Mehr und mehr Beschäftigte arbeiten mit eigenen Smartphones und Laptops, oft ohne Wissen ihres Arbeitgebers. Es ihnen zu verbieten, ist meist ein Kampf gegen Windmühlen. Denn Geräte für den Consumer-Markt sind in der Regel leistungsfähiger als das, was der Arbeitgeber zur Verfügung stellt - und sie sind attraktiver. Vor allem die Angehörigen der Internet-Generation lassen sich kaum noch vorschreiben, womit sie zu arbeiten haben. Für sie ist eine top-moderne Ausstattung am Arbeitsplatz ein Kriterium für die Arbeitgeberwahl. In den Unternehmen beginnt deshalb ein Umdenken: Man setzt auf "Bring your own Device" (BYOD).

Bei diesem Konzept ergänzen oder ersetzen Mitarbeiter die unternehmenseigenen PCs, Laptops oder Smartphones mit eigenen Geräten. In Teilen ist dieser Ansatz schon längere Zeit Alltag in Unternehmen. Zum Beispiel dort, wo Mitarbeiter aus dem Home-Office per VPN mit dem eigenen PC auf das Unternehmensnetzwerk zugreifen. Auch externe Berater und ausgelagerte Mitarbeiter arbeiten häufig mit abgesicherten, firmenfremden Laptops.

Bring your own PC
Firmen und Angestellte können vom Einsatz privater iPads & Co. im Büro profitieren. Lesen Sie hier, was zu beachten ist.

IT-Security:
Welche Sicherheits-Parameter gelten für die privaten Geräte? Welche Art der Verschlüsselung wird eingesetzt?

Lizenzen und Software:
Zentrale Softwarebeschaffung oder Eigenbezug der Software durch den Mitarbeiter, eventuell über Home Use-Programme (wie beispielsweise Microsoft Home Use Program)?

Den Business Case für BYoPC richtig rechnen:
Wie hoch sind die Zusatzkosten für die Virtualisierung und den Ausbau der Server? Was kostet BYoPC insgesamt (Total Cost of Ownership)?

Prüfung und Update der IT-Richtlinien:
Pflichtbestandteile der neuen UOD-Richtlinie sind Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss" (bei Ausscheiden des Mitarbeiters rückzahlbares Darlehen oder "verlorener Zuschuss", jährliche Beteiligung des Arbeitgebers).

Datenschutzrecht:
Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln, die Grenzen des Beschäftigtendatenschutzes einhalten!

Steuerrecht:
Anschaffung des PC als Werbungskosten oder Anrechnung des geldwerten Vorteils bei Überlassung von Firmen-Software zu privater Nutzung?

BYOD kann Vorteile bringen

BYOD findet sich häufig bei mobilen Anwendern, etwa im Außendienst, im Home-Office oder bei selbstständigen Mitarbeitern wie Versicherungsmaklern und Freelancern. Auch das Unternehmen selbst kann von BYOD profitieren. Die Geräte im Besitz der Mitarbeiter sind im Vergleich zu den firmeneigenen Rechnern meist mit zusätzlicher Funktionalität ausgestattet. Außerdem steigert es die Attraktivität eines Arbeitgebers gerade für junge Bewerber, wenn sich Anwender ihr Arbeitsgerät selbst aussuchen können.

Die mobilen Geräte befähigen den Mitarbeiter, seine Zeit produktiver zu nutzen, beispielsweise während einer Reise zu arbeiten. Zu den Vorteilen gehören darüber hinaus niedrigere IT-Kosten, wenn ein BYOD-Gerät anstatt des firmeneigenen Geräts eingesetzt wird. Zudem kennen sich die Nutzer mit ihren privaten Geräten meist sehr gut aus, da sie diese selbst eingerichtet haben. Das kann einen geringeren Support-Bedarf bedeuten.

Natürlich bringt BYOD auch Herausforderungen mit sich, zu deren Bewältigung ein Unternehmen entsprechende Maßnahmen treffen muss. Das Unternehmen sollte sicherstellen, dass private und geschäftliche Daten nicht verschmelzen, die Kompatibilität der Unternehmensanwendungen auch mit sehr heterogenen Endgeräten gewährleistet ist und Verantwortlichkeiten im Support klar verteilt sind.

Um die Vorteile von BYOD ausspielen zu können und Nachteile zu minimieren, muss hinter dem BYOD-Ansatz eine eindeutige Strategie mit klaren Richtlinien stehen.

