Die Geräte, die ich rief …
Wer private Mobilgeräte in Firmen verbietet, ist spiessig und hat nicht verstanden, wie dynamische Menschen heute arbeiten wollen, lautet der Tenor in vielen Diskussionen. Vielleicht ist derjenige aber auch nur vernünftig, weil er verstanden hat, dass die geschäftliche Nutzung privater Smartphones hochkomplex ist.
Heutzutage besitzt nahezu jeder ein Smartphone. Die Geräte sind leistungsfähig und lassen sich über Apps für spezielle Aufgaben erweitern. Ausserdem sind Anwender bestens mit der Bedienung vertraut. Da liegt der Gedanke nahe, diese Geräte auch für berufliche Zwecke zu nutzen.
Das Konzept heisst "Bring your own Device", kurz: BYOD. Das mobile Gerät sollte nicht wie seine Vorgänger nur noch eine E-Mail-Maschine sein, sondern zahlreiche weitere Aufgaben übernehmen. Firmen versprechen sich davon eine höhere Produktivität ihrer Mitarbeiter, bessere Erreichbarkeit und geringere Kosten. Schliesslich nutzen die Mitarbeiter selbst angeschaffte und von ihnen bevorzugte Geräte, die sie zum Grossteil auch noch selbst verwalten, statt über die Firma gekaufte und von der IT-Abteilung gemanagte Geräte.
Schattenseiten von BYOD
Nach dem ersten Hype wurde es stiller um BYOD. Jetzt erlebt das Konzept eine Renaissance. Zum Beispiel läuft ein BYOD-Projekt für Lehrpersonen der Luzerner Kantons- und Berufsfachschulen. Ein Argument für BYOD ist, dass sich IT-Abteilungen nicht gegen Wünsche der Nutzer durchsetzen können. Werden private Geräte im Unternehmen verboten, suchen Anwender Mittel und Wege, das Verbot zu umgehen. Es droht eine "Schatten-IT" – ein Wust im Unternehmen genutzter, aber in keiner Weise vom Unternehmen kontrollierter IT-Ressourcen. Gegebenenfalls verletzten Mitarbeiter nach Schweizer Recht damit übrigens die Sorgfalts- und Treuepflicht gegenüber dem Arbeitgeber.
Sobald vom Nutzer kontrollierte Geräte beruflich eingesetzt werden – egal, ob das heimlich als "Schatten-IT" oder offiziell als BYOD getan wird –, zieht das eine Vielzahl an Problemen nach sich. Schon Sicherheit für eine Vielzahl an Betriebssystemversionen und Millionen von Apps aus den App-Stores herzustellen, ist schwierig. Bis zum Ende des dritten Quartals 2018 wurde alle 7 Sekunden eine neue Schaddatei für Android entdeckt.
Es geht nicht nur um IT-Sicherheit
Schutzsoftware kann da zwar helfen, löst aber nicht die komplizierte rechtliche Situation. Es geht nicht nur um Datenschutzfragen. Auch arbeitsrechtliche Fragen, Rechte an immateriellen Gütern sowie Support- und Haftungsfragen sind zu klären. Gehört zu den Datenbeständen im Unternehmen eine Datensammlung im Sinne des Datenschutzgesetzes, ist ein Dateneigentümer zu bestimmen, der für die Klassifikation verantwortlich ist. Daraus ergibt sich, auf welche Daten mit eigenen Geräten überhaupt nicht zugegriffen werden darf und wo sie gespeichert werden müssen.
Viele Softwareanbieter unterscheiden zwischen privater und geschäftlicher Nutzung. Verwenden Mitarbeiter auf privaten Geräten geschäftliche Lizenzen oder nutzen sie private Lizenzen geschäftlich, kann das gegen Lizenzvereinbarungen verstossen und teuer werden.
Doch was tun? Eine gangbare Alternative zu BYOD ist CYOD (Choose your own Device), auch COPE (Corporate owned personally enabled) genannt. Dabei wählen Mitarbeiter aus einer attraktiven, aber überschaubaren Palette unternehmenseigener Geräte aus und dürfen diese auch privat nutzen. Das Gerät ist jedoch Eigentum des Unternehmens und kann vollumfänglich mit dessen Mobile Device Management verwaltet werden.
