„Die Geräte, die ich rief …“

5. März 2019 - Wer private Mobilgeräte in Firmen verbietet, ist spiessig und hat nicht verstanden, wie dynamische Menschen heute arbeiten wollen, so der Tenor vieler Diskussionen. Vielleicht ist er aber auch nur vernünftig, weil er verstanden hat, dass die geschäftliche Nutzung privater Smartphones hochkomplex ist.

Ein Smartphone besitzt heutzutage nahezu jeder. Die Geräte sind leistungsfähig und lassen sich über Apps für spezielle Aufgaben erweitern. Ausserdem sind Anwender bestens mit der Bedienung vertraut. Da liegt der Gedanke nahe, diese Geräte auch für berufliche Zwecke zu nutzen.
Das Konzept heisst „Bring Your Own Device“, kurz: BYOD. Das mobile Gerät sollte nicht wie seine Vorgänger nur noch eine E-Mail-Maschine sein, sondern zahlreiche weitere Aufgaben übernehmen. Firmen versprechen sich davon höhere Produktivität ihrer Mitarbeiter, bessere Erreichbarkeit und geringere Kosten. Schliesslich nutzen die Mitarbeiter selbst angeschaffte und von ihnen bevorzugte Geräte, die sie zum Grossteil auch noch selbst verwalten, statt über die Firma gekaufte und von der IT-Abteilung gemanagte Geräte.


Schattenseiten von BYOD

Nach dem ersten Hype wurde es stiller um BYOD. Jetzt erlebt das Konzept eine Renaissance. Zum Beispiel läuft ein BYOD-Projekt für Lehrpersonen der Luzerner Kantons- und Berufsfachschulen. Ein Argument für BYOD ist, dass sich IT-Abteilungen nicht gegen Wünsche der Nutzer durchsetzen können. Werden private Geräte im Unternehmen verboten, suchen Anwender Mittel und Wege, das Verbot zu umgehen. Es droht „Schatten-IT“ - ein Wust im Unternehmen genutzter, aber in keiner Weise vom Unternehmen kontrollierter IT-Ressourcen. Gegebenenfalls verletzten Mitarbeiter nach Schweizer Recht damit übrigens Sorgfalts- und Treuepflicht gegenüber dem Arbeitgeber.
Sobald vom Nutzer kontrollierte Geräte beruflich eingesetzt werden, - egal, ob das heimlich als „Schatten-IT“ oder offiziell als BYOD getan wird - zieht das eine Vielzahl an Problemen nach sich. Schon Sicherheit für eine Vielzahl an Betriebssystemversionen und Millionen von Apps aus den App-Stores herzustellen, ist schwierig. Bis zum Ende des dritten Quartals 2018 wurde alle 7 Sekunden eine neue Schaddatei für Android entdeckt.

Es geht nicht nur um IT-Sicherheit

Schutzsoftware kann da zwar helfen, löst aber nicht die komplizierte rechtliche Situation. Es geht nicht nur um Datenschutzfragen. Auch arbeitsrechtliche Fragen, Rechte an immateriellen Gütern sowie Support- und Haftungsfragen sind zu klären. Gehört zu den Datenbeständen im Unternehmen eine Datensammlung im Sinne des Datenschutzgesetzes, ist ein Dateneigentümer zu bestimmen, der für die Klassifikation verantwortlich ist. Daraus ergibt sich, auf welche Daten mit eigenen Geräten überhaupt nicht zugegriffen werden darf und wo sie gespeichert werden müssen.
Viele Softwareanbieter unterscheiden zwischen privater und geschäftlicher Nutzung. Verwenden Mitarbeiter auf privaten Geräten geschäftliche Lizenzen, oder nutzen sie private Lizenzen geschäftlich, kann das gegen Lizenzvereinbarungen verstossen und teuer werden.
Doch was tun? Eine gangbare Alternative zu BYOD ist CYOD (Choose Your Own Device), auch COPE (Corporate Owned Personally Enabled) genannt. Dabei wählen Mitarbeiter aus einer attraktiven, aber überschaubaren Palette unternehmenseigener Geräte aus und dürfen diese auch privat nutzen. Das Gerät ist jedoch Eigentum des Unternehmens und kann vollumfänglich mit dessen Mobile Device Management verwaltet werden.


