Aus dem Alltag der meisten Menschen ist das Smartphone nicht mehr wegzudenken. Morgens wird man vom Wecker des Geräts geweckt, schreibt schnell noch eine WhatsApp an Schatzi/Sohnemann/Mutti, und springt dann unter die Dusche, um dort über die wasserfesten Lautsprecher via Bluetooth die Musik-App abzuspielen. Auf dem Weg zur Arbeit ruft man noch schnell die letzten Börsennachrichten ab, fährt dank SmartHome die Heizung runter, die zu Hause noch auf voller Power brummt, weil man vergessen hat, sie auszuschalten. Abends auf dem Heimweg besorgt man noch die Sachen, die man im Laufe des Tages via Smartphone-Assistent auf die Einkaufsliste gesetzt hat, um im Anschluss an das Date erinnert zu werden, zu dem man sich natürlich mittels GPS lotsen lässt. Zum Tagesabschluss geht’s noch ins Fitnessstudio, dessen Auswertungsergebnisse dank SmartWatch direkt beim lokalen Sportschuhgeschäft, wahlweise direkt bei der Krankenkasse gespeichert werden. Oder hoffentlich doch nur auf dem Gerät?
Die Möglichkeiten dieser kleinen Wundercomputer sind scheinbar grenzenlos und ein Ende der Leistungsfähigkeit dieser Geräte ist noch lange nicht in Sicht. Kein Wunder, dass viele einen solchen Alleskönner auch im Unternehmen einsetzen möchten.
Als Unternehmen unterliegen Sie allerdings vielfachen rechtlichen Vorschriften, unter anderem denen der Datenschutz-Grundverordnung (DSGVO). Für die Frage, welche Smartphones rechtmäßigerweise im Unternehmen eingesetzt werden dürfen, spielt nicht zuletzt das Betriebssystem eine entscheidende Rolle. Hierbei spielen am Markt nur zwei Varianten eine Rolle – iOS von Apple und Android von Google. Bei der Beurteilung dieser Systeme wird man insbesondere zwei Betrachtungswinkel beleuchten müssen: einerseits die Sicherheit des Geräts, damit unplanmäßige Datenabflüsse weitestgehend ausgeschlossen werden können, andererseits aber auch mögliche planmäßige Datenabflüsse, die das Gerät per se vorsieht.
Strukturell unterscheiden sich die Betriebssysteme deutlich. Das Android-Betriebssystem ist im Kern ein Open-Source-Projekt, das jedermann Einsicht in die zu Grunde liegende Programmierung gewährt. Im Unterschied dazu hält Apple sein Betriebssystem iOS ausschließlich in den eigenen Händen und lässt sich nicht in die Karten gucken. Dadurch können Hacker sehr viel einfacher Sicherheitsschwachstellen unter Android ausfindig machen und ausnutzen als dies bei iOS möglich ist, da der Quellcode für iOS nicht öffentlich ist.
Ein weiteres potentielles Sicherheitsrisiko ist, dass es App-Herstellern sehr viel leichter gemacht wird, ihre Software bei Android im Play Store zu platzieren als dies im App Store von Apple der Fall ist. Apps, die in Apples App Store vertrieben werden wollen, durchlaufen ein strengeres Auswahlverfahren. Zudem werden die Zugriffsberechtigungen auf die Ressourcen des Geräts durch Apple restriktiver beäugt als dies bei Google der Fall ist. Dementsprechend ist es einfacher, im Play Store von Google Schadsoftware zu platzieren als im App Store von Apple.
Darüber hinaus gibt es Unterschiede in der Verbreitung von Software-Updates, die unter anderem auch dazu dienen, potentielle Sicherheitsschwachstellen zu schließen. Bei Android läuft dies sehr viel schleppender als bei iOS. Dadurch dass viele Smartphone-Hersteller oder Mobilfunkanbieter eigene Anpassungen am Kern-Betriebssystem von Android vornehmen, ist ein unmittelbares Durchreichen an die Endnutzer nicht möglich. Erst müssen die Anpassungen der Hersteller in das neue Update eingearbeitet werden, bevor es an alle verteilt werden kann. Dadurch bleiben mögliche Sicherheitslücken länger als notwendig offen und sind dann durch die Freigabe des Updates auch noch allgemein bekannt. Dadurch dass iOS lediglich auf Apple-Geräten betrieben wird und keine weiteren Instanzen zwischengeschaltet sind, kann die Verbreitung von Updates unmittelbar auf sämtliche Geräte ausgerollt werden. Insgesamt ist die Update-Rate des iOS-Betriebssystems ohnehin sehr viel höher als bei Android.
Auch aus Sicht der planmäßigen Datenabflüsse unterscheiden sich die Betriebssysteme wiederum strukturell. Das eigentliche Geschäftsmodell von Google ist die Sammlung möglichst vieler Nutzerdaten, um diese gewinnbringend zu verwerten. Nach einer Studie aus August 2018 funkt Android 10-mal öfter nach Hause (zu Google) als iOS [Fun-Fact am Rande: Google erhebt bei normalem Gebrauch sogar mehr Daten über iOS-Nutzer als Apple selbst].
Apple jedoch versucht weitestgehend, Dienste und Daten über das lokale Gerät abzuwickeln, wie beispielsweise Standort-Daten und Navigationsrouten, die bei Apple selbst lediglich mit einer zufälligen und damit nicht rückverfolgbaren Kennung verarbeitet werden. Auch intelligente Foto-Auswertungen finden auf dem Gerät selbst statt und nicht wie bei Google über die Server des Anbieters. Insgesamt finden viele der Verarbeitungsschritte mit zufälligen Kennungen statt und zudem voneinander unabhängig, so dass eine Zusammenführung der Daten technisch bedingt eingeschränkt ist.
Im Hinblick auf alle diese Aspekte ist mithin aus Datenschutz-Sicht für ein Unternehmen iOS der Vorzug zu geben.
Für beide Varianten gilt allerdings: sofern Cloud-Dienste der Anbieter genutzt werden sollen, um dort personenbezogene Daten zu speichern wie beispielsweise Adressbücher, Terminbücher und ähnliches, egal ob Google, Apple oder ein anderer Anbieter, bedarf es hierfür einer datenschutzrechtlichen Auftragsverarbeitungsvereinbarung. In dieser Vereinbarung sind grundlegende Regeln zum Umgang mit diesen Daten festgehalten, insbesondere das Verbot, die Daten für eigene Zwecke zu nutzen. Liegt diese nicht vor, kann der Cloud-Dienst nicht datenschutzkonform eingesetzt werden. Bei grenzüberschreitendem Datenaustausch sind zusätzliche Maßnahmen zum Datenschutz zu treffen.
Darüber hinaus gilt für beide Betriebssysteme, dass eine strikte Trennung zwischen geschäftlichen und privaten Daten stattzufinden hat. Wenn Sie private und geschäftliche Daten vermischen, werden Sie eine saubere Lösung niemals hinbekommen. Scheidet ein Mitarbeiter aus, werden entweder die privaten oder die geschäftlichen Daten kompromittiert.
Egal, welches Betriebssystem Sie letztendlich wählen, empfiehlt sich ein Mobile Device Management, mit dem Sie die Geräte zentral verwalten können, Updates zentral einspielen können, Sicherheitseinstellungen festlegen können und im Krisenfall die Geräte auch aus der Ferne zurücksetzen können. Ab zehn Geräten ist der Einsatz eines Mobile Device Managements unabdingbar. Bei einem geringeren Einsatz lässt sich statt eines MDM auch organisatorisch gegensteuern. Zu empfehlen ist in jedem Fall eine Richtlinie für die betreffenden Mitarbeiter, die genau regelt, welche Apps genutzt werden dürfen, welche Passwort-Vorgaben einzuhalten sind, wie mit den Verbindungsmöglichkeiten des Geräts umzugehen ist, welche Verschlüsselungen zu verwenden sind, welche Updates von wem unter welchen Bedingungen aufgespielt werden dürfen oder müssen, und weitere sicherheitsrelevante Fragen geklärt werden können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mit der Frage beschäftigt, welche Grundeinstellungen vorgenommen werden sollten und was zu beachten ist bei der Einrichtung sowohl eines iOS-Geräts als auch eines Android-Geräts, hier finden Sie die entsprechenden Informationen:
Letzen Endes bringen die besten Sicherheitseinrichtungen nichts, wenn der Nutzer nicht für sicherheitskritische Belange sensibilisiert ist. Das größte Einfallstor für Durchbrechungen der Sicherheit ist derzeit der Mensch. Aus diesem Grunde empfehlen wir die Installation der App „Menschenverstand“ bei Ihren Mitarbeitern und regelmäßige Awareness-Maßnahmen.
Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH