Interview mit SAP-CIO Oliver Bussmann

Ein klarer Fall von BYOD

11. April 2013, 7:00 Uhr | Dr. Wilhelm Greiner

Während IT-, Business-, Security- und Datenschutzverantwortliche hierzulande noch heftig debattieren, ob ein Unternehmen BYOD (Bring Your Own Device) überhaupt einführen darf, geschweige denn sollte, haben andere dieses Stadium längst hinter sich gelassen. Ein namhaftes Beispiel ist der Walldorfer Softwareriese SAP. LANline sprach mit Oliver Bussmann, Global CIO und Corporate Officer bei SAP, über die Vor- und Nachteile der Nutzung privater Endgeräte im Business-Alltag.LANline: Herr Bussmann, auf Twitter haben Sie geschrieben, bei SAP seien 5.000 BYOD-Geräte im Einsatz (Link). Was ist der strategische Ansatz dahinter, was war der Anlass? Oliver Bussmann: Wenn Sie heute im Unternehmen eine mobile Strategie umsetzen möchten, dann müssen Sie den Aspekt "Bring Your Own Device" auf jeden Fall berücksichtigen. Heutzutage haben vor allem jüngere Mitarbeiter das Bedürfnis und den Wunsch, das Smartphone oder auch Tablet, das sie privat verwenden, auch bei ihrem Arbeitgeber nutzen zu können. Der Mitarbeiter ist damit vertraut, er beherrscht das Gerät und möchte nicht mit mehreren Geräten arbeiten. Genau diesem Umstand wollen wir als weltweit tätiges Software-Unternehmen Rechnung tragen, ja möchten hier auch eine Vorreiterrolle spielen. Das umfasst übrigens das gesamte Spektrum der so genannten konsumierbaren IT. Die Nutzung von mobilen Endgeräten spielt in diesem Zusammenhang eine sehr große Rolle. LANline: Handelt es sich dabei um ein SAP-seitig initiiertes Programm mit Subvention der Mitarbeitergeräte oder toleriert SAP - gegebenenfalls unter Auflagen - die Nutzung privater Devices? Bussmann: Wir akzeptieren die Nutzung privater Smartphones und Tablets unter Auflagen: Unsere Mitarbeiter müssen ein entsprechendes Papier unterzeichnen, wenn sie ihr privates Gerät im Unternehmen nutzen möchten. Das betrifft vor allem Bereiche des Datenschutzes und der Privatsphäre. Wir als Unternehmen, sprich also die IT, muss sicherstellen, dass unsere Daten, auf die durch das Gerät zugegriffen wird, nicht in falsche Hände geraten. Das ist klar. Aber wir müssen als Unternehmen dafür sorgen, dass wir nicht in die Privatdaten des Mitarbeiters Einblick nehmen. Das heißt, der Mitarbeiter gibt nicht seine Privatsphäre auf, wenn er sich dafür entscheidet, sein privates Smartphone bei uns im Unternehmen einzusetzen. LANline: Wie war bislang das Feedback der BYOD-Nutzer, wie das der Kollegen ohne beruflich genutzte Privatgeräte? Bussmann: Wir erhalten durchweg positive Rückmeldungen. Das Schöne an unserem Modell ist: Jeder Mitarbeiter kann sich für eine Variante entscheiden. Natürlich stellen wir ihm auch ein Unternehmens-Smartphone und/oder -Tablet zur Verfügung. LANline: Wie garantieren Sie im BYOD-Kontext Informationssicherheit und Compliance - MDM, MAM, IAM mit Rechtebegrenzung bei unternehmensfremden Endgeräten?? Bussmann: Wir verwalten all unsere mobilen Geräte mit unserer eigenen Software SAP Afaria. Hinzu kommt, dass der Anwender für die Firmen-E-Mail-Nutzung ein zusätzliches E-Mail-Programm installieren muss, das dann auch über Afaria verwaltet werden kann. Jedes Gerät - außer dem Blackberry, hier sorgt das RIM-eigene Sicherheitskonzept für die entsprechende Einbindung - durchläuft ein so genanntes Enrollment. Damit wird das Smartphone oder das Tablet in die mobile Infrastruktur unseres Unternehmens eingebunden und auch abgesichert. Die IT hat somit die Kontrolle über die Geräte. LANline: Welche Rolle spielen Betriebsvereinbarungen in Ihrem BYOD-Programm, was sind die wichtigsten Aspekte? Bussmann: Wir haben unter enger Beteiligung unserer Mitarbeitervertretungen Nutzungsvereinbarungen entwickelt, die zwischen dem jeweiligen BYOD-Nutzer und der SAP geschlossen werden. Mit dieser Vereinbarung ist den mitbestimmungsrelevanten und weiteren zentralen rechtlichen Aspekten dieses Programms Rechnung getragen worden. Darüber hinaus wurde das Thema mit den internen Regelungswerken, zum Beispiel Security-Standards, verknüpft. Wichtiger Bestandteil der Vereinbarung ist die Freiwilligkeit der geschäftlichen