BYOD (Bring your own device) gehört inzwischen zu den IT-Trends, die am ausführlichsten diskutiert wurden. Die Vor- und Nachteile, die Chancen und Risiken von privaten Smartphones und Tablets im Unternehmenseinsatz dürften allgemein bekannt sein. Allerdings herrscht nach wie vor große Unsicherheit im Hinblick auf die Festlegung und Umsetzung von BYOD-Richtlinien. Drei einfache Schritte reichen aus, um private Mitarbeitergeräte sicher in die Unternehmens-IT zu integrieren. [...]
BYOD ist ein Resultat des verstärkten Trends zum mobilen Arbeiten. Auch die zunehmende Beliebtheit von Heimarbeitsmodellen forciert die BYOD-Einführung, denn viele Beschäftige nutzen im häuslichen Bereich lieber ihre privaten Geräte, da diese oft besser und schneller sind. Zudem wird diese Entwicklung von der ins Arbeitsleben drängenden Generation Y unterstützt, die erste Generation, die überwiegend in einem von Internet und mobiler Kommunikation geprägten Umfeld aufgewachsen und damit überaus technologieaffin ist. Auch sie will bei der Funktionalität und Performance ihrer (mobilen) Arbeitsgeräte keine Abstriche machen und vielfach auch gerade die eigenen Smartphones oder Tablets im Job nutzen.
BYOD führt damit zu einem fließenden Übergang in der privaten und geschäftlichen Nutzung von Endgeräten. Und genau dieser Aspekt muss bei der Entwicklung und Umsetzung einer BYOD-Policy berücksichtigt werden. Dabei hat sich gezeigt, dass eine erfolgreiche Implementierung einer BYOD-Lösung von drei wesentlichen Faktoren abhängt: erstens der Definition der IT-Anforderungen, zweitens der Festlegung gültiger Richtlinien und drittens der Technologie-Implementierung zur Umsetzung der Policies. Bei der Definition der Anforderungen geht es zum Beispiel um Formfaktoren, Betriebssysteme oder Netzwerk-Zugriffsmöglichkeiten. Im Hinblick auf den Aspekt Richtlinien sind Mobile Device Policies aufzustellen und auch entsprechende Vereinbarungen mit den Mitarbeitern zu treffen. Bei der Technologie-Implementierung wie der Einführung einer Mobile-Device-Management (MDM)-Software sind folgende Faktoren zu berücksichtigen: Plattformflexibilität, Administrationsoptionen, Mobile Application Management und Sicherheit.
Unternehmen, die sich mit BYOD auseinandersetzen, sollten allein schon aus Gründen der IT-Sicherheit auf eine systematische Festlegung von Anforderungen und Richtlinien sowie eine konsequente Umsetzung von Policies setzen.
Es empfiehlt sich dabei, in folgenden Schritten vorzugehen:
1. Definition der IT-Anforderungen an die Geräte und das Netzwerk
Zunächst müssen die Geräte und Betriebssysteme bestimmt werden, die unterstützt werden sollen. Zu beachten ist, dass eine standardisierte Verwaltung von mobilen Geräten nicht möglich ist, weil Betriebssysteme und Hardware Einfluss auf die IT-Funktionen haben können. Im Einzelnen sollte die Bewertung von Gerätetypen und Betriebssystemen im Hinblick auf die Aspekte Sicherheit, Administrierbarkeit und Apps erfolgen. Dabei hat es sich als hilfreich erwiesen, die Lösungen anhand verschiedener Kriterien zu bewerten. Im Bereich Sicherheit ist beispielsweise zu überprüfen, ob die Geräte die Features „Integrierte Verschlüsselung“ oder „Remote-Sperrung und -Löschung“ unterstützen. Bezüglich einer einfachen Administrierbarkeit sollten Schnittstellen zur Verwaltung von mobilen Geräten und/oder Anwendungen sowie Schnittstellen zu einer MDM-Software vorhanden sein. Nicht zuletzt muss für die genutzten Geräte eine umfassende Auswahl kommerziell erhältlicher Apps vorhanden sein, und auch die Entwicklung und Implementierung eigener Apps sollte unterstützt werden.
In einem weiteren Schritt ist eine Netzumgebung zu implementieren, die eine Registrierung privater Geräte ermöglicht. Die einfachste Lösung hierfür ist die Einrichtung eines vom internen Netzwerk getrennten Gast-WLANs, das als Registrierungsnetzwerk für private Geräte dient. Die Verteilung von Berechtigungen in diesem System sollte an eine Richtlinie gebunden sein, in der die Sicherheitsanforderungen des Unternehmens festgelegt sind. Zu den grundlegenden Berechtigungen gehören beispielsweise der Zugriff auf den E-Mail-Server, das WLAN und die VPN-Konfigurationen des Unternehmens. Geräte, die nicht den Sicherheitsrichtlinien entsprechen, sollten blockiert werden, zum Beispiel Geräte mit Jailbreaks oder Rooting sowie Anwendungen, die auf einer Blacklist stehen.
