23. Juli 2012 - Bring your own Application

BYOA: Mein Gerät, meine App und Dein Risiko

Von vielen Unternehmen übersehen: Mit der betrieblichen Nutzung privater Geräte halten auch private Anwendungen Einzug, die die Mitarbeiter unerlaubt im Unternehmen nutzen (BYOA). Wer also nur das Phänomen „BYOD“ (Bring your own Device) auf Geräteebene geregelt hat, muss nachlegen!

mein-gerat-meine-app-und-dein-risiko.jpeg
Bei der betrieblichen Nutzung privater Geräte sind eigene Apps ein Datenschutzrisiko (Bild: Thinkstock)

BYOD ist längst Realität

Während so manches Unternehmen noch überlegt, ob es die betriebliche Nutzung privater Geräte (BYOD, Bring Your Own Device) erlauben soll und welche Kostenvorteile sich damit erzielen lassen, nutzen bereits die allermeisten Beschäftigten Privatgeräte zur Verarbeitung betrieblicher Daten, holen also zum Beispiel Firmen-Mails mit dem privaten Tablet ab.

Viele Unternehmen sehen dies durchaus positiv:

  • Die Mehrheit der IT-Verantwortlichen (76 %) sieht laut einer Cisco-Studie in der Nutzung von privaten Endgeräten am Arbeitsplatz einen „gewissen“ oder „deutlichen“ Mehrwert für ihr Unternehmen.
  • Abhängig von der Position des Mitarbeiters lassen sich laut Cisco durch die Einführung von BYOD-Initiativen 300 bis 1.300 US-Dollar einsparen.

Doch die Untersuchung von Cisco zeigt noch etwas: Aus BYOD wird zunehmend auch Bring your own Application (BYOA).

Nutzer wollen nicht auf eigene Apps verzichten = BYOA

Wer glaubt, die Kontrolle der eingesetzten privaten Tablets und Smartphones auf Ebene der Hardware und mobilen Betriebssysteme reiche aus, irrt leider. Auf den betrieblich genutzten Privatgeräten sind zahlreiche Apps im Einsatz, kleine Anwendungen, die zum Beispiel für soziale Netzwerke genutzt werden.

Auf diese kleinen Helfer im Unternehmen zu verzichten, kommt für die meisten Beschäftigten nicht in Frage:

  • Laut 69 % der von Cisco Befragten werden nicht freigegebene Anwendungen – insbesondere Social Networks, Cloud-basierte E-Mail-Dienste oder Instant Messaging – heute tendenziell bzw. viel häufiger verwendet als noch vor zwei Jahren.
  • Die Umfrage Fortinet Internet Security Census 2012 ergab, dass zwei Drittel der Beschäftigten an eigenen Anwendungen im Fall der betrieblichen Nutzung von Privatgeräten interessiert sind, 30 Prozent würden auch verbotene eigene Anwendungen nutzen oder machen dies bereits.

Viele Nutzer denken scheinbar: Mein Gerät, meine Apps, aber das Risiko wird mit dem Unternehmen geteilt. „Bring your own Application“ geschieht bislang meist ohne Zustimmung des Arbeitgebers. Mögliche App-Risiken werden deshalb gar nicht berücksichtigt.

Gemeinsames Gerät, geteilte Apps

Von einer Kostenersparnis durch die Nutzung der privaten Apps kann nicht die Rede sein. Bisher sind die meisten Apps kostenlos oder ausgesprochen preiswert. Für das Unternehmen sind die privaten Apps also oftmals kein Mehrwert, sondern ein zusätzliches Risiko. Deshalb sollten die Apps immer in betrieblich und privat getrennt sein, auch wenn das Endgerät für beide Zwecke genutzt wird.

Sensibilisieren Sie für die App-Risiken bei BYOD

BYOA (Bring your own Application) ist also im Gegensatz zu BYOD kein Wunsch der Unternehmen, aber trotzdem bereits vielfach Realität. Ein BYOD-Konzept muss also über die Regelung der erlaubten Privathardware hinausgehen und die App-Welt in die Richtlinien einbeziehen.

Dabei empfehlen Sie am besten die folgenden Schritte:

  • Private Apps und betriebliche Daten müssen ebenso voneinander getrennt werden wie betriebliche Apps und private Daten.
  • Möglich wird dies durch die Vereinbarung mit dem Beschäftigten, auf dem privaten Endgerät ein „virtuelles Smartphone“ zu installieren, das betrieblich genutzt wird.
  • Dazu wird entweder ein zweites Betriebssystem mit eigener virtueller Umgebung auf dem Privatgerät installiert, das der Beschäftigte zu betrieblichen Zwecken nutzen muss.
  • Oder aber das Unternehmen nutzt nur Anwendungen, die in einem „Daten-Container“ arbeiten, also die betrieblichen Daten automatisch in einen separat verschlüsselten Bereich speichern, auf den die privaten Apps keinen Zugriff haben.
  • „Übergriffe“ von privaten Apps zum Beispiel durch „Copy & Paste“ vertraulicher Daten und Einfügen durch den Nutzer müssen entsprechende Sicherheitslösungen unterbinden.
  • Nicht vergessen werden sollte eine Benutzer- und Sicherheitsrichtlinie zu BYOD, die den Zugriff privater Apps auf betriebliche Daten verbietet.
  • Eine gute MDM-Lösung (Mobile Device Management) berücksichtigt auch die Apps und deren Datenzugriffe und ermöglicht so die Kontrolle, ob die Richtlinien auch eingehalten werden.

Download:


In der Checkliste finden Sie die entsprechenden Prüfansätze zur Vervollständigung Ihrer Kontrolle des betrieblichen BYOD-Konzepts. So berücksichtigen Sie auch die App-Risiken!

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln