In 10 Schritten zum erfolgreichen „Bring your own Device“-Programm

Wie Unternehmen mit privaten iPhones, iPads und Smartphones umgehen sollten

12.05.2011 | Autor / Redakteur: Thomas Krampe / Andreas Donner

Mithilfe des Citrix XenVault kann eine BYOD-Programm realisiert werden

Im Zusammenhang mit Cloud Computing kommt immer wieder auch das Thema „Bring Your Own Device“ (BYOD) in die Schlagzeilen. Obwohl beide Themen direkt eigentlich nichts miteinander zu tun haben, stehen sie doch über die Verknüpfung von Diensten wie Facebook mit privaten Endgeräten in einem engen Kontext. Und gerade jüngere Mitarbeiter legen heute großen Wert auf die Wahl ihres Endgerätes und Nutzung von Social Media Kanälen als Arbeitsmittel. Unternehmen dürfen sich diesem Trend daher nicht verschließen und sollten stattdessen ihr BYOD-Programm gründlich planen und zügig implementieren.

Das private Umfeld von Mitarbeitern wird zunehmend von neuen technischen Endgeräten beeinflusst, die diese dann auch beruflich im Unternehmen nutzen wollen. Ein Trend, der laut Gartner in der Business IT mehr Änderungen hervorbringen wird, als in den letzten 10 Jahren insgesamt angefallen ist. Aber, wo Licht ist, ist bekanntlich auch Schatten. Deshalb sollten die Vor-und Nachteile eines „Bring Your Own Device“-Programms zuerst einmal herausgestellt werden.

Die Vorteile von „Bring Your Own Device“ erlauben es,

• Smartphones, Tabletts und andere aktuelle Consumer Endgeräte zu leistungsfähigen Geschäftsinstrumenten machen und damit die Produktivität und die Zufriedenheit der Mitarbeiter erhöhen; mittlerweile ist kaum noch ein Consumer-Gerät erhältlich, welches nicht E-Mail und Webzugriff bietet
• schnellen und sichern Zugriff auf Unternehmensanwendungen und -ressourcen unabhängig vom Standort und der Zeitzone des Mitarbeiters ermöglichen
• Kosten zu senken und den Managementaufwand der IT für Endgeräte zu reduzieren

Die Nachteile lauten:

• Datensicherheit und IT-Compliance – wem gehören eigentlich die Daten auf privaten Endgeräten z.B. beim Ausscheiden eines Mitarbeiters
• Schutz der Unternehmensinfrastruktur vor schädlicher Software auf den privaten Endgeräten wird notwendig
• Wie lässt sich die Produktivität beim Verlust oder bei Reparatur des Endgerätes erhalten? Stichworte lauten hier: Supportverträge und Ersatzhardware
• Es entstehen erhöhte Kosten und Anforderungen an die bestehende Infrastruktur durch Standardisierung, Virtualisierung und Remote Access Lösungen.

In Deutschland müssen nicht nur die gesetzlichen Regelungen des Bundesdatenschutzgesetzes zusätzlich beachtet werden, es kommen auch noch steuerrechtliche Bestimmungen auf die Unternehmen zu. Und auch Betriebsräte und Arbeitnehmervertretungen müssen letztendlich dazu gehört werden.

Die Kernfrage lautet daher: wie kann man ein BYOD-Programm im Unternehmen einführen und trotz bekannter und bestehender Nachteile die doch entscheidenden Vorteile für sich nutzen?

Analyse bestehender Prozesse

Bevor ein solches Programm in einem Unternehmen eingeführt werden kann, ist es zwingend erforderlich, die bestehenden Prozesse und Richtlinien zu analysieren. Da die meisten Unternehmen private Endgeräte bisher nicht oder nur sehr eingeschränkt unterstützen, sind die vorhandenen Prozesse und Richtlinien auch nicht oder nur bedingt auf ein solches Programm anwendbar. Die meisten Fragen zum Thema „Bring your own Device“ von Seiten der Unternehmen beziehen sich in der Regel immer auf die Bereiche Sicherheit und Kosten. Schauen wir uns diese beiden Bereiche einmal an.

Datensicherheit und IT-Compliance

Die sich aufdrängenden Fragen der IT-Sicherheit und der IT-Compliance beim Einsatz von privaten, unsicheren Endgeräten sollten zuerst beantwortet werden. Technisch lässt sich diese Frage sehr einfach und komfortabel mit Desktop-Virtualisierung und/oder Terminalservern abbilden. Wichtige Unternehmensdaten und sensible personenbezogene Daten müssen natürlich auch auf den privaten PCs verschlüsselt und vor fremdem Zugriff z.B. bei einem Verlust geschützt werden. Auch hier gibt es bereits technische Lösungen, die dieses Szenario sehr gut abbilden. Eine bestimmte Mindestausstattung der Hardware bei privaten Geräten ist daher ebenso ein Muss wie der Einsatz von standardisierter Software. Aber auch eine Sicherheitsrichtlinie für den Umgang mit Unternehmensdaten auf dem Endgerät muss mit dem Betriebsrat und der Personalabteilung ausgearbeitet werden.

Der entsprechende Business Case für „Bring your own Device“-Programme muss zudem zwingend mit Juristen und Steuerberatern abgeklärt werden. Die erforderliche und auch notwendige Trennung von Firmen- und privaten Daten ist eine Pflicht, die aus IT-Compliance und datenschutzrechlichen Bestimmungen resultiert. Denn selbst wenn das Engderät dem Mitarbeiter wirtschaftlich gehört, muss die IT-Abteilung jederzeit Zugriff auf die unternehmenswichtigen Daten haben. Im Zusammenhang mit dem Bundesdatenschutzgesetz müssen an dieser Stelle rechtssichere Konzepte für die revisionssichere Archivierung und entsprechende Einsichtsrechte des Arbeitgebers erarbeitet werden.

Das Bundesdatenschutzgesetz sieht hier derzeit Rahmenbedingungen vor, die nicht überschritten werden dürfen. Eine Überarbeitung des Datenschutzrechts ist derzeit in der Planung und wird wohl voraussichtlich Mitte 2011 in ein eigenständiges Beschäftigtendatenschutzgesetz überführt werden. Vorhandene Betriebsvereinbarungen oder IT-Richtlinien, die die Anschaffung privater IT-Geräte durch den Mitarbeiter noch nicht regeln, müssen daher in jedem Fall betrachtet und gegebenenfalls überarbeitet werden.

Checkliste Sicherheit und IT-Compliance

• Welche Sicherheits-Parameter gelten für die privaten Geräte?
• Welche Art der Verschlüsselung wird eingesetzt?
• Welche Sicherheitssoftware (AntiVirus, Endpoint-Protection) muss auf dem Endgerät vorhanden sein und wer übernimmt die Lizenzkosten dafür?
• Wie kann zwischen geschäftlichen und privaten Daten unterschieden werden und wie sieht das Archivierungskonzept bzw. die Synchronisation von Daten aus?
• Wie werden Einsichts-, Nutzungs-und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit geregelt?

weiter mit: Kosten und steuerliche Aspekte