Bring your own X

ByoX - kapituliert die IT endgültig?

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Seit Smartphones und Tablets millionenfach verkauft werden, wird über die Nutzung privater Geräte im Business heiß gestritten. Manche Diskutanten preisen Produktivitätsgewinne und Flexibilisierung als Vorteile an, andere fürchten um die Sicherheit der IT.

Kürzlich schrieb Gartner zum Thema Bring your own Device (ByoD): "38 Prozent der Unternehmen erwarten 2016, dass Mitarbeiter eigene Geräte mitbringen." Ein Jahr darauf soll diese Zahl bereits bei 50 Prozent liegen. Angesichts des Siegeszugs von Smartphones und Tablets wird die ByoD-Diskussion häufig auf diese beiden Geräteklassen reduziert. Gleichzeitig dient der noch junge Markterfolg als Entschuldigung, dass viele Unternehmen noch nicht wissen, wie sie damit umgehen sollen. So behaupteten laut Gartner nur 22 Prozent der befragten CIOs, eine angemessene Strategie zu haben.

Dabei ist das Mitbringen und Nutzen eigener Geräte im Business beileibe kein neues Phänomen. Bereits in den 90er Jahren, bevor sich das Internet auf breiter Front durchsetzte, wurde an manchem Arbeitsplatz ein eigenes Modem genutzt, wenn die Firma den Zugang zum Internet nicht ermöglichte. Oder es wurden eigene Drucker direkt am Arbeitsplatz den Etagendruckern bevorzugt - von den ersten privaten Notebooks im beruflichen Einsatz ganz zu schweigen. Allerdings war dieses Verhalten damals kein flächendeckendes Phänomen, während heute die Nutzung privater Devices schon fast Standard ist.

Dafür setzen Mitarbeiter ihre privaten Endgeräte ein: Der Abruf von beruflichen E-Mails ist die verbreitetste Anwendung auf privaten Endgeräten. Apps wie Twitter werden hierzulande im beruflichen Umfeld weniger genutzt. Angaben in Prozent; Basis: Mitarbeiter großer Unternehmen aus 13 Ländern beziehungsweise Regionen, die ihre privaten Endgeräte auch dienstlich nutzen; Quelle: BT/Cisco
Dafür setzen Mitarbeiter ihre privaten Endgeräte ein: Der Abruf von beruflichen E-Mails ist die verbreitetste Anwendung auf privaten Endgeräten. Apps wie Twitter werden hierzulande im beruflichen Umfeld weniger genutzt. Angaben in Prozent; Basis: Mitarbeiter großer Unternehmen aus 13 Ländern beziehungsweise Regionen, die ihre privaten Endgeräte auch dienstlich nutzen; Quelle: BT/Cisco

Dennoch sollten IT-Verantwortliche nicht den Fehler begehen, das Thema auf Smartphones und Tablets zu reduzieren. Gefahren sind noch an anderen Stellen versteckt. So führen etwa die privat mitgebrachten Smartphones und Tablets häufig zu folgendem Effekt: Da die meisten WLANs in Unternehmen eher für Notebooks - mit besseren Empfangseigenschaften als Smartphones und Co. - konzipiert wurden, haben die neuen Geräte oft nur schlechten oder gar keinen Empfang. Ein Umstand, den so mancher Mitarbeiter schnell und unbürokratisch in eigener Regie beseitigt - er installiert seinen eigenen Access Point. Oder er nutzt gar eines der kostenlosen, offenen WLANs in der Nachbarschaft.

Eigene Apps als Gefahr

Doch Gefahr droht noch von einer anderen Seite. Eignen sich die im Unternehmen verwendeten Anwendungen nicht für eine einfache Nutzung auf den mobilen Geräten, suchen sich die Anwender Alternativen. Und im Zeitalter von Apps und Cloud-Services sind diese schnell gefunden. Als fast schon klassisches Beispiel kann hier Dropbox gelten. Sind die von der IT bereitgestellten Verfahren zum Datenaustausch zu kompliziert, wird häufig einfach Dropbox genutzt. Wie im obigen Beispiel lässt sich fast für jede Unternehmensanwendung, egal ob VoIP, Messaging, E-Mail oder Collaboration, eine App oder ein Service finden, um die Unternehmens-IT zu umgehen. Ein Umstand, den sich IT-Verantwortliche vor Augen halten sollten, wenn sie nach einer adäquaten Strategie suchen: Um alle Aspekte zu berücksichtigen, sollten sie nicht nur an ByoD denken, sondern an ByoX.

Auf der Suche nach einer solchen Strategie scheint die Technik noch das geringste Problem zu sein - hier existieren verschiedene Ansätze. Viel größere Schwierigkeiten verursachen die oft unterschiedlichen Haltungen von IT-Abteilungen und Mitarbeitern. Um den reibungslosen Betrieb seiner IT-Systeme sicherzustellen und Risiken auszuschließen, wäre so manchem Verantwortlichen, wie er gegenüber der Computerwoche hinter vorgehaltener Hand bekannte, ein klares Nein zu ByoD oder ByoX am liebsten. Das andere Extrem stellen wiederum Mitarbeiter dar, die keinerlei Verständnis dafür zeigen, dass die IT unter bestimmten Umständen Zugriff auf ihre Geräte benötigt, um die Sicherheit der Unternehmens-IT zu gewährleisten.

