Bring Your Own Device

Einführung

„Willkommen an Ihrem neuen Arbeitsplatz. Ein Wandel, der einer Transformation bedarf.“ So lautet die Überschrift auf der Website zum Thema Workplace Services der Firma IBM [1]. Worum geht es?

Es geht um „höhere Produktivität Ihrer Mitarbeiter durch orts- und zeitunabhängige Zusammen-arbeit“. Wie soll das erreicht werden?

Im Unternehmen sollen intelligente Geräte wie z. B. Notebooks, Smartphones und Tablets eingesetzt werden, die es ermöglichen, geschäftliche Vorgänge von jedem Ort aus zu bearbeiten. Ein Mitarbeiter, der zum Beispiel mittels seines Smartphones während der Zugfahrt zu einem Kunden Zugriff auf entsprechende Firmendaten hat, bringt sicherlich einen Mehrwert für seinen Arbeitgeber.

Im Rahmen der geplanten Einführung „mobiler Arbeitsplätze“ stellt sich für die Geschäftsleitung die Frage, ob man nicht gleich auf einen weiteren „neuen Zug“ aufspringt. Dieser Zug trägt den verheißungsvollen Titel: „BYOD“. In Neudeutsch: Bring Your Own Device oder übersetzt etwa: Bringe dein eigenes Gerät mit. Das bedeutet: Bringe dein eigenes, privates Smartphone mit in die Firma und nutze dies auch für die Bearbeitung geschäftlicher Vorgänge.

So manchem IT-Verantwortlichen werden sich hier angesichts der Risiken die Haare sträuben. Anstatt an „Bring Your Own Device”, denkt er womöglich an „Bring Your Own Desaster“.

Dennoch – wenn man „trendy“ sein will und die hoch geschätzten „Nerds“ für das Unternehmen nicht verlieren will, mag so mancher Geschäftsführer seinen IT-Verantwortlichen bedrängen, diese neue Möglichkeit auch im eigenen Unternehmen einzuführen, schließlich sind eventuelle Sicherheitsprobleme doch lösbar.

Abgrenzung

Es gibt sicher viele positive Argumente für BYOD – sowohl für die Mitarbeiter als auch für das Unternehmen. Dies ist nicht Thema dieses Artikels. Wenn man sich jedoch mit kritischen Aspekten näher auseinandersetzt, erkennt man gravierende Probleme, die bei der geplanten Einführung von BYOD im Unternehmen zu beachten sind. Genau darum geht es im Folgenden.

Aspekte, die zu berücksichtigen sind

Mit der Einführung von BYOD in einem Unternehmen sind verschiedene Aspekte zu berücksichtigen, die man zunächst grob in rechtliche und sicherheitsrelevante Aspekte unterteilen kann. Die nachfolgenden Ausführungen geben hierfür einige Beispiele an.

Rechtliche Aspekte

Das in die Unternehmensstruktur zu integrierende Gerät befindet sich im privaten Besitz. Daraus ergeben sich Regelungen, die das Eigentumsrecht des Mitarbeiters betreffen. So darf das Unternehmen nur mit Zustimmung des Mitarbeiters auf dessen Endgerät zugreifen. Dies bedarf einer schriftlichen Vereinbarung.

Die Daten auf dem Endgerät oder Teile der Daten gehören natürlich dem Unternehmen. Dieses haftet für die Verwendung der Programme und der Firmendaten, die auf dem Endgerät verarbeitet werden. Es greifen verschiedene Bestimmungen aus den Bereichen Eigentumsrecht, Lizenzrecht, Urheberrecht sowie Datenschutzrecht. Kann man immer klar definieren, was wem gehört und wie die einzelnen Daten rechtlich nach dem Stand der Technik zu schützen sind? Wer trägt hier die Verantwortung bezüglich Haftung und Schadensersatz? Schnell gerät man in rechtliche Grauzonen, die im Fall der Fälle eine Kette von Problemen auslösen können. Manchmal tauchen dann auch zusätzlich arbeitsrechtliche Aspekte auf, die vorher durch eine entsprechende Betriebsvereinbarung im Unternehmen zu regeln wären. Versäumnisse in diesem Bereich können teuer werden und lohnen sich daher nicht.

Beteiligt sich ein Unternehmen an den Kosten für den Kauf eines geeigneten Gerätes, das ausdrücklich auch privat genutzt werden kann, sind ggf. auch steuerrechtliche Aspekte zu berücksichtigen.

Die oben nur angedeuteten rechtlichen Aspekte weisen darauf hin, dass vor der Einführung von BYOD in einem Unternehmen unter Beteiligung geeigneter Fachleute eine zentrale Richtlinie zu erstellen ist. Diese Richtlinie ist ggf. mit der Personalvertretung abzustimmen.

Weiter möchten wir erwähnen, dass die bestehende Rechtsordnung ganz allgemein bezüglich in der Wirtschaft gelebter Verhaltensweisen, die durch neue Technologien bedingt sind, oft zurücksteht. Dadurch entstehen Grauzonen, die erst im Nachhinein mittels Prozessen geklärt werden. Will ein Unternehmen sich den damit verbundenen Risiken und eventuellen Kosten aussetzen?

Sicherheitsrelevante Aspekte

Weit gravierender als die oben skizzierten rechtlichen Aspekte erscheinen uns die Sicherheitsrisiken. Die folgende Aufzählung verdeutlicht die Problematik:

  • Sollten/dürfen sensible Firmendaten auf einem mobilen Endgerät gespeichert oder verarbeitet werden?
  • Ist die Trennung geschäftlicher und privater Daten gewährleistet?
  • Hat die IT-Abteilung weiterhin uneingeschränkte Kontrolle über das Endgerät?
    Wie sind Probleme aus dem Bereich Wirtschaftskriminalität wie Schadsoftware, Diebstahl von Zugangsdaten und Datendiebstahl durch Unbekannte aber auch durch den Mitarbeiter selbst einzuschätzen?
  • Wie groß ist die Gefahr und der mögliche Schaden durch den Verlust lokal gespeicherter Daten und eventuell auch des Endgerätes?
  • Es entsteht grundsätzlich zusätzlicher Aufwand für die Administrierung privater Endgeräte durch die IT-Abteilung.
  • Sind die verschiedensten Smartphones alle gleich absicherbar?
  • Ist der Nutzer risikobewusst und verzichtet weitgehend auf die Einspielung unsicherer Apps auf seinem Handy?
  • Funktioniert die Fernlöschfunktion bei dem eingesetzten Handy? Wer prüft das mit wieviel Aufwand?

Auch diese Aufzählung macht deutlich, dass vor der Einführung von BYOD eine zentrale Richtlinie unter Beteiligung der IT-Verantwortlichen und der Geschäftsführung erstellt werden sollte. Erst nach einer ausführlichen Analyse der Ausgangssituation, der Risikoabschätzung, dem erforderlichen Administrationsaufwand und einer Einschätzung, ob die mit BYOD aus Sicht des Unternehmens zu erzielenden Vorteile wirklich eintreten werden, ist der Weg frei für die Einführung von BYOD.

Ein Weg zur Lösung der Probleme von BYOD

Jeder „Hype“, der von verschiedenen Interessenten und Foren beworben wird, sollte kritisch betrachtet werden. Das Interesse und der Schutz des Unternehmens müssen im Vordergrund stehen. Diesbezüglich kann man schrittweise folgendermaßen vorgehen:

1. Anforderungen des Unternehmens an Endgeräte und Programme klar definieren

Ist es sinnvoll die IT-Abteilung mit der Verwaltung der verschiedensten Endgeräte, die am Markt erhältlich sind, zu belasten? Man sollte als Unternehmen nicht zögern, die eigenen Interessen im Auge zu behalten, anstatt vorschnell einem Hype nachzugeben. Aktuelle Trends aus dem IT-Umfeld wirken sich nicht immer günstig auf ein Unternehmen aus. Neben der Wirtschaftlichkeit ist die IT-Sicherheit ein wesentlicher Faktor für ein Unternehmen.

2. Klären, welch rechtlichen Anforderungen zu berücksichtigen sind

Unternehmerisches Handeln bewegt sich in Deutschland nicht in einem rechtsfreien Raum. Hier gilt es zu beachten, dass wesentliche Rechtsvorschriften, wie oben angedeutet, dem freien unternehmerischen Handeln Grenzen setzen. Dies betrifft besonders den Datenschutz und die sich daraus ergebende Haftungsproblematik aber auch andere Rechtsvorschriften. Viele neuen Umgangsweisen mit IT bzw. neue technische Möglichkeiten kommen aus anderen Ländern, wo ein anders Rechtssystem besteht oder ein anderes Rechtsbewusstsein vorliegt. Dies gilt es angemessen zu berücksichtigen.

3. Klären, welche sicherheitsrelevanten technische Anforderungen es gibt

Eine Betrachtung dieser Anforderungen wird in der Regel zu einem Sicherheitskonzept für BYOD führen, das schriftlich zu fixieren und im Unternehmen abzustimmen ist.

4. Punkte 1 bis 3 berücksichtigen, Anforderungen definieren und umsetzen

Die Umsetzung dieses Punktes erfordert naturgemäß Ressourcen, Zeit und natürlich eine Unterstützung durch die Geschäftsführung. Ein wesentlicher Bestandteil ist auch eine nachhaltige Schulung der Mitarbeiter, möglichst regelmäßig, da allzu oft bezüglich Sicherheit der Faktor Mensch das schwächste Glied darstellt.

Fazit

BYOD mag sich für einige - aber sicherlich nicht für alle - Unternehmen und Unternehmensprozesse eignen. Es gilt daher, sich rational zu verhalten. Das bedeutet, im Vorwege genau zu analysieren, inwieweit eine neue Form des Arbeitens im Unternehmen eingeführt werden soll und ob dies den erwarteten Mehrwert überhaupt bringt. Technisch und organisatorisch scheint alles lösbar zu sein. So gibt es mittlerweile sogenannte „Mobile-Device-Management-Systeme“ (MDM), die der IT-Abteilung helfen, Notebooks, Smartphones und Tablets zuverlässig zu verwalten. Auch hier gilt: Vor dem Einkauf einer MDM-Lösung sollte eine ausführliche Analyse erfolgen. Dies kann idealerweise durch ein Projekt unterstützt werden, das von einem Externen geleitet wird.

Auch in unserem schnelllebigen IT-Zeitalter erspart eine gründliche Analyse im Vorwege so manches Problem und Kosten im Nachhinein.