Bring your own device Kann die IT-Abteilung mobile Endgeräte wirklich im Griff behalten?

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Bring your own device, kurz BYOD, ist derzeit in aller Munde, aber keineswegs ein neuer IT-Trend. Anwender nutzen mit Erlaubnis ihres Arbeitgebers zunehmend eigene Endgeräte wie Smartphones oder Tablet-PCs. Für die IT ist dabei entscheidend, wie man die Geräte im Griff behalten kann – was aus meiner Sicht die falsche Fragestellung ist.

Firmen zum Thema

Wer den Datenzugriff gut absichert, der muss sich um die Endgeräte-Sicherheit weniger Gedanken machen.
Wer den Datenzugriff gut absichert, der muss sich um die Endgeräte-Sicherheit weniger Gedanken machen.
( Archiv: Vogel Business Media )

Eigentlich ist es kein wirklich neues Phänomen, dass Mitarbeiter eigene Geräte für berufliche Zwecke nutzen. Letztlich begann schon mit den ersten Desktop-Rechnern die Entmachtung der zentralen Firmen-IT – auch wenn es dieser später gelungen ist, wieder an Kontrolle zu gewinnen.

In den vergangenen Monaten und Jahren sind aber Smartphones, das iPad und viele andere Geräte hinzugekommen, die oft weder vom Unternehmen bereitgestellt noch kontrolliert und verwaltet werden. Diese Geräte werden aber durchaus genutzt, um beispielsweise die geschäftlichen E-Mails abzurufen oder auch auf Unternehmensanwendungen zuzugreifen.

Inzwischen wird ein solches Verhalten sogar zunehmend akzeptiert. Wie so oft geht der Trend zu BYOD (Bring Your Own Device) von den USA aus, dort auch durch steuerliche Regelungen erleichtert: Unternehmen unterstützen den Kauf privater Endgeräte finanziell und lassen dem Mitarbeiter die Freiheit, das Device seiner Wahl zu nutzen.

Aber auch hierzulande gibt es inzwischen eine beachtliche Vielfalt an Geräten, die produktiv genutzt werden. Die IT-Abteilungen stellen sich vor diesem Hintergrund zunehmend die Frage, wie sie diese Geräte im Griff behalten können. Eine Frage, die auf den ersten Blick vollkommen berechtigt zu sein scheint, die aber schwierig zu beantworten ist.

Einerseits ist es technisch schwierig, die wachsende Zahl unterschiedlicher Geräte in den Griff zu bekommen, gleich ob sie von den Mitarbeitern selbst mitgebracht oder von den Unternehmen bereitgestellt werden. Andererseits gibt es natürlich gerade bei Geräten, die nicht den Unternehmen gehören, funktionelle Einschränkungen beim Device Management. Abgesehen davon gibt es auch technische Hürden wie beispielsweise bei Apps, die man vergleichsweise schwierig steuern und kontrollieren kann.

Seite 2: Die Technik steht nicht im Vordergrund

Die Technik steht nicht im Vordergrund

Das Gute ist aber: Da die Frage falsch gestellt ist, muss man sich auch nicht mit der Lösung dieser Herausforderungen beschäftigen. Letztlich muss man nicht die Geräte schützen, sondern die darüber abrufbaren Informationen. Es geht also, anders formuliert, darum, sich auf das I und nicht das T in „Informationstechnik“ zu konzentrieren.

Das Ziel ist nicht Technik- oder Technologie- sondern Informationssicherheit. Vorrangig geht es darum, die relevanten Informationen und Informationssysteme abzusichern, also beispielsweise E-Mails oder den Zugriff auf bestimmte Dokumente oder Plattformen wie Sharepoint. Die Mittel zum Zweck sind Authentifizierung, Verschlüsselung, virtuelle Anwendungen oder Ausführungsumgebungen und andere Ansätze.

Damit sollte klar sein: Man kann die Geräte nicht im Griff behalten. Es lässt sich allerdings recht gut steuern, welche Informationen von wem in welchen Situationen mit welchen Geräten in welcher Form bearbeitet werden dürfen. Der Kontext spielt bei der Informationssicherheit heute eine wesentliche Rolle; und es gibt immer mehr Technologien, mit denen man immer mehr Kontextinformationen in die Entscheidungen zur Authentifizierung und Autorisierung einbeziehen kann.

Letztlich wird man wohl kaum alle Geräte in den Griff bekommen oder BYOD verhindern können – dies scheitert spätestens an den Führungskräften, die unbedingt wieder ein neues Gerät wollen. Stattdessen sollte man sich darauf konzentrieren, die Informationen zu schützen.

Es lohnt sich nicht, Geld für eine nicht erreichbare Technologiesicherheit auszugeben – sinnvoller ist die Investition in Informationssicherheit. Das bringt auch strategische Vorteile, weil es eben nicht nur um Punktlösungen geht. Die Informationen müssen in allen Nutzungssituationen und nicht nur auf bestimmten Endgeräten geschützt werden.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:2051464)