Liebe Hörerinnen und Hörer des Podcasts iPad4productivity,
ich freue mich sehr, dass Sie sich für den Gratis-Hörerservice angemeldet haben. Sollten Sie den Podcast für den produktiven Einsatz des iPads noch nicht abonniert haben, finden Sie ihn hier.
Sollten Sie auf einem anderen Weg auf diese Seite gekommen sein, können Sie sich hier für den Gratis-Hörerservice des Podcasts anmelden. Sie erhalten dann immer alle Zusatzinfos und Links zu den wöchentlich neu erscheinenden Episoden und weitere nützliche Tipps zur produktiven Nutzung des iPads.
Hier finden Sie den Gesamt-Themenplan des Podcasts inkl. der in den Episoden besprochenen Links und Trankripte zum Nachlesen.
Diese Woche geht es um das Theam exemplarische organisatorische Richtlinien.
Ich freue mich sehr über Ihr Feedback und Ihre Themenwünsche. Sie erreichen mich unter unter 030/44 0172 99 und t.jekel@jekelteam.de.
Herzlich produktive Grüße
Ihr
Hier finden Sie in der Episode angesprochene WLAN-Checkliste:
- Verschlüsselung mit …..2
- Den Namen des WLANs ändern
- nicht den eigenen Namen
- nicht den Namen der Box
- Den Schlüssel der Box ändern (nicht den aufgedruckten nehmen)
- Ein Gast-WLAN einrichten
- Das eigene WLAN und das Gast-WLAN verstecken
Hier das Transkript der Episode:
(Bitte wundern Sie sich nicht über die nicht schriftreife Sprache. Ich spreche die Podcast frei ein und erstelle daraus erst im Nachhinein das Transkript.)
Nachdem wir uns in den letzten drei Wochen des monatlichen Schwerpunkts ‚Organisatorische Richtlinien‘ mit der Frage beschäftigt haben, weshalb überhaupt, mit der Frage wie erstellen Sie sie, wir uns das Thema Privatnutzung angeguckt haben, schauen wir uns heute einmal exemplarische Richtlinien an, die ich bei Unternehmen, bei Banken, in Steuerkanzleien erfahrungsgemäß empfehle, beziehungsweise die auch eine lebende Sammlung ist, denn aus jedem Projekt gibt es immer wieder Erfahrungen, mit den diese Liste sich ergänzt. Wenn Sie diese Liste auch in schriftlicher Form haben wollen, überhaupt kein Problem, melden Sie sich einfach unter www.iPad4productivity.com zum Gratis-Hörerservice an und dann bekommen Sie den Link wo Sie auch die schriftliche Liste dieser Richtlinien für sich finden und dann auch für sich gerne weiter verwenden können.
Wir steigen ein und zwar gucken wir uns die Bereiche an: sichere Datenaufbewahrung, Datenzu- und Abfluß, Gerätezugriff, Internetzugang, Privatnutzung, Systemintegrität und letztendlich das Thema Haftung des Mitarbeiters.
Beginnen wir mit das Thema sichere Aufbewahrung. Hier ist natürlich einmal sehr wichtig, dass kein Zugriff von anderen Personen möglich ist. Da denkt man zunächst einmal erst an Dieben, an nicht bekannt Personen, das gilt aber auch genauso daran, wenn Familienmitglieder oder Freunde dort im Beraterumfeld, auch die sollten nicht auf ein solches Gerät zugreifen. Ich erzähle immer gerne das Beispiel einer privaten Geburtstagsparty, bei der meine Frau nicht eingeladen war und der Gastgeber hatte seinen iPad auf dem Stehtisch liegen, das hatte er verbunden mit der Stehanlage und der Gastgeber war gerade in einem anderen Raum. Und dann sagte einer der denjenigen, die an diesem Stehtisch mit uns standen, ah, kann jemand mal die Musik ändern, so richtig lecker ist die nicht. Und tippte drauf ein anderer und es ging nicht, weil ein Kennwort drauf war. Ich sagte mit jugendlichen Leichtsinn gibt 1234 ein, geht immer, whoop waren wir drauf. Ja, in dem Fall nur die Musik geändert, hätte natürlich aber auch andere Dinge machen können. Also deswegen, lassen Sie das Ding nicht im Auto liegen, gilt nicht nur für die heißen Temperaturen, die wir hier im Moment haben, sondern auch generell, das ist natürlich auch etwas was für einen schnellen Zugriff hier immer ermutigt also auch nicht, wenn Sie mal kurz rechts anhalten das Handy, was Sie als Navigation nutzen in dem Halter an dem Armaturenbrett lassen. Das sollte man nicht tun. Wenn Sie im Hotelzimmer sind, gehören diese Geräte auch in die Hotelssafes. Ich sage das aus zwei Perspektiven. Ich habe im letzten Jahr einen Vortrag in Montabaur gehalten und hatte dort auch schon morgens mich dazu gesetzt und merkte, oh, ich wollte doch noch ein zweites iPad aus dem Hotelzimmer holen um was später zu demonstrieren. In einer Pause bin ich runtergegangen in das Gebäude wo mein Zimmer war und wie ist der Zufall so mag, war das Zimmermädchen gerade dabei mein Zimmer aufzuräumen. Ich bin ganz entspannt zu der Dame hin und habe gesagt, lassen Sie sich nicht stören, das ist mein Zimmer ich habe mein iPad vergessen, bin an das Zimmer ran, da dort keine Zimmertresoren waren habe ich das aus meinem Koffer geholt, bin entspannt wieder rausgegangen und das wars. Hat die Dame kontrolliert, ob das mein Zimmer ist?! Ob ich derjenige bin, der dort Zugriff haben könnte oder nicht?! Nein, seriöses sicheres Auftreten hat völlig gereicht. Wenn wir das von der anderen Seite her sehen, wenn Sie beispielsweise nochmal frühstücken bevor Sie auschecken, wissen Sie, ob das Zimmermädchen wirklich das Zimmermädchen ist. Und ich bin relativ viel unterwegs und auch in größeren Hotels kann ich das nicht immer mit Sicherheit beantworten. Auf Messen und Veranstalltungen sollten diese Geräte immer durch technische Maßnahmen gesichert sein. Stichwort Kensington-Lock, Sie kennen ihn von PCs, solche Lösungen gibt es auch für iPads, damit die sich nicht ganz unkontrolliert vermehren. Dann ein ganz interessanter Hinweis, den ich von einem Bankkunden erhalten habe. Der hat mich darauf hingewiesen, dass Sie auch aufnehmen sollten, dass wenn Sie unterwegs anfallende dienstliche Materialien haben, also Ausdrücke die Sie ausdrucken, diese müssen sicher aufbewahrt werden oder beziehungsweise auch sicher entsorgt werden. Also der Risikobericht der Bank sollte bitte nicht einfach in der Papiertone des Bankvorstandes landen, sondern entweder dort fachgerecht entsorgt werden durch einen richtigen Schredder oder alternativ zur Entsorgung in die Bank oder das Unternehmen. Und natürlich umgehende Meldung bei Sperrung und Verlust.
