Wo früher der IT-Leiter die Entscheidung darüber traf, mit welchen Geräten Angestellte arbeiten, muss der CIO heute auf Forderungen aus dem Kreis der Mitarbeiter reagieren. Da Endkundenprodukte wie Smartphones, Tablet-PCs oder Laptops technisch immer ausgefeilter werden und dem IT-Inventar in Unternehmen zuweilen überlegen sind, wollen viele ihre privaten Geräte auch am Arbeitsplatz nutzen – ungeachtet firmeninterner Standards und Richtlinien. Diese Konsumerisierung der IT bietet viel Potenzial – sowohl positives, wie etwa eine gesteigerte Motivation und Produktivität der Mitarbeiter, als auch negatives, wie zum Beispiel Geräte- und Datenverlust. Und noch ein weiterer Aspekt sollte künftig nicht unterschätzt werden: Der Wettbewerb um qualifiziertes
Fachpersonal wird zunehmend auch über das bereitgestellte Arbeitsequipment entschieden. Gerade bei jungen Fachkräften gilt: Je mehr Freiheit und Selbstbestimmung ihnen ein Unternehmen gewährt, desto attraktiver ist der Arbeitgeber für sie. Das schließt die Nutzung privater mobiler Geräte mit ein. IT-Abteilungen stehen vor der Aufgabe, sich diesen Herausforderungen zu stellen und
auf die Bedürfnisse der Mitarbeiter einzugehen.
Reagieren statt Ignorieren
Doch wie lässt sich angesichts dieses Flohzirkus an Endgeräten der Überblick behalten? Die wenigsten Firmen verfügen über eine Lösung, mit der sich alle Smartphones, Tablets und Laptops plattformübergreifend verwalten lassen. Stattdessen werden PC, Macs und mobile Geräte getrennt voneinander administriert – ein aufwendiges und kostspieliges Unterfangen. Hinzu kommen langwierige Schulungen für das IT-Personal sowie die mühsame Verknüpfung einzelner Informationen aus unterschiedlichen Datenbanken. Die Folge: eine zeitraubende und teure Investition
in Prozesse, die eigentlich automatisiert und unkompliziert ablaufen sollten. Angesichts geringer Budgets und einer steigenden Anzahl an Vorschriften wächst der Druck auf IT-Abteilungen. Entlastung ist nicht in Sicht: CIOs sind nach wie vor verantwortlich für die Sicherheit und Verfügbarkeit von Daten Richtlinienkonformität und eine funktionierende IT-Umgebung.
Diese schwierigen Umstände hinterlassen bereits ihre Spuren. Eine Studie von Absolute Software ergab, dass allein in Deutschland 52 Prozent der befragten Unternehmen das Konzept „Bring Your Own Device“ (BYOD) als gefährlich einstufen. Gleichzeitig gaben 50 Prozent an, dass es für die Entwicklung ihres Unternehmens wichtig ist, Mitarbeitern den Gebrauch persönlicher und geschäftlicher
Geräte zu ermöglichen. In diesem Spannungsfeld zeigen IT-Manager gegenwärtig meist eines der folgenden vier Verhaltensmuster, um mit dem BYOD-Trend umzugehen:
1. Blinder Wächter
Konfrontiert mit der Herausforderung, eine ganze Reihe an privaten Geräten mit vielen verschiedenen Betriebssystemen zu verwalten, bevorzugen zahlreiche CIOs, private Smartphones, Tablets oder Laptops komplett aus dem Arbeitsalltag zu verbannen. Dieser Ansatz ist im Hinblick auf die eingangs erwähnte Anwerbung junger, qualifizierter Mitarbeiter problematisch. Sie werden einen
restriktiven Umgang mit mobilen Geräten nicht hinnehmen wollen. Hinzu kommt, dass Angestellte heutzutage technisch gewieft sind und oft einen Weg finden, derartige Verbote zu umgehen. In diesem Fall bekommt das Sicherheitsnetz rasch Löcher – Angestellte greifen auf interne Informationen zu und tragen diese nach außen, ohne dass die ITAbteilung davon weiß.
2. Die Vogel-Strauß-Taktik
Eine andere Gruppe von IT-Verantwortlichen missachtet schlichtweg die Tatsache, dass die Konsumerisierung der IT zunimmt, und verhält sich so, als ziehe diese Entwicklung an ihrem Unternehmen vorbei. Ein derartiges Verhalten birgt vermutlich das größte Risiko: Administratoren haben weder Überblick noch Kontrolle über den Zugriff auf ihr Firmennetzwerk. Die Folge: Sensible Daten können
völlig unbeachtet das Unternehmen verlassen, Endgeräte ohne einen Rettungsanker in falsche Hände geraten oder Schadcodes über eigenmächtig heruntergeladene Applikationen in das Netzwerk eindringen.
