Bring your Own Device (BYOD): Nicht ohne Sicherheitskonzept

BYOD – Bring your Own Device – bewegt die IT-Welt nun schon einige Zeit. Und obwohl von Unternehmen gern versichert wird, dieser Trend beträfe sie eigentlich nicht oder wenn überhaupt, dann nur ganz am Rande, so sieht es nicht danach aus, als würde sich das Thema in nächster Zeit von selbst erledigen. Im Gegenteil, Mitarbeiter bringen eigene Systeme ins Unternehmen und benutzen sie am Arbeitsplatz; nicht immer, aber immer öfter.

Teil des Lifestyles

Begonnen hatte es ganz unspektakulär, als vor einigen Jahren eine neue Generation sehr leistungsfähiger, gut aussehender und komfortabel zu bedienender Smartphones, Tablets und Notebooks auf den Markt kam und sich gezielt an eine neue, Netz-affine Generation von Usern richtete. Diese waren es gewöhnt, «always on» zu sein, und sie betrachteten Computer und Computer-ähnliche Systeme weniger als Arbeitsmittel denn als Teil ihres persönlichen «Lifestyles». Auch wenn die neuen mobilen Gadgets alles andere als billig waren, für das jeweils neueste Modell gaben die Nutzer das Geld gerne aus. So wurden diese mobilen Systeme oft zu einem Statussymbol, das in gewissen Peergroups selbst das Auto ablöste.

Neben diesen emotional aufgeladenen Lifestyle-Produkten konnten die herkömmlichen, stationären Computersysteme, die in den Unternehmen zu Hause waren, nur noch alt und grau aussehen. Da die Unternehmen zunächst keinen Anlass sahen, entsprechende Geräte ohne unmittelbaren Businessnutzen anzuschaffen, konnte es nicht ausbleiben, dass die «Generation iPhone» dazu überging, die geliebten eigenen Smartphones, Tablets und Notebooks an den Arbeitsplatz mitzubringen – man hatte die Geräte ja ohnehin immer dabei. Dort wurden sie auch beruflich genutzt, samt der vielen praktischen Apps, an die man sich ebenfalls gewöhnt hatte.

In der Grauzone

Die Unternehmen sahen dieses Treiben zunächst nicht ohne Wohlwollen. Management und Controlling fanden die Idee, dass die Mitarbeiter ihre Arbeitsmittel selbst beschafften – und das auch noch gerne –, prinzipiell sehr gut. Immerhin waren sie damit der Notwendigkeit enthoben, selbst in solche Systeme zu investieren. Nicht selten gehörten Geschäftsleitung und Management wenn nicht zu den Early Adopters, so doch zu den Soon Adopters. Und mit so einem Rückenwind ist ein Trend kaum mehr aufzuhalten.

Doch spätestens als man überall anfing, mit den neuen Geräten auf die Businessanwendungen zuzugreifen, als Unternehmensdaten wie E-Mails, Präsentationen oder Kalkulationen zu den mobilen Systemen wanderten, standen dem dritten Beteiligten die Haare zu Berge: Die IT sah die Sicherheit und Integrität ihrer Landschaften gefährdet und ihre Bemühungen um Standardisierung konterkariert. Immerhin drang mit den mobilen Geräten und dem dazugehörigen Eco-System eine Technologie in die Unternehmen ein, die eigentlich ganz für Consumer konzipiert war, also nicht den Anforderungen der Unternehmen hinsichtlich Sicherheit, Verfügbarkeit und Zuverlässigkeit entsprach.

Viele Unternehmen gingen daher dazu über, die betriebliche Nutzung der privaten Smartphones und Tablets zu untersagen – zumeist allerdings ohne Erfolg, denn die Mitarbeiter hatten sich so an ihre Systeme gewöhnt, dass sie nicht mehr davon lassen wollten. Im Zweifelsfall erfolgte die Benutzung dann an den Richtlinien der IT vorbei. Spätestens als dann auch die eigene Geschäftsleitung in dieser Grauzone anzutreffen war, musste die Politik des Aussperrens als gescheitert gelten.