Interview mit Cornelia Lehle von G Data Schweiz

1. Wie können Unternehmen der wuchernden Geräteflut in ihren Unternehmen wieder Herr werden?
Mit „Bring Your Own Device“ möchten Unternehmen unbedingt einem Trend folgen, der aber ohne Vorüberlegungen zum Scheitern verurteilt ist. Die Heterogenität im Unternehmensnetzwerk steigt an und IT-Administratoren sind förmlich mit der technischen Verwaltung überlastet. Ein Unternehmen kann daher nur durch den CYOD- oder durch den COPE-Ansatz Herr der Lage werden.


2. Was macht das CYOD- bzw. COPE-Modell besser als der BYOD-Ansatz?
Bei CYOD, also wörtlich „Wähle dein eigenes mobiles Gerät aus“, entscheidet der Mitarbeiter aus einem vordefinierten Spektrum des Unternehmens. Der grösste Vorteil für die IT-Sicherheit: Die mobilen Geräte werden bereits von IT-Administratoren vorkonfiguriert. Gleichzeitig sind die Mitarbeiter dazu angehalten, das Smartphone, das Tablet oder das Notebook lediglich für geschäftliche Tätigkeiten zu benutzen. Indes wird bei COPE, also frei übersetzt „betriebliche Geräte, die der Mitarbeiter nach Firmenrichtlinien selbst einrichtet und pflegt“, eine private Nutzung ausdrücklich erlaubt. Dieses Modell kommt meiner Meinung nach nur dann in Frage, wenn die Mitarbeiter technisches Know-how besitzen.

3. Wie profitiert der Arbeitgeber davon, wenn er sich für CYOD/COPE entscheidet?
Im Falle von COPE profitiert der Arbeitgeber durch den Wegfall des grundlegenden Supports für die Geräte. Der Mitarbeiter hat die Aufgabe, die Smart Devices nach den Anforderungen der firmeneigenen Policy einzurichten. Somit steht der Arbeitnehmer weiterhin in der Verantwortung. Bei CYOD hingegen leistet der Arbeitgeber den Support und schränkt die Benutzung auf betriebliche Angelegenheiten ein. Dadurch herrscht nicht nur eine grössere Rechtssicherheit, sondern IT-Administratoren können die Geräte auch effektiver und schneller mit Updates versorgen.

4. Wie verhindert man, dass Mitarbeiter ihre privaten Geräte nutzen? Sollte man das überhaupt verbieten?
Durch eine klare schriftliche Vereinbarung, beim Aushändigen des Smartphones, Tablets oder Notebooks, lässt sich die Gerätenutzung klar definieren. Dort muss festgehalten sein, welche Applikationen für die betriebliche Kommunikation zu verwenden, und welche verboten sind. Das lässt sich zusätzlich technisch durch eine „Mobile Device Management“-Lösung steuern. Hier können Profile für Funktions-, Kennungs- und Anwendungsrichtlinien eingestellt werden.

5. (Im Fachartikel wird erwähnt, dass Mitarbeiter damit gegebenenfalls nach Schweizer Recht die Sorgfalts- und Treuepflicht gegenüber dem Arbeitgeber verletzen. Kannst du das noch ein wenig erläutern?) Was sind die Schattenseiten von Schatten-IT?
Kein IT-Verantwortlicher weiss bei Schatten-IT, wer, welche, und wie viele smarte Geräte ins Unternehmensnetzwerk integriert hat. Es kann sich also aus der Sicht der IT-Security zu einem echten Desaster für das Unternehmen entwickeln. Die Vielzahl an unterschiedlichen Versionen wird zu einem signifikanten Problem. Für Cyberkriminelle öffnen sich dadurch Einfallstore. Das kann Konsequenzen für den Arbeitnehmer haben. Wird bekannt, dass durch ein nicht von der IT-Administration zugelassenes mobiles Gerät ein Schlupfloch für den Cyberangreifer ausgenutzt wurde, so muss nach Einzelfallabwägung der Arbeitnehmer für die verursachten Schäden aufkommen.

Copyright by Swiss IT Media GmbH / 2024