BYOD – aber sicher!
CIOs können den „Bring Your Own Device“-Trend weder aufhalten noch ignorieren. Statt vor dieser Entwicklung zu kapitulieren, sollten Organisationen sich effektiv darauf vorbereiten, um die Gratwanderung zwischen dem Schutz der Privatsphäre und der Sicherung unternehmensinterner Daten zu meistern. Die folgenden Richtlinien dienen als erster Wegweiser durch den BYOD-Dschungel und helfen dabei, Daten sowie IT-Infrastrukturen zu schützen und rechtliche Vorgaben einzuhalten.
Erster Schritt: IT-Anforderungen definieren
Eine standardisierte Verwaltung für mobile Geräte gibt es nicht. Jedes Betriebssystem und sogar die Hardware stellt IT-Abteilungen vor ganz eigene Herausforderungen. Es gilt also gleich am Anfang zu entscheiden, welche Endgeräte ein Unternehmen unterstützen kann und will – ob Smartphone, Tablet, Laptop oder nur den normalen Desktop-PC. Dabei gehören die Sicherheitsanforderungen genauso auf den Prüfstand wie das Spektrum an notwendigen Managementfunktionen:
IT-Verantwortliche müssen genau abwägen, welche Daten in welchem Umfang zu schützen sind. Genügt ein Sperren des Geräts, oder sollten Daten zur Not aus der Ferne gelöscht werden? Benötigt das Unternehmen Authentifizierungsmechanismen, die bei Bedarf ein Kopieren oder Weiterleiten von Daten per E-Mail verhindern? Für Firmen könnte es auch notwendig sein, die Nutzung bestimmter Apps wie die Dropbox zu unterbinden, um Datenlecks zu vermeiden.
Beim Management ist es ratsam, nicht nur an die Geräte selbst, sondern auch an die Verwaltung von Software-Lizenzen, Updates und Applikationen zu denken. Von Vorteil ist es, wenn die genutzte Lösung IT-Adminis-tratoren zusätzliche Funktionen bietet, zum Beispiel die Möglichkeit, Bedingungen für den Zugriff von Endgeräten auf das Unternehmensnetzwerk zu definieren. So können sie individuelle Policys für den Zugriff auf E-Mails und Netzwerke gestalten. Geräte, die vorab festgelegte Regeln nicht erfüllen – zum Beispiel Apps, die auf einer schwarzen Liste stehen – oder Geräte, die jailbroken (gehackt) sind, lassen sich auf diese Art von unternehmensinternen Informationen fernhalten.
Reagieren statt Ignorieren
Doch wie lässt sich angesichts dieses Flohzirkus an Endgeräten der Überblick behalten? Die wenigsten Firmen verfügen über eine Lösung, mit der sich alle Smartphones, Tablets und Laptops plattformübergreifend verwalten lassen. Stattdessen werden PC, Macs und mobile Geräte getrennt voneinander admi-nistriert – ein aufwendiges und kostspieliges Unterfangen. Hinzu kommen langwierige Schulungen für das IT-Personal sowie die mühsame Verknüpfung einzelner Informationen aus unterschiedlichen Datenbanken. Die Folge: eine zeitraubende und teure Investition in Prozesse, die eigentlich automatisiert und unkompliziert ablaufen sollten. Angesichts geringer Budgets und einer steigenden Anzahl an Vorschriften wächst der Druck auf IT-Abteilungen. Entlastung ist nicht in Sicht: CIOs sind nach wie vor verantwortlich für die Sicherheit und Verfügbarkeit von Daten, Richtlinienkonformität und eine funktionierende IT-Umgebung.
Diese schwierigen Umstände hinterlassen bereits ihre Spuren. Eine Studie von Absolute Software ergab, dass allein in Deutschland 52 Prozent der befragten Unternehmen das Konzept „Bring Your Own Device“ (BYOD) als gefährlich einstufen. Gleichzeitig gaben 50 Prozent an, dass es für die Entwicklung ihres Unternehmens wichtig ist, Mitarbeitern den Gebrauch persönlicher und geschäftlicher Geräte zu ermöglichen. In diesem Spannungsfeld zeigen IT-Manager gegenwärtig meist eines der folgenden vier Verhaltensmuster, um mit dem BYOD-Trend umzugehen:
1. Blinder Wächter
Konfrontiert mit der Herausforderung, eine ganze Reihe an privaten Geräten mit vielen verschiedenen Betriebssystemen zu verwalten, bevorzugen zahlreiche CIOs, private Smartphones, Tablets oder Laptops komplett aus dem Arbeitsalltag zu verbannen. Dieser Ansatz ist im Hinblick auf die eingangs erwähnte Anwerbung junger, qualifizierter Mitarbeiter problematisch. Sie werden einen restriktiven Umgang mit mobilen Geräten nicht hinnehmen wollen. Hinzu kommt, dass Angestellte heutzutage technisch gewieft sind und oft einen Weg finden, derartige Verbote zu umgehen. In diesem Fall bekommt das Sicherheitsnetz rasch Löcher – Angestellte greifen auf interne Informationen zu und tragen diese nach außen, ohne dass die IT-Abteilung davon weiß.
2. Die Vogel-Strauß-Taktik
Eine andere Gruppe von IT-Verantwortlichen missachtet schlichtweg die Tatsache, dass die Konsumerisierung der IT zunimmt, und verhält sich so, als ziehe diese Entwicklung an ihrem Unternehmen vorbei. Ein derartiges Verhalten birgt vermutlich das größte Risiko: Administratoren haben weder Überblick noch Kontrolle über den Zugriff auf ihr Firmennetzwerk. Die Folge: Sensible Daten können völlig unbeachtet das Unternehmen verlassen, Endgeräte ohne einen Rettungsanker in falsche Hände geraten oder Schadcodes über eigenmächtig heruntergeladene Applikationen in das Netzwerk eindringen.
3. Selektive Erlaubnis
Um Mitarbeitern entgegenzukommen, bieten manche Unternehmen einen eingeschränkten Zugriff auf unternehmensinterne Daten mit privaten Endgeräten. Dabei diktieren IT-Abteilungen häufig, welche Smartphones, Tablets oder Laptops tatsächlich zugriffsberechtigt sind. Dies ist zwar ein erster Schritt in die richtige Richtung, doch gibt es viele Fallen: Die steigende Diversität am Technikmarkt führt dazu, dass zahlreiche mobile Endgeräte im Unternehmen keine Beachtung finden und über Umwege trotzdem unkontrolliert auf das Firmennetzwerk zugreifen. Schlussendlich führt nur die plattformübergreifende Berücksichtigung aller Geräte zu einer zufriedenstellenden Lösung für Angestellte und Unternehmen. Firmen vermeiden den unbemerkten Zugriff auf das Netzwerk und Angestellte erhalten die Freiheit, mit dem Gerät ihrer Wahl auf arbeitsrelevante Daten zuzugreifen.
4. Unterstützen und Fördern
Es lohnt sich für Organisationen, Mitarbeitern den Umgang mit ihren privaten Geräten im Arbeitsalltag zu erlauben. Firmen, die sich darauf einlassen, beobachten eine gesteigerte Motivation und Produktivität. Mit gut durchdachten Mobile-Device-Management-Lösungen werden CIOs den Anforderungen an die Verwaltung gerecht: Aufwendige IT-Prozesse wie die Softwareverteilung, das Patch-Management, also die Fehlerbehebung und Nachrüstung von Programmen, sowie die Geräteinventarisierung laufen automatisiert ab. Das spart wertvolle Zeit. Im Falle eines Geräteverlusts gibt es mehrere Schutzmaßnahmen, darunter auch die Möglichkeit, sensible Daten aus der Ferne zu löschen.
Zweiter Schritt: Rechtliche Vorgaben festlegen
Ein Drahtseilakt im Umgang mit BYOD ist die Balance zwischen Kontrolle und Schutz der Privatsphäre. Häufig leidet die Beziehung zwischen Arbeitgeber und Arbeitnehmer unter verschiedenen Auffassungen, wie viel Zugriff auf Gerät und Daten erlaubt ist. Um Klarheit zu schaffen und firmeneigene Informationen von privaten stets trennen zu können, empfiehlt es sich, den Kontrollradius schriftlich auf die folgenden zwei Arten festzulegen:
- Richtlinien für mobile Geräte: Rechtsabteilung, IT- und Personalverant-wortliche definieren gemeinsam Richtlinien, wie Mitarbeiter private Endgeräte im Unternehmen nutzen können. Dabei sollten mehrere Aspekte geklärt werden: Sind Zugriffsbeschränkungen auf bestimmte Daten nötig? Dürfen firmeneigene Informationen nur intern abgespeichert werden oder ist eine File-Sharing-Lösung wie Dropbox problemlos möglich? Wer haftet im Ernstfall für den Verlust der Geräte und Daten? Welche Kontrollmechanismen befinden sich auf den Geräten, um den Schutz von Informationen zu gewährleisten? Hierbei ist es essenziell, genau abzuwägen, wie viel Zugriff auf Smartphone, Tablet und Co. nötig ist, und Mitarbeiter detailliert darüber aufzuklären. Nur so werden Missverständnisse vermieden und die Privatsphäre der Angestellten bestmöglich geschützt.
- Einverständniserklärung der Angestellten: Mit der Unterzeichnung einer Einverständniserklärung bestätigen die Mitarbeiter schriftlich, dass sie die Richtlinien zum Umgang mit privaten Endgeräten im Unternehmen akzeptieren. Damit stimmen sie den rechtlichen Vorschriften und der Möglichkeit zu, das Gerät wie auch darauf enthaltene Daten bei Bedarf abzusichern.
Dritter Schritt: Einsatz einer Mobile-Device-Management-Lösung
Nachdem alle internen Anforderungen geklärt und die betroffenen Personen ausreichend informiert wurden, gilt es, eine passende Lösung zum Management der mobilen Geräte zu implementieren.
Dabei ist es wichtig, dass die MDM-Lösung
- plattformunabhängig arbeitet,
- eine rollenbasierte Administration ermöglicht, bei der die Rechte einzelner Nutzer individuell definiert werden können,
- Apps verwaltet und
- über verschiedene Sicherheitsfunktionen verfügt, darunter die Löschung sensibler Daten aus der Ferne oder die vollständige Sperrung eines Geräts nach Verlust oder Diebstahl.
In Zeiten von Mobile Work können Unternehmen den Trend hin zu Consumerization und BYOD nicht ignorieren. Wenn Firmen sich den aktuellen Entwicklungen stellen, offen damit umgehen und ihren Angestellten konkrete Leitfäden an die Hand geben, haben sie eine Chance, den Überblick zu wahren und entsprechende Sicherheitsvorkehrungen zu treffen. CIOs, die über effiziente Richtlinien und plattformübergreifende MDM-Lösungen verfügen, können den Wert von BYOD-Konzepten voll ausschöpfen, Angestellte mobil einsetzen und dennoch jederzeit die Integrität ihrer Daten gewährleisten. Als Belohnung lockt eine langfristige Bindung qualifizierter Mitarbeiter, eine gesteigerte Motivation und nicht zuletzt die effizientere Gestaltung von Arbeitsprozessen.
Quelle: personal manager Zeitschrift für Human Resources Ausgabe 2 März / April 2013
Wo früher der IT-Leiter die Entscheidung darüber traf, mit welchen Geräten Angestellte arbeiten, muss der CIO heute auf Forderungen aus dem Kreis der Mitarbeiter reagieren. Da Endkundenprodukte wie Smartphones, Tablet-PCs oder Laptops technisch immer ausgefeilter werden und dem IT-Inventar in Unternehmen zuweilen überlegen sind, wollen viele ihre privaten Geräte auch am Arbeitsplatz nutzen – ungeachtet firmeninterner Standards und Richtlinien. Diese Konsumerisierung der IT bietet viel Potenzial – sowohl positives, wie etwa eine gesteigerte Motivation und Produktivität der Mitarbeiter, als auch negatives, wie zum Beispiel Geräte- und Datenverlust. Und noch ein weiterer Aspekt sollte künftig nicht unterschätzt Midgleywerden: Der Wettbewerb um qualifiziertes Fachpersonal wird zunehmend auch über das bereitgestellte Arbeitsequipment entschieden. Gerade bei jungen Fachkräften gilt: Je mehr Freiheit und Selbstbestimmung ihnen ein Unternehmen gewährt, desto attraktiver ist der Arbeitgeber für sie. Das schließt die Nutzung privater mobiler Geräte mit ein. IT-Abteilungen stehen vor der Aufgabe, sich diesen Herausforderungen zu stellen und auf die Bedürfnisse der Mitarbeiter einzugehen.
