Klare Richtlinien – Chancen und Risiken von BYOD

Die Grenzen zwischen beruflicher und privater Nutzung von mobilen Endgeräten weichen immer mehr auf, beobachtet Derk Fischer, Partner bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers. „Eine Trennung zwischen privater und beruflicher Sphäre wird es aber dennoch auch in Zukunft geben müssen.“ Allein die ordnungsgemäße Verarbeitung personenbezogener Daten sei bei einer unklaren Trennung privater und geschäftlicher Sphäre des eigenen Endgeräts nicht möglich. Gefahren einer zu starken Verschmelzung beider Bereiche seien zudem die geringe Sorge um Mechanismen zur Datensicherung und -wiederherstellung auf primär privat genutzten Geräten sowie das möglicherweise fehlende Inventory, Change und Update Management. Erfolgreiches Mobile Device Management zeichne sich vor allem durch klare Richtlinien zwischen Unternehmen und Mitarbeiter aus. So müssen unter anderem Verfahren zur Passwortvergabe, Mechanismen zum automatischen Abschalten des Geräts oder der Fernlöschung geschäftlicher Daten im Verlustfall vereinbart werden, die nur bei einer klaren Trennung zwischen geschäftlichen und privaten Datenbereichen unproblematisch realisierbar seien.

Neben der Notwendigkeit einer deutlichen Trennung verschiedener Datensphären, die etwa durch Verfahren der Containerization oder des Sandboxings erreicht werden kann, stellt vor allem die Vielfalt mobiler Geräte, Betriebssys­teme und Apps viele Unternehmen vor Schwierigkeiten: Eine Komplexitätsreduktion der mobilen Systemlandschaft kann hierbei über interne Listen erfolgen, die bestimmte Geräte und geprüfte Applikationen für die dienstliche Nutzung freigeben – etwa über einen eigenen App Shop. „Um Sicherheitsbedenken entgegenzuwirken, ist es sinnvoll, die Art und Anzahl der Endgeräte zu beschränken. Beispielsweise kann die Anbindung an die Unternehmens-IT auf mobile Devices mit einem bestimmten Betriebssystem beschränkt werden“, empfiehlt Derk Fischer. Statt auf „Bring Your Own Device“ (BYOD) zu setzen, empfiehlt etwa das Beratungs- und Dienstleistungsunternehmen Accenture, Konzepte wie „Bring Your Own Supported Device“ (BYOSD) oder „Choose Your Own Device“ (CYOD) in Betracht zu ziehen. Eine derartige Einschränkung nutzbarer Devices erlaube dem Mitarbeiter eine gewisse Wahlmöglichkeit hinsichtlich des eigenen Endgerätes, ermögliche der IT-Abteilung allerdings, einen ausufernden Ressourcenverbrauch für die Integration und den Support verschiedener Systeme zu unterbinden. Eine Option, die etwa die Daimler AG ihren Mitarbeitern anbietet, ist zudem die Bereitstellung eines „Company Owned Device“ (COD), das dann wiederum deutlichen Einschränkungen im privaten Gebrauch unterworfen ist.

Doch wie können Unternehmen erfolgreich eine sichere und effiziente Systemlandschaft aufbauen, die unkompliziert mobiles Arbeiten ermöglicht? Das Beratungsunternehmen Deloitte etwa rät zu einer fünfstufigen Strategie, deren Ausgangspunkt die Erstellung von Use Cases im eigenen Betrieb darstellt. Aufbauend auf der Definition eines bestimmten Personen- und Aufgabenkreises, der als Adressat beziehungsweise Anwendungsgebiet von BYOD in Frage kommt, raten die Experten zu einem Assessment­prozess bezüglich der zu erwartenden Risiken. Den hierbei identifizierten Schwachstellen sei anschließend mit einer Sicherheitsstrategie zu begegnen, die die gesamte Kommunikation von Business-IT, Arbeitnehmer und Mobilfunkcarrier abdeckt. Abschließend sieht die Roadmap des Beratungsunternehmens die Implementation der passenden Infrastruktur vor. Vor allem im Bereich der Sicherheit liegen den Analysten zufolge Fallstricke für Unternehmen. Ein gewisser Kanon technischer Maßnahmen, etwa die Implementierung eines Mobile Device oder Mobile Application Managements sowie die Schaffung sicherer Datenübertragungen, beispielsweise über virtuelle private Netzwerke (VPN), stelle hier eine Grundvoraussetzung für das mobile Arbeiten dar. Zudem können verschiedene Formen der Autorisierung sowie ein nach Layern gestaffelter Zugriff auf bestimmte Bereiche der Unternehmens-IT zur Sicherheit sensibler Firmendaten beitragen. Ebenso wie im Fall einer generellen Verweigerung zur Einbindung mobiler Endgeräte können aber auch zu strenge Sicherheitsvorgaben zum unreglementierten Einsatz privater Devices führen. Doch ohne die Formulierung verbindlicher Richtlinien drohen Gefahren für die Unternehmensdaten. Zwischen Usability und Security ist somit eine Gratwanderung notwendig, bei der Ungleichgewichte entweder zur verstärk­ten Ausprägung einer Schatten-IT oder zu ernstzunehmenden Sicherheitsproblemen führen können – ein zwingend notwendiger, aber sicherlich kein einfacher Weg für die Unternehmens-IT.

Autor: Werner Beutnagel
Fotos: BMW, iStockphoto/TommL