Die Vorbereitung der IT-Umgebung wird abgeschlossen durch die Festlegung von Verwaltungsrichtlinien und von Einschränkungen für private Geräte. Dabei sollten auch grundlegende Richtlinien und Verfahren für den Umgang mit Passwörtern, mit nicht konformen Geräten oder mit nicht zulässigen Apps aufgestellt werden. Schließlich ist auch zu regeln, wie Mitarbeiter auf interne Dokumente zugreifen können. Die Rollendefinitionen dieser Richtlinien sollten auch in den im jeweiligen Unternehmen verwendeten Verzeichnissystemen wie Active Directory oder Open Directory abgebildet werden.
2. Definition der rechtlichen Anforderungen
Die größte Herausforderung einer BYOD-Lösung besteht darin, dass das Unternehmen zwischen einem angemessenen Umgang mit der Privatsphäre eines Mitarbeiters und der Sicherung des Netzwerks sowie der auf dem Gerät enthaltenen Daten abwägen muss. Hierzu sollten entsprechend Regelungen getroffen und in einer Richtlinie verankert werden – und zwar unter Beteiligung verschiedenster Unternehmensbereiche wie Vorstand oder Geschäftsführung, IT-, Rechts- und Personalabteilung sowie Betriebsrat. Hinsichtlich der arbeitsrechtlichen Aspekte des Einsatzes privater Geräte empfiehlt sich eine Betriebsvereinbarung. Hier sollten sich Bestimmungen zur Verwendung privater Geräte für private Zwecke während der Arbeitszeit und Nicht-Arbeitszeit sowie in der Arbeitsumgebung und Nicht-Arbeitsumgebung finden oder auch Details zur Kontrolle der auf Geräten von Mitarbeitern gespeicherten Unternehmensinformationen geklärt sein.
Auch wenn jede BYOD-Richtlinie im Hinblick auf die spezifischen Anforderungen des Unternehmens individuell ausgestaltet werden muss, sind im Allgemeinen einige Aspekte auf jeden Fall zu berücksichtigen. So muss ein zentraler Bestandteil der Richtlinie die Definition von Verantwortlichkeiten der Benutzer und von Vorgehensweisen bei Richtlinienverletzungen sein, einschließlich der Festlegung von Konsequenzen. Wichtig sind auch die rechtlichen Aspekte, die sich aus landesspezifischen Datenschutzgesetzen ergeben. Sie können für IT-Abteilungen zu Beschränkungen führen hinsichtlich der Nutzungsmöglichkeit von Sicherheitsmaßnahmen oder bezüglich der Rechte, Aktivitäten auf privaten Geräten zu prüfen und zu überwachen.
3. Implementierung der MDM-Software
Der letzte und wichtigste Punkt betrifft die Auswahl und Implementierung einer adäquaten MDM-Lösung. Analog zur Bewertung der unterschiedlichen Endgeräte und Betriebssysteme sollten auch bei der MDM-Lösungsauswahl einige grundlegende Fragen geklärt werden, vor allem bezüglich Plattform, Verwaltung und Sicherheit. Konkret zu untersuchen ist, ob die Lösung Plattformflexibilität bietet und sich mit minimalen Anpassungen in die vorhandene Umgebung integrieren lässt. Idealerweise können alle IT-Formfaktoren und Betriebssysteme über eine einzige Konsole verwaltet werden, einschließlich Desktop-PCs und Notebooks.
Im Hinblick auf die Verwaltbarkeit sollte eine rollenbasierte Administrationsmöglichkeit gegeben sein, damit einzelne Mitarbeiter spezifischen Benutzergruppen mit definierten Berechtigungen zugewiesen werden können. Von Vorteil ist zudem, wenn die Lösung nicht nur eine einfache Distribution von Apps ermöglicht, sondern auch Apps-Management-Funktionen zur Unterstützung und Automatisierung von Self Services für Mitarbeiter bereitstellt.
Darüber hinaus muss eine MDM-Lösung die Umsetzung und Einhaltung unternehmensinterner Sicherheitsrichtlinien unterstützen. So sollte es zum Beispiel möglich sein, mehrere Richtlinien pro Gerät anzuwenden, um eine gemeinsame grundlegende Sicherheitsrichtlinie für alle Geräte, aber auch unterschiedliche Berechtigungen oder Restriktionen je nach Abteilung und Nutzerrolle festlegen zu können. Unerlässlich ist es auch, dass Remote-Funktionen zur Sperrung und Löschung von Geräten vorhanden sind. Absolute Software bietet im MDM-Umfeld zum Beispiel die Applikation Absolute Manage für Mobilgeräte an, mit der IT-Abteilungen mobile iOS-, Android- und Windows-Phone-Geräte über eine einzige Konsole verwalten können.
Insgesamt ist es unabdingbar, dass zunächst sämtliche internen IT-Anforderungen und die rechtlichen Rahmenbedingungen geklärt sind, bevor eine MDM-Software implementiert wird. Auch diese sollte dann im Hinblick auf ihr Funktionsspektrum genauestens untersucht werden, um alle privaten und unternehmenseigenen mobilen Geräte auf geeignete Weise verwalten und sichern zu können. Die steigende Heterogenität von Endgeräten und Betriebssystemen macht es zudem erforderlich, dass eine zukunftsweisende MDM-Lösung heute nicht nur Aspekte des traditionellen Mobile Device Management abdeckt, sondern zusätzlich auch Mobile Application und Content sowie Security, Change und Configuration Management bietet.
* Margreet Fortuné ist Regional Manager DACH, Benelux & Eastern Europe bei Absolute Software
Be the first to comment