Kosten, Geräte, Verwaltung

Die richtige ByoD-Strategie finden

10.07.2013 von Stefan Strobel
Unter "Bring your own Device" (ByoD) versteht jeder Anwender und jeder Hersteller im Detail etwas anderes - doch nur die wenigsten wissen, dass sie oft einander vorbei reden. Wir bringen Licht ins Dunkel, klären die Voraussetzungen und stellen praktikable Einssatzszenarien vor.
ByoD - aus der Not eine Tugend machen.
Foto: Fotolia/Kurhan

Smartphones und Tablets drängen immer stärker in die Unternehmen und stellen die Unternehmens-IT dadurch vor zahlreiche Probleme. Einige Hard- und Software-Hersteller nutzen diese Situation, um ihre eigenen Produkte zur Unterstützung privater Endgeräte im Unternehmen zu bewerben und aus "Bring your own Device (ByoD)" eine Tugend zu machen.

Unter der Überschrift ByoD werden nun verschiedene Lösungsansätze, Produkte und Hoffnungen verkauft, die eines gemeinsam haben: nicht der Arbeitgeber soll die Endgeräte kaufen, sondern der Mitarbeiter. Nach Aussagen der Hersteller von Lösungen in diesem Umfeld sollen sich dadurch Kosten sparen lassen und die Mitarbeiterzufriedenheit erhöht werden. Bei näherer Betrachtung zeigt sich, dass hier ganz unterschiedliche Anforderungen und Interpretationen in einen Topf geworfen werden und die Argumente oft gar nicht zueinander passen.

Mobility in Zahlen
Die Welt der Smartphones und Tablets lässt sich auch grafisch darstellen.
Mobile Computing zählt 2013 zu den Technikprioritäten der CIOs
Ein Blick auf die Business- und Technikprioritäten der IT-Entscheider zeigt, dass Mobile und Cloud Computing besonders wichtig sind, ebenso das Big-Data-Thema.
Weltweite Marktanteile der fünf größten Anbieter von Smartphones
Nur Nokia ist noch fest verwurzelt im angestammten Handy-Geschäft – ein Problem für die Finnen.
Weltweite Marktanteile der fünf größten Anbieter von Mobiltelefonen
Smartphones verdrängen einfache Handys im Eiltempo. Wegbereiter waren das iPhone und zuvor im Business-Umfeld der Blackberry.
Apple führt Tablet-Markt klar an
Fast 44 Prozent der im vierten Quartal 2012 abgesetzten Tablets waren iPads.
Nutzer aus den USA verbringen am meisten Zeit im Netz
Medienaffin waren US-Bürger schon immer. Diese Statistik bestätigt den Trend.
Briten sind always on, Österreicher fahren lieber Ski
Überraschend unterschiedlich fallen die Surfgewohnheiten in Europa aus. Erklärbare Muster sind jedoch kaum zu erkennen.
Die Android-Plattform erobert den deutschen Markt
Während sich Googles System rasant verbreitet, verteidigt Apple wacker Platz zwei.
Die zehn beliebtesten mobilen Websites
Google zählt die meisten Unique Visitors pro Monat.
Beim Gadget ist der Deutsche nicht knauserig
In Deutschland sitzt das Geld recht locker, wenn es darum geht, ein flottes Endgerät mit sich zu führen. Bei Tablets und Smartphones ist Geiz ungeil.
Welche Inhalte die Deutschen auf dem mobilen Endgerät am meisten mögen (unterschieden nach Browser- oder App-Zugriff)
Via mobile Website oder eine App: Der Hunger auf Nachrichten ist nie gestillt. Auf Platz zwei folgt der E-Mail-Verkehr. Und über‘s Wetter muss man hierzulande einfach Bescheid wissen.
Was Frauen und was Männer wollen
Ob mobile Nachrichten-, E-Mail-, Social-Web- oder Google-Nutzung: Frauen bilden immer die Mehrheit. Wo stecken bloß die männlichen Surfer?
Smartphones zum Frühstück, PCs während der Arbeit und Tablets abends auf der Couch.
Die Deutschen haben klare Vorlieben, wann sie welche Endgeräte für Ausflüge ins weltweite Netz nutzen.

