BYOD zwischen Alltag und Hype
Bring Your Own Lifestyle
Clients, die das IT-Team gern vermieden hätte, findet man in Unternehmen, seit einst Fachabteilungen auf PCs statt Mainframe-Terminals bestanden. Das Risikoszenario hieß damals "PC mit Admin-Rechten". Seine aktuelle Ausprägung findet der Eigensinn der Endanwender in Form von BYOD (Bring Your Own Device): Dank der aktuellen Welle eleganter mobiler Helferlein erleben Unternehmen die großflächige Infiltration ihrer IT-Umgebungen mit Fremdgeräten. Die Invasion scheint unaufhaltsam.Ein "Nein" zu BYOD sei nicht durchzusetzen, betont Robert Niedermeier von der Heussen Rechtsanwaltsgesellschaft und fordert ein "kontrolliertes Ja". Der Rechtsanwalt mit Spezialgebiet Datenschutz, IT-Security und Compliance berichtete auf dem LANline Tech Forum "Virtual Desktops, Thin Clients, BYOD" Ende Januar in München aus dem Alltag eines Juristen, dessen Klienten BYOD einführen wollen oder müssen - und sich nun um die Sicherheit und die Rechtslage sorgen. Denn der unkontrollierte Einsatz von Privatgeräten unterläuft die gesetzliche Vorgabe von Sicherheitsmaßnahmen für die "ordentliche Durchführung des Geschäfts". Niedermeier rät deshalb, ein klares BYOD-"Regime" (gemeint ist: Regelwerk) zu etablieren und dieses klar zu kommunizieren. Er empfiehlt Nutzungsvereinbarungen, die - ähnlich jenen zur privaten E-Mail- und Internetnutzung - den Einsatz privater Endgeräte reglementieren. Diese Regeln, so der Fachanwalt, sollten Sicherheitsvorgaben wie das Verbot von Jailbreaks ebenso umfassen wie den Ausschluss der Fremdnutzung (etwa durch Familienmitglieder), Meldepflichten bei Verdacht auf Unregelmäßigkeiten, eine Pflicht des Arbeitnehmers zur Herausgabe von Gerät oder Daten sowie zu Fernlöschung oder -sperrung im Notfall, ebenso Regelungen zur Nutzung von Apps und Cloud-Services. Auch Fragen zu Kosten und Ersatzpflicht gelte es zu klären. Der Jurist empfiehlt für BYOD-Programme möglichst einheitliche erlaubte Hardware und einen Projektstart mit einer kleinen Gruppe zuverlässiger Anwender. Durch "angemessene technische und organisatorische Maßnahmen", so Niedermeier, könne ein Unternehmen BYOD dann aber durchaus in den Griff bekommen. Ob mittels umsichtig geplanter BYOD-Projekte, wie Niedermeier es vorschlägt, oder aber mittels tolerierter Nutzung von Privatgeräten (solange nichts passiert): BYOD hat in zahlreichen Unternehmen inzwischen Verbreitung gefunden, den schicken "Taschen-Rechnern" aus dem Hause Apple, Samsung, HTC und Co. sei dank. "Der Trend BYOD ist nicht mehr aufzuhalten", erklärt zum Beispiel Andreas Englisch, Produkt-Manager für Mobile Device Management bei BT Germany. "Praktisch alle unsere Kunden beschäftigen sich derzeit mit dem Thema. Viele Anwender empfinden es als Effizienzgewinn, wenn sie mit ihren eigenen Geräten arbeiten." Manche Administratoren hoffen zwar, der Trend werde sich wieder legen, wenn der Chef erst mal "Ipads für alle" - möglichst mit Privatnutzung - genehmigt hat, ein "COPE" (Corporate Owned, Privately Enabled) genannter Gegenentwurf zu BYOD. "Oft bringen Mitarbeiter neue Gadgets nur mit, um dem Arbeitgeber zu zeigen, dass sie damit besser arbeiten könnten, wollen sie jedoch weiterhin gestellt bekommen", so Dr. Benny Tritsch, Director of Technical Community bei Appsense. Doch die Hoffnung, BYOD lasse sich gänzlich durch COPE ersetzen, kann trügen. Aktuelle Smartphones und Tablets sind bei den Anwendern so beliebt, weil sie um Längen moderner sind als das Jahre alte Notebook und der Blackberry im Büro. Die Produktzyklen im Consumer-Markt aber werden immer kürzer, während Arbeitgeber Investitionen gerne an statischen Abschreibungsfristen ausrichten. Ruft also eines Tages der Arbeitgeber "das Ipad 4 für alle" aus, kann man darauf wetten, dass wenig später treue Apple-Fans mit einem Ipad 5 auftauchen und