Zum Hauptinhalt gehen
Digitalisierung_BYOD_Kritik

Warum es für BYOD keine Zukunft gibt

Bring Your Own Device: Der Einsatz mitarbeitereigener Smartphones und Laptops hat vielen Unternehmen in der Pandemie das Weitermachen ermöglicht. Warum jetzt Schluss damit sein sollte.

IT-Fachkräfte heben sofort abwehrend die Hände: „Viel zu gefährlich, bloß nicht!“ Wenn Mitarbeiterinnen und Mitarbeiter das eigene Handy auch für Arbeitszwecke nutzen, gefährden sie damit die IT-Sicherheit ihres Arbeitgebers. Deshalb ist BYOD – „Bring Your Own Device“ – in vielen Unternehmen verpönt. Doch was ist die Alternative? Wer auf die IT-Fachkräfte hört: Diensthandys ohne Apps und ohne Zugang zum Internet. „Phone“ komplett ohne „Smart“ – der technologische Standard der Jahrtausendwende. Was gut gemeint ist, stößt bei betroffenen Mitarbeiterinnen und Mitarbeitern auf Befremden: Wie sollen sie damit arbeiten?

Je wichtiger die Sicherheit, desto spartanischer die Handys. So wurden in der Bundeswehr jahrelang Diensthandys verteilt, mit denen man nur telefonieren oder SMS versenden konnte. Alles andere: gesperrt. In manchen Behörden ist immerhin der Zugang zum Intranet übers Diensthandy möglich, das Internet allerdings bleibt verschlossen. Also nutzen die Beschäftigten ihr privates Smartphone, weil: weniger umständlich. Man will ja auch was geschafft kriegen.

BYOD: Arbeitgeber und -nehmer in der Bredouille

Damit können beide Seiten in die Bredouille geraten, Arbeitgeber ebenso wie Arbeitnehmer. Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass personenbezogene Daten auf jedem mobilen Gerät genauso sicher sein müssen wie innerhalb der unternehmenseigenen IT-Infrastruktur. Schon deshalb ziehen sich viele Arbeitgeber auf rechtliche Positionen zurück: Haben ihre Angestellten unterschrieben, ihr privates Smartphone nicht während der Arbeit und schon gar nicht für Arbeitszwecke zu benutzen, müssen sie sich daran halten. Eigentlich. Uneigentlich erschweren sich die Angestellten ihre Arbeit nicht künstlich, wenn sie eine elegante Abkürzung kennen. Anders gesagt: Je rigider die Vorgaben, desto notwendiger werden sie umgangen.

Die klügeren (oder zumindest: realitätsnäheren) unter den Arbeitgebern haben das längst eingesehen und suchen nach einer sinnvollen Balance zwischen notwendiger IT-Sicherheit und effektivem Arbeiten. Daher löst CYOD das ursprüngliche BYOD ab. CYOD steht für „Choose Your Own Device“: Arbeitnehmerinnen und Arbeitnehmer wählen das Smartphone aus einer Liste aus, der Arbeitgeber kauft und verwaltet es. So hat die IT-Abteilung die Option, den Zugriff auf Programme, Daten und Funktionen einzuschränken – vor allem Apps werden kritisch betrachtet. Schon seit ungefähr zehn Jahren ist CYOD als Kompromiss zwischen den Wünschen der Anwender und den Anforderungen der IT weiter verbreitet als BYOD. Entscheidend ist, nicht zu viele Funktionen zu sperren. Akzeptiert und genutzt wird das CYOD-Handy nur, wenn es ungefähr den gleichen Leistungsstandard hat wie das private Smartphone.

Eine Variante von CYOD ist COPE: „Company-Owned, Personally Enabled“. COPE-Handys sind vom Arbeitgeber gestellte Smartphones, die auch privat genutzt werden dürfen. Die Vorteile für die Unternehmen: Beschaffung, Support, Verwaltung und App-Entwicklung sind dank eines relativ einheitlichen Gerätebestands einfacher. Der Vorteil für die Beschäftigten: Sie können ihr Diensthandy auch privat verwenden, sprich: auf ein zusätzliches Privathandy verzichten.

Corona und das BYOD-Comeback

2020 kam es trotz COPE und CYOD aus der Not geboren zu einem Comeback von BYOD: Als Mitarbeiterinnen und Mitarbeiter Corona-bedingt von einem Tag auf den anderen vom Büro ins Homeoffice wechseln mussten, waren ihre Arbeitgeber darauf nicht vorbereitet. Daher nutzten die Angestellten ihre eigenen Smartphones und Laptops – schon um weiter arbeiten zu können. Heute richten spezialisierte Dienstleister wie TA Triumph-Adler solche Digital Workplaces innerhalb weniger Stunden ein, von der Hardware bis zur sicheren VPN-Verbindung. Ein sinnvoller Schritt, denn eine Umfrage des Ponemon-Instituts zeigt, dass mehr als die Hälfte der BYOD favorisierenden Unternehmen mit Datenlecks zu kämpfen hatten, bei einem Drittel wurden dabei sogar vertrauliche Daten gestohlen.

Häufigster Grund dafür: der nachlässige Umgang mit Sicherheitsaspekten durch die Mitarbeiterinnen und Mitarbeiter, die unzureichend informiert oder geschult worden sind. Die Klassiker: leicht zu erratende Passwörter, ungeschützte WLAN-Netzwerke und die Installation von nicht genehmigten Programmen – Letzteres passiert laut Gartner-Studie auf mehr als 30 Prozent der privaten Mobilgeräte, die auch beruflich genutzt werden. 60 Prozent der Beschäftigten leiten laut einer Studie von Iron Mountain berufliche E-Mails auf private Accounts um, wobei ebenfalls Daten in die falschen Hände gelangen können. Was die IT-Administratoren am liebsten gar nicht erfahren sollen, weil sie dann nur wieder rufen: „Viel zu gefährlich, bloß nicht!“ Womit sie zwar recht haben, aber das Problem nicht lösen.

Was also tun, um eine Balance zu finden, die beiden Seiten gerecht wird? Die IT-Fachkräfte müssen einsehen, dass Smartphones der Ausstattungsliga „Sparta“ niemandem nützen – und deshalb auch nicht genutzt werden. Und die Mitarbeiterinnen und Mitarbeiter müssen lernen, verantwortungsbewusst(er) mit ihrem Diensthandy umzugehen, um die IT-Sicherheit nicht aus purer Nachlässigkeit oder Willkür zu torpedieren.

Das könnte Sie auch interessieren:

Alles auf Check: Schwachstellenanalyse

Eine Schwachstellenanalyse überprüft möglichst viele IT-Systeme in kurzer Zeit auf ihre Schwächen. Das anschließende Reporting zeigt Unternehmen, wie sie ihre IT-Sicherheit erhöhen.
IT-Sicherheit_Schwachstellenanalyse

Sind die Daten gelöscht? Oder wirklich gelöscht?

Daten lassen sich leicht wiederherstellen, wenn das Löschen halbherzig angegangen wird. Nur wer die Datenlöschung ernst nimmt, ist gefeit vor Geldstrafen wegen Verstößen gegen die DSGVO.
DSGVO_richtig löschen

Weil nichts wichtiger ist als IT-Sicherheit

Vorbildlich vorangehen, wenn es um Cybersecurity und Datenschutz geht: Warum TA Triumph-Adler sich jetzt nach ISO 27001 hat zertifizieren lassen, um die eigene IT-Sicherheit zu stärken.
IT-Sicherheit_Cybersecurity