Durch die Medien geistern immer wieder neue IT-Trendthemen und Buzzwords, die größtenteils von den Marketing-Abteilungen der Hersteller getrieben werden. Unternehmen müssen sich nicht mit jedem neuen Schlagwort beschäftigen, doch ByoD (Bring your own Device) kann niemand mehr ignorieren. Denn hier kommt der Marktdruck nicht nur von den Anbietern, sondern auch von den Mitarbeitern. Sie nutzen immer häufiger ihre privaten Geräte auch beruflich, oft sogar bewusst oder unbewusst entgegen entsprechenden Sicherheitsrichtlinien.
Ein striktes vollständiges Verbot hilft meist relativ wenig. Mit entsprechenden Regeln macht sich das Unternehmen bei den Mitarbeitern unbeliebt und viele empfinden diese als unnötige Gängelung. Auch die entsprechenden Hinweise auf Sicherheitsgefahren werden oft nicht ernst genommen, da die Anwender bei der privaten Nutzung ihrer Smartphones noch keine negativen Erfahrungen gesammelt haben. So verwenden sie ihre Geräte trotzdem beruflich, da ihnen dies bei vielen Arbeitsprozessen vor allem unterwegs tatsächlich eine wesentliche Erleichterung und Effizienzsteigerung bringt.
Tatsächlich sind die Sicherheitsgefahren aber durch private Mobilgeräte höher als viele vermuten. Denn während bei privater Nutzung kaum Daten anfallen, die außer Werbetreibenden, Kontodatenjägern und - wie inzwischen bekannt wurde - Geheimdiensten jemanden interessieren, ist der Wert von Firmeninterna deutlich höher. So ist zu erwarten, dass Kriminelle oder Wirtschaftsspione wesentlich mehr Aktivitäten entwickeln, um diese Daten auszulesen. Und dabei öffnen die häufig völlig ungesicherten Smartphones möglichen Angriffen Tür und Tor. Wie also sollen Unternehmen auf die Herausforderungen reagieren, die ByoD mit sich bringt?
Strategischer Imperativ
Da sie an dem Thema über kurz oder lang nicht vorbei kommen, sollten Unternehmen eine umfassende ByoD-Strategie entwickeln und die Anwender von Anfang an intensiv einbinden. Richtig kommuniziert, kann es dazu führen, dass sich der ein oder andere von sich aus an die Sicherheitsregeln des Unternehmens hält. Der eigentliche Prozess beginnt wie üblich mit dem Erfassen des Status quo: Welche Mitarbeiter setzen welche Anwendungen auf welchen Geräten für welche Zwecke ein?
Um die entsprechenden Fragen detailliert vorzubereiten und die Umfrage bei den Mitarbeitern anzumoderieren, müssen sämtliche Fachabteilungen frühzeitig miteingebunden werden. Hier ist es auch wichtig, bei Mitarbeitern nicht den Eindruck zu erwecken, dass der Arbeitgeber sie ausspionieren oder für Missachtung bestrafen will. Stattdessen könnte man die Aktion in eine Umfrage zur Vorbereitung auf ein neues maßgeschneidertes ByoD-Angebot verpacken oder als Wettbewerb um den Einsatz entsprechender Anwendungen mit dem höchsten Effizienzgewinn.
Schon parallel sollten die Fachabteilungen mit der Bedarfsanalyse beginnen: Welche Mitarbeiter benötigen welche mobilen Anwendungen, um ihre Produktivität zu steigern? Falls Mitarbeiterumfrage und Bedarfsanalyse gleichzeitig stattfinden, ist der Vergleich der Ergebnisse recht interessant. Sind Wunsch und Wirklichkeit identisch oder zumindest ähnlich, sollten Unternehmen für die entsprechenden Prozesse unbedingt eine angemessene ByoD-Lösung finden. Setzen die Mitarbeiter dagegen Lösungen ein, die gemäß Bedarfsanalyse nicht nötig sind, sollte neutral überprüft werden, ob die Anwendung nicht doch sinnvoll wäre.
Auf die richtigen Fragen kommt es an
Erst nach dieser Klärung von bestehenden und gewünschten Einsatzszenarien geht es an konkretere Fragen. Dabei steht im Mittelpunkt, welche Vorteile und Nachteile sich aus der jeweiligen ByoD-Anwendung ergeben. Das kann auf der einen Seite die Zeitersparnis bei der Nutzung des privaten Geräts sein, beispielsweise aufgrund der bereits bekannter Oberfläche, bestehender Daten oder der einfacheren Handhabung. Dem ist auf der anderen Seite zum Beispiel der Aufwand für das Einhalten von Sicherheitsvorkehrungen, Compliance-Vorgaben oder das Management für den Netzwerkzugriff gegenüberzustellen.
Neben technischen Fragen sind hier auch rechtliche Vorgaben zu klären, etwa für den Datenschutz des Mitarbeiters oder der Trennung beruflicher und privater Informationen auf dem Gerät. Schließlich hat der Mitarbeiter grundsätzlich das Recht, den Zugriff von Systemadministratoren auf sein privates Gerät zu verweigern. Und das Unternehmen darf auch nicht auf persönliche Daten zugreifen. Hier gilt es, unter Einbindung eines bestehenden Betriebsrates individuelle Vereinbarungen für den Datenzugriff zu treffen.
Last, but not least spielen auch die Kosten eine wichtige Rolle. So sollten Unternehmen für jede mögliche ByoD-Anwendung zumindest eine grobe Kosten-Nutzen-Berechnung sowie eine ROI-Ermittlung vornehmen. Dabei geht es nicht nur um den Aufwand für die Administration und Software-Lizenzkosten im Vergleich zu den möglichen Einsparungen an Hardware und die Effizienzsteigerung in Manntagen. ByoD-Anwendungen sind nämlich nicht mit der Einführung abgeschlossen. Sie ändern sich ständig, da es immer wieder Updates und Zusatz-Funktionen sowie neue Programme und Geräte gibt. Auch die Mitarbeiter nutzen sie immer wieder auf neue oder veränderte Art und Weise. So ist zu klären, wie aufwändig, flexibel, skalierbar und zukunftssicher die Lösung in Bezug auf die Anpassung an neue individuelle Anforderungen sowie künftige Technologien ist.
Welches Gerät soll es sein?
Dies führt fast schon automatisch zur Frage nach dem Gerätetyp, auf dem die ByoD-Anwendung laufen soll oder darf. Dabei geht es nicht so sehr um die Frage, ob Notebook, Tablet oder Smartphone oder welches Betriebssystem genutzt werden sollte. Denn die Entwicklung der mobilen Hard- und Software geht so rasant voran, dass Unternehmen hier sowieso kaum Schritt halten können. So steht hier primär die Frage im Raum, wem die Geräte gehören. Das „echte“ ByoD basiert ja auf den rein privaten Geräten der Mitarbeiter, auf deren Auswahl das Unternehmen keinerlei Einfluss hat. Hier kann es nur bestimmte Hard- oder Software vom Zugriff auf das Unternehmensnetz ausschließen, beispielsweise wenn diese als besonders unsicher gilt. Als Alternative können den Mitarbeitern unternehmenseigene Geräte zur Verfügung gestellt werden. Dies fällt aber per se nicht unter den Begriff ByoD.
Diskutiert werden seit neuerem Mischformen, eine bekanntere Variante dieser „Hybriden“ ist COPE (Corporately Owned, Personally Enabled). Hierbei handelt es sich um unternehmenseigene Geräte, die aber nicht vollständig von den Systemadministratoren konfiguriert und verwaltet werden, sondern dem Mitarbeiter einen gewissen Freiraum für eigene Anwendungen und Einstellungen geben. Dieser kann sogar sehr weitgehend gefasst sein. Keinesfalls sollte das Unternehmen das Management der Sicherheitsprogramme sowie des Netzwerk- und Informationszugriffs aus der Hand geben. Empfehlenswert ist auch die Einschränkung von Apps, Anwendungen und Netzanbietern.
COPE erfordert wie ByoD ein striktes Trennen von beruflichen und privaten Daten. Im Gegensatz zu letzterem kann die Abgrenzung aber erzwungenermaßen Endgeräte-basiert erfolgen, während es bei ByoD nur auf freiwilliger Basis möglich ist. Im Prinzip gilt dies auch für weitere mögliche Sicherheitsvorkehrungen wie Container zum sicheren Öffnen und Nutzen von Apps, Mobile Device Management zur zentralen Verwaltung der Mobilgeräte und Mobile Application Management für die Bereitstellung und Nutzungskontrolle der Apps. Für COPE und ByoD gleichermaßen eignen sich dagegen Netzwerk-basierte Nutzer- und Geräte-Profile sowie eine Browser-basierte Virtualisierung.
Organisation: Compliance und Datenschutz im Fokus
Nach den Entscheidungen bezüglich dieser Varianten geht es an die Umsetzung der organisatorischen Maßnahmen. Dabei stehen Compliance und Datenschutz im Mittelpunkt. So ist im Detail zu klären, welche Informationen das Unternehmen überhaupt verlassen dürfen und welche Sicherheitsmaßnahmen für welche Sensibilitätsstufe einzuführen sind. Werden private Geräte eingesetzt: Wie sollen Security-Anwendungen darauf installiert werden, ohne die Nutzerrechte oder Privatsphäre der Mitarbeiter zu beschneiden? Das Unternehmen muss auch untersuchen, welche anderen Rechte tangiert werden sowie welche steuer- und lizenzrechtlichen Folgen zu erwarten sind. Wenn ein Mitarbeiter das Unternehmen verlässt, muss er in einem festzulegenden Prozess die beruflichen und firmeneigenen Informationen von seinem privaten Gerät löschen. Und schließlich ist festzulegen, wie das Unternehmen erkennt, wenn Mitarbeiter Regeln nicht einhalten, und wie es darauf reagiert.
Erst im letzten Schritt muss sich das Unternehmen für die konkrete technische Lösung entscheiden. Diese sollte möglichst viele Bedürfnisse und sämtliche Compliance-Richtlinien erfüllen. Auch wirtschaftlich hat sie konkrete Vorteile zu bringen, beispielsweise eine effizientere Arbeitsweise, höhere Produktivität oder eine verbesserte Zusammenarbeit. Diese Lösung ist dann mit einem umfassenden Plan umzusetzen, der Dienstleister einbezieht sowie im Vorhinein sämtliche Kosten kalkuliert. Nur dann ist das Unternehmen nicht nur weitgehend vor bösen Überraschungen geschützt, sondern auch vor der Gefahr, dass jeder Mitarbeiter beliebige Anwendungen nutzt. Und es zieht den maximalen Mehrwert aus der Lösung – unabhängig davon welcher Name auf der Verpackung steht. (mb)