„Bring Your Own Device“: Alptraum-Szenario für IT-Verantwortliche?

Heidelberg, 30. April 2012. Der Trend zur Nutzung eigener mobiler Endgeräte am Arbeitsplatz bereitet so manchen IT-Verantwortlichen Kopfschmerzen. Beim Thema BYOD muss ein Unternehmen eine klare Sicherheitsstrategie verfolgen und dabei einige konzeptionelle Fallstricke beachten.

Private Smartphones und Tablets akzeptieren oder aussperren? Diese Frage müssen sich IT-Verantwortliche immer häufiger stellen. „In zunehmendem Maße bestimmen die mobilen Anwender selbst, welche Geräte genutzt werden – mit einer einheitlichen BYOD-Politik hinken die meisten Firmen hinterher“, erläutert der Geschäftsführer der MPC Mobilservice GmbH, Franz Schulze Sprakel. „Mobile Devices sind für viele Mitarbeiter eben oft mehr als nur nüchterne Arbeitsgeräte: Das ´angesagte´ iPhone soll es sein, und nicht der ´vorgeschriebene´ Blackberry.“

Die freie Gerätewahl einzuschränken oder zu verbieten hält der Mobilfunkexperte für problematisch: „Der Trend zur Consumerization lässt sich nicht aufhalten. Wer den Gebrauch privater Geräte rigoros reglementiert, schießt letztendlich ein Eigentor, weil die Geräte dann eben an der IT vorbei ins Unternehmen eingeschleust werden.“ Auch müsse man als Arbeitgeber beachten, dass die mobile Ausstattung von Mitarbeitern heute im Kampf um die besten Talente zunehmend als Motivationskriterium wichtig wird: „Darf ein Mitarbeiter nicht das gewünschte Gerät nutzen, kann dies heute gerade bei jüngeren Arbeitnehmern durchaus das Zünglein an der Waage sein und die Entscheidung für oder gegen einen Arbeitgeber beeinflussen.“

Klar ist: Die Nutzung eines Gerätes für berufliche und private Zwecke birgt ein erhöhtes Sicherheitsrisiko und macht es mobilen Angreifern leichter. Viele Nutzer verwalten über Ihre privaten Smartphones Passwörter oder unverschlüsselte sensible Unternehmensdaten. Die IT-Abteilung sollte private Hardware daher proaktiv bei der Security-Strategie berücksichtigen. „Ein Sicherheitskonzept, das firmeneigene und private Geräte integriert, muss klare Richtlinien enthalten, wer auf welche Informationen zugreifen darf sowie einen Notfallplan für den Fall eines Geräteverlusts bereithalten“, so Schulze Sprakel. Um bei einer heterogenen Endgeräteflotte Sicherheitspolicies technisch umzusetzen, komme man an einer professionellen Mobile Device Management (MDM) Lösung nicht vorbei.

Neben technischen Herausforderungen geht es bei BYOD-Szenarios jedoch auch um rechtliche und konzeptionelle Fragestellungen: „Inwieweit darf eine Sicherheits-Policy den Funktionsumfang privater Geräte einschränken? Wer haftet für die privaten Daten auf einem Endgerät, wenn dieses durch die IT-Abteilung gelöscht wird? Was passiert, wenn ein Mitarbeiter bei der privaten Nutzung des Firmenhandys durch das Überschreiten einer Volumengrenze Mehrkosten generiert?“, skizziert Schulze Sprakel einige Punkte.

Unternehmen sollten eine konsequente Strategie mit klaren Compliance-Prozessen entwickeln und dabei auf eine vertragliche Vereinbarung mit den betroffenen Mitarbeitern setzen. Um Sicherheitslecks zu vermeiden, ist eine systematische Verwaltung der Geräte über eine MDM-Lösung empfehlenswert. MPC bietet mit „mobile.dm“ eine solche und berät Kunden auch zu Aspekten, die über die technische Umsetzung allein hinaus gehen.