Ein Gespenst geht um in der IT-Szene. Er geht um unter dem seltsamen Kürzel »BYOD«, was für »Bring Your Own Device« steht, und vielen ITlern ist das ein Dorn im Auge. Sie ärgern sich nämlich über die wachsende Zahl von Mitarbeitern, die einfach ihre eigenen Handys, Smartphones und iPads von zu Hause ins Büro mitbringen und dort oder unterwegs damit arbeiten.

Wichtige Firmendaten auf Privatgeräten? Das darf nicht sein! So denken IT-Verantwortliche die es gewohnt sind, die digitalen Arbeitsgeräte der Firmenmitarbeiter unter ihrer strikten Kontrolle zu halten. Vielen von ihnen würden das Problem gerne per ordre de Mufti lösen: einfach verbieten, am besten sogar die Mitarbeiter zwingen, Privattelefone beim Pförtner abzugeben. Es gibt nur ein kleines Problem: Meistens ist es der Chef persönlich, der sich gerade ein nagelneues iPhone zugelegt hat und damit stolz in der Firma herumläuft. Ein ITler, der versuchen würde, ihm sein schönes neues Spielzeug wegzunehmen, könnte damit seine Karriereaussichten dauerhaft trüben.

Aber wie reagieren? Immerhin steht einiges auf dem Spiel: Der Wildwuchs an Privatgeräten verursacht naturgemäß eine Fülle neuer Sicherheitsprobleme und Datenlecks. Und die IT steht unter dem Druck der Revision und externer Auditoren, den Nachweis erbringen zu können, dass sie alles Menschenmögliche getan hat, um die Daten und Prozesse des Unternehmens besser, nicht schlechter zu schützen!

Wer allerdings auf das Verbot von Privatgeräten fixiert, verpasst das, worum es eigentlich geht, nämlich um den Schutz der Informationen und nicht der Geräte, auf denen diese Informationen dargestellt oder mit denen sie bearbeitet und gespeichert werden. Und genau hier setzt modernes BYOD-Management an: Informations-Sicherheit heißt heute die Devise!

IT-Profis müssen sich an die neue Realität gewöhnen, in der jedes nur denkbare Gerät irgendwann in der Firma auftauchen wird, ob sie es gutheißen oder nicht. Wer versucht, den Mitarbeitern vorzuschreiben, welche Geräte, Betriebssysteme oder Anwendungen sie für ihre tägliche Arbeit benützen sollen und dürfen, der hat das gleiche Problem wie jemand, der versucht, Zahnpasta wieder in die Tube zurück zu bekommen. Er hat einfach keine Chance!

Ein beliebter Weg, zumindest einen Teil der Kontrolle wieder zurück zu gewinnen, besteht darin, den Zugang zum Firmennetzwerk zu versperren und nur bestimmte Gerätetypen durchzulassen. Doch das senkt die Produktivität und führt zu Ärger mit dem Management und den Mitarbeitern selbst, die nicht einsehen, warum sie womöglich im Büro ein altmodisches und sehr viel weniger leistungsfähiges Gerät verwenden sollen als daheim. Die Antwort hier heißt natürlich: IT muss auf dem neuesten Stand der Technik sein in Sachen Desktop-Management, Endgerätesicherheit und Information Security Management. Oder kurz gesagt: Sie muss sich bewegen!

Wir bei KuppingerCole empfehlen unseren Kunden, klare »Spielregeln« dafür zu erarbeiten und verbindlich festzulegen, die bestimmen, wer Zugang haben darf zu welchen Informationen und was er mit diesen Informationen tun darf. Diese Regeln und Richtlinien müssen in technische Lösungen umgesetzt werden, und man muss ihre Einhaltung später lückenlos überwachen. Das ist nicht mehr und nicht weniger als ein Kulturwandel in vielen Unternehmen, aber dieser ist unverzichtbar, wenn man im Zeitalter von BYOD bestehen will.

Zu einer solchen Analyse gehört eine Reihe von ganz grundsätzlichen Fragen wie:
  • Welche Anforderungen müssen private Endgeräte erfüllen, um unbeschränkten Zugang bekommen zu können, und was ist, wenn sie diese Voraussetzungen nicht erfüllen?
  • Muss die Firma auf diesen Geräten etwas installieren, zum Beispiel besondere Sicherheits-Software, und darf sie das überhaupt? Schließlich gehört das Gerät ja dem Mitarbeiter.
  • Wie werden Daten auf dem Endgerät geschützt?
  • Was passiert, wenn der Mitarbeiter das Unternehmen verlässt – und sein Gerät einfach mitnimmt? Schließlich gehört es ihm ja!
Apps, jene sich wie Wildgras ausbreitenden Mini-Anwendungen für Smartphones mit Apple-OS und Android, zeigen beispielhaft, wie schwierig es ist, im BYOD-Zeitalter noch irgendeine Form von Kontrolle über das Endgerät zu behalten. Mancher mag sich noch wehmütig an die Zeiten erinnern, als man noch durch Dienstanweisung (»keine Installation von Drittsoftware«) halbwegs Klarschiff halten konnte. Heute wäre es vermutlich sinnlos, überhaupt eine solche Hausmitteilung aufzusetzen.