erneut die BYOD-Fahne schwenken. Gleiches gilt für Anhänger der Android-Fraktion, und die bunten Gadgets von Nokia und Microsoft dürften ebenso Upgrade-freudige Käufer finden. Zwischen Trend und Hype Parallel zu diesen makroökonomischen Verschiebungen findet man den BYOD-Marketing-Hype, befeuert vor allem durch Anbieter von MDM-Lösungen (Mobile-Device-Management). Dieses noch junge Segment umfasst laut Gartners Magic Quadrant vom Mai 2012 die Marktführer Mobileiron, Airwatch, Fiberlink, Zenprise (seit Jahresbeginn Teil von Citrix) sowie Good Technology (die allerdings Mobile-Application-Management/MAM betreiben, MDM ist hier eher ein Nebeneffekt). Hinzu gesellt sich eine Vielzahl weiterer Anbieter, neben US-Größen wie Dell, IBM, Landesk und Symantec auch diverse deutsche Hersteller, von SAP bis Baramundi, Cortado oder Seven Principles. Schnell haben die MDM-Anbieter im Wunsch vieler Administratoren, der BYOD-Hydra durch zentrale Endgeräteverwaltung Herr zu werden, einen Markt entdeckt. Doch der Gedanke "BYOD ist das Problem, MDM ist die Lösung" greift zu kurz: Man versuchte zunächst, ein Problem der Informationssicherheit mit Geräte-Management-Tools zu "erschlagen". Inzwischen haben die MDM-Größen aber erkannt, dass MDM lediglich ein Baustein einer Mobility-Architektur ist, und erweitern ihre Lösungen, dem Beispiel des Vorreiters Good folgend, um MAM-Funktionalität. Goods MAM-Architektur sieht vor, per Container geschützte Business-Apps parallel zu Privat-Apps zu betreiben, ähnlich dem Konzept von VMwares Horizon Mobile, das zentrale Kontrolle mittels zweier virtueller "Personas" erzielt. MAM à la Good bedeutet zum Beispiel zwei E-Mail-Clients, was die Sicherheit erhöht, aber nicht die Anwenderfreundlichkeit. Manche Anbieter wie Citrix (via Zenprise) oder Appsense gehen deshalb den Weg, native Mobile-Device-Apps zu nutzen, aber den Einsatz geschäftsrelevanter Apps nur im sicheren Container-Betrieb zuzulassen. MDM allein genügt also nicht, um BYOD praktikabel und rechtssicher zu gestalten. Gefragt ist ein umfassendes Enterprise-Mobility-Management (EMM). Die erforderlichen Bausteine hat Chris Fleck, Chef der Mobility Solutions bei Citrix, in einem Blog-Beitrag (Link) in eine griffige Formel gegossen: "EM2 = M(D+A-I-E)M". "EM2" - also EMM - bilde also die Summe aus Mobile-Device-, -Application-, -Information- und -Expense-Management. MIM umschreibt dabei die Kontrolle der mobilen Nutzung von (Unternehmens-)Daten, MEM die Verwaltung der entstehenden Kosten, zum Beispiel Roaming-Gebühren. Gefordert ist aber zudem eine intelligente Kontrolle der Identitäten und Zugriffsrechte (Identity- und Access-Management, IAM), das auch unternehmensfremde Endgeräte berücksichtigt - und die Möglichkeiten des Anwenders bedarfsgerecht limitiert. Auf dem LANline Tech Forum in München riet deshalb IAM-Experte Martin Kuppinger, Principal Analyst bei Kuppinger Cole, zu einer Ausweitung des Sicherheitsbereichs, für den eine IT-Organisation zuständig ist (siehe Beitrag auf Seite 59). Geeignete Mittel zur BYOD-Absicherung seien eine Risikoanalyse sowie ein kontext- und risikobasiertes IAM. Dass sich BYOD in die Praxis umsetzen lässt, zeigt ein prominentes Beispiel: "Wir haben 20.000 Ipads im Einsatz und unterstützen 5.000 BYOD-Geräte in über 21 Ländern", twitterte jüngst Oliver Bussmann, Global CIO und Corporate Officer bei SAP (Link) - nicht überraschend, bietet SAP doch mit Afaria selbst eine EMM-Lösung an. Doch BYOD könnte erst der Anfang sein: "Den Menschen geht es nicht um die mobilen Devices", meinte Citrix-Chef Mark Templeton schon letztes Jahr im Gespräch mit LANline, "sie wollen vielmehr generell, dass ihr Arbeitsstil ihrem Lebensstil entspricht." Die IT-Organisationen dürfen sich also schon heute auf neue Herausforderungen freuen. Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
