Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

 

Smartphone & Notebook privat und geschäftlich nutzen – so wird der Fluch zum Segen

Thomas Fischer schreibt seit über 20 Jahren für unterschiedliche namhafte PC-Zeitschriften über IT-Themen sowie Business-Software, war beteiligt an der Entwicklung von Konzepten neuer IT-Magazine und arbeite mehrere Jahre in einem Verlag im Bereich Corporate Publishing. Sein Slogan ist: Technik einfach erklärt..
In vielen Firmen nutzen Mitarbeiter private Geräte und benötigen dafür den Zugriff auf die entsprechenden Applikationen und die zugehörigen Daten im Unternehmen. Wird dieser Mix aus privater und beruflicher Nutzung von der Unternehmensführung von vornherein nicht rigoros unterbunden, hat sich die IT-Abteilung großen Herausforderungen zu stellen.

Private IT-Geräte zugleich auch im Unternehmen zu nutzen, ist als BYOD (Bring Your Own Device) bekannt und wird in den letzten Jahren zunehmend praktiziert. So stieg der Einsatz privater Geräte in Firmennetzen von 65 Prozent im Jahr 2012 auf 75 Prozent im Jahr 2014. Viele Unternehmen, in denen BYOD bereits erlaubt ist, versprechen sich davon vor allem eine höhere Zufriedenheit ihrer Beschäftigten. Die Erfahrung zeigt, dass vorrangig die jüngeren Mitarbeiter ihre eigenen Smartphones und Tablet-PC zur Erledigung ihres Tagesgeschäfts einsetzen möchten.

Neben BYOD gibt es auch noch das Modell CYOD (Chose Your Own Device), bei dem der Mitarbeiter ein IT-Gerät von seinem Arbeitgeber zur Verfügung gestellt bekommt. Das Gerät ist und bleibt also Eigentum der Firma, darf aber trotzdem auch für private Zwecke genutzt werden. Ob BYOD oder CYOD - die Problematik der gemischten Nutzung ähnelt sich bei beiden Methoden.

Wer bremst, verliert

Für das IT-Management konzentrieren sich die Probleme neben der Geräte-Performance vor allem auf die Authentifizierung der Anwender, das Zugriffsmanagement auf Anwendungen und Informationen sowie auf den Schutz der Daten und auf die Compliance. Die Fülle der im Zusammenhang mit BYOD zu lösenden Anforderungen ist meist Grund dafür, dass immer noch viele Unternehmen BYOD skeptisch gegenüberstehen und ablehnen.

Die Erfahrung zeigt jedoch, dass Ablehnung oder ein striktes "Nein" zu BYOD auf Dauer keine Lösung ist. Die BYOD ablehnenden Unternehmen müssen sich darüber im Klaren sein, dass es immer Mitarbeiter geben wird, die ihre privaten Geräte ohne spezielle Absprachen und Vorkehrungen für geschäftliche Aufgaben nutzen. Untersuchungen zeigen, dass dieses als Schatten-IT bekannte Modell meist im kleinen Maßstab anfängt, dann aber rapide wächst. So hat beispielsweise Stratecast, ein Geschäftsbereich von Frost & Sullivan, im Jahr 2014 dazu eine Studie veröffentlicht. Sie zeigte, dass 81 Prozent der Mitarbeiter einzelner Unternehmensbereiche und 83 Prozent des IT-Personals nicht genehmigte SaaS-Anwendungen am Arbeitsplatz nutzen. Die Cloud Security Alliance führte zum Thema Schatten-IT ebenfalls eine Umfrage durch. Das Ergebnis dürfte für das Unternehmens-Management wenig erfreulich sein. Denn diese Studie kam zu dem Ergebnis, dass 72 Prozent der IT- und Sicherheitsexperten überhaupt nicht wussten, wie viele Anwendungen mithilfe der Schatten-IT in ihrem Unternehmen genutzt werden.

Mit diesen Zahlen vor Augen, sollten bei jedem CIO die Alarmglocken läuten. Denn mit großer Wahrscheinlichkeit lauern mit einer praktizierten Schatten-IT mehr Gefahren, als würde das Unternehmens-Management BYOD unter entsprechenden Sicherheitsvorkehrungen erlauben. Der damit zu erwartende Aufwand und die zusätzlichen Kosten sind kalkulierbar, die Auswirkungen eines Schadens dagegen nicht. Aber wie bekommt man im Unternehmen BYOD am besten in den Griff?

In deutschen Unternehmen, in denen BYOD erlaubt ist, werden die privaten Geräte auch rege für den geschäftlichen Einsatz genutzt.
In deutschen Unternehmen, in denen BYOD erlaubt ist, werden die privaten Geräte auch rege für den geschäftlichen Einsatz genutzt.
Foto: Dell

Gerätevielfalt verwalten

Werden in Unternehmen die Entscheider unterschiedlicher Bereiche nach ihren Sorgen bei der Einführung von BYOD befragt, orientieren sich die Antworten erwartungsgemäß an ihrem Arbeitsbereich:

  • die Administration der mobilen Geräte

  • die Sicherheitsstrategien für die mobilen Geräte

  • die Performance der Anwendungen auf den mobilen Geräten

  • der Schutz der Mitarbeiterdaten

  • die zu erwartenden Kosten

Jeder Punkt ist für sich wichtig. Daher müssen bei einer BYOD-Strategie alle Punkte als Einheit im Konzept Berücksichtigung finden. Zudem sollte das Konzept sich nicht nur auf mobile Geräte konzentrieren, die direkt im Unternehmen zum Einsatz kommen. Vielmehr sind hierbei auch mobile Arbeitsplätze mit den zugehörigen IT-Geräten zu berücksichtigen, die außerhalb der Firmenmauern zum Einsatz kommen. Das können neben den Geräten von Außendienstmitarbeitern Notebooks und Desktop-PCs von Mitarbeitern sein, die für das Unternehmen im Home-Office tätig sind.

Während bei firmeneigenen IT-Geräten zumeist nur eine geringe Herstellervielfalt zu erwarten ist, müssen sich IT-Administratoren bei privaten IT-Geräten mit sehr vielen Herstellern und unterschiedlichen Betriebssystemen auseinandersetzen. Daher spielt die effektive Verwaltung der mobilen Geräte mit ihren verschiedenen Anwendungen (Apps) eine entscheidende Rolle. Aktuelle Lösungen für die Verwaltung mobiler Geräte - Mobile Device Management (MDM) oder Enterprise Mobile Management (EMM) - sind in der Lage, diese Aufgabe zu erfüllen. Dazu gehören neben der Überwachung und Zugriffskontrolle der Anwendungen auf dem Endgerät, die gezielte Installation von Updates und Patches sowie der Fernzugriff für Wartungsaufgaben wie Backups. Zudem muss es möglich sein, bei einem Verlust des mobilen Geräts oder nach Ausscheiden des Mitarbeiters aus der Firma firmenrelevante Daten permanent zu löschen (Remote Wipe).

Zwei Methoden, viele Tools

Das Mobile Device Management kennt zwei unterschiedliche Verfahrensweisen:

  • das native Mobile Device Management (native MDM)

und

  • das Sandbox-Verfahren

Kommt das native MDM zum Einsatz, sind sämtliche Tools für das Management auf dem entsprechenden mobilen Gerät installiert. Da das für jedes Gerät separat installiert und konfiguriert werden muss, bedeutet das einen entsprechend hohen Arbeitsaufwand für die IT-Abteilung. Vor allem bei der ersten Einrichtung des Geräts wird für die Konfiguration viel Zeit benötigt. Hinzu kommt noch der Aufwand, jedes Gerät auf die korrekte Funktion zu testen. Dennoch ist diese Methode durchaus komfortabel und wegen der einfachen Handhabung beliebt.

Das Sandbox-Verfahren funktioniert als ein nach außen abgeschotteter Container, dessen Inhalt verschlüsselt ist. Innerhalb des Containers befinden sich alle firmenrelevanten Anwendungen und Daten, die auch nur von der IT-Abteilung gemanagt werden. Außerhalb des Containers befinden sich alle privaten Anwendungen und Daten des Geräteeigentümers. Bei dieser Methode sind die Daten besonders sicher und auch die Einhaltung der Compliance hat die IT-Abteilung damit sehr gut unter Kontrolle.

