Was ist Bring Your Own Device (BYOD)?

Wie funktioniert BYOD?

Es gibt verschiedene BYOD-Betriebsmodelle. Zunächst einmal sollte das Unternehmen Sicherheitsrichtlinien für jedes Gerät festlegen, da schwache Kennwörter und ungesicherte Geräte zu Datenverlust führen können. BYOD-Richtlinien sollten folgende Aspekte regeln:

• Mindestsicherheitskontrollen, einschließlich Datenverschlüsselung und Kennwortstärke
  
• Welche Art von Unternehmensdaten auf lokalen Geräten gespeichert werden können (sofern möglich)
  
• Voraussetzungen für die Durchsetzung von Zeitüberschreitungskontrollen und automatischen Sperrfunktionen
  
• Welche Software für die Sicherheit von Mobilgeräten oder das mobile Datenmanagement (MDM) auf BYOD-Geräten installiert werden muss
  
• Ob das Unternehmen berechtigt ist, Geschäftsdaten remote vom Gerät zu löschen, wenn das Gerät verloren geht, das Arbeitsverhältnis beendet oder ein Richtlinienverstoß festgestellt wird
  

Das Sicherheitsniveau hängt von der Art des Unternehmens ab. So benötigen Finanz- oder Gesundheitsdienstleister beispielsweise ein höheres Maß an Sicherheit als ein kleines Start-up-Unternehmen im Bereich Webdesign.

Sobald Sicherheitsrichtlinien festgelegt wurden, sollten Unternehmen angemessene Nutzungsrichtlinien definieren und so bestimmen, wie BYOD-Geräte im Rahmen der Geschäftsaktivitäten verwendet werden können. Dadurch wird verhindert, dass Malware oder Viren über ungesicherte Websites und Anwendungen Zugriff erhalten. Diese Richtlinien sollten folgende Aspekte abdecken:

• Zulässige Anwendungen, auf die Mitarbeiter über ihre privaten Geräte zugreifen können, mit einer klaren Abgrenzung, welche Anwendungen erlaubt sind und welche nicht
• Welche Websites nicht aufgerufen werden dürfen, wenn eine Verbindung zu Unternehmensressourcen, Unternehmensnetzwerken oder einem VPN besteht
  
• Auf welche Unternehmensanwendungen und -daten über Anwendergeräte zugegriffen werden darf (E-Mails, Kalender, Messaging, Kontakte usw.)
  
• Speichern und Übertragen von illegalem Material oder Verwenden von Geräten für die Durchführung anderer nicht geschäftlicher Aktivitäten über private Geräte
  

Richtlinien sollten mithilfe von BYOD-MDM-Software durchgesetzt werden, mit der BYOD- und Arbeitgebergeräte über ein zentrales Dashboard überwacht, verwaltet und konfiguriert werden können. Zu den typischen MDM-Funktionen für BYOD-Geräte gehören:

• Automatische Scans von BYOD-Geräten auf Bedrohungen, einschließlich Blockieren des Zugriffs gefährlicher Anwendungen auf das Unternehmensnetzwerk
• Übertragen von Anti-Malware-Updates auf Geräte und Sicherstellen der Installation
  
• Remote-Installation von Updates und Patches für Betriebssysteme und Anwendungen
  
• Durchsetzen von Sicherheitsrichtlinien
  
• Automatisches Backup von Unternehmensanwendungen und -daten in regelmäßigen Abständen oder bei Bedarf
  
• Remote-Löschen von Daten auf verlorenen, gestohlenen oder kompromittierten Geräten
  

Sobald die BYOD-Richtlinien festgelegt wurden, müssen die Mitarbeiter darüber informiert und in der Anwendung der Richtlinien geschult werden, um eine einfache Akzeptanz auf breiter Basis sicherzustellen. Ein Schulungshandbuch für neue Mitarbeiter, das die Richtlinien und deren Zweck beschreibt, kann Ängste in Bezug auf eine „Ausspionierung“ der Mitarbeiter durch das Unternehmen abbauen und die Akzeptanz der Richtlinien und MDM-Software erhöhen. Abschließend sollten alle BYOD-Mitarbeiter erklären, diese Richtlinien gelesen und verstanden zu haben, um das Unternehmen von jeglicher Haftung für die illegale oder unsachgemäße Verwendung seiner Geräte zu entbinden.

