Bring Your Own Device (BYOD)

Wie funktioniert eine BYOD-Richtlinie?

Eine BYOD-Richtlinie beschreibt, was das Unternehmen als akzeptablen Einsatz der Technologie ansieht, wie sie betrieben wird und wie das Unternehmen vor Cyberbedrohungen wie Ransomware, Hacking und Datenlecks geschützt wird. Es ist wichtig, eine genau definierte BYOD-Richtlinie zu haben und die Risiken und Vorteile von BYOD für das Unternehmen zu verstehen.

Die Richtlinie muss in einem Dokument festgehalten werden, dem die Mitarbeiter zustimmen müssen. Darin wird beschrieben, dass Mitarbeiter, die auf digitale Unternehmensressourcen zugreifen, ihre persönlichen Geräte verwenden können, wenn sie die in der BYOD-Richtlinie festgelegten Anforderungen erfüllen.

Eine BYOD-Richtlinie kann alle oder einige der folgenden Elemente enthalten:

• Was ist eine akzeptable Verwendung persönlicher Geräte für geschäftliche Aktivitäten?
• Welche Mobilgeräte sind für die Verwendung durch die IT zugelassen;
• Welche Software muss auf dem Gerät installiert sein, um das Gerät zu schützen, zum Beispiel MDM- (Mobile Device Management) oder MAM-Tools (Mobile Application Management);
• Sicherheitsrichtlinien wie Passwortanforderungen;
• Verantwortung des Benutzers für das Gerät und dessen Zugriff auf das Netzwerk;
• Kostenerstattungen für Anwender, die selbst bezahlte Daten- und Internetverträge für Geschäftsaktivitäten nutzen;
• Ein klar definierter Prozess für das Entsorgen von Geräten; und
• ein Ausstiegsplan, wenn Mitarbeiter ihre persönlichen Geräte nicht mehr für die Arbeit verwenden möchten.

Warum ist BYOD wichtig?

BYOD bietet sowohl Unternehmen als auch ihren Mitarbeitern einen wichtigen Vorteil. Es schafft einen erheblichen Komfort für die Mitarbeiter, da sie nicht mehr mehrere Geräte mit sich führen müssen. Außerdem können sie den Gerätetyp auswählen, mit dem sie am besten vertraut sind und den sie bequem bedienen können. Für Unternehmen bedeutet BYOD, dass die IT-Abteilung keine zusätzlichen mobilen Geräte mehr für Mitarbeiter kaufen muss. Dieses Setup reduziert die Kosten erheblich und verringert den Aufwand für die Unterstützung dieser Mobilgeräte.

Welche Zugriffsebene bietet BYOD?

Es ist nicht ungewöhnlich, dass BOYD Mitarbeitern den gleichen Zugriff auf Unternehmensressourcen bietet wie bei der Nutzung firmeneigene Geräte. Ausnahmen sind Umgebungen, in denen die Daten sehr sensibel sind und strengen gesetzlichen Anforderungen unterliegen.

In diesem Fall schränkt die IT die Zugriffsebene für Mitarbeiter, die persönliche Geräte verwenden ein. Diese Einschränkungen sind besonders wichtig für Regierungsorganisationen, Finanzinstitute, die mit sensiblen Daten umgehen, oder sogar bei Top-Managern einer Organisation, die das Ziel von Hackern werden können. In diesen Fällen stellen IT-Abteilungen idealerweise reine Unternehmensgeräte bereit, um deren Sicherheit zu gewährleisten.

Was sind die Risiken oder Herausforderungen von BYOD?

Die IT kann ein BYOD-Gerät im Allgemeinen nicht vollständig verwalten, da viele Mitarbeiter nicht möchten, dass die IT auch den persönlichen Gebrauch ihrer Geräte einsehen kann. Dieses Problem erschwert es der IT, sicherzustellen, dass Hacker nicht auf diese Geräte zugreifen und Tools wie Bildschirmrekorder oder Keylogger aufspielen. Mit der Zunahme von BYOD werden persönliche Geräte zu einem beliebten Ziel von Cyberkriminellen.

BYOD versus firmeneigene Richtlinien

Zu den alternativen Modellen zu BYOD gehören Modelle mit rein geschäftlicher (company-owned, business-only, COBO) Nutzung von Geräten oder mit Geräten, die dem Unternehmen gehören, aber in begrenztem Maße privat genutzt werden können (company-owned, personally-enabled COPE). Diese beiden Optionen bedeuten, dass das Unternehmen die Geräte kauft und besitzt und die Mitarbeiter auf relevante Inhalte und Daten im Unternehmensnetzwerk zugreifen können. In diesem Fall kann die IT mehr Steuerelemente wie MDM und Tools zur Erkennung mobiler Bedrohungen implementieren und die Mitarbeier wissen, dass der Arbeitgeber weitreichenden Zugriff auf Informationen zu ihrer Gerätenutzung hat.

Best Practices für BYOD

Um BYOD erfolgreich zu implementieren, muss die IT Folgendes berücksichtigen:

• Haben Sie eine schriftliche Richtlinie für Mitarbeiter.
• Diese muss klare und detailreiche Anleitungen und Regeln enthalten.
• Aktualisieren Sie die Richtlinie, wenn sich die Technologie und die Bedrohungslage ändern.
• Geben Sie an, was für eine akzeptable Verwendung von BYOD-Geräten zulässig ist und was nicht.
• Verwenden Sie Tools wie MAM, um sicherzustellen, dass Unternehmensdaten geschützt sind.
• Verfügen Sie über eine Strategie für das Änderungsmanagement und die Überwachung, um sicherzustellen, dass die Mitarbeiter die Richtlinien einhalten.
• Legen Sie Prozesse fest, für den Fall dass ein Gerät gestohlen wird oder verloren geht.
• Legen Sie Prozesse für Sicherheitsvorfälle fest.
• Schulen Sie Mitarbeiter beim Onboarding, um BYOD-Richtlinien zu vermitteln.
• Verdeutlichen Sie die Konsequenzen, falls ein Mitarbeiter gegen die BYOD-Richtlinien verstößt.

Implementieren einer BYOD-Richtlinie

Für Organisationen, die BYOD zum ersten Mal implementieren, ist es einer der wichtigen Aspekte, klare Verhältnisse zu schaffen und die Mitarbeiter zu schulen. Dies sollte vorzugsweise während des Registrierungsprozesses für das BYOD-Gerät oder während des HR- und IT-Onboarding neuer Mitarbeiter erfolgen.

BYOD hat sich als attraktive Strategie für Unternehmen erwiesen. Es kann den Mitarbeitern mehr Nutzungskomfort und Kosteneinsparungen für das Unternehmen bringen. Einige IT-Mitarbeiter befürchten, dass persönliche Geräte ein erhebliches Sicherheitsrisiko darstellen, und ohne eine weitreichende Kontrolle mobiler Geräte ist ihr Schutzniveau begrenzt. Dies hat einige Unternehmen dazu erwogen, den umgekehrten Weg zu gehen, und von BYOD wieder zu Unternehmensgeräten zu wechseln.