In Gefahr und höchster Not bringt der Mittelweg den Tod – so lautet ein Sponti-Spruch aus den 1970er-Jahren, den Alexander Kluge auch als Titel für einen Film verwendete. CIOs sollten bei mobilen Apps allerdings vom Gegenteil ausgehen, wenn man der Experton Group vertraut. Analyst Andreas Zilch empfiehlt jedenfalls unbedingt, nach dem Mittelweg zu suchen. „Die IT-Abteilungen müssen einen Weg zwischen den beiden Extremen vollkommenes Ignorieren oder vollkommene Kontrolle finden“, schreibt Zilch in einem Kommentar. Für mobile Applikationen müssten Leitplanken eingezogen werden. Experton differenziert hier nach vier App-Typen, für die jeweils unterschiedliche Empfehlungen gelten.
Die Herausforderung beim Umgang mit den zumeist nicht selbst gestalteten Apps für Smartphones, Tablets und Notebooks sei vielfältig: Die Applikationen müssen bei hoher visueller und ergonomischer Qualität auf einer Vielzahl von Endgeräten dargestellt werden können. Sie müssen ferner die geforderten Funktionen richtig ausführen, Daten richtig verarbeiten und reproduzierbar richtige Ergebnisse liefern. Zudem kommt es auf den sicheren Schutz für sensible Daten an, die Apps dürfen außerdem keine Rechte anderer verletzen.
Gefahren: Sicherheitslücken und negatives Firmen-Image
„Die Herausforderung der IT-Abteilung ist, diese Applikationen sinnvoll einzuordnen, zu kategorisieren und jeweils die richtigen Aktionen für die jeweilige Kategorie durchzuführen“, so Zilch. Dies sei umso schwerer, weil über 90 Prozent dieser Applikationen nicht von der IT-Abteilung entwickelt werden. Zumeist seien die Entwickler externe Systemhäuser und Agenturen, aber auch Mitarbeiter aus den Fachabteilungen, freie Mitarbeiter oder Studenten.
Ein potentielles Problem sei, dass diese Apps zwar für die Unternehmensdarstellung relevant seien und auch positiv Geschäftsprozesse verbessern könnten. Zugleich bestehe aber die Gefahr, dass sie das Unternehmensimage negativ beeinflussen und Sicherheitslücken aufreißen können. „Die interne IT muss sich dabei der Verantwortung bewusst sein“, rät Zilch. Sie dürfe aber auch nicht die Rolle eines reinen Gate-Keepers übernehmen. Zu unterscheiden seien folgende vier Kategorien.
1. Private Apps ohne Business-Relevanz: Damit sind Apps gemeint, die sich Mitarbeiter nach Gusto aus App-Stores herunterladen, um ihren eigenen Workflow zu verbessern. Laut Experton kommt es hier aus IT-Sicht vor allem darauf an, ob der Download auf ein privates oder auf ein firmeneigenes Endgerät erfolgt. „Bei privaten Endgeräten ist die Möglichkeit der Einflussnahme relativ gering, unternehmenseigene Geräte brauchen natürlich etwas mehr Aufmerksamkeit“, kommentiert Zilch.
Manchmal reicht einfacher Check
Im Rahmen einer Mobile-Device-Strategie sollte per Policy grundsätzlich geregelt sein, welche Apps genutzt werden dürfen und welche verboten sind. Dies entspreche den normalen Regeln des Unternehmens. „Der Aufwand einer unternehmensspezifischen Blacklist erscheint in dieser Kategorie als zumeist zu hoch“, findet Zilch. Ein Security Check sei aber gerade bei den stark zunehmenden, sehr heterogenen Android-Apps durchaus angebracht.
2. Business-Apps ohne Business-Relevanz: Gemeint sind damit relativ einfache Publishing Apps, die in erster Linie eine Werbebotschaft transportieren und das Unternehmen oder dessen Produkt positiv darstellen sollen. „Diese Kategorie wird über die Zeit verschwinden, da auch der Nutzen sehr überschaubar ist“, prognostiziert Experton. „Bis dahin können IT-Abteilungen diese Apps weitgehend ignorieren und allenfalls einen einfachen Security Check anregen.“
3. Business-Apps mit limitierter Business-Relevanz: Diese Kategorie sei aus Sicht des Unternehmens am schwierigsten einzuschätzen und zu bearbeiten, so Experton. Es handelt sich häufig um ursprünglich in die zweite Kategorie fallende Apps, die an Bedeutung und Leistungsumfang zugelegt haben: zum Beispiel eine einfache Produktdarstellung, die sich zum Katalog mit Preisen, Bestellmöglichkeiten und Zugriff auf Firmendaten und Transaktionen ausweitet.
„Damit haben diese Apps sogar das Potenzial, hohe Business-Relevanz zu entwickeln“, meint Zilch. Daher müsse die IT-Abteilung gerade diese Kategorie sehr aufmerksam beobachten – und zwar am besten in sehr enger und proaktiver Zusammenarbeit mit den Fachabteilungen. „Mobile Apps selbst zu entwickeln, ist wohl zumeist weder effizient, noch realistisch“, so Zilch. Die Integration und Sicherstellung der Qualität bleibe aber eine Kernaufgabe der IT-Abteilungen.
4. Business-Apps mit hoher Business-Relevanz: Experton hat hier wiederum Weiterentwicklungen der vorherigen Kategorie im Sinn, aber auch Apps, die in Zukunft neu designed und teilweise auch von der IT-Abteilung intern entwickelt werden. Hier müssten die gleichen Ansprüche an die Applikationsentwicklung und die entsprechenden Prozesse gestellt werden wie bei der gewohnten Applikationsentwicklung. Das gelte auch für das komplette Testing inklusive Kompatibilität, Integration und Security. „Das Testing von Mobile Apps wird in der nahen Zukunft eine sehr interessante Disziplin werden“, sagt Zilch voraus.
Testen durch spezialisierte Profis
Als wichtigen Aspekt nennt der Analyst die passende Darstellung der Apps. Problematisch sei diese wegen der Heterogenität von Endgeräte-Herstellern, mobilen Betriebssystemen und potenziellen Bildschirmauflösungen. Zentral seien daneben Security-Fragen wie der Zugriff auf GPS-Informationen und andere Daten des Clients.
„Die Experton Group empfiehlt hier, das Testing von Kompatibilität und Security der Mobile Apps einem professionellen Dienstleister zu überlassen, der auf diesem Gebiet entsprechende Erfahrung, Zugriff auf eine Vielzahl von Endgeräten und eingespielte Prozesse hat“, rät Zilch. Auf Anbieterseite habe T-Systems MMS ihn und seine Kollegen bei Experton sehr beeindruckt. Als weitere starke Dienstleister in diesem Bereich nennt Zilch Atos und Accenture.
Wichtig sei in diesem Zusammenhang, einen effizienten und relativ einfachen Prozess mit dem Dienstleister zu vereinbaren. Dabei würden Applikationen aus den gewählten Kategorien an den Dienstleister übergeben und in einem stringenten Prozess analysiert und bewertet. „Damit wird dieses Testing auch nicht zum Bottleneck und liefert eine transparente und nachvollziehbare Beurteilung und Bewertung“, so Analyst Zilch.