Der Strich durch die Rechnung

Die verallgemeinerte Hoffnung, dass man mit einer ByoD-Strategie und der dabei eingeführten Infrastruktur jegliche Arten von Endgeräten auf dem gleichen Weg unterstützen kann, scheitert in Deutschland meist schon an den rechtlichen Problemen. In einer realistischen Betrachtung sind zudem hohe Kosten statt Kostenersparnis sowie Probleme mit der Informationssicherheit und im Support absehbar.

Die Empfehlung von Juristen lautet meist, dass man auf ByoD in Deutschland besser verzichten sollte. Die Probleme beginnen bereits bei so einfachen Fragen wie "wem gehört eigentlich was". Die Software, die auf dem Privatgerät installiert ist, der Datentarif, über den der Internet-Zugang abgerechnet wird, die Accounts zu sozialen Netzen etc.. Damit verbunden ist auch gleich die Frage nach der Haftung für Missbrauch der Internetverbindung, illegal installierte Software oder bei Verlust des Gerätes. Spannend wird es dann aber vor allem, wenn es um die Zugriffsrechte des Unternehmens auf die privaten Endgeräte und den Einblick darauf geht.

Ein privates Smartphone, das für die geschäftliche Nutzung in das Managementsystem des Unternehmens eingebunden ist, liefert dem Unternehmen meist nicht nur Einblick in die auf dem Gerät installierte Software, sondern kann bei Verdacht auf Missbrauch oder Verlust auch vom Managementsystem aus gelöscht werden. Spätestens wenn nach einer solchen Löschung auch private Daten oder Bilder gelöscht wurden und der Mitarbeiter seinen Arbeitgeber auf Schadensersatz verklagt, wird klar, auf wie rechtlich wackeligen Beinen das Ganze steht. Einverständniserklärungen, wie sie manche Unternehmen von ihren Mitarbeitern für die Verwendung privater Geräte verlangen, sind dann nicht mehr viel wert.

Kosten, Kosten, Kosten

Auch die finanzielle Seite ist in Deutschland nicht so einfach wie dies gelegentlich von amerikanischen Lösungsanbietern dargestellt wird. Ein Anbieter von Desktop-Virtualisierungs-Software warb beispielsweise damit, dass er 20 Prozent seiner IT-Kosten durch die Einführung von ByoD einsparen konnte. Anstelle von firmeneigenen Arbeitsplatz-PCs hat das Unternehmen seinen Mitarbeitern einen Zuschuss zum Kauf eines privaten Notebooks bezahlt und die privaten Notebooks dann über eine firmeneigene virtuelle Desktop-Infrastruktur (VDI) integriert.

In Deutschland wäre ein solcher Zuschuss vom Mitarbeiter als geldwerter Vorteil zu versteuern, was die Sache schnell unattraktiv macht. Zudem muss eine entsprechende Infrastruktur erst beschafft, implementiert und betrieben werden, was hohe Kosten verursacht und mit der Situation beim Hersteller der VDI-Lösung selbst natürlich nicht vergleichbar ist.

Selbst das Argument der Mitarbeiterzufriedenheit muss in einem solchen Szenario kritisch hinterfragt werden. Als Beispiel werden oft Mitarbeiter genannt, die privat mit einem High-End-Notebook oder einem Macbook arbeiten und die im Unternehmen nicht mit dem dort bereit gestellten Standard-PC zufrieden sind. Erlaubt man diesen Mitarbeitern nun, ihr Privatgerät zu nutzen, auf dem sie dann aber nur eine Terminalsitzung zu einem virtuellen Desktop im Rechenzentrum aufbauen können, so wird sie dies kaum glücklich machen.

Erwartungshaltungen

Wichtig für das Verständnis der Probleme und Lösungsansätze ist zunächst eine differenzierte Betrachtung der verschiedenen Interpretationen von ByoD. Für die meisten Organisationen steht die neue Generation mobiler Endgeräte im Vordergrund: Smartphones und Tablets. Auf diesen Geräten soll zunächst der Zugriff auf Firmen-Mails, Kontakte und den Kalender möglich sein. Manche Unternehmen legen jedoch den Schwerpunkt auf privat beschaffte Notebooks und denken darüber nach, zukünftig komplett auf die Beschaffung von Arbeitsplatz-PCs zu verzichten. Beide Interpretationen führen zu technisch sehr unterschiedlichen Lösungsansätzen. Die Idee, beides in einer gemeinsamen neuen Infrastruktur zu ermöglichen, in die jegliche Arten von Endgeräten eingebunden werden kann, erscheint nur auf den ersten Blick verlockend.