BYOD-Pläne sollten außerdem einen Ausstiegsplan für Mitarbeiter enthalten, die aus dem Unternehmen ausscheiden. Dies gilt unabhängig von Grund ihres Ausscheidens. Hierzu gehören ein Ausstiegsplan für Personal- und Netzwerkverzeichnisse sowie eine BYOD-Ausstiegs-Checkliste, die das Deaktivieren von geschäftlichen E-Mail-Konten, das Remote-Löschen von Arbeitgeberinformationen auf Geräten sowie das vollständige Löschen von Daten und Anwendungen auf unternehmenseigenen Geräten und das Ändern von freigegebenen Kennwörtern für Unternehmenskonten beinhaltet.

Darüber hinaus können in BYOD-Richtlinien Zuschüsse des Unternehmens zu BYOD-Datenplänen oder Breitbandanschlüssen im Homeoffice festgelegt werden. Auch können sie Regelungen dazu enthalten, ob Mitarbeiter, die außerhalb der Geschäftszeiten E-Mails abrufen oder geschäftliche Anrufe entgegennehmen, Anspruch auf Ausgleichszahlungen haben.

Warum ist BYOD wichtig?

Die Konsumerisierung der IT hat weitreichende Auswirkungen. Immer mehr Mitarbeiter möchten das Gerät ihrer Wahl nutzen – ob Mac, PC-Laptop, iPhone, Android-Mobilgerät oder sonstige Geräte. Unternehmen haben deshalb mobile Anwendungen entwickelt, mit denen Geschäftsbereichsverantwortliche in vielen Fällen von einfachen und besser zu verwaltenden Lösungen profitieren. BYOD ist aus verschiedenen Gründen wichtig:

• Höhere Mitarbeiterproduktivität: Mitarbeiter, die ein vertrautes Gerät ihrer Wahl verwenden können, sind sehr wahrscheinlich produktiver als diejenigen, die gezwungen sind, sich mit unbekannten Geräten vertraut zu machen. Vor allem aber fällt es Mitarbeitern leichter, zu Hause oder an anderen Standorten zu arbeiten, wenn sie dabei das Gerät nicht wechseln müssen. 
• Niedrigere Gerätekosten: Eine stärkere BYOD-Nutzung bedeutet, dass weniger Unternehmensgeräte ausgegeben, überwacht, verwaltet, repariert, aktualisiert und gewartet werden müssen. 
  
• Einfacheres Onboarding und Offboarding: Mit BYOD-MDM-Tools kann der Zugriff auf das Unternehmensnetzwerk ohne Änderungen am BYOD-Gerät aktiviert oder deaktiviert werden.
  
• Bessere Mitarbeiterbeziehungen:  Mitarbeiter mit BYOD-Geräten haben mehr Kontrolle über ihre Umgebung und sind oft produktiver, wenn sie selbst entscheiden können, welches Gerät sie verwenden. Sie sind außerdem besser für die Remote-Arbeit gerüstet, wenn sie dabei dasselbe Gerät verwenden können wie im Unternehmen.
  
• BYOD als Vorteil: Viele Mitarbeiter assoziieren mit einer BYOD-Strategie, dass das Unternehmen zukunftsorientiert und technisch versiert ist. Die meisten Mitarbeiter erhalten eine Kostenbeteiligung für die Nutzung ihrer BYOD-Geräte, da Unternehmen erhebliche Einsparungen realisieren können, wenn sie keine eigenen Geräte kaufen und warten müssen.
  

Welche Vorteile bietet BYOD?

Zu den vielfältigen Vorteilen von BYOD zählen:

• Höhere Mitarbeiterproduktivität
• Bessere Arbeitsmoral und höherer Komfort
• Einfachere Gewinnung neuer Mitarbeiter im Vergleich zu Unternehmen ohne BYOD-Strategie
• Kosteneinsparungen für das Unternehmen
• Größere Zufriedenheit am Arbeitsplatz
• Weniger von Mitarbeitern mitzuführende Smartphones
• Insgesamt bessere Anwendererfahrung, da Mitarbeiter normalerweise mit der Nutzung ihrer eigenen Geräte vertraut sind

Welche Risiken birgt BYOD?

BYOD bietet zwar eine Vielzahl von Vorteilen, bringt jedoch auch erhebliche Risiken für das Unternehmen mit sich. Unternehmen müssen Sicherheitsrichtlinien und -maßnahmen definieren und umsetzen, um Sicherheitslücken zu vermeiden oder zu beheben und so die Exfiltration von geistigem Eigentum oder geschützten Informationen zu verhindern. In einer IDG-Umfrage gab über die Hälfte aller leitenden IT-Sicherheits- und Technologieexperten an, dass es in ihren Unternehmen bereits zu schwerwiegenden Verstößen gegen die Nutzung privater Mobilgeräte gekommen ist.

