Bereits im Jahr 2014 werden in etwa 90 Prozent aller Unternehmen Geschäftsanwendungen auf privaten Geräten laufen. Dies sagen die Marktforscher von Gartner voraus. Gemäß dem Citrix Security Index 2011 nutzen in deutschen Unternehmen heute schon 32 Prozent der Mitarbeiter ihr eigenes Notebook und 27 Prozent ihr Smartphone auch beruflich.
Der Grund für den Einsatz privater Geräte am Arbeitsplatz liegt vorwiegend bei den Mitarbeitern selbst. Sie möchten flexibel im Büro, unterwegs und im Home Office auf Unternehmensanwendungen zugreifen und weiterarbeiten. Dabei wollen sie das Gerät verwenden, dessen Bedienung und Oberfläche sie bereits aus dem Privatleben kennen. Zudem bieten die aktuellen Smartphones meist mehr und modernere Funktionen als die vom Unternehmen zur Verfügung gestellten Handys und PCs. Ein Beispiel dafür sind Apps, die bereits ein fester Bestandteil der privaten Nutzung sind, aber beruflich noch sehr selten eingesetzt werden.
Die Geschäftsleitung hat prinzipiell meist nichts gegen Bring your own Device (ByoD) einzuwenden. Schließlich entstehen dem Unternehmen dadurch auf den ersten Blick keine Kosten, die Mitarbeiter sind zufriedener und häufig auch effektiver. Zudem präsentiert sich das Unternehmen als offen und arbeitnehmerfreundlich.
Die IT-Abteilung jedoch sieht dies in der Regel anders. Denn die privaten Geräte öffnen grundsätzlich Einfallstore für Schadprogramme oder IT-Angriffe. Zudem sorgen sie für höheren Administrationsaufwand bei der Bereitstellung der Anwendungen, da sehr verschiedenartige Hardware darauf zugreift. Und nicht zuletzt werden zunehmend auch die Lizenzprobleme gesehen.
Gefährdete Sicherheit
Der ursprüngliche Sicherheitsansatz vieler Unternehmen, die Nutzung privater Geräte zu verbieten und firmeneigene Smartphones zur Verfügung zu stellen, lässt sich heute kaum noch durchhalten. Denn alle paar Monate kommen neue Modelle mit "coolen" Funktionen auf den Markt, und es gibt immer stärkere Gegnerschaften zwischen iPhone-, Samsung-, Android- oder Windows-Fans. Hier den Überblick zu behalten ist nahezu unmöglich. Deshalb müssen Unternehmen heute andere Ansätze verfolgen.
Sinnvolle Maßnahmen
Dazu gehört eine kontinuierliche Schulung der Mitarbeiter, denn Fehlverhalten aus Unwissen, Leichtsinn oder Absicht ist die häufigste Ursache für Datenverlust oder Sicherheitsgefahren. Zudem sollten Unternehmen ihre IT- und Gerätestrukturen analysieren: Wie gut sind Netzwerk, Server, Datenbanken oder Informationen geschützt? Auf welche Anwendungen greifen die Mitarbeiter mit welchen Geräten zu? Und was geschieht, wenn bestimmte Informationen in falsche Hände geraten? Diese Analyse führt zu einer Sicherheitsklassifizierung der verschiedenen Bereiche, die in einer umfassenden Architektur berücksicht werden muss.
Die Analyse ist nicht nur aufgrund von ByoD nötig, sondern auch wegen der sich immer schneller ändernden Nutzungsszenarien, unter anderem bei sozialen Netzen, Cloud-Angeboten oder Collaboration. Doch bei privaten Mobiltelefonen oder Tablets gibt es ein spezielles Problem: Sie entziehen sich häufig dem Zugriff der IT-Abteilung. Denn die meisten Mitarbeiter zögern, Updates oder Sicherheitsprogramme aufspielen zu lassen, die eventuell Apps oder private Dienste blockieren.
Folglich muss die IT-Abteilung im Netz oder auf Anwendungsseite Sicherheitsmaßnahmen einführen, zum Beispiel Data-Loss- oder -Leakage-Prevention. Damit verhindert sie zum Beispiel, dass bestimmte Informationen per Mail versendet werden. Einzelne Anwendungen lassen sich für bestimmte Gerätetypen blockieren oder einschränken, etwa die Bearbeitung von Mail-Anhängen. Außerdem kann die Nutzung je nach der Abteilung und deren Sicherheitsklassifizierung unterschiedlich begrenzt werden. Weitere Maßnahmen sind beispielsweise die automatische Verschlüsselung vertraulicher Dokumente sowie ein strenges Management des Netzzugangs und der Rechte zum Zugriff auf Informationen inklusive Authentifizierung und Identitätskontrolle.
Mit Hilfe dieser Sicherheitsmaßnahmen ist die Gefahr schon weitgehend gebannt. Doch die Verwaltung der Zugriffe bedeutet nach wie vor hohen Aufwand. Hier helfen Lösungen für das Mobile-Device-Management (MDM). Sie kontrollieren den Sicherheitsstatus der mobilen Geräte und blockieren bei Gefahr den Netzzugriff.
Werden unternehmenseigene Smartphones eingesetzt, lassen sich so auch Konfigurationen auf den Mobilgeräten aktualisieren und ändern. Zudem kann die IT-Abteilung Black- und Whitelists anlegen, um etwa bestimmte Apps zu erlauben oder zu verhindern.
Lizenzverwaltung kritisch
Eine noch höhere Hürde als das Management der Geräte stellt die Verwaltung der Lizenzen dar. Denn prinzipiell müssten die Unternehmen für jedes mobile Gerät, jeden Mitarbeiter und jede Anwendung eine eigene Lizenz kaufen. Theoretisch könnten ja alle Kollegen mit ihren Geräten alle Applikationen nutzen, auch wenn das in der Praxis nie vorkommen dürfte.
Das Unternehmen muss also den Bedarf richtig einschätzen. Doch wie soll das funktionieren, wenn jeder sein eigenes Gerät einsetzt? Das Nutzungsverhalten der Mitarbeiter lässt sich ja nicht einmal kurzfris-tig vorhersagen, wenn es sich durch die Entwicklung neuer Geräte und Anwendungen extrem schnell ändert.
Trennung von privat und beruflich
Ein weiterer Problemkreis ist die Trennung zwischen privater und beruflicher Nutzung einer Anwendung. So kann der Mitarbeiter zum Beispiel im Tabellenprogramm auf seinem Smartphone sowohl die aktuellen Fußballergebnisse als auch die neuesten Geschäftsstatistiken analysieren. Und chatten wird er mit Kollegen häufig auch über private Themen. Office-Programme kosten aber je nach Nutzungsart unterschiedlich viel. Und Chat-Apps können für Privatleute gratis sein, für Unternehmen aber kostenpflichtig.
Bis zu 20 Prozent zu viel gezahlt
Hinzu kommen hausgemachte Probleme. So sprechen zum Beispiel die IT-Experten meist zu wenig mit den Einkaufsabteilungen oder den Lizenz-Managern, welche die Lizenzen anschaffen. Noch schlimmer ist es, wenn die Fachbereiche die IT-Abteilung umgehen und direkt bestellen. Auf diese Weise geben die Unternehmen schätzungsweise 15 bis 20 Prozent zu viel Geld für ihre Softwarelizenzen aus. Dabei sind sie gleichzeitig in einem fast ebenso hohen Maße unterlizenziert, was teilweise am unüberschaubaren Wildwuchs liegt.
Manchmal legen es die Softwareanbieter aber geradezu darauf an, Unterlizenzierungen zu provozieren, indem sie im Rahmen ihrer General License Agreements sämtliche Funktionen freigeben, obwohl nicht für alle auch Lizenzgebühren gezahlt werden. Verwenden die Nutzer sie dann, gibt es beim nächsten Audit Probleme. So kann sich eine unbedacht genutzte Funktion in Gebühren von bis zu einer halben Million Euro niederschlagen.
Veraltete Lizenzbedingungen
Die Lizenzbedingungen vieler Hersteller verkomplizieren die Sache zusätzlich. Denn sie sind nur selten an die aktuellen Entwicklungen wie Cloud oder ByoD angepasst. Die anfallenden Kosten werden immer noch meist pro Installation oder Nutzer berechnet. Die Nutzungsdauer und -häufigkeit wäre als Bewertungsgrundlage sinnvoller, lässt sich aber nur schwer überprüfen. Deshalb ist häufig ein ausführliches Gespräch mit den Softwareanbietern nötig - oder das Einschalten eines Dienstleisters, der diese Aufgabe übernimmt.
Alternativ bieten sich virtuelle Desktops an, mit denen sich die Mitarbeiter aus einem Pool an Anwendungen bedienen. Der lizenzrechtliche Trick liegt darin, dass die Software hier nicht auf dem Gerät installiert wird, sondern auf der virtualisierten Server-Infrastruktur im Netz. So lassen sich die Applikationen und Lizenzen besser verwalten. Zudem haben viele Softwarehersteller für dieses Szenario Pay-per-Use-Modelle entwickelt. Hier mieten Unternehmen die Lizenz für einen Zeitraum und zahlen nach Nutzung - egal, auf welchem Gerät.
Was passiert, wenn was passiert?
Und wenn ein Unternehmen trotz Beratung durch einen Dienstleister die gültigen Lizenzbedingungen nicht einhält? Hier haftet grundsätzlich derjenige, der die Lizenz nutzt, also der Unternehmenskunde selbst.
Im Binnenverhältnis kann der Kunde unter Umständen seinen Dienstleister zur Rechenschaft ziehen - aber nur, wenn dieser ihn falsch beraten hat. Nutzt ein Mitarbeiter auf seinem privaten Gerät eine Firmensoftware widerrechtlich, ist eindeutig das Unternehmen verantwortlich. Sollte er allerdings eine Software nutzen, die nicht von der Firma bereitgestellt wird, kann diese verlangen, dass er eine Lizenz beibringt.
Beim Lizenz-Management im Rahmen von ByoD steckt also der Teufel im Detail. Umso wichtiger ist es für Unternehmen, hier alle Eventualitäten zu berücksichtigen und in Richtlinien festzuhalten. Diese müssen die betroffenen Mitarbeiter und Abteilungen kennen und einhalten. (qua)