Wenn man dabei auch die Sicherheitsaspekte berücksichtigt, wird sofort ein Konflikt sichtbar. Vertrauliche Daten und Transaktionen auf einem Gerät zu verarbeiten, das nicht kontrolliert werden kann und das nicht vertrauenswürdig ist, ist zunächst ein Widerspruch, der sich nicht vollständig lösen lässt. Wer die Hardware kontrolliert, wird mit genügend Aufwand auch das Betriebssystem kontrollieren können und wer das Betriebssystem kontrolliert, hat auch Zugriff auf die darauf laufenden Applikationen. Die Situation lässt sich zumindest verbessern, wenn man Verschlüsselung und eine Serverkomponente ins Spiel bringt, so dass die Schlüssel selbst nicht auf dem Endgerät gespeichert werden. Dann ist jedoch die Nutzung der entsprechenden Applikationen nur noch online möglich. Für eine Desktopvirtualisierung auf privaten Notebooks mag das akzeptabel sein, für E-Mails auf Smartphones jedoch nicht. Hier erwarten die Anwender selbstverständlich, dass sie auch ohne Verbindung zum Unternehmen ihre Mails verarbeiten können.

Für die Integration von privaten Notebooks als Firmenarbeitsplätze ist eine Desktop-Virtualisierung möglich, wenngleich auch hier technische Restrisiken bleiben. Malware auf einem solchen Gerät kann durchaus die Bildschirminhalte der Desktopvirtualisierung lesen und die Tastatureingaben des Anwenders aufzeichnen oder sogar eigene Befehle einschleusen.

Details zur Virtual Desktop Infrastruktur
Eine VDI oder Centralized-Virtual-Desktop-Umgebung verfolgt eine zentralistischen Ansatz: Die Desktop-Umgebungen und Daten lagern zentral im Firmenrechenzentrum und werden über das Netzwerk zu den Endgeräten transferiert.
Details zur Virtual Desktop Infrastruktur
Architekturvergleich zwischen einer herkömmlichen und virtualisierter Desktop-Infrastruktur.
Details zur Virtual Desktop Infrastruktur
Die Elemente einer Desktop Virtual Machine (DVM): Desktops, Daten und persönliche Einstellungen. Der Nutzer kann die Desktop-Umgebung an seine Anforderungen anpassen, etwa indem er zusätzliche Anwendungen hinzufügt.
Details zur Virtual Desktop Infrastruktur
Laut einer Studie von Intel von 2011 bevorzugen die meisten Unternehmen, die derzeit Desktop-Virtualisierung einsetzen, den Virtual-Desktop-Infrastructure Ansatz.
Details zur Virtual Desktop Infrastruktur
Die Virtual-Software-Appliance ILIO von Atlantis reduziert den Umfang von virtualisierten Desktops um bis zu 90 Prozent. Die DVM lassen sich dann sogar im Arbeitsspeicher von Server-Systemen vorhalten oder auf schnellen, aber derzeit immer noch teuren Solid State Drives (SSDs) speichern.
Details zur Virtual Desktop Infrastruktur
Cloud-Service-Provider wie beispielsweise das Kölner Unternehmen Pironet NDH bieten mittlerweile VDI auch aus Cloud-Service an ("Desktop as a Service", DaaS). In diesem Fall lagern die virtualisierten Desktops beim Provider und werden den Kunden über Weitverkehrsverbindungen zur Verfügung gestellt.
Details zur Virtual Desktop Infrastruktur
Eine VDI ist im Jahresschnitt kostengünstiger als eine herkömmliche PC-Client-Infrastruktur. Noch geringere Kosten versprechen Anbieter von Desktop-as-a-Service-Angeboten wie Desktone.
Details zur Virtual Desktop Infrastruktur
Betrachtet man nur die Software-Kosten, ist eine VDI teurer als der klassische PC oder ein DaaS-Angebot.

Usability beachten

Bei Smartphones und Tablets sieht die Situation anders aus. Einerseits ist mehr Mobilität gefragt und eine Lösung, die nur online funktioniert, ist in der Regel nicht akzeptabel. Andererseits ist auch die Bedienung eines virtuellen Windows-Desktops auf dem kleinen Bildschirm eines Smartphones nicht gerade anwenderfreundlich. Auch wenn es bereits Ideen gibt, wie die Darstellung einer Windows-Applikationen so umgebaut werden kann, dass sie auf eine kleinen Smartphone bedienbar wird; von einer generellen Anwendbarkeit in der Praxis ist man hier noch weit entfernt.

Die Lösungen für Smartphones und Tablets bestehen daher aus eigenen Apps, die Unternehmensinhalte auf sichere Weise auf mobilen Endgeräten verfügbar machen. Dafür kommen sowohl die vom Hersteller mitgelieferten nativen Apps für Mail, Kontakte und Kalender unter zentraler Kontrolle einer MDM-Lösung in Frage als auch Apps von Drittherstellern, die solche Daten von Unternehmensservern abholen und auf dem Endgerät meist verschlüsselt ablegen.

Welche Hardware spielt mit?

Die Sicherheit solcher Lösungen hängt auch hier stark von der verwendeten Hardware, dem Betriebssystem und den Apps selbst ab. Dies führt dazu, dass die Apple-Geräte (iPhones und iPads) der letzten Jahre weitaus beliebter bei Firmen sind als Geräte auf Basis von Googles Android. Die Android-Geräte verfügen - abgesehen von den neuesten Geräten von Google - selbst meist nicht über offene Verschlüsselungskomponenten in der Hardware, werden mit veralteten Betriebssystemen ohne Update-Möglichkeit ausgeliefert und die offene Strategie von Google in Bezug auf den PlayStore hat zu einem massiven Malware-Problem geführt. Blackberrys spielen in diesem Kontext meist keine Rolle, da sie nur selten privat beschafft werden. Geräte auf Basis von Microsofts Windows Phone 8 sind noch selten, aber durchaus im Kommen.

Als Alternative oder Ergänzung zu den mitgelieferten Apps setzen einige Unternehmen auf spezielle Sicherheitslösungen, die einen eigenen verschlüsselten Container für Office-Dokumente oder auch für Firmen-Mails, Kontakte und Kalender mitbringen. Gerade bei Mail-Attachments lässt sich so besser steuern, in welchen anderen Apps die möglicherweise vertraulichen Firmen-Dokumente geöffnet werden können. Wenn nicht nur Attachments in solchen Containern gespeichert werden, sondern auch die Mails, Kontakte und Kalender des Unternehmens, dann hat diese Separierung von privaten und geschäftlichen Daten auch einen deutlichen Nachteil in der Bedienbarkeit. Der Anwender muss immer wieder entscheiden, ob er in die nativen Apps für private Kontakte oder Mails oder in die Container-App gehen muss. Der Sicherheitsgewinn ist dabei nicht so hoch wie er zunächst erscheint, denn auf einem kompromittierten Endgerät kann Malware durchaus auch die Daten aus solchen Containern auslesen.

Was bei ByoD zu bedenken ist
Frank Nittka, CIO des Filterherstellers Brita, beschäftigt sich derzeit intensiv mit dem Gedanken an eine Tablet-Lösung für das Topmanagement und die mobilen Mitarbeiter. Mit folgenden Fragen muss er sich dabei auseinandersetzen:
Punkt 1:
Wie hoch ist der Wartungs- und Verwaltungsaufwand, den die IT für die Geräte leisten muss?
Punkt 3:
Wie hoch sind die zu erwartenden Verbindungskosten – vor allem mit dem Ausland?
Punkt 4:
Wie lassen sich private und berufliche Daten auf den Tablets trennen?
Punkt 5:
Und wie sind Bezahltransaktionen für Downloads im Detail handhabbar?