Kein Thema für Schubladen

Die meisten Unternehmen sind sich heutzutage darüber im Klaren, dass BYOD ein komplexes Thema ist, welches man nicht einfach mit einem simplen «gut» oder «schlecht» abhandeln kann. Die angesprochenen Vorteile haben sich durch eine differenzierte Betrachtung der Risiken und der Kosten natürlich nicht erledigt: Leistungsfähigkeit, ständige Verfügbarkeit, überzeugende Bedienkonzepte und der nach wie vor hohe Image- und Lifestyle-Faktor.

Neu ist auf der Seite der Vorteile vielleicht noch der Aspekt, dass die meisten Nutzer auch dann nicht auf ihre eigenen Geräte verzichten wollen, wenn ihnen das Unternehmen eines für berufliche Zwecke zur Verfügung stellt. Zum einen will man nicht zwei Geräte mit sich herumtragen, zum anderen legt man heute schon Wert darauf, sein Gerät zu verwenden, weil es eben an die persönlichen Gewohnheiten angepasst ist.

Mittlerweile hat sich herumgesprochen, dass die Kostenfrage nicht einfach damit erledigt ist, dass die Nutzer die Geräte selbst kaufen. Es geht nicht nur um Kosten für Wartung, Reparatur oder Ersatzbeschaffung, sondern auch um Folge­kosten des normalen Betriebs, etwa bei Deployment von Applikationen, die aufgrund der hohen Komplexität und Heterogenität der Geräte die anfänglichen Investitionsvorteile übertreffen können.

Auch organisatorische und arbeitsrechtliche Fragen sind zu klären. Soll sich das Unternehmen an den Kosten der privaten Geräte beteiligen? Steht dem Mitarbeiter ein Kostenersatz analog zum Kilometergeld bei der Nutzung des privaten PKW zu? Müssen private oder Unternehmens-Lizenzen verwendet werden? Oder etwa beide? Wer kommt dann dafür auf? Wer übernimmt die Kosten, wenn das Tablet des Mitarbeiters beim Kundenbesuch beschädigt wird? Was ist mit Mitarbeitern, die in ihrem Lebensstil andere Prioritäten setzen? Kann ein Unternehmen erwarten, dass jeder Mitarbeiter ein privates Tablet oder Smartphone mitbringt? Fragt man etwa gleich im Einstellungsgespräch danach, welche Geräte der künftige Mitarbeiter mitzubringen gedenkt? Sollte sich ein Unternehmen so abhängig von den Lifestyle-Ambitionen seiner Mitarbeiter machen? Haftet der Mitarbeiter für Unternehmensdaten auf seinem privaten Gerät? Muss man eine Betriebsvereinbarung schliessen? Muss die Regelung der Nutzung der Geräte in die Arbeitsverträge aufgenommen werden? Und muss bei allem nicht auch der Betriebsrat eingeschaltet werden?

Herausforderung Sicherheit

Zentraler Punkt beim Thema BYOD bleibt aber die Sicherheit – und hier hat die IT nicht zu Unrecht auch ihre grössten Bedenken gegenüber BYOD. Immerhin greifen die mobilen Geräte auf Unternehmensdaten und -anwendungen zu und speichern diese teilweise auch lokal. Schon unternehmenseigene mobile Systeme stellen ein erhöhtes Risiko dar, weil sie in unkontrollierten Umgebungen betrieben werden: Sie können beispielsweise verloren oder entwendet werden, und das Unternehmen muss sicherstellen, dass keine Unbefugten auf diese Weise an wichtige Daten kommen.

BYOD legt noch ein paar Risikofaktoren obendrauf: Die unkontrollierte Umgebung ist hier der Normalfall. Dazu kommen eventuell unkontrollierte Nutzer, beispielsweise Angehörige; die Geräte enthalten aber auch Anwendungen oder sie greifen auf Webseiten zu, die die IT nicht kontrollieren kann und die sie womöglich nicht einmal kennt.

Technische Hilfen

Es gibt heute zahlreiche technische Hilfen, diese Risiken wirksam einzugrenzen. So können Administratoren mit der Dell Data Protection Mobile Edition Richtlinien auf Benutzerebene und Befehle auf Geräteebene remote durchsetzen. Befehle zur Geräteverwaltung werden beispielsweise über den Apple Push Notifi­cation Service (APNS) an ein verwaltetes iPhone oder iPad gesendet. Die Android-Geräte lassen sich per EAS-Proto­koll (Microsoft Exchange ActiveSync) verwalten. Damit kann die Administration beispielsweise Befehle zum Zulassen, Blockieren und zur Remote-Löschung per Funk durchführen, so dass bei einem Verlust des Geräts zumindest keine Daten abgegriffen werden können.

