Kontrolle 3.0 - People-centric Security
Allerdings, und an dieser Stelle ist Gartner doch nicht so sehr weit entfernt vom Genossen Lenin, dürfen die Verantwortlichen ihr Vertrauen ruhig mit ein wenig Kontrolle unterfüttern. Und zwar, um im Bild zu bleiben, mit einer Art "Kontrolle 3.0". Gartner-Analyst Tom Scholtz: "Zusätzlich zu systematischen Schulungen, die nachprüfbare Verhaltensregeln vermitteln, sollten Security-Verantwortliche ihre Fähigkeit ausbauen, mit unterschiedlichen Abteilungen zusammenzuarbeiten. Ziel ist dabei, Arbeitsplatzbeschreibungen und Belohnungssysteme so zu modifizieren, dass sie die angestrebten Security-Ziele unterstützen."
- 1. Produktiv und Glücklich? Von wegen!
BYOD hatte versprochen, Angestellte glücklicher und produktiver zu machen. Schließlich suchen sie sich ja jetzt selbst aus, mit welchen Gadgets sie arbeiten wollen. Außerdem haben sie das Gerät ihrer Wahl immer dabei, können so auch abends und am Wochenende arbeiten. Das ist die eine Seite. Die andere: Viele nutzen ihr Smartphone auch im Büro allzu oft, um Facebook zu checken oder Tetris zu spielen. - 2. Datendiebstahl via SMS
Wer zu Konkurrenz wechseln will, hat leider gar nicht so selten den Wunsch, ein paar Infos aus der alten Firma als Willkommensgeschenk mitzubringen. So auffällig wie auf dem Bild muss der Klau dabei nicht vonstatten gehen. Bei modernen Smartphones mit Swype oder Spracherkennung lässt sich Datentransfer per Textmessage realisieren. Auf die Schliche kommt man diesem Klau kaum, weil Textnachrichten in aller Regel nur auf dem Phone und nirgendwo sonst im Unternehmensnetzwerk gespeichert werden. - 3. Nicht jeder Verlust wird gemeldet
Heute hat die zentrale IT fast immer einen Ferndelete-Knopf, um wenigstens die Daten auf verlorenen Smartphones zu vernichten – wenn schon das Gerät selbst nicht wieder auftaucht. Das Problem: Der Admin kann nur dann am Panikhebel ziehen, wenn er von dem Verlust weiss. Viele Mitarbeiter aber verlegen sowieso chronisch ihr Gadget – und wundern sich nicht darüber, wenn sie das Ding ein paar Tage nicht sehen. Dann wird es gesucht, die Familie befragt, etc. So vergehen manchmal Wochen, bis der Diebstahl gemeldet wird. Bis dahin sind die Daten längst von Dritten ausgelesen. - 4. Kommunikation wird teurer statt billiger
Ein zentrales Versprechen im Zusammenhang mit BYOD ist, dass Unternehmen viel Geld sparen können, weil sie weniger eigene Mobilfunkverträge bezahlen müssen. Tatsächlich tritt der gegenteilige Effekt ein. Wie die Aberdeen Group in einer Studie festgestellt hat, kostet BYOD 33 Prozent mehr im Vergleich zu ausschließlich Firmeneigenen Geräten. Grund: Der Aufwand für Management, Abrechnung und Kostenkontrolle externer Geräte kostet deutlich mehr als ausschließlich eigene Verträge kosten würden. - 5. Alte Handys verschwinden - und kosten weiter
Unternehmen, die eine BYOD-Strategie aufsetzen, binden in der Regel zuerst die mitgebrachten Privat-Smartphones ein und kündigen dann die Verträge für die zuvor genutzten, vorhandenen Firmen-Handys. Die landen anschließend unbeachtet in irgendeiner Schublade. Ob die Kündigungen alle ankommen und wirksam werden, überprüft in der Regel niemand. Deshalb belastet ein Teil der 'Zombie-Phones' oft weiterhin das Budget. - 6. Mehr Misstrauen auf beiden Seiten
Eigentlich sollte BOYD Angestellte und Chefs näher zusammenbringen, Neinsager und Nörgler besänftigen, indem man ihnen mehr Freiräume und Wahlmöglichkeiten einräumt. Zum Beispiel die, welches Handy sie benutzen wollen. Tatsächlich hat aber die Verbreitung des One-Fits-All-Mobiltelefons eher zu mehr Misstrauen geführt und nicht zu weniger: Angestellte müssen rigide Vereinbarungen unterschreiben und fürchten, dass der Chef ihre Privatsphäre kontrolliert. Und Unternehmen trauen den Mitarbeitern bezüglich des sorgsamen Umgangs mit Firmendaten genauso wenig. - 8. Immer im Einsatz?
BYOD lässt die Grenzen zwischen Arbeits- und Freizeit endgültig verschwimmen. Was aber nicht heißt, dass Arbeitgeber ständige Verfügbarkeit von ihren Leuten erwarten sollten: Ein Gericht in Chicago verurteilte die Stadt zur Nachzahlung von mehreren Millionen Dollar Überstundenvergütung an 200 Polizisten, weil diese dazu verpflichtet worden waren, ohne zusätzliche Bezahlung in der Freizeit mit ihren Blackberrys E-Mails zu beantworten und Anrufe anzunehmen. - 9. Meistgehasst: Private Cloud-Services
Mal eben ein Foto vom Flipchart gemacht, in die Dropbox geschoben, fertig. Sowas muss nicht in böser Absicht geschehen, sondern zum Beispiel in der Absicht, zu Hause noch an wenig an betreffendem Thema weiterzuarbeiten. Die meisten CIOs hassen Dropbox, und das mit gutem Grund. Denn ganz verhindern können sie den Datentrasfer in die unbekannt Cloud nicht. - 7. Was heißt schon privat?
Wenn ein BOYD-Regelwerk aufgestellt und von allen unterschrieben ist, sind nicht immer alle Probleme gelöst. Die kalifornische Stadt Ontario zum Beispiel feuerte den Polizisten Jeff Quon, weil die Verantwortlichen auf seinem Pager private Messages gefunden hatte, die sie an seiner Loyalität zweifeln ließen. Quon klagte, unter anderem mit dem Argument, dass ein Vorgesetzer ihm versichert hatte, die Nachrichten auf dem Pager würden nicht überwacht. Die Richter gaben der Stadt trotzdem Recht. - 10. Super-Gau: Anruf von der Presse
Stellen Sie sich vor, der Leiter Ihrer Rechtsabteilung lässt sein Smartphone nach dem fünften Hellen in seiner Stammkneipe liegen, und am nächsten Morgen haben Sie einen nicht ganz unbekannten Journalisten in der Leitung, der sagt, er habe was läuten hören von geplanten Entlassungen und was denn da dran sei....Natürlich kann auch das Firmenhandy verloren gehen, aber das nehmen viele Angestellte aus gutem Grund nicht mit in die Kneipe.
Den Ansatz nennt Gartner PCS - People-centric Security. Bei ihm beziehen sich Regeln nicht auf Geräte oder Applikationen, sondern auf das generelle Sicherheitsverhalten des einzelnen Mitarbeiters, völlig unabhängig davon, welche Technik er nutzt.
Soll sich die Rechtsabteilung doch kümmern
Unternehmen, die Gartners Ansatz folgen, verlagern die Sicherheitsthematik teilweise von der IT- in die Rechtsabteilung. Schließlich bedeutet People-centric Security, trotz großer Betonung großen Vertrauens, nichts anderes, als den Verstoß gegen Regeln mit Sanktionen zu bedrohen.
Was arbeitsrechtlich zu Problemen führen kann, und zwar nicht nur in Deutschland, sondern auch in den nicht eben für rabiaten Angestelltenschutz berühmten USA. Heather Egan Sussmann, Arbeitsrechtlerin in der internationalen Kanzlei McDermott Will & Emery mit Hauptsitz in Chicago, kennt mehrere Fälle, in denen Unternehmen bei der Definition von Verhaltensregeln zu weit gegangen sind. Bisher bezogen sich diese zwar vor allem auf den Umgang mit Sozialen Medien, aber solche Konflikte könnten ebenso gut BYOD-Regeln betreffen, so die Anwältin.
Privacy-Regelungen verwirren eher
Interessant ist auch, dass das Gartner-Konzept im Grunde ein Zurückschwingen des Pendels bedeutet: BYOD bedeutete ja früher schon einmal, starre Regeln durch allgemeine Empfehlungen zu ersetzen, an Vernunft, Anstand und Common Sense im Umgang mit Daten zu appellieren. Leider nur waren diese Appelle im Falle von juristischen Auseinandersetzungen oft wertlos und führten beim Thema Privacy eher zu mehr Verwirrung als zu mehr Klarheit.
- Die 12 Typen des BYOD-Mitarbeiters
Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier. - 1. Die Millennials
Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht. - 2. Die Techies
Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen. - 3. Die CEOs
Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln. - 4. Die Generation X
Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal. - 5. Die Sales-Mitarbeiter
"Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit. - 6. Die Stundenarbeiter
In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben. - 7. Die chronischen Nörgler
"Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen. - 8. Die Sozialen Netzwerker
Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App. - 9. Die schwarzen Schafe
In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter. - 10. Die Freelancer
Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht. - 11. Die Home Office Mitarbeiter
Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy. - 12. Die CIOs
Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!
Außerdem wurden die guten Vorsätze nach dieser ersten Phase unter Tonnen von Handheld gewordenem Elektroschrott begraben. Was folgte, waren daumendicken Kataloge mit Anweisungen, was wie mit welchem Gerät erlaubt war und was wie womit genau nicht. Anbieter von Mobile Device Management-Lösungen ließen die Korken knallen in Anbetracht solcher Geschäftsaussichten.
Der Geräte- und App-Wahnsinn ist nicht mehr zu bewältigen
Und jetzt - Phase drei - erleben wir Gartners sicher richtiges Eingeständnis, dass der Geräte- und App-Wahnsinn nicht zu bewältigen ist, oder jedenfalls nicht mit Hilfe technischer Lösungen. Deshalb sollen es jetzt die Rechtsabteilungen richten. Und die werden noch mehr zu tun bekommen in Zeiten, in denen das omnipräsente Internet Anwendungen und Technologien zu einem einzigen Brei verrührt.