Seit geraumer Zeit kursiert in der Unternehmenswelt der Trend, die eigenen privaten Geräte auch für den geschäftlichen Zweck zu verwenden. Neben den viel diskutierten Vor- und Nachteilen des sogenannten „bring your own device“-Konzepts, kommen auch immer wieder Fragen nach der IT-Sicherheit auf. Wie gut das BYOD-Konzept abgesichert werden kann und welche Möglichkeiten dahinterstecken, erfahren Sie in diesem Blogbeitrag.

BYOD – einfach erklärt

BYOD (Bring Your Own Device) bedeutet genau das, was es sagt: Mitarbeiter: innen bringen ihre eigenen privaten Geräte von zuhause mit, um mit diesen auch im Unternehmen zu arbeiten. Mitarbeiter haben also mit ihren privaten Geräten Zugriff auf geschäftliche E-Mails, das Unternehmensnetzwerk, auf bestimmte Anwendungen und Unternehmensdaten. Damit das BYOD-Konzept reibungslos und sicher funktionieren kann, wird in der Regel eine Unternehmensrichtlinie formuliert, in der die Arbeitsabläufe und Vorgehensweisen zu den privaten Geräten vorgegeben ist.

Chancen und Risiken der BYOD-Lösung

Der Trend des BYOD-Konzepts bringt neben einigen Vorteilen auch eine Reihe von Nachteilen mit sich. Anhand der folgenden Gegenüberstellung soll deutlich werden, inwieweit sich ein BYOD-Konzept auf Ihr Unternehmen auswirken kann.

Pro BYOD – die Vorteile

Angefangen mit dem wichtigsten Gut Ihres Unternehmens – dem Team – kann bei einzelnen Teammitgliedern die Zufriedenheit durch BYOD gesteigert werden: Grund dafür ist der Einsatz eigener und bereits vertrauter Geräte, gerade bei technikaffinen Mitarbeiter: innen. Bei den Arbeitenden bietet das Verwenden des eigenen Systems Komfort und eine gewisse Nutzerfreundlichkeit, da sie bereits an das „Look & Feel“ gewohnt sind und sie sich ihren digitalen Arbeitsplatz individuell gestalten können. Ein weiteres Argument für das BYOD-Konzept ist die teilweise höhere Flexibilität und Mobilität, da oftmals auch auf mobilen Endgeräten wie Tablets und Smartphones ein Teil der Arbeit durchgeführt werden kann. Ebenso ist ein unmittelbarer, wirtschaftlicher Effekt auf Unternehmensseite zu verzeichnen: Die Investition in Endgeräte entfällt und auch die damit zusammenhängenden laufenden Aufwendungen wie Wartung, Reparatur, etc.

Die Vorteile des BYOD- Konzepts aus Unternehmenssicht scheinen überzeugend, die Kosten für die IT-Ausstattung werden ganz oder zu Teilen auf die Mitarbeiter: innen ausgelagert und zufriedener sind sie damit auch. Klingt vielleicht fast zu gut? Ist es womöglich auch.

Contra BYOD – die Nachteile

Aspekte wie Sicherheit, Wartbarkeit und ggf. unternehmens- oder branchenspezifische Compliance-Anforderungen sollten bei der Umsetzung eines BYOD-Konzepts genau betrachtet werden. Denn hier liegen eine Reihe von Fallstricken und ein signifikantes Risikopotential.

Private Geräte unterliegen in der Regel der Administration und damit Hoheit der Mitarbeiter: in. Das heißt, aus Unternehmenssicht ist es schwer bis gar nicht durchsetzbar, dass alle Geräte beispielsweise auf dem aktuellen Stand und Sicherheitsniveau, beim verwendeten Betriebssystem oder der Anwendungssoftware, sind. Sicherheitsfunktionen, wie z.B. das Sperren von USB-Ports, um zu verhindern, dass Schadsoftware auf USB-Sticks eingeschleppt wird, sind standardmäßig ebenfalls nicht möglich.
Und was passiert, wenn das private Gerät abhandenkommt? Waren die darauf enthaltenen Unternehmensdaten verschlüsselt? Oder sind die Unternehmensdaten nun ungeschützt in Diebeshand? Und wer trägt dafür nun die Konsequenzen und wie sehen diese aus? Ein weiteres großes Problem.
Nicht zuletzt der Fall, dass ein/e Mitarbeiter: in das Unternehmen verlässt – denn dann besteht keine Möglichkeit festzustellen, ob ggf. unternehmensinterne Daten noch auf dem privaten Rechner verblieben sind; mit allen damit zusammenhängenden Risiken und auch wettbewerbsmäßig problematischen Konsequenzen.

Zusätzlich entsteht eine komplett heterogene Systemlandschaft mit unterschiedlichen Sicherheitsniveaus, die in keiner Weise zentral abgesichert und gesteuert werden kann. Die Lösung wäre natürlich, dass das Unternehmen entsprechende Sicherheitsvorkehrungen auf den privaten Endgeräten der Mitarbeiter: innen durchführen darf. Doch die Mitarbeiter: innen als Eigentümer: innen der Geräte werden in der Regel einer ausschließlichen Verwaltung ihres privaten Geräts durch das Unternehmen nicht zustimmen, sodass hier eine höchst problematische Sicherheitslücke verbleibt.

Eine Art Mittelweg kann gefunden werden, indem mit spezifischer Software, die unternehmensseitig eingebracht wird, eine Art „abgeschotteter Bereich“ (Sandbox) auf den privaten Geräten eingerichtet wird. Dieser Bereich existiert dann separiert von den privaten Daten und kann mithilfe von Software-Management-Tools von der Unternehmens-IT administriert und abgesichert werden.

Aber auch hier gilt es genau hinzusehen: Die wesentlichen Vorteile einer BYOD-Option werden dadurch zunichte gemacht. Die Lizenz- und Administrationskosten fallen wieder auf Unternehmensseite an und sind durch die Heterogenität der Geräte deutlich höher als im Falle gemanagter, standardisierter unternehmenseigener Geräte. Auch bedeutet dies, dass Mitarbeiter: innen zwar „physisch“ das eigene Gerät verwenden, die Anwendungen und das Betriebssystem in der Sandbox aber vom Unternehmen kommen und vorgegeben werden – und damit auch das Komfortargument nicht mehr greift.

BYOD – klingt gut, ist es aber nicht

Abschließend kann festgehalten werden, dass BYOD als Konzept erst einmal modern und dem Zeitgeist zu entsprechen scheint. Im ernsthaften Unternehmensumfeld jedoch das Thema IT-Sicherheit Rahmenanforderungen formuliert, die auch im BYOD-Umfeld systematisch umzusetzen sind. Kommen Zertifizierungs- und Compliance-Anforderungen hinzu, wie es oft im Außenverhältnis mit Kunden nachgewiesen werden muss, müssen BYOD-Bestrebungen schnell wieder ad acta gelegt werden, da die daraus resultierenden Haftungsmaßnahmen für die Geschäftsführung nicht vertretbar sind.

Es ist keineswegs unmöglich ein gutes und sicheres BYOD-Konzept im Unternehmensumfeld umzusetzen, jedoch sind enorme Maßnahmen nötig, um solch eine Initiative sicher zu gestalten. Die zunächst plakativ überzeugenden Vorteile werden durch eine ganze Reihe an Herausforderungen in Frage gestellt – letztlich ist es eine Detailbetrachtung auf individueller Unternehmensebene, die sowohl technische, sicherheitsbezogene, organisatorische und ökonomische Aspekte berücksichtigen muss.

Statt BYOD – Alternativkonzepte im Überblick

Ihnen gefällt das „bring your own device"-Konzept, aber der Aspekt IT-Sicherheit lässt Sie daran zweifeln? Verständlich! Deshalb gibt es im BYOD-Bereich bereits Alternativen, die es sich zur Aufgabe gemacht haben, die Probleme des BYOD-Konzepts zu umgehen und auf ein akzeptables Niveau abzumildern.

COPE – einfach erklärt

Eine dieser Alternativen ist das „COPE“-Konzept (corporate owned, personally enabled). Hierbei bleiben die Geräte Eigentum des Unternehmens, dürfen allerdings auch privat (i.d.R. im Rahmen gewisser Nutzungsvereinbarungen) verwendet werden. Somit wird die Komplexität hinsichtlich verschiedener Betriebssysteme und Hersteller aus der Welt geschafft und es kann sich bezüglich der IT-Sicherheit auf einen Gerätetyp fokussiert werden.

CYOD – einfach erklärt

Eine weitere Variante ist der “CYOD"-Fahrplan (choose your own device). In diesem Fall sind die Geräte ebenfalls Eigentum des Unternehmens, aber der Gerätetyp darf durch den/die Mitarbeiter: in bestimmt werden (i.d.R. aus einem Pool vordefinierter Optionen, die mit der Unternehmens-Richtlinie konform gehen). Somit erhalten Sie weiterhin die Vorteile der Benutzerfreundlichkeit, ohne das Thema IT-Sicherheit aufzugeben.

Was letztlich der für Ihr Unternehmen richtige und zukunftsweisende Weg ist, muss individuell betrachtet werden und hängt neben den genannten Aspekten von einer Reihe weiterer Bedingungen ab, wie der Branche, der Arbeitsweise, Regulierungsanforderungen u.v.m.. Gerne können wir bei der Definition und Umsetzung Ihrer Gerätestrategie unterstützen. Eventuell ist ja ein hybrides Szenario für Ihr Unternehmen optimal?

Das Thema hat Ihr Interesse geweckt? Dann kontaktieren Sie uns jetzt für ein kostenloses und unverbindliches Beratungsgespräch: +49 89 1894162-0

Klicken Sie sich gerne durch unsere Produkte und Dienstleistungen.

Abonnieren Sie uns auch auf LinkedIn, Instagram und Facebook und lesen Sie spannende Beiträge über Lösungen für die Welt der Technik.