IT-Abteilung macht sich unbeliebt

Wie groß das Misstrauen zwischen IT-Abteilung und Mitarbeitern in dieser Frage ist, zeigen zwei neuere Studien von Cisco und BT sowie von Aruba Networks. Bei ersterer Studie "Beyond your Device" befragte Vanson Bourne im Auftrag von BT und Cisco im Mai mehr als 2200 IT-Entscheider weltweit. Für Aruba interviewten die Marktforscher von Shape the Future und Kelton im Rahmen der Studie "Employees tell the truth about your company`s data" weltweit mehr als 3500 Beschäftigte. Dabei kommt die Cisco/BT-Studie zu dem Ergebnis, dass das Vertrauen in die eigenen Mitarbeiter eine entscheidende Rolle in der Frage spiele, ob Unternehmen ByoD erlauben. Nur gut ein Viertel der IT-Manager (26 Prozent) glaubt, dass alle Mitarbeiter die Vorgaben und Berechtigungen für ihre mobilen Endgeräte kennen und verstehen.

Misstrauische Mitarbeiter

Foto: kurhan, Shutterstock.com

Auf der anderen Seite haben auch die Mitarbeiter oft kein positives Bild von der eigenen IT. So erklärten 44,4 Prozent der deutschen Teilnehmer an der Aruba-Studie, dass die IT-Abteilung in ihrem Unternehmen nichts unternehme, um die Sicherheit von Unternehmensdaten und Anwendungen auf ihren privaten Geräten zu gewährleisten. Allerdings geben viele Anwender ihrer IT-Abteilung erst gar nicht die Chance, etwas zum Schutz der Daten zu tun. Sie nutzen privates Equipment, ohne die IT-Abteilung zu informieren.

Ausgleich suchen

Gleichzeitig misstrauen die Studienteilnehmer den IT-Abteilungen beim Umgang mit ihren persönlichen Daten und Geräten. 25 Prozent der europäischen Angestellten und 45 Prozent ihrer Kollegen aus den USA sorgen sich, wenn die IT auf ihre persönlichen Daten zugreift - was bei den meisten Management-Plattformen die Regel ist.

Obige Zahlen veranschaulichen, wie wichtig es ist, im Unternehmen einen Konsens zwischen dem Schutzbedürfnis der IT und den Interessen der Mitarbeiter zu finden. In der Regel wird dies auf einen Kompromiss hinauslaufen, denn die beiden Extrempositionen eines strikten Neins oder einer "absoluten Freiheit" sind kaum praktikabel. Im Falle des strikten Neins dürfte das Unternehmen als Arbeitgeber an Attraktivität verlieren und Schwierigkeiten haben, jungen Nachwuchs auf dem Arbeitsmarkt zu finden. Erlaubt es dagegen alles, gerät es im Fall eines Datenverlusts schnell mit dem Gesetz in Konflikt.

Hat sich ein Unternehmen intern auf eine Strategie geeinigt, stehen verschiedene technische Ansätze zur Verfügung. Ein Patentrezept gibt es nicht, denn die Wahl der passenden Lösung hängt von der bereits vorhandenen (Security-)Infrastruktur sowie dem angestrebten Sicherheits-Level ab. Oft wird es auf eine Kombination verschiedener Verfahren wie Policy-basiert in der Windows-Welt, Browser-gestützt, NAC, MDM, Virtualisierung oder auch Container-Lösung hinauslaufen. (mhr)

Technische Strategien

Um mobile private Endgeräte im Unternehmensumfeld sicher zu benutzen, gibt es verschiedene technische Verfahren. Sie setzen teilweise bei der Applikationsentwicklung an, auf dem Endgerät oder direkt im Backend.

Policy-basiert

  • In der Windows-Welt über Active Directory, wobei Windows RT zum Problem wird;

  • Policies über Exchange (EAS), wobei sich aber nicht alle Endgerätetypen einbinden lassen. Apps wie Nitrodesk unterstützen mehr.

Browser-gestützt

  • Daten bleiben auf den Servern, entweder Terminal-basiert (Citrix-Receiver) oder mit HTML 5 als Alternative zu Apps.

NAC (Network Access Control)

  • Zugriffskontrolle der Devices im Unternehmensnetz;

  • agentenbasierte vs. agentenlose Lösungen;

  • unterwegs keine Kontrolle;

  • eher als Ergänzung zu sehen, um das Einschleppen von Schädlingen in die Unternehmens-IT zu verhindern.

MDM oder EMM (Mobile-/Enterprise- Device-Management)

  • Granulare Durchsetzung der Policies;

  • Softwaredistribution, Remote-Management etc.;

  • komplex, aufwendige Implementierung;

  • Erfolg der MDM-Plattform hängt von offengelegten APIs der mobilen Betriebssysteme ab;

  • viel Powerpoint-Marketing, Features sollten in der Praxis getestet werden;

  • unübersichtlicher, überhitzter Hype-Markt mit viel Venture-Kapital. Oft stellt sich die Frage: Existiert der Hersteller in einem Jahr noch, oder wird er gekauft?

Virtualisierung

  • Hypervisor auf dem Endgerät;

  • in der VM können verschiedene OS laufen;

  • Unterstützung des Hardwareherstellers erforderlich;

  • häufig erst im Pilotstadium.

Container-Lösung

  • Keine Eingriffe in Kernel;

  • sicherer Container läuft als App;

  • welche Anwendungen laufen im Container?

  • Benutzerfreundlichkeit diskussionswürdig.