Andlock Protection

AndLock Notification

Call Log Calendar

Pocket Informant

Pocket Informant

Multi Lang Dictionary

Google Finance

Google Finance

Project Viewer

Project Viewer

AVG Antivirus

AVG Antivirus

AVG Antivirus

RoadSync

RoadSync

Exchange by Touchdown

Exchange by Touchdown

Exchange by Touchdown

Phonebook 2.0

Phonebook 2.0

Otter

Call Log

CallFilter Add to List

CallFilter Block

DocumentsToGo

DocumentsToGo

WebSharing

WebSharing

EasyTether

EasyTether

Cam Card

Cam Card

FlightTrack

FlightTrack

CallFilter Block

Pocket Informant

Contact Group Manager

Contact Group Manager

Contact Group Manager

BYOD-Spektrum bestimmen

Im ersten Schritt legen die Verantwortlichen fest, für welche Art von Geräten BYOD implementiert wird. Vorrangig stehen mobile Geräte zur Debatte. Doch gibt es auch Szenarien, bei denen Mitarbeiter ihre PCs zuhause nutzen - etwa bei einer Call-Center-Tätigkeit. Auf alle Fälle sollte der Zugriff auf Unternehmensressourcen nutzerspezifisch eingeschränkt werden. Auch kann ein eigenes Gerät zusätzlich zu den firmeneigenen zugelassen werden, meist ohne finanzielle Förderung. Dabei handelt es sich um Smartphones, Tablets, Netbooks, aber auch Lifestyle-Laptops mit besserer Ausstattung - also Systeme, die zum Beispiel für Präsentationen besser geeignet sind als die der Firma.

Anforderungen an IT-Systeme identifizieren

Es gilt, die Anforderungen an die Unternehmensinfrastruktur festzulegen. Dazu gehören zum einen die diversen Netzwerkanbindungen über UMTS, DSL, WLAN oder weitere Techniken. Bei der mobilen Netzwerkanbindung besteht die Frage, ob der Anwender eine geschäftliche oder eine private SIM-Karte einsetzt. Eine geschäftliche SIM-Karte bringt das Unternehmen in eine bessere Verhandlungsposition bei Vertragsgesprächen mit Providern und ermöglicht die Kontrolle über den verwendeten Nummernkreis.

Zum zweiten muss bestimmt werden, welche Anwendungen ein Unternehmen in welcher Form bereit stellt. Eine Möglichkeit ist es, den Desktop und Applikationen zu virtualisieren. Virtual-Desktops und Applikationen empfehlen sich bei hohen Sicherheitsanforderungen und für externe Mitarbeiter, denn die Unternehmensdaten liegen hier isoliert auf Servern innerhalb der Unternehmensinfrastruktur. Dazu werden Security-Patches und Anwendungen unabhängig vom Endgerät des Mitarbeiters eingespielt.

Optional können Anwender die bestehenden virtuellen Desktops auch offline nutzen, indem sie das Image lokal speichern und auschecken. Bei der nächsten Verbindung zur Unternehmensinfrastruktur synchronisiert das System die Daten. Nach einer individuell festgelegten Zeit ohne Verbindung zum Server wird ein Offline-Desktop inaktiv. Die Vorteile zeigen sich unter anderem bei dem Verlust eines Endgeräts oder bei einem unerwarteten Firmensautritt.

Eine Alternative ist, ein Client-Image mit vorinstallierten Anwendungen bereitzustellen. Der Vorteil dabei liegt auch darin, Unternehmensdaten zu isolieren und zugleich die Unternehmensrichtlinien für die Sicherheit und Lizenzierung einzuhalten.

Die IT-Verantwortlichen müssen je nach Anwendungsszenario prüfen, welche Teile der bestehenden Infrastruktur weiterhin zu nutzen und ob zusätzliche Lösungen erforderlich sind. Neben der Desktop-Virtualisierung kann das eine Sandbox-Anwendung auf Smartphones für die Nutzung von E-Mails und Kalender sein oder ein unternehmenseigener App-Store für den Rollout eigener Anwendungen für die ERP- oder CRM-Anbindung.

Sicherheitsanforderungen analysieren und festlegen

Gerade in einer heterogenen Unternehmensumgebung müssen Sicherheitsaspekte sorgfältig überlegt sein. Für mobile Geräte bedarf es der Sicherheit rund um die Anwendungen, die Daten auf dem Endgerät, das Gerät sowie das Netzwerk. Dieser Schutz vor Gefahren erfordert technische und organisatorische Maßnahmen - beispielsweise Datenverschlüsselung und Application Whitelisting. Mit Letzterem sind lediglich bestimmte Applikationen für die Nutzung von Unternehmensdaten zugelassen.

Auch hier stellt sich die Frage, ob die vorhandene ITK-Infrastruktur für die definierten Sicherheitsanforderungen ausreicht, beispielsweise ob die Nutzung der Exchange-Server-Leitlinien für die Integration von Smartphones und Tablets geeignet ist. Weitere Aspekte sind die für die spezifischen Anwendungsfälle geeigneten Authentifizierungsmethoden, etwa eine Token-basierte Zwei-Faktor-Authentifizierung für externe Zugriffe. Die Datenübertragung kann beispielsweise über integrierte VPN-Protokolle und SSL/TLS abgesichert werden.