Zum Thema Gerätezugriff, wenn jemand das Gerät in den Fingern hat, gehört natürlich das Thema Gerätekennwort. Die schlechte Nachricht ist, ein vierstlelliges Kennwort ist relativ leicht und schnell zu knacken. Die gute Nachricht ist, denken Sie nicht wie ein Computer, sondern denken Sie wie ein Mensch und damit erhöhen Sie die Sicherheit. Machen Sie es bitte nicht so, dass Sie Begriffe aus dem Duden nehmen für Kennwörter, das gibt sogenannte Dictionary-Artikel Attacke schnell hier, diese Wörter hier zu nehmen, sondern nehmen Sie einen Satz, der für Sie einen Sinn macht, den Sie gegebenenfalls immernoch abkürzen können und wo Sie noch eine Zahl mit integrieren, den können Sie sich relativ leicht merken und er ist recht schwer zu knacken. Wenn Sie Touch-IDs haben, nutzen Sie die zusätzlich, das ist eine gute Ergänzung, wenn Sie mal kurz zum einen das Gerät verlassen, zum zweiten auch im Gespräch, wenn Sie mit dem Kunden im Gespräch sind, drauf tippen, dann sieht der Kunde nicht, welche Geheimzahl Sie eingeben. Keine Folgen, keine Muster, Sie sollten auch darauf hinweisen, dass Touchscreens regelmäßig zu reinigen sind. Weil wenn mal bei dem Smartphone, es ist übrigens eine Schwäche von iOS, das hier die Ziffern nicht ändern, von der Reihenfolge, bei den meisten Android-Geräten verändert sich das Zahlenfeld, hier das immer Gleiches. Das können Sie, wenn das Gerät nicht regelmäßig sauber gemacht wird, relativ gut sehen. 1-2-3-4 beispielsweise hier die Zahlen, die eher genutzt werden. Das Gerät sollte bitte auch eine kurzfristige Gerätesperrung haben, beziehungsweise sollte dann eben bei Inaktivität sich automatisch relativ zeitnah sperren. Das sind Dinge, die Sie auch zum einen natürlich bis zu einem gewissen Grad technisch regeln können, auf der anderen Seite aber auch organisatorisch.
Nächster Part – Datenzu- und Abfluß. Woru geht es hier. Es geht darum, dass ein dienstliches iPad nich an einen privaten Rechner angeschlossen werden soll. Weil das haben Sie immer, Sie haben das Thema unkontrollierter Datenzufluß und in einem unternehmensfremden System unkontrollierten Datenabfluß. Auch keine bankfremden Festplatten, USB-Sticks und jetzt sagen Sie vielleicht, Moment mal, ich kriege doch an einen iPad doch gar keine USB-Sticks dran oder gar keine Festplatte. Die schlechte Nachricht ist, es gibt die Möglichkeit USB-Sticks anzuschließen, es gibt die Möglichkeit WLAN-Festplatten anzuschließen und glauben Sie nicht, dass nicht irgendwie ein Junior eines Mitarbeiters oder ein jüngerer Mitarbeiter auch auf die Idee kommt das zu herausfinden wie das geht, sondern gehen Sie proaktiv um. Ich sage meinen Teilnehmern, den Kunden, das geht. Und bitte lass die Finger davon, weil wir dort einfach keinerlei Kontrolle darüber haben, welche Daten zu- und abfließen und by-the-way, anknüpfend an die Episode von letzter Woche. Wir haben für euch ganz komfortable Wege wie Ihr auf eure dienstlichen Daten zugreifen könnt. Also auch kein Zugriff auf Cloud-Services über Apps, über Browser oder über Apps mit Cloud-Schnittstelle, sofern von dem Unternehmen nicht freigegeben. Kein Zugriff auf bankfremde Server, also über Dateimanagement-Apps, über native Möglichkeiten, über den Browser, über Apps mit Netzwerkschnittstelle. Das heißt hier, ich erlebe das immer wieder, da haben wir dann die Bankvorstände Zuhause so eine NAS von Wester Digital, so eine ‚Network-Attached-Storage‘ heißt das Ganze, also eine Netzwerkfestpatte und sagen wunderbar, da kann ich ja meine Dateien immer mitnehmen, yhm, die kann man einigermaßen sicher konfigurieren aber da bin ich denn auch wieder sehr pragmatisch, wenn das Ding dann irgendwo unter der Treppe beim Vorstand steht. Vertrauen Sie der Putzfrau? Wissen Sie ob der Maler nicht da auch nochmal drauf geguckt hat, den Sie im Hause waren als Sie nicht da waren. Also das Thema Zutrittskontrolle auch ein wichtiges Thema. Die Fotokamera abzuklemmen halte ich für etwas übertrieben. Es gibt Unternehmen wie Mercedes-Benz, die das so eingestellt haben, dass Sie die sogenannte Geo-Fencing-Funktion nutzen, das heißt, wenn Mitarbeiter in der Entwicklung arbeiten, dann ist die Kamera auf dem Werksgelände deaktiviert und sobald sie das Werksgelände verlassen, geht die Kamera wieder. Man kann das auch so einstellen, dass die Kamera beispielsweise während der Arbeitszeit deaktiviert ist. Und am Wochenende oder spät abends unter der Woche dann wieder funktioniert. Also das sind beide Möglichkeiten, aber was Sie auf alle Fälle per organisatorische Richtlinien regeln sollten, das mit der Fotokamera keine vertrauliche Dokumente abfotografiert werden sollten. Weil darüber geben Sie es auch raus. Jetzt sagen Sie, yeaaah, jetzt bist du wieder paranoid, da kann doch jeder fotografieren,… jaa, klar, trotzdem ist wichtig, wenn Sie einen Fall haben, dass jemand vertrauliche Dokumente fotografiert hat und Sie haben es in der Überlassungsvereinbarung drin stehen, dass das definitiv untersagt ist, dann haben Sie eine Handhabe, wenn Sie sich im schlimmsten Fall vor Arbeitsgericht irgendwo treffen. Also deswegen hier im Sinne von regeln Sie das in guten Zeiten, dann haben Sie in schlechten Zeiten weniger Stress damit und es sind auch von vornherein die Spieregeln klar, was für beide Seiten auch hilfreich ist zur Klarheit. Dann regeln Sie bitte im Bereich der Datenzu- und Abfluß, dass eine Bluetooth-Koppelung nur zur Freisprecheinrichtungen, Lautsprechern und Tastaturen möglich ist. Die schlechte Nachricht, im Bereich von iOS ist es so, dass Sie das nicht einschränken können. Hier können Sie nur sagen, Bluetooth ist Bluetooth, wenn Sie beispielsweise Samsung-Geräte im Unternehmen einsetzen, die haben die Safe-Erweiterungen. Hier können Sie sehr schön beispielsweise festlegen, dass Sie sagen, okay, Bluetooth darf hier beispielsweise nur verwendet werden für das Koppeln mit Freisprecheinrichtungen, aber nicht für das Austauschen von Daten. Da hat Samsung ausnahmsweise die Nase vorn.
Zum Thema Internetzugang, hier im Regelfall in der Zeit von Flatrates ist das Ganze ja eigentlich relativ unkritisch, aber es sind zwei Dinge auf die Sie achten sollten, zum einen bei Auslandsreisen ist teilweise das Thema Roaming immer auch noch eine Kostenfrage und hier einen kleinen Insider, den Haken auf dem Gerät, dass Roaming deaktiviert ist, dann sagen Sie, Moment mal, das kann ich doch per Mobile-Device-Management zentral setzen, diesen Haken, das Roaming nicht geht. Das ist richtig, aber das ist die einzige Einstellung, zumindest die einzige die ich kenne, die Sie auf dem Gerät ändern können, obwohl Sie sie zentral gesetzt haben. Die Idee von Apple ist, wenn Sie im Notfall dann doch irgendwann mal online gehen müssen, dann können Sie das in dem Fall tun. Das ist eine Funktion, die müssen Sie vielleicht nicht jedem Ihren Anwender mitteilen, aber zur Sicherheit einfach nochmal auch zu sagen, Leute, das Thema Roaming nur dienstlich und im Ausnahmefall.
Beim Thema WLANs ist es immer sehr wichtig, dass Sie darauf hinweisen, dass wenn über WLANs Datenzugriffe erfolgen, dass diese bitte nur in gesicherten WLANs dort erfolgen nur von vertrauenswürdigen Anbietern und wenn Sie nicht sicher sind beim Thema WLAN, das Sie dort einfach keine personenbezogene Daten, keine vertraulichen Daten dann über dieses WLAN übertragen. Auch bitte weisen Sie Ihre Mitarbeiter darauf hin, wie Ihr privates WLAN einzurichten ist. Also hier, wenn Sie dort Bedarf haben, können Sie von mir gerne eine Checkliste haben. Sichicken Sie mir einfach eine E-Mail auf t.jekel@jekelteam.de oder melden Sie sich zum Gratis-Hörerservice auf www.iPad4productivity.com an und dann finden Sie auch diese Checkliste zum Thema WLAN-Zugang. Also ganz wichtig, WLAN. Jeder, der ein WLAN zur Verfügung gestellt hat, hat technisch die Möglichkeit über eine sogenannte Man-in-the-Middle-Attacke alles mitzulesen, was Sie da so wunderschön über das WLAN machen. Deswegen nicht paranoid aber sensibel sein.
Nächster Block – Privatnutzung. Sie wissen ja ich bin ein Freund der kontrollierten Privatnutzung, wenn Sie eine private Apple-ID dort nutzen, dann soll die, aber darf bitte nur für private Medien genutzt werden. Also die Sychnronisation von Musik über Musik-Match oder Apple-Musik mittlerweile, das Kaufen oder Leihen von Medien im iTunes-Store. Ich empfehle mittlerweile einen relativ pragmatischen Ansatz und zwar, machen Sie das so, dass die stellenbezogene Firmen-Apple-IDs einrichten. Hierzu gibt es übrigens eine separate Episode im Rahmen dieses Podcasts, Sie können im Themenplan nochmal nachgucken. Und wenn jemand private Apps, private Mucke haben will, dann soll er sich einfach eine iTunes-Karte kaufen und dann werden diese Medien eben auch über diese Karte privat abgerechnet. Sie könnten technisch das sogar so machen, dass wenn ein Mitarbeiter das Unternehmen verlässt, dass er diese Lizenzen von ihm wieder zurück bekommt. Ich empfehle einfach das Pragmatischte und sage, Leute, wenn Ihr was privat macht, hole ich euch eine Karte, wenn sie ausscheiden ist es weg. Da gibt es Mitarbeiter, die sagen, kein Thema, dann ist es halt weg. Und es gibt die Mitarbeiter, die sagen, nö, sie machen es nicht und letztendlich haben die Mitarbeiter selbst die Entscheidung. Wichtiges Thema – sowas mit Betriebsrat und mit den Mitarbeiterinnen und Mitarbeitern im Vorfeld abstimmen und dann ist das ein pragmatischer Weg, der ganz gut funktioniert.
Thema private E-Mail-Konten. Ich empfehle immer ja, durchaus auch private E-Mail-Konten zuzulassen, aber stellen Sie es bitte vom Mobile-Device-Managementsystem so ein, dass Sie eine dienstliche E-Mail nicht über eine private E-Mail weiterleiten können. Wenn Sie es nur als Bank Accounts weiterleiten können, dann können Sie über die zentrale Archivierung und die Lock-Funktion über Lotus Notes oder beim Exchange im Regelfall nachvollziehen, wenn eine E-Mail auf eine private E-Mail weitergeleitet worden ist. Das können Sie nicht mehr, wenn das weiterleitet. Hier können Sie es im MDM, also im Mobile-Device-Managementsystem einrichten, trotzdem würde ich es zur Sicherheit auch nochmal per organisatorische Rahmenrichtlinie hier noch einmal definieren und auch nochmal sensibilisieren. Wichtig ist auch die Systeme ‚Bank und Privat‘ strikt zu trennen, also wo bei E-Mails als auch bei E-Mail-Anhängen oder bei Dateien. Ich empfehle es sogar so zu machen, dass Sie gar nicht nur verschiedene E-Mail-Konten einrichten, sondern dass Sie die dienstlichen E-Mails über den Standard-E-Mail-Account machen und für die privaten nochmal eine separate App einrichten, wie beispielsweise Mailbox. Es gibt auch ein paar andere zu diesem Thema oder anders rum, als Firma, dass Sie beispielsweise von AirWatch die Mailbox nehmen oder Nitro-Desk-Touchdown als PIM-Client, das heißt ‚Personnel Information Management‘ Daten und die normalen Konten für private Dinge nehmen, also eines von beiden würde ich immer kontenerisieren, aber trotzdem nochmal in den organisatorischen Richtlinien auch darauf hinzuweisen. Wenn Sie private Fotos haben, da sage ich immer, der einfachste Weg dort per E-Mail weiterleiten oder per App Foto-Sync diese freizugeben, das ja und hier auch nochmal die Ergänzung, keine vertraulichen Daten zu fotografieren.
Privates Internetsurfen, da schlage ich immer vor zu erlauben, solange keine rechtswidrige Handlung oder Urheberrechtsverstöße damit begangen werden. Da müssen Sie immer ein Stück aufpassen auf das Thema Telemediengesetz, aber das kennen Sie auch aus dem Bereich der PCs. Hier haben Sie die gleiche Rechtslage. Wichtig auch der Hinweis, das Recht zur Privatnutzung kann von der Bank jederzeit widerrufen werden und die Kosten der Privatnutzung trägt der Mitarbeiter. Das heißt, wenn er dann in einem verdienten Urlaub eine Roaming-Rechnung von 5.000 Euro fabriziert, Sie sagen das gibt’s nicht, ich habe das schon live erlebt, dann muss er das entsprechend selbst zahlen und wichtig ist, dass Sie das im Vorfeld schriftlich regeln, damit es hinterher zu keinen Diskussionen führt.
Dann der nächste Part – Systemintegrität. Also hier klar, es darf keine App installiert werden, die nicht im internen App-Store enthalten ist. Die gute Nachricht, im iOS 9 wird es möglich sein den normalen Apple-App-Store abzuklemmen und nur noch einen reinen App-Store zu haben. Dann wird es einfacher. Sollten Sie entgegen meiner Empfehlung es so haben, dass Sie sagen, Sie haben doch noch einen offenen App-Store, dann müssten Sie es eben per organisatorische Richtlinie jedenfalls nochmal eingrenzen. iOS-Updates zu iOS 8 nur nach zentraler Freigabe, die gute Nachricht ist, Sie können mittlerweile auch Updates zentral mit iOS 9 dann verteilen, die schlechte ist, Sie können sie nicht verhindern. Also deswegen hier nochmal per organisatorische Richtlinie zu sagen. Da würde ich ab iOS 9 sogar empfehlen, iOS-Updates sind definitiv nicht auf dem Gerät zu machen, sondern nur zentral zu machen. Natürlich kein Jail-Break, also das Ding darf nicht geknackt werden und last-but-not-least im Sinne der Haftung hier das dreigliedrige Haftungsmodell bei Fahrlässigkeit haftet die Bank, bei Vorsatz und zum Thema Schaden während der Privatnutzung, hier klar die Empfehlung, dass der Mitarbeiter dort in die Haftung gehen muss.
Das waren die wesentlichen, beziehungsweise die aus der Praxis bisher entstandene Empfehlungen für Regelungen und Überlassungsvereinbarungen. Wenn Sie aus Ihrer Erfharungen hier Punkte noch ergänzen mögen, oder Sie sagen, yhm, da habe ich noch eine Frage, freue ich mich sehr über Ihr Feedback, sehr über Ihre Anregungen. Mailen Sie mir des einfach unter t.jekel@jekelteam.de. Ich freue mich sehr über den Austausch mit Ihnen und damit haben wir den monatlichen Schwerpunkt zum Thema organisatorische Richtlinien abgeschlossen. Und ich freue mich schon sehr Sie im nächsten Monat wieder begrüßen zu dürfen mit dem Themenschwerpunkt ‚Office auf dem iPad‘, das heßt, wenn Ihnen in Zukunft jemand sagt. Microsoft Office oder Office auf dem iPad geht ja nicht, dann können Sie da ganz entspannend dagegen halten, weil Sie werden sehen, Office geht auch auf dem iPad.