Schmaler Grat zwischen Freiheit und Gängelung

Durch die Medien geistern immer wieder neue IT-Trendthemen und Buzzwords, die größtenteils von den Marketing-Abteilungen der Hersteller getrieben werden. Unternehmen müssen sich nicht mit jedem neuen Schlagwort beschäftigen, doch ByoD (Bring your own Device) kann niemand mehr ignorieren. Denn hier kommt der Marktdruck nicht nur von den Anbietern, sondern auch von den Mitarbeitern. Sie nutzen immer häufiger ihre privaten Geräte auch beruflich, oft sogar bewusst oder unbewusst entgegen entsprechenden Sicherheitsrichtlinien.

Ein striktes vollständiges Verbot hilft meist relativ wenig. Mit entsprechenden Regeln macht sich das Unternehmen bei den Mitarbeitern unbeliebt und viele empfinden diese als unnötige Gängelung. Auch die entsprechenden Hinweise auf Sicherheitsgefahren werden oft nicht ernst genommen, da die Anwender bei der privaten Nutzung ihrer Smartphones noch keine negativen Erfahrungen gesammelt haben. So verwenden sie ihre Geräte trotzdem beruflich, da ihnen dies bei vielen Arbeitsprozessen vor allem unterwegs tatsächlich eine wesentliche Erleichterung und Effizienzsteigerung bringt.

Die 12 Typen des BYOD-Mitarbeiters
Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier.

1. Die Millennials
Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht.

2. Die Techies
Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen.

3. Die CEOs
Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln.

4. Die Generation X
Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal.

5. Die Sales-Mitarbeiter
"Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit.

6. Die Stundenarbeiter
In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben.

7. Die chronischen Nörgler
"Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen.

8. Die Sozialen Netzwerker
Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App.

9. Die schwarzen Schafe
In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter.

10. Die Freelancer
Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht.

11. Die Home Office Mitarbeiter
Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy.

12. Die CIOs
Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!

Tatsächlich sind die Sicherheitsgefahren aber durch private Mobilgeräte höher als viele vermuten. Denn während bei privater Nutzung kaum Daten anfallen, die außer Werbetreibenden, Kontodatenjägern und - wie inzwischen bekannt wurde - Geheimdiensten jemanden interessieren, ist der Wert von Firmeninterna deutlich höher. So ist zu erwarten, dass Kriminelle oder Wirtschaftsspione wesentlich mehr Aktivitäten entwickeln, um diese Daten auszulesen. Und dabei öffnen die häufig völlig ungesicherten Smartphones möglichen Angriffen Tür und Tor. Wie also sollen Unternehmen auf die Herausforderungen reagieren, die ByoD mit sich bringt?

Strategischer Imperativ

Da sie an dem Thema über kurz oder lang nicht vorbei kommen, sollten Unternehmen eine umfassende ByoD-Strategie entwickeln und die Anwender von Anfang an intensiv einbinden. Richtig kommuniziert, kann es dazu führen, dass sich der ein oder andere von sich aus an die Sicherheitsregeln des Unternehmens hält. Der eigentliche Prozess beginnt wie üblich mit dem Erfassen des Status quo: Welche Mitarbeiter setzen welche Anwendungen auf welchen Geräten für welche Zwecke ein?

Um die entsprechenden Fragen detailliert vorzubereiten und die Umfrage bei den Mitarbeitern anzumoderieren, müssen sämtliche Fachabteilungen frühzeitig miteingebunden werden. Hier ist es auch wichtig, bei Mitarbeitern nicht den Eindruck zu erwecken, dass der Arbeitgeber sie ausspionieren oder für Missachtung bestrafen will. Stattdessen könnte man die Aktion in eine Umfrage zur Vorbereitung auf ein neues maßgeschneidertes ByoD-Angebot verpacken oder als Wettbewerb um den Einsatz entsprechender Anwendungen mit dem höchsten Effizienzgewinn.

Schon parallel sollten die Fachabteilungen mit der Bedarfsanalyse beginnen: Welche Mitarbeiter benötigen welche mobilen Anwendungen, um ihre Produktivität zu steigern? Falls Mitarbeiterumfrage und Bedarfsanalyse gleichzeitig stattfinden, ist der Vergleich der Ergebnisse recht interessant. Sind Wunsch und Wirklichkeit identisch oder zumindest ähnlich, sollten Unternehmen für die entsprechenden Prozesse unbedingt eine angemessene ByoD-Lösung finden. Setzen die Mitarbeiter dagegen Lösungen ein, die gemäß Bedarfsanalyse nicht nötig sind, sollte neutral überprüft werden, ob die Anwendung nicht doch sinnvoll wäre.

Auf die richtigen Fragen kommt es an

Erst nach dieser Klärung von bestehenden und gewünschten Einsatzszenarien geht es an konkretere Fragen. Dabei steht im Mittelpunkt, welche Vorteile und Nachteile sich aus der jeweiligen ByoD-Anwendung ergeben. Das kann auf der einen Seite die Zeitersparnis bei der Nutzung des privaten Geräts sein, beispielsweise aufgrund der bereits bekannter Oberfläche, bestehender Daten oder der einfacheren Handhabung. Dem ist auf der anderen Seite zum Beispiel der Aufwand für das Einhalten von Sicherheitsvorkehrungen, Compliance-Vorgaben oder das Management für den Netzwerkzugriff gegenüberzustellen.

Neben technischen Fragen sind hier auch rechtliche Vorgaben zu klären, etwa für den Datenschutz des Mitarbeiters oder der Trennung beruflicher und privater Informationen auf dem Gerät. Schließlich hat der Mitarbeiter grundsätzlich das Recht, den Zugriff von Systemadministratoren auf sein privates Gerät zu verweigern. Und das Unternehmen darf auch nicht auf persönliche Daten zugreifen. Hier gilt es, unter Einbindung eines bestehenden Betriebsrates individuelle Vereinbarungen für den Datenzugriff zu treffen.