Unternehmen sollten auch Maßnahmen etablieren, mit denen der Verlust oder Diebstahl eines mobilen Geräts abgefangen wird. Dazu gehört zum Beispiel "Remote Wipe", mit dem aus der Ferne Daten entfernt werden. Ein Allheilmittel ist dies allerdings nicht, denn die Technik löscht in der Regel sowohl geschäftliche als auch private Daten. Ein Remote Wipe ist zwar beim Austritt eines Mitarbeiters aus einem Unternehmen zum Teil sinnvoll, doch andererseits wäre gerade in diesem Fall der Verlust privater Daten nicht wünschenswert. Auf alle Fälle sollten sensible Daten isoliert werden, damit sie nicht einfach auf einen USB-Stick oder ähnliche Datenträger kopiert werden können.

ITK-Richtlinien für BYOD bestimmen

Technische Sicherheitsmaßnahmen helfen wenig ohne konsistente Richtlinien. Die IT-Verantwortlichen sollten alle Betroffenen einbeziehen, wenn die Richtlinien definiert werden - vom Nutzer über die Personal- und Rechtsabteilung bis zum Vertriebsmitarbeiter und dem Betriebsrat. Als Grundlage dienen die vorhandenen ITK-Richtlinien, die um BYOD-Regeln erweitert werden.

Neben den Unternehmensrichtlinien ist es für die Nutzung eines BYOD-Modells unerlässlich, Prozesse für verschiedene Ereignisse zu definieren: Diese betreffen unter anderem den Ablauf beim Austritt eines Mitarbeiters, den Verlust eines Geräts, die Abrechnung von regelmäßigen Kosten bei der geschäftlichen Nutzung von privaten Geräten oder auch die Pflege und die Verteilung von Firmensoftware-Updates sowie Support-Prozesse.

Die rechtlichen Rahmenbedingungen spielen bei der Definition der Richtlinien ebenfalls eine Rolle. Dazu gehören regulatorische Vorgaben für die Archivierung der Kommunikation und dokumentationspflichtiger Korrespondenz, arbeitsrechtliche Aspekte bezüglich der bereitgestellten Arbeitsmittel oder auch steuerrechtliche Fragen wie geldwerter Vorteil im Fall einer Nutzungsvergütung. Wichtig sind meist ebenso Mitbestimmungsrechte des Betriebsrats und der Schutz von sensiblen Unternehmensdaten. Geklärt werden sollte auch, wie Haftungsfragen aussehen: Kann das Unternehmen private Geräte bei geschäftlicher Nutzung mitversichern?

ITK-Richtlinien für BYOD kommunizieren

Die klügsten Richtlinien helfen nicht, wenn die betroffenen Mitarbeiter sie nicht kennen. Deshalb sind IT-Verantwortliche gut beraten, einen Kommunikationsplan für das BYOD-Angebot und die formulierten Richtlinien auszuarbeiten, der die beteiligten Mitarbeiter über die Rechte und Pflichten des Angebots umfassend informiert. Auch empfiehlt es sich, dies regelmäßig durch Gegenzeichnen einer Nutzungsvereinbarung zu prüfen und bestätigen zu lassen.

Bei relevanten Sicherheits-Updates müssen die betroffenen Mitarbeiter direkt informiert und angehalten werden, diese zu installieren. Schließlich hilft auch eine zusammenfassende Übersicht zu den relevanten Richtlinien für den täglichen Gebrauch, um Anwendern jederzeit Handlungssicherheit im Umgang mit privaten Endgeräten für Firmenzwecke zu geben.

Die Hausaufgaben der IT
Die ersten Unternehmen setzen Tablet-PCs wie das iPad in der Entwicklung oder im Vertrieb ein. Doch die Einführung ist aufwändig. Folgende sechs Punkte sollten Sie bei der Einbindung ins Unternehmen beachten:

Punkt 1:
Diese Geräte wurden ursprünglich für den privaten Gebrauch entwickelt.

Punkt 2:
Der sichere Umgang mit sensiblen Daten muss gewährleistet sein.

Punkt 3:
Die IT darf also nicht die Kontrolle darüber verlieren, wer worauf zugreift.

Punkt 4:
Konfiguration, Softwareverteilung und Administration müssen zentral ablaufen.

Punkt 5:
Dazu gehören Inventarisierung, Vergabe von Zugriffsrechten, automatische Updates und Sicherheitsmaßnahmen.

Punkt 6:
Möglicherweise empfiehlt sich der Aufbau einer eigenen Tablet-Infrastruktur. Bei der Aktivierung der Geräte arbeitet SAP zum Beispiel mit zugeteilten Zertifikaten.