Zentrale Verwaltung

Schon vor der Auswahl, der Einführung und dem Rollout einer MDM-Lösung muss eine Mobile-Strategie existieren.
Foto: Mücke Sturm & Company

Auf Seite der Firmen-Infrastruktur ist auch einiges zu tun, um Smartphones und Tablets sicher zu integrieren. Die erste Anforderung ist typischerweise eine zentrale Managementlösung für mobile Endgeräte. Solche MDM-Lösungen (Mobile Device Management) ermöglichen es, Konfigurationseinstellungen, beispielsweise für den Mail-Zugriff oder die erforderliche Passwortkomplexität zentral zu definieren und in Profilen per Funk auf die verwalteten Geräte zu verteilen. Ohne eine MDM-Lösung ist der Betrieb von mehr als 50 Geräten schlichtweg zu unflexibel und zu umständlich. Die marktüblichen MDM-Produkte unterscheiden sich dabei in den Grundfunktionen kaum, da diese von den Herstellern der Endgeräte durch die Management-Schnittstellen vorgegeben sind.

Neben einer MDM-Lösung werden auch Zertifikate für die Integration mobiler Endgeräte immer wichtiger. Für die Authentisierung bei der Mailzustellung beispielsweise ist es sinnvoll, dies nicht mit einem Domänenpasswort, sondern mit einem Zertifikat zu lösen. Auch beim Zugriff auf Unternehmensapplikationen über einen Web-Browser drängt sich eine SSL-Verschlüsselung und Authentisierung mit Client-Zertifikaten geradezu auf. Dafür benötigen die Unternehmen eine PKI oder zumindest einen CA-Server, der sich mit der gewählten MDM-Lösung integriert.

Der Netzwerkzugriff der Geräte auf Unternehmensserver kann in einem ersten Schritt über das Mobilfunknetz und eine VPN- oder SSL-Verschlüsselung bis zur Internet-Firewall des Unternehmens erfolgen. Sobald jedoch die Nutzung der Geräte auch am Arbeitsplatz in größeren Unternehmensgebäuden möglich sein soll, wird es schwierig. So ist dort möglicherweise gelegentlich kein Mobilfunknetz verfügbar und der Ruf nach einem eigenen WLAN-Hotspot für die Mitarbeiter wird laut. Damit wird dann typischerweise auch der Bedarf nach einer Netzwerkzugangskontroll-Lösung aufkommen, mit Hilfe derer eigene und fremde Geräte unterschiedlich gehandhabt werden können und die beim Zugang auch die Einhaltung von Policies prüfen oder durchsetzen kann.

Policies aufstellen ist eine Sache - sie durchzusetzen aber nicht so einfach. Die Grafik zeigt, wie gut gängige MDM-Lösungen die Firmenpolicys durchsetzen.
Foto: Mücke Sturm & Company

So kommt durch die Popularität neuer mobiler Endgeräte, egal ob es dabei um private Endgeräte und BYOD oder um unternehmenseigene Geräte geht, neuer Druck auf ältere Sicherheitsthemen wie PKI oder Netzwerkzugangskontrolle (NAC/NAP). Neue Firewall-Strukturen oder VPN-Produkte werden jedoch meist nicht benötigt und können oft in der vorhandenen Form weiterverwendet werden.

Fazit

ByoD als Hype ist fast schon wieder am Abklingen. Die rechtlichen und organisatorischen Probleme sind größer als der potenzielle Nutzen. Was aber bleibt und weiter wächst, ist der Druck zur Integration mobiler Endgeräte wie Smartphones und Tablets; wobei diese in Deutschland meist vom Unternehmen gekauft werden, um eine bessere Kontroll- und Einflussmöglichkeit zu haben. Dafür müssen auf Seite der Endgeräte eine geeignete und ausreichend sichere Hardware, ein Betriebssystem und geeignete Apps ausgewählt werden. Im Unternehmensnetz ist zunächst eine MDM-Lösung, gefolgt von einer PKI und einer NAC-Lösung gefragt.

Der Markt ist immer noch äußerst dynamisch. So wie es kaum möglich ist, die künftige Bedeutung und die Marktrelevanz von iPhones, Blackberrys oder Windows Phones in zwei bis drei Jahren vorherzusagen, ist auch die Dominanz der MDM-Anbieter nicht absehbar. Neue Player werden auf den Markt kommen und andere werden gekauft werden und dabei möglicherweise stark an Bedeutung verlieren. Das alles wird mit einer Geschwindigkeit geschehen, wie es im klassischen PC- und Server-Umfeld nicht mehr üblich war.

PIM-App vs. Sandbox-App

Native Nutzung:

Sandbox-Lösung:

Dieser Artikel erschien bei unserer Schwesterpublikation Computerwoche .