· 

Private Geräte im öffentlichen Dienst?

Schafft private IT für dienstliche Zwecke eine Win–Win Situation?

PDF Download:

Download
Dienstliche Nutzung von Privatgeräten
von Engelbert Ponemayr
UGÖD_Dienstliche Nutzung von Privatgera
Adobe Acrobat Dokument 157.2 KB

Private IT ist praktisch...

 

In einigen Dienststellen erlaubt der Dienstgeber die Nutzung privater IT-Geräte wie PC, Notebooks, Tablets und Smartphones zum Zugriff auf das dienstliche IT-System. Das geht im Allgemeinen mit großer Zustimmung der Bediensteten einher und erscheint als eine benutzerfreundliche Maßnahme mit Eignung zur Förderung der Mitarbeitermotivation. Doch ist das wirklich so? 

 

...aber fördert die Selbstausbeutung.

 

Aus Sicht der Bediensteten ist es zunächst fraglos vorteilhaft, wenn die dienstlichen Arbeiten ortsunabhängig und auf den aus der Freizeit gewohnten Geräten durchgeführt werden können. Sei das Lesen von Akten in der Bahn am Weg zum Dienst, sei es eine dringend erforderliche Genehmigung noch schnell vor dem Boarding am Flughafen – alles ist möglich. Zumindest bis man erkennt, dass der Weg von der Benutzerfreundlichkeit zur Selbstausbeutung ein sehr kurzer ist. 

 

Da die Dienstnehmer ihre eigenen und von ihnen geschätzten Geräte selbst mitbringen, erspart sich der Dienstgeber häufig Anträge auf teure Doppel- oder Zusatzausstattungen der Bediensteten. Offensichtlich also eine Win-Win Situation. 

 

Wer sorgt für die Sicherheit?

 

Allerdings sehen wir heute weltweit eine steigende Cyberbedrohung, die zunehmend auf das Agieren staatsnaher Gruppen sowie hochprofessionell agierender krimineller Organisationen zurückgeht. Betrachten wir also einmal die Sicherheitssituation: 

 

Ein gewisses Risiko besteht bei der Einbindung privater Geräte in das dienstliche Netzwerk ganz einfach deswegen, weil das private Verhalten der Nutzer etwa hinsichtlich des Aktualisierens des Systems durch regelmäßige Updates oder dessen Umgang mit „verdächtigen“ privaten Mails nicht vorhersehbar ist. Grundsätzlich erscheint dieses Risiko aber vielen Verantwortlichen als beherrschbar, auch wenn die Kosten der erforderlichen internen Schutzmaßnahmen den finanziellen Vorteil der Nutzung privater IT-Geräte zum Teil wieder zunichtemachen. 

 

Aktuelles Beispiel: Außenministerium

 

Die derzeitigen Vorgänge im Außenministerium sowie in der Vergangenheit bekannt gewordene Vorfälle im Ausland weisen aber auf eine ganz andere Gefahr hin: Das Netz des Dienstgebers könnte angegriffen werden. Beispielsweise waren von solchen Angriffen durch mutmaßliche staatliche oder staatsnahe Akteure der Deutsche Bundestag, die staatlichen Behörden in Estland insgesamt, die Stromversorgung in der Ukraine und mehrere Verteidigungsministerien von NATO-Staaten betroffen. Kriminelle Angreifer verschlüsselten die Rechner in der Verwaltung mehrerer Krankenhäuser (zumindest wurde öffentlich behauptet, dass Gesundheitsdaten und medizinische Systeme nicht betroffen gewesen seien). 

 

Cyberattacke: Auch private Geräte in Gefahr

 

Im Fall einer erfolgreichen Kompromittierung des IT-Systems eines Zieles sind selbstverständlich alle mit diesem Netz verbundenen Geräte potenzielle Ziele im Zuge der Weiterführung des Angriffs. Der Angreifer unterscheidet nicht zwischen den Geräten des Dienstgebers und den privaten Geräten von Mitarbeitern, die mit dem Netz verbunden sind. 

 

Wenn die Daten „nur“ verschlüsselt wurden, so kann man hoffen, dass die Problemlösung des Dienstgebers etwa durch eine erfolgreiche Entschlüsselung auch den privaten IT-Geräten zugutekommt und die privaten Daten gerettet werden. 

 

Was aber, wenn der Angriff so erfolgreich ist, dass eine Säuberung nur durch einen Experten des Dienstgebers erfolgen kann, das Gerät (samt Passwort natürlich) dazu Experten des Arbeitgebers übergeben werden muss? Vertrauen sie ihrem Dienstgeber ausreichend um ihm möglicherweise Einblick auf ihre Konten, ihr Wertpapierdepot, das Wallet für ihre Kryptowährung oder Zugriff auf ihre WhatsApp-Unterhaltungen oder ihre privaten Fotos zu geben? 

 

Private Daten weg

 

Und was passiert, wenn der Schaden so groß ist wie in Deutschland beim Angriff auf den Bundestag 2015, wo befürchtet wurde, dass alle Computer geschreddert und durch nagelneue Hardware ersetzt werden müssen? Wenn jegliche weitere Verwendung der privaten IT und die Nutzung der darauf befindlichen Daten mit fast absoluter Sicherheit zu weiteren Schäden an Hardware und Software Dritter führen wird? Wenn dadurch das Video von den ersten Schritten der Tochter, der Sponsion des Sohnes oder der goldenen Hochzeit der Eltern unwiederbringlich verloren ist? Wenn also ein ideeller zusätzlich zum materiellen Schaden für den Bediensteten entsteht? 

 

In den mir bekannten Nutzungsbestimmungen für den Zugriff auf Netze des Dienstgebers von privaten IT-Geräten sind für einen derartigen Fall keine Bestimmungen vorgesehen. 

 

Wer haftet?

 

Zuletzt bleibt auch noch die Frage der Anwendbarkeit des Organhaftpflichtgesetzes: Wird die dienstliche IT durch eine Schadsoftware geschädigt, welche auf das IT-Gerät von Bediensteten zurückverfolgt werden kann, so könnte jedenfalls dann eine Haftung vorliegen, wenn allgemein empfohlene Updates und sonstige zumutbare Sicherheitsmaßnahmen allgemeiner Art nicht umfänglich getroffen wurden. 

 

Solange aber weder die Risiken dargestellt und im Schadenfall die Tragung der Kosten der betroffenen Bediensteten durch den Dienstgeber zugesichert sind, rate ich als Personalvertreter im Dienststellenausschuss des Bundesministeriums für Landesverteidigung (BMLV) von der Nutzung privater IT-Geräte für dienstliche Zwecke entschieden ab, auch wenn der Dienstgeber dies anbietet.  

 

 

Copyright:

Obst Engelbert Ponemayr 

 

Engelbert Ponemayr ist im BMLV für die Planung im Bereich der IT-Systeme und systemnaher Software verantwortlich. Er ist Personalvertreter im Dienststellenausschuss des Bundesministeriums für Landesverteidigung (BMLV).