Vor- und Nachteile von Bring Your Own Device (BYOD)

BYOD (Bring Your Own Device, zu Deutsch: Bringe Dein eigenes Gerät mit) ist ein internationaler Trend, der zunehmend auch in deutschen Unternehmen Einzug hält. Das Grundprinzip lautet: Statt firmeneigener Laptops/Notebooks, Tablet-PCs und Smartphones, auch Handhelds genannt, werden private Geräte eingesetzt, mit denen auf Daten, Anwendungen und die IT-Infrastruktur des Unternehmens zugegriffen werden kann. Nicht zuletzt wird BYOD von vielen Unternehmen, namentlich der Fachrichtung Informations- und Telekommunikationstechnologie, als Instrument genutzt, um sich als moderner Arbeitgeber zu präsentieren. Den vordergründigen Vorteilen von BYOD stehen jedoch gravierende, vornehmlich sicherheitsrelevante Nachteile gegenüber.

Topmanagement in der Vorreiterrolle

Die Idee, die Mitarbeitenden mit eigenen Geräten im Unternehmen arbeiten zu lassen, stammt aus den USA. Sie wurde in früheren Zeiten vor allem von Topmanagern beflügelt. Diese sahen es als ihr Privileg, mit eigenen Devices zu arbeiten, anstatt die standardmäßigen Ausführungen der Unternehmen nutzen zu müssen. Aufgrund der drastisch sinkenden Preise sind heutzutage allerdings hochwertige Ausstattungen in vielen betrieblichen Hierarchiestufen die Regel, so dass die Frage nach der Sinnhaftigkeit von BYOD für die Arbeitsebene neu gestellt werden kann.

Ein weiterer Vorreiter von BYOD sind Schulen und Hochschulen. Da eine IT-Vollausstattung aus öffentlichen Haushalten illusorisch ist, wird Lernenden aus pragmatischen Gründen gestattet, eigene Geräte mitzubringen und damit auf den jeweiligen Server zuzugreifen.

Vorteile eigener Geräte

Zweifellos spricht nicht nur in Schulen und Hochschulen eine Reihe von Vorteilen für die BYOD-Handhabung. Für Unternehmen ist als der wichtigste Aspekt der betriebswirtschaftliche, der Kostenvorteil, zu nennen. Vor allem die Anschaffungskosten der Hardware gehen beim BYOD vollständig auf die Arbeitnehmer über. Ebenso bedeutsam ist die technische Seite: Im Regelfall befinden sich private mobile Endgeräte auf einem aktuelleren Stand der Technik als firmeneigene. Der Grund: Privatnutzer können sich schneller und spontaner für innovative Modelle entscheiden als dies aufgrund oft komplexer und bürokratisierter Entscheidungswege in Unternehmen möglich ist. Im Umkehrschluss bedeutet dies, dass Mitarbeiter ohne BYOD oft gezwungen sind, im Unternehmen mit veralteter Technik und Software zu arbeiten, während sie im Privatbereich up to date sind.

Ein weiterer entscheidender Vorteil von BYOD ist, dass Privateigentum erfahrungsgemäß pfleglicher behandelt und sorgsamer upgedatet/optimiert wird, als Gegenstände, die anderen, in diesem Fall dem Unternehmen, gehören. BYOD ist auch geeignet, das „Problem der zwei Geräte“ zu lösen. Da viele Mitarbeiter auch während der Arbeitszeit erreichbar sein wollen, tragen sie oft neben dem Dienst-Smartphone auch das private Pendant mit sich herum. Das wäre bei BYOD nicht mehr nötig – ein unzweifelhafter Komfortgewinn.

Negative Aspekte von BYOD-Lösungen

Gravierend sind aber auch die Nachteile von BYOD-Lösungen. Nach der Devise „Neue Techniken und Verfahren – neue Sicherheitsrisiken“ hat BYOD zu einer Vielzahl von Problemen geführt, die bis heute nicht zufriedenstellend gelöst sind. Die jüngste Studie von PricewaterhouseCoopers, dem CIO-Magazin und dem CSO-Magazin „Defending yesterday: Key findings from The Global State of Information Security ® Survey 2014“, konstatiert, dass es „Unternehmen und Organisationen trotz entsprechender Bemühungen nicht gelungen“ sei, „die stark steigende Zahl mobiler Geräte mit einer adäquaten Security-Policy zu begleiten“. Und das in einer Ära zunehmender Sicherheitsvorfälle, die laut der genannten Studie „in den vergangenen 12 Monaten um 25 Prozent gestiegen“ sind. Für die Umfrage wurden 9.600 Unternehmens-, Security- und IT-Führungskräfte aus 115 Ländern befragt.

Probleme der Abgrenzung privat – betrieblich

Die Abgrenzung von privater zu betrieblicher Nutzung ist eine der schwierigsten BYOD-Fragen. Denn der betriebliche Umgang mit Geräten, die sich die Mitarbeiter selbst gekauft haben, muss in einer unabdingbaren Security-Policy geregelt werden. Problematisch ist dabei, dass auf den meisten privaten mobilen Endgeräten Apps installiert sind, die einen sehr weitgehenden Zugriff Dritter auf die gespeicherten Daten ermöglichen.

Da beim BYOD zwangsläufig geschäftliche und private Nutzung permanent vermischt werden, ist es schon aus Gründen des Datenschutzes unzulässig, dass der betriebliche IT-Bereich BYOD-Geräte in einer Weise administriert als wären diese Unternehmenseigentum. Private Eigentums- und Persönlichkeitsrechte konkurrieren somit dauerhaft mit den Rechten des Unternehmens und stellen eine problematische juristische Bruchlinie dar.

Grundfragen der Datensicherheit

Punkt Nr. 2 ist die Daten- und Informationssicherheit. Privat installierte Sicherheitstools reichen häufig für vertrauliche Firmendaten bei weitem nicht aus. Die Installation von additiven Programmen, die vom Unternehmen vorgegeben werden, ist mit erheblichem Kontrollaufwand verbunden. Die Eigentümer könnten versucht sein, nach Feierabend ihr mobiles Endgerät als allein unter ihrer Verfügungsgewalt stehend und nicht in der BYOD-Doppelfunktion zu betrachten. Bei privaten Handhelds kann auch niemals ausgeschlossen werden, dass Personen aus dem sozialen Umfeld darauf zugreifen, selbst wenn noch so explizit etwas anderes vereinbart wurde.

Zudem stellt sich die Frage, was mit den Daten passiert, wenn ein Mitarbeiter ausscheidet. Auf der SIM-Karte eines Smartphones gespeicherte Daten können zum Teil gar nicht zuverlässig gelöscht werden und sind mit einfachen Mitteln wiederherstellbar. Und wie steht es mit der Datensicherheit in Urlaubsländern, in die ein privates Handheld im Gegensatz zu Dienstgeräten mitgenommen wird?

Praxishinweise

BYOD ist nur dann als Lösung vertretbar, wenn sie mit einer Vielzahl miteinander eng verzahnter Maßnahmen einhergeht. IT-Sicherheit, die schon schwierig genug herzustellen ist, reicht keinesfalls aus. Es bedarf flankierender organisatorischer, technischer und rechtlicher Maßnahmen.
Eine rechtliche Grauzone tut sich beispielsweise dadurch auf, dass die BYOD-Nutzer eventuell ausschließlich für den Privatgebrauch lizenzierte Software gewerblich nutzen oder ein privater Gebrauch von Firmensoftware in den einschlägigen Lizenzbedingungen nicht vorgesehen ist.
Allein mit der rechtssicheren Ausgestaltung von BYOD und dessen unumgänglicher Kontrolle ist ein erheblicher betrieblicher Mehraufwand verbunden, der es fraglich erscheinen lässt, ob im Ergebnis tatsächlich eine Kostenersparnis erreicht werden kann.