Diese Funktionen lassen sich etwa mit Dell System Track dahingehend ausbauen, dass abhandengekommene Geräte durch Geotagging und die Überwachung des Verbindungsstatus lokalisiert werden können. Die Anti-Theft-Technologie von Intel kann anhand übermässig vieler Login-Ver­suche erkennen, ob ein Notebook verloren gegangen oder gestohlen worden ist, und das Notebook dann automatisch sperren, um einen Zugriff auf die Daten zu verhindern.

Aufgrund der Fortschritte in der Prozessortechnologie ist es heute möglich, mobile Daten durch eine umfassende Verschlüsselung zu schützen. Eine solche gerätebasierte Verschlüsselung ist sehr rechenintensiv und beeinträchtigt da­her die Performance; mobile Geräte mit Multi-Core- und Multi-Thread-Chips können die Verschlüsselung jedoch nahezu komplett im Hintergrund durchführen, ohne dass der Nutzer davon etwas merkt. Hierdurch ist diese grundlegende Sicherheitsmassnahme um ein Vielfaches praktikabler geworden.

Da Unternehmen für ihre Daten verantwortlich sind, zumal wenn diese auch Informationen über Dritte wie beispielsweise ihre Kunden enthalten, sind derartige Sicherheitsmassnahmen nicht etwa optional, sondern ein absolutes Muss. Unternehmen müssen Daten schützen, auch und ge­rade, wenn sie auf den privaten Geräten der Mitarbeitenden gespeichert sind oder damit zugänglich gemacht werden können.

In der BYOD-Praxis stellt sich aber immer wieder heraus, dass die Herausforderung nicht in der Technik besteht. Sicherheits-Tools sind für alle Aufgaben verfügbar. Sie lassen sich mit dem entsprechenden Know-how überall installieren und funktionieren auch zuverlässig.

BYOD-Strategie unverzichtbar

Die Frage ist aber nicht, ob zum Beispiel Daten auf einem Gerät eines Mitarbeiters remote gelöscht werden können, sondern ob ein Unternehmen einen derartigen fundamentalen Eingriff in ein System, das ihm gar nicht gehört, überhaupt vornehmen darf – und wenn ja – unter welchen Bedingungen. Die Hauptaufgabe bei BYOD ist daher die Einbettung der technischen Massnahmen in ein organisatorisches Gesamtkonzept.

Eine umfassende BYOD-Strategie ist für Unternehmen unverzichtbar. Grundlage einer solchen Strategie muss die Erkenntnis sein, dass es um mehr geht als die Technologie, dass BYOD also ein über­aus komplexes Konglomerat aus technischen, juristischen, organisatorischen und betriebswirtschaftlichen Fragestellungen ist. Unternehmen müssen sich zunächst in einem User Assessment darüber Klarheit verschaffen, was die Nutzer in welchen Funktionen überhaupt wollen, also nicht nur welche Geräte, sondern auch welche Applikationen und welche Daten sie brauchen. Sie müssen ermitteln, was die Mitarbeitenden bereits nutzen und ob sie auf An­wen­dungen oder Daten des Unternehmens zugreifen können, und wie das zu steuern und zu kontrollieren ist. Sie müssen wissen, welche Software auf welchen Geräten eingesetzt wird, welche Lizenzen dabei zu beachten sind und wie in einem Garantie- oder Schadensfall zu verfahren ist.

Vor allem aber muss eine Lösung für das Mobile Device Management implementiert werden, die unabhängig von Hardware und Betriebssystemen hilft, die neuen Devices- und ihre diversen Apps-Zoos zu steuern. Nur so lassen sich Sicherheit und Compliance-Regeln auch in der BYOD-Welt zuverlässig verankern, und so können Unternehmen und Mitarbeiter die Vorteile dieses Konzepts nutzen, ohne unvertretbare Risiken einzugehen.