Für welche Methode man sich letztendlich entscheidet, hängt meist von der Größe des Unternehmens, der Anzahl der zum Einsatz kommenden mobilen Geräte und der Anwendungen ab. Die Anzahl der Lösungsanbieter für MDM ist zudem sehr groß und bewegt sich in der Größenordnung von mehreren 100. Für eine Investitionssicherheit auf lange Sicht, sollte man sich vorzugsweise an namhafte Anbieter halten. Detaillierte Informationen dazu liefern die Analysten von Gartner in ihren jährlich erscheinenden "Magic Quadrant for Enterprise Mobility Management". Seit mehr als drei Jahren sieht Gartner hier übrigens dieselben fünf Anbieter - Good Technology, Citrix, IBM, MobileIron und AirWatch - im Leaders Quadrant.

Woran IT-Verantwortliche denken müssen

Ein Nebeneffekt der Akzeptanz von BYOD in Unternehmen ist der damit verbundene Anstieg des beanspruchten Datenvolumens. Ein Grund dafür ist die damit verbundene Freiheit des Mitarbeiters, sich seine mobile Arbeitsumgebung nach eigenen Vorstellungen einzurichten. Das erfahrungsgemäß höhere Datenaufkommen sollte man daher nicht unterschätzen. Deswegen muss dieser Umstand bei der Planung zur Einführung von BYOD unbedingt berücksichtigt und die Performance des WAN entsprechend angepasst werden.

Ein immer wiederkehrendes Thema bei BYOD ist die Sicherheit. Der Grund dafür ist, dass viele Benutzer mit IT-Geräten Zugriff auf die Unternehmems-IT haben, die sie privat und geschäftlich gleichermaßen Nutzen. Die Folge davon ist immer ein erhöhtes Risiko für die Internehmens-IT. Deswegen müssen die IT-Verantwortlichen exakt prüfen, welche Gefahren dabei lauern und jeden nur geringsten möglichen Angriffspunkt beseitigen. Bewährt hat sich hierbei, jeden mobilen Zugang zur Firmen-IT nur über SSL VPN herzustellen. Auch der Schutz gegen Malware und vor Angriffen von Hackern ist natürlich wichtig. Deswegen sollten mobile Geräte eng mit der Sicherheitsstrategie vorhandener fest am Arbeitsplatz installierter Client-PCs verknüpft werden. Viele Sicherheitslösungen unterstützen diese Strategie.

Große Beachtung ist zudem der Datensicherung zu widmen. Das Prinzip des BYOD birgt hier nämlich ein erhöhtes Gefahrenpotenzial. Da die mobilen Geräte nicht nur innerhalb, sondern auch außerhalb der Firmenmauern genutzt werden, ist auch die Gefahr des Verlusts des Gerätes groß. Deswegen kommt hierbei der Data Loss Prevention (DLP) eine große Bedeutung zu. Sie überwacht und managt beispielsweise, dass nur solche Daten auf das mobile Gerät gelangen, für die ein Mitarbeiter die Berechtigung hat. Darüber hinaus sollten sämtliche Daten stark verschlüsselt werden, um hier eine noch höhere Sicherheit zu gewährleisten.

BYOD steht gleichzeitig für „Arbeiten Sie, wo Sie wollen“ – und das sogar mit Ihrem privaten Notebook, Smartphone oder Tablet-PC.
BYOD steht gleichzeitig für „Arbeiten Sie, wo Sie wollen“ – und das sogar mit Ihrem privaten Notebook, Smartphone oder Tablet-PC.
Foto: Dell

Sicherheit durch Virtualisierung

Gerade für geschäftskritische Anwendungen haben virtualisierte Desktop-Lösungen die Nase vorn. Eine Virtuelle Desktop Infrastruktur (VDI) in Unternehmen bietet vor allem Vorteile. Sie ist vergleichsweise einfach zu administrieren und lässt sich nahezu automatisch verwalten. Vor allem größere Firmen profitieren von einer VDI.

Ein nicht zu unterschätzender Pluspunkt von VDI ist zudem die IT-Sicherheit. Der Grund liegt darin, dass beispielsweise auf dem mobilen Gerät lediglich ein virtueller Client läuft. Hier müssen also keine Anwendungen installiert werden und es werden keine Daten direkt auf dem mobilen Gerät gespeichert und keine Anwendungen direkt auf dem mobilen Gerät ausgeführt. Alle Vorgänge laufen auf dem Terminal-Server im Rechenzentrum innerhalb oder außerhalb des Unternehmens. Das mobile Gerät dient quasi nur als "Sicht- sowie Eingabegerät". Damit unterliegen die Daten einem sehr hohen Schutz. Eine BYOD-Umgebung lässt sich sehr gut mit einer bereits vorhandenen Virtual Desktop Infrastruktur verbinden. Wichtig dabei ist, dass die eingesetzte Virtualisierungslösung dazu in der Lage ist, die Sicherheitsanforderungen von BYOD zu unterstützen.

Rechtlich gesehen

Werden private Geräte zugleich auch für den geschäftlichen Einsatz genutzt, wirft das schnell eine Menge Fragen auf. So werden sich die privaten Kontaktdaten im Mobiltelefon rasch mit den Kundendaten der Firma vermischen. Wem gehören dann aber diese Daten? Was passiert damit, wenn der Mitarbeiter die Firma verlässt? Was ist, wenn das Gerät gestohlen wird, verloren geht oder wenn es kaputt geht? Im Falle des Geräteverlustes - darf dann ein Admin einfach alle Daten einschließlich der privaten Daten mittels der Wipe-Funktion unwiederbringlich löschen? Wer haftet für den Geräteverlust oder bei einem Defekt? Fragen über Fragen, und das sind längst noch nicht alle.

Beim Einsatz der oben beschriebenen Sandbox-Technik oder der Virtual Desktop Infrastruktur lassen sich bereits viele Probleme von vornherein aus dem Weg gehen. Denn hier erfolgt eine strikte Trennung der Daten in der Form, dass die privaten Daten von den geschäftlichen Daten getrennt sind. Der geschäftliche Teil liegt sicher in der Hand der IT-Abteilung des Unternehmens und der private Teil kann weiterhin in eigener Regie verwaltet werden. Bei einem Verlust des Geräts würde von der IT-Abteilung ein Backup des Sandbox-Containers erfolgen und diese dann auf dem Gerät gelöscht werden. Die privaten Daten wären davon nicht betroffen und es bleibt die Entscheidung des Mitarbeiters, was damit erfolgen soll. Bei einer VDI-Lösung wäre das Vorgehen noch einfacher, da keine Daten und Anwendungen direkt auf dem mobilen Gerät vorgehalten werden.

Letztendlich ist es aber von Vorteil, wenn man sich für solche Fragen einen externen Sicherheitsberater für IT-Fragen mit ins Boot holt. Mit ihm lassen sich alle Szenarien durchspielen. So werden mögliche Probleme erkannt und lassen sich bereits im Vorfeld aus dem Weg räumen. Die Einführung und der Dauerbetrieb von BYOD werden damit zu einer sicheren Sache.

Fazit

Der Trend zur mobilen Arbeitswelt mit seinen mobilen IT-Geräten und mobilen Arbeitsplätzen ist bei weitem nicht nur eine Modeerscheinung. Im Gegenteil: BYOD ist in vielen Firmen bereits angekommen und auch zukünftig nicht mehr wegzudenken. Smartphone, Notebook, Tablet-PC und Co. sind vor allem bei der jüngeren Generation ein ständiger Begleiter. Sich als Unternehmen gegen BYOD zu sträuben, fördert die Gefahren, die durch eine Schatten-IT entstehen. Die Verbindung privater Geräte mit der Arbeitswelt ist dagegen sowohl für den Mitarbeiter als auch für das Unternehmen ein Gewinn. Voraussetzung vor einer Einführung ist natürlich eine exakte Analyse der unternehmensspezifischen Anforderungen. Hierbei ist es ratsam, professionelle Beratung externer Experten in Anspruch zu nehmen. Erst wenn alle Fragen geklärt sind und die Strategie festgelegt ist, sollte mit der Einführung von BYOD begonnen werden.

Weitere Informationen

Passend zu diesem Thema stellen wir Ihnen 15 Power Point Folien zur Verfügung. Diese können Sie für eigene Präsentationen an Ihre Gegebenheiten beliebig anpassen.