Nutzung des privaten Endgeräts. Da SAP als Arbeitgeber hier eine technische Symbiose mit der Privatsphäre ihrer Mitarbeiter eingeht, waren dennoch vielfältige Regelungen, insbesondere zur Möglichkeit des Remote-Zugriffs durch SAP bei Verlust des Geräts, erforderlich. Zudem stand die Sicherstellung von Datenschutzbestimmungen im Vordergrund. LANline: Was ist jenseits der genannten Punkte das größte Problem bei BYOD, und wie lösen Sie es? Bussmann: Die genannten Punkte müssen geklärt sein beziehungsweise umgesetzt werden. Ein Unternehmen muss a) eine mobile Strategie erarbeiten und b) BYOD dann dementsprechend einbetten und umsetzen. Das ist nicht trivial. Zudem ist es nicht nur eine Frage der IT, sondern hier müssen die Rechts-, Personal, Kommunikationsabteilung sowie die Buchhaltung und IT eng zusammenarbeiten. LANline: Welche Besonderheiten weist das deutsche Umfeld im internationalen Vergleich bezüglich BYOD auf? Bussmann: In Deutschland unterliegt der Umgang mit Daten sehr strengen Richtlinien. Das müssen Sie bei der Umsetzung von BYOD sehr stark berücksichtigen. Die rechtlichen Anforderungen an die Nutzung eines privaten Geräts im geschäftlichen Umfeld sind in den USA und APJ (Asiatisch-pazifischer Raum und Japan, d.Red.) deutlich geringer. LANline: Kann eine IT-Abteilung sich heute BYOD generell verweigern? Bussmann: Meiner Meinung nach nicht. Smartphones und Tablets sind heute fester Bestandteil in der Kommunikationswelt. Mehr noch: Die Consumerwelt treibt im Grunde die Geschäftswelt an. Das, was Sie privat nutzen, wie Sie die Geräte und die Apps einsetzen, wandert eins zu eins in die Unternehmen. Mitarbeiter wollen geschäftliche Inhalte genauso einfach nutzen wie private. Dem müssen wir als IT Rechnung tragen. Und ich verstehe mich hier als Berater der Abteilungen in unserem Unternehmen, nicht nur als ein CIO, der "nur" Anforderungen entgegennimmt. Wir als IT müssen sogar Dinge antreiben und zeigen, wie man nutzbringend mit den mobilen Geräten sein Arbeitsleben erleichtern kann. LANline: Welche Empfehlungen geben Sie IT-Leitern, die BYOD einführen wollen - oder müssen? Bussmann: Bewerten Sie die Risiken, die für Sie entstehen. Mehrere Aspekte müssen für das jeweilige Unternehmen analysiert werden. Erstens datenschutzrechtliche Anforderungen: Datenschutzgesetze enthalten Anforderungen wie zum Beispiel die klare Trennung von Geschäfts- und Privatdaten, Unversehrtheit der Privatdaten, kritisch sind hier länderspezifische Bestimmungen, denn der Datenschutz ist nicht global einheitlich geregelt. Weiterhin sind Anforderungen an die Wiederherstellbarkeit von Daten einzubeziehen. Hierfür müssen entsprechende organisatorische Maßnahmen und Regelungen mit dem Mitarbeiter getroffen werden. Zweitens personal- und arbeitsrechtliche Anforderungen: Die Haftungsregelung bei Verlust oder Beschädigung ist zu klären. Kritisch sind auch in diesem Umfeld länderspezifische Bestimmungen. Der Mitarbeiter ist durch eine Verpflichtungserklärung zur Einhaltung der Unternehmensregeln zu verpflichten. Drittens lizenz- und steuerrechtliche Anforderungen, denn Lizenzbedingungen von Softwareanbietern enthalten oftmals unterschiedliche Bedingungen für privaten und gewerblichen Gebrauch. Daher sind die Verträge mit Softwareanbietern zu prüfen, ob eine Nutzung auf Privatgeräte abgedeckt ist, um Haftungsrisiken für das Unternehmen zu vermeiden. Ferner sind steuerliche Auswirkungen zu prüfen.. LANline: Und aus IT-Sicht? Bussmann: Wie bereits geschildert, ist eine mobile Strategie unabdingbar. Und Sie müssen eine Software einsetzen, die Ihre Geräte managt, verwaltet. Die IT muss Herr der Lage sein und zu jeder Zeit Zugriff auf den Unternehmensteil der Geräte haben. LANline: Herr Bussmann, vielen Dank für diese Auskünfte. Der Autor auf LANline.de: wgreiner

Oliver Bussmann, Global CIO und Corporate Officer bei SAP, hält den Trend zu BYOD für unausweichlich und rät deshalb: "Bewerten Sie die Risiken, die für Sie entstehen." Bild: SAP
LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Renovatio

Weitere Artikel zu Mozilla

Weitere Artikel zu Eutelsat European Telecommuni- cations Satellite Organization

Matchmaker+