BYOD

Strategie und Governance statt Wildwuchs


Ohne Risiken für das Unternehmen funktioniert «Bring Your Own Device» nur, wenn der geschäftliche Einsatz privater Mobilgeräte klar geregelt wird und auf einer umfassenden Strategie basiert.


Text: Urs Binder, Bild: Strandperle,




Persönliche Geräte gehören zum Alltag fast aller Menschen. Was liegt da näher, als das eigene Smartphone, Tablet und Notebook auch geschäftlich zu nutzen – schliesslich will man nicht immer zwei Geräte vom gleichen Typ mitführen, um sowohl private als auch geschäftliche Anrufe zu tätigen oder unterwegs auch auf Firmendokumente Zugriff zu haben. Mobilität zählt denn auch in der Schweiz zu den wichtigsten Themen der ICT, wie die Marktforscher von MSM Research in einer aktuellen Studie festhalten.


Auswirkung aufs ganze Unternehmen

«Bring Your Own Device» (BYOD) wird oft von den Mitarbeitenden angestossen und stellt das ganze Unternehmen vor diverse Herausforderungen. Management, Organisation und Technik sind gleichermassen gefordert, wenn aus den mitgebrachten Geräten nicht ein Wildwuchs mit erheblichen Sicherheitsrisiken erwachsen soll. Mit BYOD ziehen neue Arbeitsweisen ins Unternehmen ein, und die Kultur verändert sich. Nur schon diese Tatsache bringt es mit sich, dass BYOD keinesfalls ein rein technisches Thema bleiben darf, sondern von Anfang an vom Management getragen und in die Organisation eingebettet sein muss.


Vielfältige Aspekte

Die Frage danach, wie die Geräte ins Firmennetzwerk integriert werden sollen, stellt sich zwar immer, aber sie ist nur eine von vielen. Ohne eine Strategie, die auf die Unternehmenssituation abgestimmt ist, und ohne klar formulierte Regeln kommen die erwarteten Vorteile von BYOD nicht zum Tragen: Steigerung der Produktivität und Mitarbeiterzufriedenheit, verbesserte Zusammenarbeit und letztlich auch Kostenersparnis durch den Wegfall firmeneigener Geräte – das alles bleibt schliesslich aus.

Konkret betrifft BYOD im Unternehmen mehrere Ebenen:

 

  • Technologie: Die technische Einbindung der Geräte und die Authentifizierung der Benutzer müssen sichergestellt werden.
  • Prozesse: Prozesse wie etwa das Onboarding neuer Geräte oder Entwicklung, Betrieb und Wartung von Software müssen angepasst oder neu definiert werden.
  • Sicherheit: Die Vertraulichkeit der Daten muss auch mit dem persönlichen Gerät garantiert bleiben. Die Vertraulichkeit der Geschäftsinformationen muss gewährleistet sein.
  • Unternehmenskultur: Zentral ist die Frage, wer überhaupt BYOD nutzen soll oder darf – denn weder ein Zwang zum persönlichen Gerät noch ein generelles Recht auf BYOD sind zielführend.
  • Rechtliche Aspekte: Gesetzliche Vorgaben müssen befolgt und unternehmenseigene Policies klar geregelt sein – zum Beispiel, ob das Unternehmen oder die Mitarbeitenden für die Instandhaltung der Geräte und der Software zuständig sein sollen, oder was passiert, wenn ein Mitarbeitender das Unternehmen verlässt.

Technische Voraussetzungen

Eines ist klar: Die private und geschäftliche Nutzung müssen auf den Mobilgeräten getrennt werden. Denn privat geht man mit Daten meist etwas unvorsichtiger um, während Geschäftsinformationen mehr Sicherheit bedürfen: Diese sind oftmals vertraulich und unterliegen gewissen gesetzlichen Rahmenbedingungen. Dies erfordert zumeist eine Datenhaltung in der Schweiz – und nicht etwa die Ablage bei Dropbox oder einer anderen Cloudlösung mit Serverstandort ausserhalb der Schweiz.

Für diese Trennung werden zwei unterschiedliche Ansätze verfolgt. Entweder werden die Geräte durch eine Lösung im Bereich Mobile Device Management (MDM) oder Enterprise Mobility Management (EMM) verwaltet. Auf dem Gerät wird dabei ein streng getrennter Bereich für die Geschäftsnutzung eingerichtet. Der Austausch von Daten zwischen dem Privat- und Geschäftsbereich wird unterbunden. Doch auch wenn MDM und EMM für hinreichende Sicherheit sorgen: Es liegen Geschäftsdaten auf dem Gerät, das potenziell gehackt werden kann.

Der zweite Ansatz sieht einen ausgefeilten Onboarding-Prozess für neue Geräte vor. Die Benutzer werden durch einen digitalen Assistenten unterstützt, der die Einhaltung von Passwort- und anderen Governance-Richtlinien und die Konfiguration des Geräts sicherstellt. Die Trennung zwischen Privat- und Geschäftsnutzung wird durch einen virtuellen Arbeitsplatz gewährleistet: Geschäftsanwendungen und Geschäftsdaten sind nur über den durch starke Authentifizierung abgesicherten Zugang zu diesem virtuellen Desktop möglich. Alle Daten werden in der Cloud gehalten und stehen zeit- und ortsunabhängig zur Verfügung. Lokal auf dem Gerät werden möglichst keine geschäftlichen Daten abgelegt.


Sicherheit und Governance im Zentrum

Sicherheit hat in Bezug auf BYOD vor allem zwei Bedeutungen: erstens den sicheren, verschlüsselten Zugriff der persönlichen Geräte aufs Firmennetzwerk, unterstützt durch starke Authentifizierung und eine entsprechend angepasste ICT-Sicherheitsstrategie.

Zweitens die Sicherheit der Daten: Nur wer berechtigt ist, darf zugreifen. Dazu muss das Unternehmen zunächst überhaupt wissen, welche Daten vorhanden sind. Auf dieser Basis lassen sich die Daten entsprechend ihrer Vertraulichkeit klassifizieren. Je nach Klassifikation benötigen die Mitarbeitenden dann eine unterschiedlich starke Authentifizierung – für nicht vertrauliche allgemeine Informationen genügen zum Beispiel User ID und Passwort, während Dokumente mit Kundendaten mindestens mit einem weiteren Authentifizierungsfaktor abgesichert sein müssen.

Gleichzeitig ist es unabdingbar, die Mitarbeitenden laufend mit Schulungen und Tests für Sicherheitsaspekte zu sensibilisieren – neben technischen Aspekten handelt es sich dabei um die Frage, an welchen Orten die Arbeit mit vertraulichen Informationen erlaubt ist und wo nicht.

Umfassende Sicherheit ist unter anderem aus rechtlichen Gründen essentiell. Gemäss Artikel 7 des aktuellen Schweizer Datenschutzgesetzes muss der Arbeitgeber die Datensicherheit durch angemessene technische und organisatorische Massnahmen sicherstellen.


BYOD im Unternehmen: 3 Tipps vom Experten


Klassifizierung

Überlegen Sie sich zunächst sorgfältig, welchen Wert die unterschiedlichen Daten für das Unternehmen verkörpern. Erarbeiten Sie ein Konzept für die Klassifizierung von Informationen und Dokumenten.


Governance

Erarbeiten Sie eine klare, festgeschriebene BYOD-Policy für die Mitarbeitenden.


Strategie vor Umsetzung

Erst, nachdem klar ist, wie Ihr Unternehmen BYOD regeln will, sollten Sie die technischen Voraussetzungen schaffen.




Newsletter

Jetzt Newsletter abonnieren und über Trends, Branchen-News und Benchmarks informiert bleiben.





Mehr zum Thema


Whitepaper

Moderne Cloud-Arbeitsplätze

Die sich rasch ändernde Arbeitswelt verlangt nach modernen Arbeitsplatz-Lösungen. Welche Aspekte sind dabei zu beachten und wie unterstützen hybride Cloud-Lösungen dabei diese sicherzustellen?