Kosten, Geräte, Verwaltung

Die richtige ByoD-Strategie finden

Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.
Bei „Bring your own Device“ (ByoD) reden Anwender und Hersteller meist aneinander vorbei - ohne es zu merken. Wir klären auf und präsentieren griffige Beispiele.
ByoD - aus der Not eine Tugend machen.
ByoD - aus der Not eine Tugend machen.
Foto: Fotolia/Kurhan

Smartphones und Tablets drängen immer stärker in die Unternehmen und stellen die Unternehmens-IT dadurch vor zahlreiche Probleme. Einige Hard- und Software-Hersteller nutzen diese Situation, um ihre eigenen Produkte zur Unterstützung privater Endgeräte im Unternehmen zu bewerben und aus "Bring your own Device (ByoD)" eine Tugend zu machen. Unter der Überschrift ByoD werden nun verschiedene Lösungsansätze, Produkte und Hoffnungen verkauft, die eines gemeinsam haben: nicht der Arbeitgeber soll die Endgeräte kaufen, sondern der Mitarbeiter. Nach Aussagen der Hersteller von Lösungen in diesem Umfeld sollen sich dadurch Kosten sparen lassen und die Mitarbeiterzufriedenheit erhöht werden. Bei näherer Betrachtung zeigt sich, dass hier ganz unterschiedliche Anforderungen und Interpretationen in einen Topf geworfen werden und die Argumente oft gar nicht zueinander passen.

Der Strich durch die Rechnung

Die verallgemeinerte Hoffnung, dass man mit einer ByoD-Strategie und der dabei eingeführten Infrastruktur jegliche Arten von Endgeräten auf dem gleichen Weg unterstützen kann, scheitert in Deutschland meist schon an den rechtlichen Problemen. In einer realistischen Betrachtung sind zudem hohe Kosten statt Kostenersparnis sowie Probleme mit der Informationssicherheit und im Support absehbar.

Die Empfehlung von Juristen lautet meist, dass man auf ByoD in Deutschland besser verzichten sollte. Die Probleme beginnen bereits bei so einfachen Fragen wie "wem gehört eigentlich was". Die Software, die auf dem Privatgerät installiert ist, der Datentarif, über den der Internet-Zugang abgerechnet wird, die Accounts zu sozialen Netzen etc.. Damit verbunden ist auch gleich die Frage nach der Haftung für Missbrauch der Internetverbindung, illegal installierte Software oder bei Verlust des Gerätes. Spannend wird es dann aber vor allem, wenn es um die Zugriffsrechte des Unternehmens auf die privaten Endgeräte und den Einblick darauf geht. Ein privates Smartphone, das für die geschäftliche Nutzung in das Managementsystem des Unternehmens eingebunden ist, liefert dem Unternehmen meist nicht nur Einblick in die auf dem Gerät installierte Software, sondern kann bei Verdacht auf Missbrauch oder Verlust auch vom Managementsystem aus gelöscht werden. Spätestens wenn nach einer solchen Löschung auch private Daten oder Bilder gelöscht wurden und der Mitarbeiter seinen Arbeitgeber auf Schadensersatz verklagt, wird klar, auf wie rechtlich wackeligen Beinen das Ganze steht. Einverständniserklärungen, wie sie manche Unternehmen von ihren Mitarbeitern für die Verwendung privater Geräte verlangen, sind dann nicht mehr viel wert.

Kosten, Kosten, Kosten

Auch die finanzielle Seite ist in Deutschland nicht so einfach wie dies gelegentlich von amerikanischen Lösungsanbietern dargestellt wird. Ein Anbieter von Desktop-Virtualisierungs-Software warb beispielsweise damit, dass er 20 Prozent seiner IT-Kosten durch die Einführung von ByoD einsparen konnte. Anstelle von firmeneigenen Arbeitsplatz-PCs hat das Unternehmen seinen Mitarbeitern einen Zuschuss zum Kauf eines privaten Notebooks bezahlt und die privaten Notebooks dann über eine firmeneigene virtuelle Desktop-Infrastruktur (VDI) integriert. In Deutschland wäre ein solcher Zuschuss vom Mitarbeiter als geldwerter Vorteil zu versteuern, was die Sache schnell unattraktiv macht. Zudem muss eine entsprechende Infrastruktur erst beschafft, implementiert und betrieben werden, was hohe Kosten verursacht und mit der Situation beim Hersteller der VDI-Lösung selbst natürlich nicht vergleichbar ist.

Selbst das Argument der Mitarbeiterzufriedenheit muss in einem solchen Szenario kritisch hinterfragt werden. Als Beispiel werden oft Mitarbeiter genannt, die privat mit einem High-End-Notebook oder einem Macbook arbeiten und die im Unternehmen nicht mit dem dort bereit gestellten Standard-PC zufrieden sind. Erlaubt man diesen Mitarbeitern nun, ihr Privatgerät zu nutzen, auf dem sie dann aber nur eine Terminalsitzung zu einem virtuellen Desktop im Rechenzentrum aufbauen können, so wird sie dies kaum glücklich machen.

Erwartungshaltungen

Wichtig für das Verständnis der Probleme und Lösungsansätze ist zunächst eine differenzierte Betrachtung der verschiedenen Interpretationen von ByoD. Für die meisten Organisationen steht die neue Generation mobiler Endgeräte im Vordergrund: Smartphones und Tablets. Auf diesen Geräten soll zunächst der Zugriff auf Firmen-Mails, Kontakte und den Kalender möglich sein. Manche Unternehmen legen jedoch den Schwerpunkt auf privat beschaffte Notebooks und denken darüber nach, zukünftig komplett auf die Beschaffung von Arbeitsplatz-PCs zu verzichten. Beide Interpretationen führen zu technisch sehr unterschiedlichen Lösungsansätzen. Die Idee, beides in einer gemeinsamen neuen Infrastruktur zu ermöglichen, in die jegliche Arten von Endgeräten eingebunden werden kann, erscheint nur auf den ersten Blick verlockend.

Wenn man dabei auch die Sicherheitsaspekte berücksichtigt, wird sofort ein Konflikt sichtbar. Vertrauliche Daten und Transaktionen auf einem Gerät zu verarbeiten, das nicht kontrolliert werden kann und das nicht vertrauenswürdig ist, ist zunächst ein Widerspruch, der sich nicht vollständig lösen lässt. Wer die Hardware kontrolliert, wird mit genügend Aufwand auch das Betriebssystem kontrollieren können und wer das Betriebssystem kontrolliert, hat auch Zugriff auf die darauf laufenden Applikationen. Die Situation lässt sich zumindest verbessern, wenn man Verschlüsselung und eine Serverkomponente ins Spiel bringt, so dass die Schlüssel selbst nicht auf dem Endgerät gespeichert werden. Dann ist jedoch die Nutzung der entsprechenden Applikationen nur noch online möglich. Für eine Desktopvirtualisierung auf privaten Notebooks mag das akzeptabel sein, für E-Mails auf Smartphones jedoch nicht. Hier erwarten die Anwender selbstverständlich, dass sie auch ohne Verbindung zum Unternehmen ihre Mails verarbeiten können.

Für die Integration von privaten Notebooks als Firmenarbeitsplätze ist eine Desktop-Virtualisierung möglich, wenngleich auch hier technische Restrisiken bleiben. Malware auf einem solchen Gerät kann durchaus die Bildschirminhalte der Desktopvirtualisierung lesen und die Tastatureingaben des Anwenders aufzeichnen oder sogar eigene Befehle einschleusen.

Usability beachten

Bei Smartphones und Tablets sieht die Situation anders aus. Einerseits ist mehr Mobilität gefragt und eine Lösung, die nur online funktioniert, ist in der Regel nicht akzeptabel. Andererseits ist auch die Bedienung eines virtuellen Windows-Desktops auf dem kleinen Bildschirm eines Smartphones nicht gerade anwenderfreundlich. Auch wenn es bereits Ideen gibt, wie die Darstellung einer Windows-Applikationen so umgebaut werden kann, dass sie auf eine kleinen Smartphone bedienbar wird; von einer generellen Anwendbarkeit in der Praxis ist man hier noch weit entfernt.

Die Lösungen für Smartphones und Tablets bestehen daher aus eigenen Apps, die Unternehmensinhalte auf sichere Weise auf mobilen Endgeräten verfügbar machen. Dafür kommen sowohl die vom Hersteller mitgelieferten nativen Apps für Mail, Kontakte und Kalender unter zentraler Kontrolle einer MDM-Lösung in Frage als auch Apps von Drittherstellern, die solche Daten von Unternehmensservern abholen und auf dem Endgerät meist verschlüsselt ablegen.

Inhalt dieses Artikels