Bring Your Own Device

Wer über die Einführung von Cloud Computing nachdenkt, der wird sich schnell auch die Frage stellen, ob sich die aktuellen Endgeräte in die eigene Infrastruktur integrieren lassen. Diese Chance kann auch dazu genutzt werden, die Mitarbeitenden gleich selbst entscheiden zu lassen, welche Geräte sie in Zukunft verwenden möchten. Das bringt Vorteile für Unternehmen und Mitarbeitende – aber auch Risiken, die beachtet werden müssen.



Jose Dani Romay, Manager, IT Advisory, KPMG Schweiz

Mit einer konsequenten Einführung eines Cloud-Konzepts lassen sich Anwendungen von den physischen Rechnern in eine Cloud verschieben, so dass eine homogene PC-Landschaft nicht mehr zwingend notwendig ist. Die Anwendungen laufen auf Servern oder virtuellen Desktops und sind unabhängig vom Endgerät. Wer sich dazu entschliesst, die Wahl der Endgeräte den Mitarbeitenden zu überlassen, bietet ihnen damit nicht nur mehr Gestaltungsfreiraum, sondern kann auch die Produktivität steigern und im Idealfall die Kosten senken. Dabei gilt es jedoch, insbesondere die Datensicherheit zu gewährleisten.

Technikaffinität und Lifestyle
Marken werden immer emotionaler vermarktet. Gerade bei jüngeren Generationen scheint der „Brand“ des Laptops oder des Smartphones ein Teil ihrer Identität und des Lifestyles zu sein. Viele Mitarbeitende haben deshalb klare Präferenzen für bestimmte Marken und sind nicht bereit, auf ihr privates Gerät während der Arbeit zu verzichten. Oftmals besitzen sie die neusten Modelle, und sind durch die Arbeit an zusätzliche Geräte gebunden. Ein Geschäftsleitungsmitglied mit mehreren Verwaltungsratsmandaten beispielsweise, ist meist gezwungen, mehrere Geräte von unterschiedlichen Unternehmen zu verwenden. Auch für sie ist es ein Vorteil, frei zu wählen oder auch verzichten zu können. Eine „Bring Your Own Device“-Strategie ist deshalb ein wertvolles Instrument, um die Zufriedenheit, die Effizienz und auch die Produktivität der Mitarbeitenden zu steigern. Wie eine mehrfach zitierte Studie von Aberdeen aufgezeigt, lässt sich mit der richtigen Mobile Device Strategie eine Produktivitätssteigerung bis zu 40% erreicht werden kann. Wobei die Definition „Mobile Device“ in diesem Kontext Smartphones, PDA’s, Universal Serial Bus (USB) Memory Sticks und Laptops beinhaltet.

Arbeits- und Kosteneffizienz
Zahlreiche Unternehmen sparen bereits Kosten mit dezentralen und flexiblen Arbeitsplätzen, dabei werden Mitarbeitende mit mobilen Geräten ausgestattet, so dass sie direkt beim Kunden oder auch von zu Hause aus arbeiten können und selten im Büro sein müssen. Bedenkt man die Mietpreise für Büroflächen in Ballungszentren wie Zürich oder Genf an, ist es für viele Unternehmen eine sinnvolle Option, weniger Arbeitsplätze bereitzustellen als sie Mitarbeitende haben, und dafür moderne Endgeräten anzubieten bzw. in ihrem Firmennetzwerk zuzulassen. Vor dem Hintergrund der aktuell tiefen Kosten für diese Endgeräte, sind viele Mitarbeitende denn auch bereit, sich ein Laptop oder ein Smartphone selbst auszusuchen und anzuschaffen, wenn sie dabei von ihrem Arbeitgeber unterstützt werden. Vor allem auch dann, wenn sie diese „Gadgets“ auch gleich privat nutzen können. Weil das Endgerät dem Mitarbeitenden gehört, wird dieser im Fehlerfall tendenziell mehr Eigenleistung erbringen, um ein Problem am Endgerät zu beheben. Firmen unterstützen teilweise Mitarbeitende indem sie interne Wikis oder Austauschplattformen anbieten. Dass sich die Unternehmen dabei Kosten für eine eigene vollfinanzierte IT-Infrastruktur und Organisation sparen können, liegt auf der Hand.

Sicherheit gewährleisten
Eine besondere Herausforderung besteht darin, das Zusammenspiel zwischen den verschiedenen Sicherheitsstandards (z.B. vom National Institute of Standards and Technology, ISO/IEC, BSI IT Grundschutz, Australian Department of Defense - Information Security Manual) für Datenspeicher und Serversystemen sowie für Kommunikations- und Endgeräten zu überblicken und in einem Konzept zu vereinen. Das Sicherheitskonzept wird nur so sicher sein wie das Schwächste „Glied“ darin. Ein besonderes Augenmerk muss auf exponierte Systeme gelegt werden. Das heisst Systeme, welche über öffentlich zugängliche Netzwerke (z.B. Internet, Wi-Fi, Bluetooth, etc.) erreicht werden können. Darunter fallen nicht nur die Endgeräte sondern auch systemspezifische Server. Die Endgeräte selber bedürfen erhöhter Aufmerksamkeit bezüglich Sicherheit. Ein einfacher Passwortschutz auf dem iPhone hindert heute keinen Hacker daran, an die Daten und Applikationen auf dem Gerät zu gelangen. Wird beispielsweise ein iPad oder ein iPhone gehacked oder werden gefährliche Drittapplikationen vom Endbenutzer installiert, muss eine aktive Überwachung dies automatisch erkennen und entsprechend reagieren. Unter Umständen müssen Drittapplikationen mittels Fernsteuerung (remote) entfernt, zerstört oder im Extremfall ganze Datenspeicher automatisch gelöscht werden können. Dieser Eingriff muss sehr schnell ablaufen. Je mehr Zeit verstreicht, umso grösser ist die Wahrscheinlichkeit, dass man die Kontrolle des Endgeräts verliert. Konkret: Wenn ein Endbenutzer gegen die Unternehmenspolicy verstöss, welche „Jailbreaking“ nicht zulässt und das iPhone trotzdem „Jailbreaked“ muss das Endgerät sofort unwiderruflich gelöscht werden (remote data wipe).

Fazit
Ob ein Unternehmen bereit ist, den Schritt in Richtung „Bring Your Own Device“ zu machen, hängt unter anderem auch davon ab, wie die vorhandene IT Infrastruktur, die Prozesse und ihr Sicherheitskonzept heute aussehen. Der zu beobachtende Trend zeigt klar in die skizzierte Richtung. Der Druck auf die Unternehmensabteilungen ICT, ICT-Audit, Security und Legal&Compliance wird zunehmen.