----------
Mobility mache Mitarbeiter effektiver, heisst es oft. Wenn sie im Sinne von BYOD mit den eigenen Geräten arbeiten, soll die Effizienz sogar noch mehr steigen. Für die IT-Verantwortlichen ist dies jedoch mehr Frust als Freude. Warum, und was Unternehmen dagegen tun können, erklärt Cornelia Lehle, Sales Director Schweiz bei G Data. Interview: Coen Kaat
IT-Administratoren sind mit der technischen Verwaltung überlastet
Wie können Unternehmen der wuchernden Geräteflut in ihren Unternehmen wieder Herr werden?
Cornelia Lehle: Mit "Bring your own Device" möchten Unternehmen unbedingt einem Trend folgen, der aber ohne Vorüberlegungen zum Scheitern verurteilt ist. Die Heterogenität im Unternehmensnetzwerk steigt und IT-Administratoren sind förmlich mit der technischen Verwaltung überlastet. Ein Unternehmen kann daher nur durch den "Choose your own Device"- oder durch den "Corporate owned personally enabled"-Ansatz Herr der Lage werden.
Was macht das CYOD- beziehungsweise COPE-Modell besser als den BYOD-Ansatz?
Bei CYOD, also wörtlich "wähle dein eigenes mobiles Gerät aus", entscheidet der Mitarbeiter aus einem vom Unternehmen vordefinierten Spektrum an Geräten aus. Der grösste Vorteil für die IT-Sicherheit ist, dass die mobilen Geräte bereits von IT-Administratoren vorkonfiguriert wurden. Gleichzeitig sind die Mitarbeiter dazu angehalten, das Smartphone, das Tablet oder das Notebook lediglich für geschäftliche Tätigkeiten zu nutzen. Indes wird bei COPE, also frei übersetzt "betriebliche Geräte, die der Mitarbeiter nach Firmenrichtlinien selbst einrichtet und pflegt", eine private Nutzung ausdrücklich erlaubt. Dieses Modell kommt meiner Meinung nach nur dann infrage, wenn die Mitarbeiter technisches Know-how mitbringen.
Wie profitiert der Arbeitgeber davon, wenn er sich für CYOD/COPE entscheidet?
Im Falle von COPE profitiert der Arbeitgeber durch den Wegfall des grundlegenden Supports für die Geräte. Der Mitarbeiter hat die Aufgabe, die Smart Devices nach den Anforderungen der firmeneigenen Policy einzurichten. Somit steht der Arbeitnehmer weiterhin in der Verantwortung. Bei CYOD hingegen leistet der Arbeitgeber den Support und schränkt die Benutzung auf betriebliche Angelegenheiten ein. Dadurch herrscht nicht nur eine grössere Rechtssicherheit, sondern IT-Administratoren können die Geräte auch effektiver und schneller mit Updates versorgen.
Wie verhindert man, dass Mitarbeiter ihre privaten Geräte nutzen? Sollte man das überhaupt verbieten?
Durch eine klare schriftliche Vereinbarung, beim Aushändigen des Smartphones, Tablets oder Notebooks, lässt sich die Gerätenutzung klar definieren. Dort muss festgehalten sein, welche Applikationen für die betriebliche Kommunikation zu verwenden und welche verboten sind. Das lässt sich zusätzlich technisch durch eine "Mobile Device Management"-Lösung steuern. Hier können Profile für Funktions-, Kennungs- und Anwendungsrichtlinien eingestellt werden.
Was sind die Schattenseiten einer Schatten-IT?
Kein IT-Verantwortlicher weiss bei einer Schatten-IT, wer welche und wie viele smarte Geräte ins Unternehmensnetzwerk integriert hat. Es kann sich also aus der Sicht der IT-Security zu einem echten Desaster für das Unternehmen entwickeln. Die Vielzahl an unterschiedlichen Geräteversionen wird zu einem signifikanten Problem. Für Cyberkriminelle öffnen sich dadurch Einfallstore. Das kann Konsequenzen für den Arbeitnehmer haben. Wird bekannt, dass durch ein nicht von der IT-Administration zugelassenes mobiles Gerät ein Schlupfloch für den Cyberangreifer ausgenutzt wurde, so muss nach Einzelfallabwägung der Arbeitnehmer für die verursachten Schäden aufkommen.
Veeam zeichnet Schweizer Partner aus
Varonis ehrt Distributor Boll mit einem Award
Gobugfree lanciert kostenloses VDP
Update: Die .swiss-Domain ist für alle verfügbar
Update: Marc Lenzin leitet neu das Partnergeschäft bei Palo Alto Networks
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Ein schwieriges Jahr auf dem heimischen Markt für Business-PCs
Forschende kreieren Exploits per GPT-4
Infinigate Schweiz reorganisiert MSP-Bereich