Last, but not least spielen auch die Kosten eine wichtige Rolle. So sollten Unternehmen für jede mögliche ByoD-Anwendung zumindest eine grobe Kosten-Nutzen-Berechnung sowie eine ROI-Ermittlung vornehmen. Dabei geht es nicht nur um den Aufwand für die Administration und Software-Lizenzkosten im Vergleich zu den möglichen Einsparungen an Hardware und die Effizienzsteigerung in Manntagen. ByoD-Anwendungen sind nämlich nicht mit der Einführung abgeschlossen. Sie ändern sich ständig, da es immer wieder Updates und Zusatz-Funktionen sowie neue Programme und Geräte gibt. Auch die Mitarbeiter nutzen sie immer wieder auf neue oder veränderte Art und Weise. So ist zu klären, wie aufwändig, flexibel, skalierbar und zukunftssicher die Lösung in Bezug auf die Anpassung an neue individuelle Anforderungen sowie künftige Technologien ist.

Welches Gerät soll es sein?

Dies führt fast schon automatisch zur Frage nach dem Gerätetyp, auf dem die ByoD-Anwendung laufen soll oder darf. Dabei geht es nicht so sehr um die Frage, ob Notebook, Tablet oder Smartphone oder welches Betriebssystem genutzt werden sollte. Denn die Entwicklung der mobilen Hard- und Software geht so rasant voran, dass Unternehmen hier sowieso kaum Schritt halten können. So steht hier primär die Frage im Raum, wem die Geräte gehören. Das „echte“ ByoD basiert ja auf den rein privaten Geräten der Mitarbeiter, auf deren Auswahl das Unternehmen keinerlei Einfluss hat. Hier kann es nur bestimmte Hard- oder Software vom Zugriff auf das Unternehmensnetz ausschließen, beispielsweise wenn diese als besonders unsicher gilt. Als Alternative können den Mitarbeitern unternehmenseigene Geräte zur Verfügung gestellt werden. Dies fällt aber per se nicht unter den Begriff ByoD.

Diskutiert werden seit neuerem Mischformen, eine bekanntere Variante dieser „Hybriden“ ist COPE (Corporately Owned, Personally Enabled). Hierbei handelt es sich um unternehmenseigene Geräte, die aber nicht vollständig von den Systemadministratoren konfiguriert und verwaltet werden, sondern dem Mitarbeiter einen gewissen Freiraum für eigene Anwendungen und Einstellungen geben. Dieser kann sogar sehr weitgehend gefasst sein. Keinesfalls sollte das Unternehmen das Management der Sicherheitsprogramme sowie des Netzwerk- und Informationszugriffs aus der Hand geben. Empfehlenswert ist auch die Einschränkung von Apps, Anwendungen und Netzanbietern.

COPE erfordert wie ByoD ein striktes Trennen von beruflichen und privaten Daten. Im Gegensatz zu letzterem kann die Abgrenzung aber erzwungenermaßen Endgeräte-basiert erfolgen, während es bei ByoD nur auf freiwilliger Basis möglich ist. Im Prinzip gilt dies auch für weitere mögliche Sicherheitsvorkehrungen wie Container zum sicheren Öffnen und Nutzen von Apps, Mobile Device Management zur zentralen Verwaltung der Mobilgeräte und Mobile Application Management für die Bereitstellung und Nutzungskontrolle der Apps. Für COPE und ByoD gleichermaßen eignen sich dagegen Netzwerk-basierte Nutzer- und Geräte-Profile sowie eine Browser-basierte Virtualisierung.

Organisation: Compliance und Datenschutz im Fokus

Nach den Entscheidungen bezüglich dieser Varianten geht es an die Umsetzung der organisatorischen Maßnahmen. Dabei stehen Compliance und Datenschutz im Mittelpunkt. So ist im Detail zu klären, welche Informationen das Unternehmen überhaupt verlassen dürfen und welche Sicherheitsmaßnahmen für welche Sensibilitätsstufe einzuführen sind. Werden private Geräte eingesetzt: Wie sollen Security-Anwendungen darauf installiert werden, ohne die Nutzerrechte oder Privatsphäre der Mitarbeiter zu beschneiden? Das Unternehmen muss auch untersuchen, welche anderen Rechte tangiert werden sowie welche steuer- und lizenzrechtlichen Folgen zu erwarten sind. Wenn ein Mitarbeiter das Unternehmen verlässt, muss er in einem festzulegenden Prozess die beruflichen und firmeneigenen Informationen von seinem privaten Gerät löschen. Und schließlich ist festzulegen, wie das Unternehmen erkennt, wenn Mitarbeiter Regeln nicht einhalten, und wie es darauf reagiert.

Erst im letzten Schritt muss sich das Unternehmen für die konkrete technische Lösung entscheiden. Diese sollte möglichst viele Bedürfnisse und sämtliche Compliance-Richtlinien erfüllen. Auch wirtschaftlich hat sie konkrete Vorteile zu bringen, beispielsweise eine effizientere Arbeitsweise, höhere Produktivität oder eine verbesserte Zusammenarbeit. Diese Lösung ist dann mit einem umfassenden Plan umzusetzen, der Dienstleister einbezieht sowie im Vorhinein sämtliche Kosten kalkuliert. Nur dann ist das Unternehmen nicht nur weitgehend vor bösen Überraschungen geschützt, sondern auch vor der Gefahr, dass jeder Mitarbeiter beliebige Anwendungen nutzt. Und es zieht den maximalen Mehrwert aus der Lösung – unabhängig davon welcher Name auf der Verpackung steht. (mb)