftliche und private Daten unerlässlich. Neben der Container-App gibt es dazu einige weitere Varianten, die sich mithilfe eines MDMs umsetzen lassen. Letztlich müssen Unternehmen genau wissen, ob eine solche Mischnutzung überhaupt machbar und sinnvoll ist, oder ob nicht lieber vollständig für die Arbeit ausgerichtete Geräte besser zu ihren Bedürfnissen passen. Sind alle Voraussetzungen jedoch gegeben, kann die Nutzung nur eines Gerätes für private und berufliche Zwecke jedoch eine enorme Erleichterung und mehr Komfort bedeuten.