Da sich BYOD-Geräte sowohl mit sensiblen Unternehmensanwendungen als auch mit potenziell riskanten Netzwerken und Services verbinden, ist das Risiko einer Malware-Infektion oder Datenexfiltration hoch. Der Verlust eines BYOD-Geräts könnte dazu führen, dass Dritte auf ungesicherte Daten oder Anwendungen zugreifen. Selbst ein Mitarbeiter, der aus dem Unternehmen ausscheidet, kann Unternehmensdaten gefährden, wenn sensible Informationen nicht gelöscht oder Anwendungen auf dem BYOD-Gerät nicht deinstalliert werden. Weitere Risiken umfassen Geräte, die auch von Angehörigen des Mitarbeiters genutzt werden, Geräte, die verkauft werden, während noch vertrauliche Informationen darauf gespeichert sind, oder Geräte, die beim Aufruf einer infizierten Website kompromittiert wurden. Auch die Nutzung öffentlicher Hotspots stellt ein Sicherheitsrisiko dar.

Unternehmen müssen sicherstellen, dass alle Anwendungen und Betriebssystemversionen auf BYOD-Geräten auf dem neuesten Stand sind, da Malware-Bedrohungen häufig auf kürzlich entdeckte Schwachstellen abzielen. Unternehmen müssen über die nötige Agilität verfügen, um eine breite Palette von Geräten zu unterstützen. Dies kann eine große Belastung für die IT-Organisation darstellen. Ein Lösungsansatz ist die Auslagerung der MDM-Prozesse an eine Organisation, deren Schwerpunkt die Gewährleistung der BYOD-Sicherheit ist. Einige dieser Herausforderungen lassen sich durch Containerisierung und Anwendungsvirtualisierung bewältigen. Dabei werden Unternehmensanwendungen als Pakete auf BYOD-Geräte übertragen, um sicherzustellen, dass alle Mitarbeiter über die neueste Version einer bestimmten Anwendung verfügen.

Ein weiteres Risiko, das oft übersehen wird, ist die einfache Feststellung, wem eine Telefonnummer „gehört“. Dies ist insbesondere für Vertriebsmitarbeiter oder andere Mitarbeiter mit Kundenkontakt ein Problem, da sie möglicherweise daran gewöhnt sind, das Unternehmen über die private Handynummer eines Mitarbeiters zu erreichen. Wenn ein wichtiger Vertriebsmitarbeiter zu einem anderen Unternehmen wechselt, landen die Anrufe dieser Kunden möglicherweise bei einem Mitbewerber.

Wie lässt sich eine effektive BYOD-Strategie umsetzen?

Für eine effektive BYOD-Bereitstellung gilt es viele Aspekte zu berücksichtigen. Die drei folgenden Faktoren helfen, einen gezielten Plan zu entwickeln.

Bewerten Sie zunächst die aktuellen geschäftlichen und technologischen Anforderungen an Anwendergeräte. Ermitteln Sie, welche mobilen Anwendungen benötigt werden, um Mitarbeiter bei ihrer Arbeit zu unterstützen, und bestimmen Sie, auf welche Daten über mobile Geräte zugegriffen werden muss. Definieren Sie, welche Anwendungen kritisch sind, welche derzeit einen sicheren Zugriff auf Informationen gewähren und welche durch neuere, Cloud-basierte oder SaaS-Anwendungen ersetzt werden können.

Entscheiden Sie als Nächstes, ob BYOD- und MDM-Software über On-Premises-Server, Drittanbieter-Services oder die Cloud bereitgestellt wird.

Entwerfen Sie abschließend eine BYOD-Richtlinie, mit der sich Unternehmensleiter und Mitarbeiter einverstanden erklären können, wie am Anfang dieses Artikels beschrieben. Die Einführung einer Richtlinie und die Unterzeichnung der Richtlinienbedingungen durch die Mitarbeiter tragen dazu bei, die Anwendungen und Daten des Unternehmens zu schützen und Mitarbeitern gleichzeitig den Komfort zu bieten, ihre eigenen Geräte sowohl für geschäftliche als auch für private Zwecke zu nutzen.