BYOD: Wann BYOD den Betrieb bedroht

Immer mehr Beschäftigte verwenden ihre eigenen Tablets und Smartphones im Betrieb. Ob dies im Einzelfall wirklich von Vorteil ist, sollten Sie prüfen, bevor Bring Your Own Device das Unternehmen überrollt. Der Entwicklung tatenlos zuzusehen, ist auch eine Entscheidung – und zwar die gefährlichste.

Über IT-Privatgeräte bestimmt der Betrieb

Von Oliver Schonschek

Glaubt man den Prognosen, müssen Unternehmen in Zukunft kaum noch eigene mobile Endgeräte anschaffen. Die Beschäftigten bringen ihre eigenen Smartphones und Tablets einfach mit ins Unternehmen – ob es erlaubt ist oder nicht.

Diese Entwicklung Richtung BYOD (Bring Your Own Device) scheint erfreulich, weil sich das Unternehmen so die Anschaffungskosten für neue mobile Endgeräte spart. Leider ist dies zu kurz gedacht: Die betriebliche Nutzung privater IT-Geräte macht andere Anschaffungen erforderlich und bedeutet einiges an Organisations- und Kontrollaufwand.

Gut vertraut oder allzu angenehm?

Keine Frage: Wenn Mitarbeiter das eigene Smartphone zu betrieblichen Zwecken nutzen dürfen, reduzieren sich neben den Anschaffungskosten auch die Schulungskosten (vorausgesetzt, dass die Leute mit dem eigenen Gerät auch umgehen können).

Ob die Produktivität alleine dadurch steigt, dass ein Nutzer das Gerät seiner Wahl verwenden darf, darf man aber bezweifeln. Studien, die einen Produktivitätsgewinn durch BYOD versprechen, verkennen, dass sich nicht jede betriebliche Anwendung gleich gut mit jedem privaten Gerät nutzen lässt. Außerdem besteht bei einem Privatgerät immer die Gefahr, dass sich zusätzliche Gelegenheiten der Ablenkung am Arbeitsplatz auftun.

Mehr Aufwand bei höherem Risiko

Sicher ist jedoch, dass zumindest in der Anfangsphase die Organisation der mobilen Datenverarbeitung komplexer wird. Unternehmen, die BYOD zulassen oder auch nur dulden, haben in aller Regel zahlreiche verschiedene Smartphone- und Tablet-Typen im betrieblichen Einsatz und damit auch die entsprechenden mobilen Betriebssysteme. Jede Lösung zur Verwaltung und Absicherung der mobilen Endgeräte muss also eine große Bandbreite an Systemen unterstützen. Das Gleiche gilt für die Administratoren.

Serie: Bring Your Own Technology (BYOT)
Teil 1 beginnt mit dem BYOD-Trend (Bring Your Own Device) und rät Unternehmen: strikt verbieten oder ausdrücklich erlauben; eine Duldung ist niemals gut. Teil 2 sieht sich an, was auf den mitgebrachten Privatgeräten alles läuft: Apps zum Zeitvertreib und ohne Sicherheitsvorkehrungen. Auch BYOA (Bring Your Own Application) in dieser Form darf nicht sein. Teil 3 beobachtet, dass das mobile WLAN der mitgebrachten Geräte auch sicherheitsrelevante Firmendatenträger ins Netz holt. Bei BYON (Bring Your Own Network) muss Datensicherheit daher ganz unten ansetzen.

Hinzu kommt, dass mit BYOD neue Herausforderungen im Beschäftigtendatenschutz entstehen, aber auch neue Datenrisiken für das gesamte Unternehmen. So ist der Sicherheitsstatus der privaten Geräte erst einmal unbekannt; eine Sicherheitskontrolle ist nur bedingt möglich, weil die Smartphones und Tablets ja zugleich privat im Einsatz sind, und die Anforderungen an die mobile Sicherheitslösung sind hoch.

Ein Beispiel: Eine Überwachung der Internet-Nutzung bei privaten Smartphones darf sich nur auf die betriebliche Nutzung, die betrieblichen Daten und die Arbeitszeit beziehen. Mobile Schadprogramme können aber auch während der privaten Webnutzung und in der Freizeit auf das Smartphone gelangen – und später dann ins Firmennetzwerk.

Wie u.a. eine Studie von Harris Interactive zeigt, verschlüsselt nur ein Drittel aller betrieblich genutzten Privatgeräte die darauf gespeicherten Firmendaten. Gehen die privaten Geräte verloren, sind die betrieblichen Daten in Gefahr.

Faktoren in der Gesamtrechnung
Ob sich BYOD für Ihr Unternehmen wirklich lohnt, ist nicht ganz einfach zu sagen. Keinesfalls reicht es, nur die Anschaffungskosten für Smartphones und Tablets zu betrachten. So bleibt zu klären, ob die bereits eingesetzte mobile Sicherheitslösung auch die privaten IT-Systeme unterstützt und ob sie (aus Datenschutzgründen) zwischen privaten und dienstlichen Geräten unterscheiden kann. Wenn nicht, steht unter Umständen eine Investition in ein Upgrade oder gar in eine neue Lösung an.

Auch die Kosten des erforderlichen Supports und Betriebs und einer möglichen Übernahme durch das Unternehmen müssen geklärt werden. Umfragen von Lieberman Software zeigen, dass BYOD sogar zu steigenden Kosten für IT- und Datensicherheit führen kann.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Fazit: Erlauben, verbieten, aber niemals dulden!

Je nachdem, ob Sie BYOD für vorteilhaft halten oder nicht, sollten Sie die betriebliche Nutzung privater IT-Geräte entweder strikt verbieten oder ausdrücklich erlauben. Eine Duldung ist niemals gut. Denn dann werden Sie Ihre IT-Sicherheit und Ihre Organisation nicht auf diese Entwicklung vorbereiten und abstimmen können. Ohne entsprechende Vorkehrungen aber wird BYOD aus dem Ruder laufen und Ihren Datenschutz und die Produktivität gefährden. Hier liegt noch vieles im Argen: Bislang haben es 80 % der Unternehmen versäumt, BYOD intern zu regeln, wie eine Studie von Ovum ergeben hat.

Machen Sie nicht diesen Fehler! Überlegen Sie sich, ob und welche IT-Geräte genau erlaubt sein sollen und welche Maßnahmen Sie ergreifen müssen, um sie datenschutzgerecht zu kontrollieren. Wenn Sie wissen, dass bestimmte Smartphones und Tablets erlaubt sein sollen, und Sie bereits eine passende Sicherheitsvorkehrung (z.B. Lösungen aus dem Bereich Mobile Device Management) gefunden haben, sollten Sie sich mit der nächsten Herausforderung beschäftigten: den privaten Anwendungen auf den Smartphones und Tablets.

Genau damit befasst sich Teil 2 dieser Serie.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links