Bring Your Own Device: Risiko oder Chance?

Aktuelle Erhebungen des BITKOM bestätigen es: Smartphones und Tablets sind weiter auf dem Vormarsch. Damit steigt der Druck auf Unternehmen, sich intensiv mit dem Thema Bring Your Own Device (BYOD) auseinanderzusetzen. Denn Fakt ist: Immer mehr Arbeitnehmer nutzen ihre privaten Endgeräte im geschäftlichen Umfeld – teilweise von der IT geduldet, oft aber auch unbemerkt.


BYOD – im asiatisch-pazifischen sowie im nordamerikanischen Raum ist dieser Trend längst Realität. So erlauben laut der Cisco IBSG Horizons Study1 in den USA bereits 95 Prozent der Unternehmen ihren Angestellten die Verwendung privater Devices. Die Argumente dafür liegen klar auf der Hand: man präsentiert sich als moderner Arbeitgeber, steigert die Mitarbeiterzufriedenheit und erhöht die Effizienz. Darüber hinaus entfallen Investitionen in Neugeräte. Soweit das Pro – doch in Deutschland begegnen Unternehmen dem Thema weitaus skeptischer. Vorreiter ist in erster Linie die ITK-Branche. Immerhin 43 Prozent gestatten hier ihren Mitarbeitern eigene Geräte mit dem Firmennetzwerk zu verbinden.2 Andere Branchen sind deutlich zurückhaltender und das Contra basiert vor allem auf Sicherheitsbedenken. Private und geschäftliche Daten vermischen sich und liegen im schlimmsten Fall unverschlüsselt in einer Cloud. Umso höher ist dieses Risiko einzuschätzen, wenn man berücksichtigt, dass schätzungsweise ca. 40 Prozent der Smartphone-User noch nie ein Sicherheitsupdate installiert haben. Und auch unter datenschutzrechtlichen Gesichtspunkten ist das Thema BYOD nicht unproblematisch – spätestens dann, wenn die Integrität der IT-Infrastruktur nicht mehr ausreichend geschützt ist. Risiken, denen nur durch Investitionen in entsprechende Softwarelösungen begegnet werden kann.

Kurzum: für beide Standpunkte gibt es gute Argumente. Welcher Weg letztendlich eingeschlagen wird, hängt nicht selten von der Unternehmensphilosophie ab. Es gibt kein „Richtig“ oder „Falsch“– aber „Future IT“ heißt in diesem Fall, eine Entscheidung zu treffen. Denn nur eine klar formulierte Policy garantiert die notwendige Sicherheit.

Vorteile nutzen, Risiken minimieren

Fällt die Entscheidung zugunsten privater Devices, gilt es, zahlreiche technische, organisatorische und rechtliche Rahmenbedingungen zu klären. Dazu gehört im ersten Schritt eine Abstimmung mit den Arbeitnehmervertretern – denn sowohl der Einsatz von BYOD als auch die Einführung einer Mobile-Device-Management-Lösung (MDM) ist mitbestimmungspflichtig. Zu regeln sind unter anderem die Themen Datenschutz, Compliance & Persönlichkeitsrecht, Lizenzrecht sowie steuerliche Aspekte und Haftungsfragen. Im Folgenden steht in erster Linie die technische Seite im Fokus.

1. Mobile Device Management
Android, iOS, Blackberry, Windows Phone, Symbian – durch die Vermischung privater und geschäftlicher Devices steigen die Anforderungen an die IT-Verantwortlichen. Empfehlenswert ist der Rückgriff auf eine Managementsoftware, die es Unternehmen ermöglicht, die Applikationen, Daten und Funktionen sämtlicher Smartphones und Tablets über eine webbasierte Benutzerschnittstelle zu konfigurieren. Eine zentrale Verwaltung senkt dabei nicht nur den Aufwand und damit die Betriebskosten, sondern gewährleistet auch hohe Sicherheitsstandards im Umgang mit sensiblen Unternehmensdaten. So ist es u.a. ohne großen Aufwand möglich, Geräte und Speicherkarten mit einem Algorithmus zu verschlüsseln. Die PASS MDM-Lösung kann darüber hinaus so konfiguriert werden, dass bei einem Richtlinienverstoß individuelle Auftragspakete an das Smartphone bzw. Tablet übertragen werden. Hierbei löschen sich das Exchange- und das VPN-Profil z.B. automatisch.

2. Sandboxing
Private- und Unternehmensdaten müssen streng voneinander getrennt werden – das schreibt der Gesetzgeber vor. Alles andere wäre ein Eingriff in das Persönlichkeitsrecht des Mitarbeiters und dieser kann teuer werden. Einen rechtssicheren Ausweg bietet eine Sandbox-Lösung, die es ermöglicht, eine isolierte Umgebung für Geschäftsdaten einzurichten – d.h. sie sind ausschließlich über die App erreichbar. Eine Vermischung privater und geschäftlicher Daten wird damit verhindert. Und auch das Thema Zugriffskontrolle ist geregelt: Das PASS Mobile Enterprise Gateway sorgt z.B. für eine sichere Verschlüsselung – ein Datenzugriff kann nur mit einer entsprechenden Authentifizierung erfolgen. Das sorgt im Fall eines Verlustes oder Diebstahls des Smartphones für Sicherheit. Zusätzlich können Geschäftsdaten per Knopfdruck entfernt werden. Private Daten bleiben von diesem Vorgang unberührt. Hier wäre eine Veränderung bzw. Löschung aufgrund datenschutzrechtlicher Bestimmungen unzulässig.

PASS Mobile Enterprise Gateway

So sicher wie möglich

BYOD: Risiko oder Chance? So lautete die Ausgangsfrage. Die Antwort: Die Verwendung privater Devices ist Risiko und Chance. Pluspunkte sind unter anderem eine mittelfristige Senkung der IT-Kosten, eine Effizienzsteigerung durch den Einsatz vertrauter Geräte und eine Steigerung der Mitarbeiterzufriedenheit. Dagegen steht das Thema Sicherheit. Aber egal, ob sich ein Unternehmen für oder gegen BYOD entscheidet – eine 100-prozentige Sicherheit im Netzwerk wird es nie geben. Dem steht schon alleine die rasante Entwicklung der Technik entgegen, die ständig neue Sicherheitsschwachstellen offenbart. Und auch der User kann durch sein Nutzungsverhalten zum unsicheren Faktor werden. Sowohl bei privaten als auch bei geschäftlichen Devices lassen sich diese Risiken nur durch entsprechende MDM- und BYOD-Lösungen unter Kontrolle bringen und auf ein Minimum reduzieren. Der Unterschied liegt in erster Linie im Organisationsaufwand – dieser ist beim Einsatz von BYOD im ersten Schritt höher, da Unternehmen hier stärkeren Regulierungen unterliegen.

1 http://newsroom.cisco.com/release/854754/Cisco-Study-IT-Saying-Yes-To-BYOD
2 www.bitkom.org/de/themen/73623_73615.aspx

Navigation

Zum Seitenanfang

Teilen auf

Facebook Twitter Google+

Der Autor

Artur Lepold

Artur Lepold ist Head der Business Unit Operations bei der PASS Consulting Group. In dieser Funktion verantwortet er den Betrieb der PASS Rechenzentren mit ihren Outsourcing-, Outtasking- und Cloud-Services. Darüber hinaus fallen die Themen Managed Services, Application Management, Mobile Device Management sowie Bring your own Device in sein Aufgabengebiet. Lepold ist Betriebswirt und hat eine Ausbildung zum Datenverarbeitungskaufmann absolviert. Er verfügt über eine umfangreiche Expertise in den Bereichen IT, Organisation, Rechenzentren, Geschäftsprozessoptimierung und IT-Outsourcing. Vor seinem Wechsel zu PASS 2011 war er unter anderem in führender Position bei einem Full-Service IT-Dienstleister tätig.