Hier hilft nur gutes Zureden und das Hoffen auf Einsicht. Wo das nicht hilft, können Betriebsvereinbarungen nachhelfen, für die allerdings in der Regel der Betriebsrat eingebunden sein muss. So sollte es einem Mitarbeiter eigentlich zumutbar sein, wenn er hinnehmen muss, dass sein Arbeitgeber beispielsweise im Verlustfall Firmendaten auf einem Privathandy »fernlöschen« darf. Den teilweisen Entzug seiner Zugriffsrechte kann man dem Mitarbeiter durch eine mögliche »Lokalisierung« seines abhanden gekommenen Gerätes schmackhaft machen.

Zum Glück liefern die meisten Hersteller mobiler Endgeräte zumindest die Basis-Tools fürs Gerätemanagement von Haus aus mit. Windows Mobile Smartphones lassen sich darüber sogar relativ einfach selbst verwalten – etwa über einen Unterpunkt im Outlook Web-Access (OWA). Hier sieht der Anwender selbst, welche Telefone derzeit für den Zugriff auf sein Mail-Konto eingerichtet sind – wenn es mehr als eines ist, so kann er die »überflüssigen« Geräte entweder aus der Liste löschen oder einen »remote wipe« ausführen lassen. Diese »Killerfunktion« versetzt das Telefon in den Auslieferungszustand zurück.

Ein echtes Gerätemanagement bietet den Administratoren aber noch ganz andere Funktionen. Für iPhone und Android müssen allerdings andere Technologien zum Einsatz kommen, um Firmendaten umfassend zu schützen, ohne das Gerät spürbar in seiner Funktion zu beschneiden. Hier bietet zum Beispiel der kleine US-israelische Startup LetMobile installationsfreies Management von BYOD-Geräten, wobei der Fokus auf dem Schutz der Unternehmens-E-Mail liegt, egal ob auf einem Exchange-Server, einem Google-Mailkonto oder einem Microsoft BPOS Konto. Als SaaS-Service auf Cloud-Basis konzipiert, läuft die Verbindung vom Gerät nicht direkt über den Mailserver, sondern über einen von LetMobile betriebenen Server, ähnlich wie beim Blackberry von RiM. Für den Eigenbetrieb, zum Beispiel durch große Konzerne, wird eine Private Cloud als Alternative angeboten.

Der BYOD-Hype hat viele neue Begehrlichkeiten geweckt und bereits angedachte Konzepte neu belebt (zum Beispiel virtuelle Maschine statt Beraterlaptop). Mit einigen kleinen Abstrichen auf Seiten der Anwender kann das Sicherheitsrisiko eines Einsatzes von Mitarbeiterhardware im Firmennetz durchaus eine lohnende Alternative für die Ausgabe der Standardhardware sein, insbesondere wenn Externe Zugriff auf interne Ressourcen benötigen. Und stoppen lässt sich die BYOD-Lawine ohnehin nicht mehr: Die IT wird lernen müssen, damit zu leben.

Dennoch ist die IT gefordert, kreative Ansätze im Bereich des Sicherheits- und Gerätemanagements zu finden, mehr noch aber, die Belegschaft davon zu überzeugen, dass diese sinnvoll und wichtig sind.

Was ist also die »richtige« Lösung? Auf jeden Fall eine, die das Unternehmen fit macht für das BYOD-Zeitalter. Es geht heute darum, die Möglichkeit zu schaffen, auf sichere Weise von jedem beliebigen Endgerät aus auf sensitive Firmeninformationen zuzugreifen und die Produktivität der Mitarbeiter im Büro, unterwegs und daheim im Home Office zu verbessern, ohne dass dies zu Lasten der Sicherheit und des Datenschutzes geht. Das setzt voraus, dass man genau weiß, welche Informationen zu schützen sind, wie man sie am besten schützt und wo man am besten ansetzt. Wie immer, wenn es um IT-Sicherheit geht, ist eine sorgfältige Risikoanalyse der erste Schritt. Erst dann sollte die Entscheidung für diese oder jene technische Schutzmaßnahme fallen.

Viele in der Unternehmens-IT werden sich aber schmerzlich daran gewöhnen müssen, dass viele Entscheidungen nicht mehr von ihnen allein getroffen werden (können). Der Mitarbeiter will heute ein gewichtiges Wörtchen mitreden. Und das darf er auch: Schließlich ist es ja sein Gerät!