Experton Group: Bring Your Own Device – technologisch schwierig und rechtlich anspruchsvoll

Zu diesem Ergebnis kommt die Experton Group. Im nachfolgenden Beitrag klärt das Research-, Advisory- und Consulting-Unternehmen über technologische und rechtliche Voraussetzungen auf, liefert die wichtigsten Checks vor einer BYOD Umsetzung und erklärt, warum es so wichtig ist, zuerst zu prüfen und die Grundlagen zu schaffen, bevor ein Unternehmen eine BYOD-Strategie umsetzt.

Der Einsatz privater Endgeräte der Mitarbeiter in der Unternehmens-IT greift rasant um sich. „Bring Your Own Device“ ist attraktiv für Mitarbeiter, die ihre modernen, multifunktionalen und mobilen Endgeräte flexibel nicht nur privat, sondern auch dienstlich nutzen möchten. Die Unternehmen selbst wollen dadurch gerade für hochqualifiziertes Personal attraktiv sein und flexibles sowie mobiles Arbeiten fördern.

So verlockend die innovativen Möglichkeiten sind, so anspruchsvoll ist die technische und rechtliche Umsetzung. Bisher übliche Restriktionen und Paradigmen müssen überwunden werden. Die technologischen und rechtlichen Themen und Lösungen sind eng verwoben. Nur mit einem ganzheitlichen Ansatz lassen sich die unterschiedlichen Anforderungen umsetzen und Risiken für das Unternehmen und das Management vermeiden.

Technologische Herausforderungen und Lösungen

Kein Zweifel, das Client-Universum in Unternehmen wird sich in den nächsten Jahren komplett verändern. Der Startschuss war 2010. Waren die Infrastrukturen bis zu diesem Wendepunkt durch möglichst standardisierte Clients (Desktop, Notebook, etc.) geprägt, so zeigen Studien eine wachsende Vielfalt der Clients im gesamten Unternehmen auf. Für die IT-Abteilung bedeutet diese Entwicklung Risiko und Chance zugleich. Chance für die IT-Abteilung, innovativ und zukunftsweisend zu agieren. Risiko, von neuen Technologien und Betriebsformen überrollt zu werden und die gebotenen Sicherheitsstandards nicht mehr einhalten zu können.

Wie häufig bei neuen technologischen oder organisatorischen Themen tun die meisten Unternehmen gut daran, den Hype der Anbieter und der Medien erst einmal zu ignorieren. Vor grundlegenden Veränderungen sollten sie sich zuvor einigen einfachen und doch elementaren Aufgaben stellen:

  • Bei mindestens 5% der Arbeitsplätze, oder in großen Unternehmen mindestens 100 Arbeitsplätzen, ist ein BYOD Ansatz möglich (Notebook und ults / Pads). In der Produktion ist dies meistens ausgeschlossen, ebenso in der Entwicklung, außer ein Mitarbeiter möchte seine eigene Workstation mitbringen!
  • Notwendige Investitionen für einen effizienten und sicheren Betrieb sind geklärt
    • Virtualisierungslösungen
    • MDM-Lösungen
    • HelpDesk
  • Der Nutzen von BYOD innerhalb der Fachabteilungen ist geklärt
    • Effizienteres Arbeiten
    • Längeres Arbeiten
    • Umsatzerhöhung
    • Kostensenkung
  • ROI Betrachtung (Kosten/Nutzen) ist betriebswirtschaftlich positiv

Einige Unternehmen werden feststellen, dass eine betriebswirtschaftliche Betrachtung schnell zu einem Aus für ein derartiges Projekt führt. Dies sollte dann auch entschieden werden! Andere werden in einzelnen Teilsegmenten bzw. Abteilungen positive Resultate feststellen. Diese sollten sich dann die Technologie genauer ansehen und insbesondere entscheiden, ob der Betrieb der Mitarbeitergeräte selbst oder durch einen Dienstleister bewerkstelligt werden soll.

Bevor Unternehmen offensiv in Richtung Bring Your Own Device kommunizieren, sollten folgende technologischen und organisatorischen Themen geklärt werden:

  • Ist ein Anreizsystem definiert
    • Anreiz über Geld
    • Anreiz über nichtmonetäre Vorteile
    • Anreiz über die Wahlfreiheit bei den Geräten
  • Ist die Kommunikation definiert und abgestimmt
    • Zielgruppe
    • Zeitraum
    • Abstimmung mit allen notwendigen Stellen (Management, HR, Betriebsrat, Vertrauensleute)
  • Betrieb und Wartung ist geregelt
    • Kein Support (kaum haltbar)
    • Voller Support
    • Support bis zur Virtualisierungsschicht
  • Ersatzlösung für beschädigte oder verlorene Geräte existiert
  • Zugriff auf die Unternehmens-IT und die Backend Systeme ist geregelt
    • Über das Internet (über Virtualisierungslösung / Frontend oder Web-Interface)
    • Anmeldung im Corporate Network (aus Sicherheitsgründen eher nicht tragbar)
    • Über ein VPN über Internet und LAN

Wenn diese Themenkomplexe definiert und abgestimmt sind sowie die wirtschaftliche Betrachtung positiv ist, spricht aus technischer Sicht nichts gegen ein Bring Your Own Device Modell.

Rechtliche Herausforderungen und Lösungen

Der Bring Your Own Device Ansatz bedeutet nicht nur technische Fragestellungen, sondern zunächst rechtliche Herausforderungen. Werden diese nicht gelöst, treffen das Unternehmen nicht nur deutlich erhöhte Risiken, sondern auch erhebliches Konfliktpotenzial. Was geschieht etwa mit privaten Daten auf dem Device des Mitarbeiters, die auf der Unternehmens-IT gesichert werden? Kann der Mitarbeiter auf dem Device vorhandene Unternehmensdaten in private Backups seines Device einbeziehen? Was geschieht mit privaten E-Mails, die vom Device über Systeme des Unternehmens laufen?

Aus rechtlicher Sicht berührt BYOD mehrere Themenfelder, die untereinander in Wechselwirkung stehen. Im Vergleich zu bisher von Unternehmen bereitgestellten mobilen Endgeräten (etwa Notebooks oder Handys) geben sich bei BYOD neue Herausforderungen aus zwei grundliegenden Aspekten. Zum Einen findet auf BYOD-Geräten eine Vermischung von privater und dienstlicher Nutzung statt. Zum Anderen stellt die technische Architektur marktgängiger Geräte mit frei installierbaren Apps ein neues Risikopotenzial in verschiedenen Aspekten dar.

Wichtige rechtliche Themen im Überblick

  • Rechtliche Datensicherheits-Anforderungen
    • Gesicherte Kommunikation zwischen Unternehmens-IT und BYOD-Geräten
    • Sicherung gegen unbefugten Zugriff über BYOD-Gerät auf Unternehmens-IT
    • Zugriffsschutz für Unternehmensdaten auf BYOD-Gerät
    • Handling von Security-Updates
    • Schutz gegen Malware, Viren etc.
  • Datenschutz-Anforderungen
    • Kontrolle des Zugriffs auf Unternehmensdaten
    • Umgang mit privaten E-Mails und Daten
    • Backups von Unternehmensdaten
    • Backups von Privatdaten auf BYOD
    • Monitoring und Remote Wipe des BYOD Devices
  • Mitbestimmung
    • Einbindung des Betriebsrats in BYOD Projekt
    • Betriebsvereinbarung für Einsatz von BYOD
  • Lizenzen für BYOD Devices
    • Lizenzen für Unternehmenssoftware auf BYOD
    • Lizenzen für dienstliche Nutzung von Apps
  • Kosten und Steuern
    • Kostenverteilung zwischen Unternehmen und Mitarbeiter für Gerät, Software und Kommunikation
    • Steuerliche Behandlung der Kosten bei Unternehmen und Mitarbeiter
  • Unternehmens-Richtlinien
    • Richtlinie für BYOD Endgeräte
    • Richtlinie für private Daten und E-Mails

Auch rechtlich ist ein ganzheitlicher Ansatz notwendig, um die erforderlichen Lösungen zu schaffen. Dafür reichen interne Richtlinien alleine nicht aus. Vielmehr sind auch Erfordernisse von Datenschutz und Datensicherheit umzusetzen, Lizenzfragen zu klären, die Kostenverteilung zwischen Unternehmen und Mitarbeiter sowie deren steuerliche Behandlung und nicht zuletzt die Mitbestimmung – um nur einige wichtige Themen zu nennen. Diese Aspekte und ihre Lösungen stehen in Wechselbeziehungen. Ein Vorgehen, das rechtliche Themen nicht pro aktiv einbindet, führt nicht nur zu überflüssigem Aufwand, sondern vor Allem auch zu Haftungsrisiken für Unternehmen und Management.

Sie können einen Kommentar abgeben, oder von Ihrer eigenen Seite einenTrackback setzen.

Einen Kommentar verfassen

Spam-Schutz * Time limit is exhausted. Please reload CAPTCHA.