Zwei Smartphones, Tablets oder Laptops für den privaten Gebrauch und für die Arbeit mit sich rumschleppen, die Zeiten sind vorbei: Viele Mitarbeiter nutzen lieber ihre eigenen Geräte für die Arbeit. Mehr als die Hälfte der jungen Mitarbeiter sieht es sogar als ihr gutes Recht an, ihre eigenen Geräte in der Arbeit zu nutzen. Eine Herausforderung für die Sicherheit, die Entscheider mit Besorgnis sehen. Für unsere amerikanische Schwesterpublikation Networkworld hat Mary Brandel 7 Ratschläge parat, wie Entscheider mit BYOD umgehen sollten.
1. Richtlinien implementieren
Viele Firmen kümmern sich zwar darum, mit einem Mobile Device Management die Smartphones und anderen mobilen Geräte zu verwalten - aber Richtlinien fehlen. Dreißig Prozent der Firmen verbieten lieber pauschal die Geräte - mit wenig Erfolg. Zwar ist ein Mobile Device Management (MDM) wichtig, aber ohne eine Policy geht nichts. Außerdem haben Blackberry, iPhone und Co. nicht dieselben Funktionen und andere Software: Da sind allgemeine Regeln sinnvoller und schützen besser.
2. Wer löscht wann?
Das größte Risiko von BYOD ist und bleibt: Was geschieht mit den sensiblen Daten, wenn das Smartphone verloren geht oder gestohlen wird? Auch bleibt oft ungeklärt, wie das Unternehmen verbleibt, wenn der Angestellte die Firma verlässt. Einige Firmen löschen nur bestimmte Daten per Fernsteuerung, andere vernichten den kompletten Datensatz - also auch persönliche Daten. Das kann auch rechtlichen Ärger geben. Ein Unternehmen sollte schriftlich mit dem Mitarbeiter vereinbaren, wie es im Falle eines Verlusts oder einer Kündigung vorgeht.
3. Verantwortungsbereiche des Angestellten
Auch wenn es hart klingt: Mitarbeiter müssen die Sicherheitsstandards einhalten und dazu gehört auch, einen Minimalstandard an Hardware oder Software zu halten. Brandels Beispiel: Nicht alle Apps laufen auf älteren Geräten. Seine Angestellten dazu zwingen, das neue iPhone zu kaufen, dürfte zumindest in Deutschland aber schwierig werden. Für neuere Geräte spricht aber ein höherer Sicherheitsstandard, bei dem noch Patches geschrieben werden. Neuere Versionen bedeuten für alle mehr Sicherheit.
4. Nicht alles ist erlaubt
Viele Richtlinien legen fest, was man mit einem eigenen Gerät darf und was nicht. Brandel schlägt eine Liste für Apps vor, die Mitarbeiter nicht verwenden dürfen, Regeln dafür, ob man Firmen-eigene Dokumente herunterladen darf oder nicht. Außerdem muss klar sein, ob man Kamera oder USB-Ports benutzen darf. Anwendungen wie Facebook oder Linkedin zu sperren, davon rät Brandel ab. Denn sonst halten sich Mitarbeiter gar nicht mehr an die Policy. Zuviel Kontrolle darf also die IT-Abteilung also auch nicht über die Geräte ausüben.
Gerätevielfalt verhindern und Support regeln
5. Welches Smartphone passt zur Firma?
Normalerweise schreiben Unternehmen ihren Angestellten nicht vor, welche Marke sie benutzen. Bei BYOD ist das auch rechtlich fragwürdig. Aber viele verschiedene Geräte treiben Support und Sicherheitskosten in die Höhe: Für jede einzelne Marke und jede einzelne Version eines Geräts müssen gegebenenfalls Updates und Apps geschrieben werden. Brandels Tipp: Bestimmte Geräte nur für bestimmte Anwendungen zulassen. Das senkt die Support-Kosten und Mitarbeiter wissen das, bevor sie sich für ein Smartphone entscheiden. Ob das allerdings durchgesetzt werden kann, bleibt abzuwarten.
6. Wer sorgt für den Support?
Ärger mit dem Display, schlechte Internetverbindung oder einfach nur kaputt: In den Richtlinien sollte auch festgelegt sein, wann die Firma für die Reparaturkosten aufkommt und wann der Angestellte. Brandel rät dazu, dass nur Reparaturen, die auch die Arbeit betreffen, intern übernommen werden sollten. Für den Rest muss der Mitarbeiter selbst aufkommen.
Nicht für alles zahlen
7. Wer zahlt wofür?
Die große Frage, die bei BYOD aufkommt: Zahlt das Unternehmen oder der Angestellte für die Anschaffung und die laufenden Kosten? Das muss genauso abgeklärt werden wie die Kostenübernahme der Download-Gebühren. Eine Deckelung der Kosten oder eine vollständige Übernahme sind auch möglich.
Egal, für welche Richtlinien sich ein IT-Chef entscheidet: Die Firma braucht eine Policy, die schriftlich mit dem Angestellten vereinbart, wer die Verantwortung trägt, wer zahlt und was alles bei BYOD verboten ist. Dann müssen Entscheider keine Verbote erlassen, die ohnehin nicht beachtet werden und auch die Sicherheitsfrage ist geklärt.