3. Selektive Erlaubnis
Um Mitarbeitern entgegenzukommen, bieten manche Unternehmen einen eingeschränkten Zugriff auf unternehmensinterne Daten mit privaten Endgeräten. Dabei diktieren ITAbteilungen häufig, welche Smartphones, Tablets oder Laptops tatsächlich zugriffsberechtigt sind. Dies ist zwar ein erster Schritt in die richtige Richtung, doch gibt es viele Fallen: Die steigende Diversität am Technikmarkt führt dazu, dass zahlreiche mobile Endgeräte im Unternehmen keine Beachtung finden und über Umwege trotzdem unkontrolliert auf das Firmennetzwerk zugreifen. Schlussendlich führt nur die plattformübergreifende Berücksichtigung aller Geräte zu einer zufriedenstellenden Lösung für Angestellte und Unternehmen. Firmen vermeiden den unbemerkten Zugriff auf das Netzwerk und Angestellte erhalten die Freiheit, mit dem Gerät ihrer Wahl auf arbeitsrelevante Daten zuzugreifen.
4. Unterstützen und Fördern
Es lohnt sich für Organisationen, Mitarbeitern den Umgang mit ihren privaten Geräten im Arbeitsalltag zu erlauben. Firmen, die sich darauf einlassen, beobachten eine gesteigerte Motivation und Produktivität. Mit gut durchdachten Mobile-Device-Management- Lösungen werden CIOs den Anforderungen an die Verwaltung gerecht: Aufwendige IT-Prozesse wie die Softwareverteilung, das
Patch-Management, also die Fehlerbehebung und Nachrüstung von Programmen, sowie die Geräteinventarisierung laufen automatisiert ab. Das spart wertvolle Zeit. Im Falle eines Geräteverlusts gibt es mehrere Schutzmaßnahmen, darunter auch die Möglichkeit, sensible Daten aus der Ferne zu löschen.
BYOD – aber sicher!
CIOs können den „Bring Your Own Device“- Trend weder aufhalten noch ignorieren. Statt vor dieser Entwicklung zu kapitulieren, sollten Organisationen sich effektiv darauf vorbereiten, um die Gratwanderung zwischen dem Schutz der Privatsphäre und der Sicherung unternehmensinterner Daten zu meistern. Die folgenden Richtlinien dienen als erster Wegweiser durch den BYOD-Dschungel und helfen dabei, Daten sowie IT-Infrastrukturen zu schützen und rechtliche Vorgaben einzuhalten.
Erster Schritt: IT-Anforderungen definieren
Eine standardisierte Verwaltung für mobile Geräte gibt es nicht. Jedes Betriebssystem und sogar die Hardware stellt IT-Abteilungen vor ganz eigene Herausforderungen. Es gilt also gleich am Anfang zu entscheiden, welche Endgeräte ein Unternehmen unterstützen kann und will – ob Smartphone, Tablet, Laptop oder nur den normalen Desktop-PC. Dabei gehören die Sicherheitsanforderungen
genauso auf den Prüfstand wie das Spektrum an notwendigen Managementfunktionen:
IT-Verantwortliche müssen genau abwägen, welche Daten in welchem Umfang zu schützen sind. Genügt ein Sperren des Geräts, oder sollten Daten zur Not aus der Ferne gelöscht werden? Benötigt das Unternehmen Authentifizierungsmechanismen, die bei Bedarf ein Kopieren oder Weiterleiten von Daten per EMail verhindern? Für Firmen könnte es auch notwendig sein, die Nutzung bestimmter
Apps wie die Dropbox zu unterbinden, um Datenlecks zu vermeiden.
Beim Management ist es ratsam, nicht nur an die Geräte selbst, sondern auch an die Verwaltung von Software-Lizenzen, Updates und Applikationen zu denken. Von Vorteil ist es, wenn die genutzte Lösung IT-Administratoren zusätzliche Funktionen bietet, zum Beispiel die Möglichkeit, Bedingungen für den Zugriff von Endgeräten auf das Unternehmensnetzwerk zu definieren. So können sie individuelle Policys für den Zugriff auf E-Mails und Netzwerke gestalten. Geräte, die vorab festgelegte Regeln nicht erfüllen – zum Beispiel Apps, die auf einer schwarzen Liste stehen – oder Geräte, die jailbroken (gehackt) sind, lassen sich auf diese Art von unternehmensinternen Informationen fernhalten.
Zweiter Schritt: Rechtliche Vorgaben festlegen
Ein Drahtseilakt im Umgang mit BYOD ist die Balance zwischen Kontrolle und Schutz der Privatsphäre. Häufig leidet die Beziehung zwischen Arbeitgeber und Arbeitnehmer unter verschiedenen Auffassungen, wie viel Zugriff auf Gerät und Daten erlaubt ist. Um Klarheit zu schaffen und firmeneigene Informationen von privaten stets trennen zu können, empfiehlt es sich, den Kontrollradius
schriftlich auf die folgenden zwei Arten festzulegen:
