Der Trend zur beruflichen Nutzung privater Geräte beschäftigt das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. Die Behörde hat ein "Überblickspapier Consumerisation und BYOD" erarbeitet. Das BSI handelt darin rechtliche und technische Aspekte von BYOD (kurz für "Bring your own device") ab.
Grundsätzlich verbindet das Amt BYOD mit Vorteilen. Zufriedenheit und Motivation der Mitarbeiter steigen, wenn sie aktuelle Consumer-Endgeräte benutzen können, so das BSI. Hier gehe es zum einen um emotionale Faktoren - Endgeräte als Statussymbole - und zum anderen um praktische Vorteile. Es sei nutzerfreundlicher, mit nur einem Handheld statt mehreren zu arbeiten.
Unternehmen, die sich für BYOD entscheiden, müssen viele Punkte bedenken. Das BSI nennt unter anderem Folgendes:
-
Software-Lizenzen: Privat angeschaffte Software darf eventuell nicht beruflich genutzt werden. Jedes Unternehmen muss seine Situation aus rechtlicher Sicht umfassend beurteilen.
-
Design contra Sicherheit: Das BSI hält es für ein Grundproblem, dass viele Consumer-Endgeräte "eher auf schönes Design und einfache Bedienung hin optimiert sind". Oft aber entsprechen Konfigurationsmöglichkeiten und Sicherheitsfunktionen nicht dem technischen Standard, der für Geräte im professionellen Umfeld gilt. Das kann zu Problemen mit internen Sicherheitsvorgaben führen.
-
Auflösung des Informationsverbundes: Die "Durchlöcherung beziehungsweise Auflösung der Grenzen des Informationsverbundes" eines Unternehmens bezeichnet das BSI als größte Herausforderung bei BYOD. Dies beginne damit, dass sensible Daten auf Endgeräten verarbeitet werden, die häufig nicht so gut abgesichert werden können wie Arbeitsplatzrechner. Zudem befänden sich mobile Endgeräte oft außerhalb der geschützten Umgebung des Unternehmens.
-
Schwachstelle Consumer-Geräte: Probleme im Betriebssystem oder in den installierten Anwendungen gefährden Consumer-Endgeräte besonders stark, so das BSI. Denn zum einen müssen Updates üblicherweise vom Nutzer selbst initiiert werden, das geschieht nicht automatisch im Hintergrund.
Warum Consumer-Geräte unsicherer sind
-
Zum anderen haben Consumer-Handhelds kürzere Innovationszyklen. Hersteller konzentrieren sich daher eher auf die Einführung neuer Modelle als auf die langfristige Unterstützung älterer Geräte. Hinzu kommt, dass auf den eingesetzten Geräten unterschiedlicher Hersteller häufig verschiedene Varianten eines Betriebssystems installiert sind.
-
Unterschiedliche Sicherheitsniveaus: Arbeiten die Kollegen eines Unternehmens mit vielen verschiedenen Endgeräten und unterschiedlichen Betriebssystemen, lassen sich meist nicht alle Sicherheitsanforderungen auf allen Geräten gleichermaßen umsetzen. So unterstützen beispielsweise nicht alle Consumer-Endgeräte eine vollständige Geräteverschlüsselung. Auch mit der Rechtevergabe kann es Probleme geben. Mögliche Folge: es bestehen unterschiedliche Sicherheitsniveaus auf Geräten, die eigentlich für vergleichbare Aufgaben benutzt werden sollen.
Das Bundesamt für Sicherheit in der Informationstechnik will BYOD nicht so verstanden wissen, dass jeder Mitarbeiter jedes Gerät mitbringen darf. Unternehmen könnten durchaus bestimmte Gerätetypen ausschließen. Diese Praxis wird in der Branche manchmal als CYOD - für "Choose your own device" - diskutiert.
Sechs Punkte, die Mitarbeiter unterschreiben müssen
Grundsätzlich müssen IT-Chefs festlegen, wie sie die Administration der Handhelds regeln wollen. Auf jedem Gerät müssen private Daten einerseits und dienstliche andererseits klar getrennt werden. Das BSI rät generell, die Belegschaft in puncto BYOD und den damit verbunden Fragen zu schulen.
Die Behörde rät auch zu klaren Regelungen. Die Mitarbeiter müssen zusichern, dass sie
-
aktuelle Virenschutz-Programme (soweit verfügbar) einsetzen,
-
alle Sicherheitspatches zeitnah einspielen,
-
ihr Endgerät ausschließlich allein nutzen,
-
den Zugriff auf das Gerät schützen und
-
alle lokal gespeicherten Daten verschlüsseln.
Darüber hinaus sollten sich die Mitarbeiter verpflichten, sofort Bescheid zu geben, wenn sie ein Gerät verloren haben. Das Unternehmen kann auch festlegen, dass eine solche Meldung erfolgen muss, wenn das Handheld für eine definierte Zeitspanne nicht auffindbar ist.