Perspektive BYOD Private Hardware in Unternehmen

Transkript

1 Perspektive BYOD Private Hardware in Unternehmen

2

3 Inhaltsverzeichnis 1 Perspektive BYOD 1 Private Hardware in Unternehmen 2 Inhaltsverzeichnis 3 Megatrend BYOD? 5 Herausforderung BYOD-Management 8 BYOD in vier Schritten 13 BYOD à la carte 14 Bottom Line und Ausblick: Chancen nutzen, Risiken managen 2

4 Megatrend BYOD? Immer mehr Arbeitnehmer rund um den Globus nutzen inzwischen ihre privaten Endgeräte wie Smartphone, Tablet oder PC auch für berufliche Zwecke. Diese Entwicklung ist in den vergangenen Monaten unter dem Namen Bring Your Own Device (BYOD) zu einem der meistdiskutierten Branchentrends geworden. Namhafte Unternehmen haben zwischenzeitlich BYOD-Programme implementiert, wobei sich die Verbreitung von Bring Your Own Device regional unterscheidet häufig hervorgerufen durch kulturelle, regulatorische und rechtliche Unterschiede. Bring Your Own Device (BYOD) bezeichnet die Verwendung privater, selbst ausgewählter Endgeräte zum Zugriff auf Unternehmensdaten, Unternehmensanwendungen und Unternehmensinfrastrukturen. BYOD bezieht sich typischerweise auf Smartphones und Tablets, kann aber auch PCs und Laptops umfassen. Dabei kann dem Mitarbeiter optional ein Budget zur Anschaffung der Geräte zur Verfügung gestellt werden. Motor USA, Ursprung Asien In den USA ist die Verwendung privater Endgeräte im beruflichen Umfeld inzwischen gängig und wird häufig sogar von den betroffenen Unternehmen gefördert. Umfragen zeigen, dass inzwischen 95% der Unternehmen in den Vereinigten Staaten ihren Mitarbeitern die Verwendung privater Devices erlauben. 84% der Firmen stellen sogar einen begrenzten IT-Support für die verwendeten privaten Geräte zur Verfügung. 1 BYOD ist in den USA von einer ausgesprochenen Dynamik geprägt, und oft sind es Beispiele amerikanischer Unternehmen, wenn von Erfolgsgeschichten oder Negativbeispielen die Rede ist. Seinen Ursprung nahm Bring Your Own Device jedoch zuvor in den extrem technikaffinen Gesellschaften des asiatisch-pazifischen Raumes, wo leistungsfähige Netzinfrastrukturen, die hohe Bedeutung mobiler Kommunikation sowie ein starkes Commitment zum Job Treiber der Entwicklung sind. Gerade in Südkorea, Singapur und Taiwan gehört BYOD inzwischen zum Alltag. Deutschland mit gebremster Euphorie Auch in Deutschland konnte Bring Your Own Device zwischenzeitlich an Fahrt aufnehmen. Der BYOD-Trend hat Unternehmen hierzulande bislang jedoch in einem deutlich geringeren Ausmaß erfasst. Verglichen mit den USA kommen nur etwa halb so viele private Smartphones und Tablets für berufliche Zwecke zum Einsatz. 2 Strengere IT-Richtlinien sowie die Skepsis vieler IT-Verantwortlicher bremsen bislang eine ähnlich rasante Entwicklung wie in den USA. Der Anteil jener Unternehmen, die den Einsatz privater Endgeräte für Unternehmenszwecke grundsätzlich verbieten, ist in Deutschland überdurchschnittlich hoch. Auf der anderen Seite ignorieren 30% der deutschen Arbeitnehmer unter 30 Jahren diese BYOD-Verbote. Und 55% der Mitarbeiter unter 30 sehen es als ihr Recht an, private Endgeräte auch im Beruf zu verwenden. 3 Vor diesem Hintergrund könnte Bring Your Own Device insbesondere unter jüngeren Mitarbeitern eine eigene Dynamik bekommen, die Unternehmen unmittelbar zum Handeln zwingt. Consumerization und Apple als Treiber Consumer-Endgeräte unterscheiden sich heutzutage in ihrer Leistungsfähigkeit kaum noch von Business-Hardware. Bei Design und Bedienlogik treffen sie dagegen deutlich häufiger den Geschmack der Mitarbeiter. Dieser Trend zur Consumerization lässt die Unternehmens- Hardware aus Sicht der Nutzer oft unattraktiv erscheinen. Mitarbeiter wollen ihre gewohnten Geräte und Nutzungsgewohnheiten aus dem Privatgebrauch ins berufliche Umfeld übertragen. Consumerization of IT bezeichnet den zunehmenden Einfluss von Consumer-Technologien auf die Erwartungen an Informationstechnik im Business- Umfeld. Überhaupt kann die Ausstattung von Mitarbeitern mit unternehmenseigener Hardware kaum mit der Geschwindigkeit neuer technologischer Entwicklungen Schritt halten. Neue, innovative Gerätekategorien, aber auch der Wunsch nach einem mobileren Arbeiten erfordern zunehmend kürzere Replacement-Zyklen. In der Realität verwenden technikaffine Mitarbeiter ihre privaten Tablets, Smartphones oder Ultrabooks immer häufiger im beruflichen Alltag. 1 Quelle: Cisco IBSG Horizons Study. 2 Quelle: Cisco IBSC Horizons Study. 3 Quelle: Fortinet, unter: 3

5 Ein weiterer BYOD-Treiber (s. Abb. 1) ist die Bindung der Nutzer an einen bestimmten Hardware-Anbieter, und hier insbesondere die nachhaltige Popularität von Apple. Derzeit sind deutlich über die Hälfte aller in Deutschland für Bring Your Own Device eingesetzten Geräte Apple- Produkte, insbesondere iphones und ipads 4. Die Wuppertaler Unternehmensgruppe Vorwerk hat sich diese Entwicklung zu Nutze gemacht und ihre BYOD-Initiative auf die Verwendung von Apple-Geräten beschränkt. Damit kommt man dem Wunsch der Mitarbeiter nach attraktiven Geräten mit always-on -Funktionalitäten entgegen und kann gleichzeitig Risiken und eine ausufernde Diversifizierung der Gerätelandschaft managen. Abb. 1 Treiber für BYOD in Deutschland Consumerization Mobility-Trend BYOD-Treiber Markenaffiniät Neue Gerätekategorien Informationssicherheit wesentliches Risiko Bring Your Own Device stellt CIOs vor neue Herausforderungen, insbesondere in den Bereichen Informationssicherheit und Compliance. Hierbei steht die Sicherheit sensibler Informationen wie s, Kundendaten oder Netzwerk-Passwörter im Vordergrund. Denn Mitarbeiter verwenden bei BYOD häufig ungesicherte Hardware, welche keinem zentralen IT-Management unterliegt, und greifen damit auf Unternehmensinfrastrukturen zu. Viele Sicherheitsmaßnahmen greifen dabei nicht oder sind schwer umsetzbar, wenn die Devices nicht zentral gemanagt werden. Organisationen, die nicht auf die steigende Nutzung privater Hardware in Firmennetzen vorbereitet sind, sehen sich schon heute mit massiven Sicherheitsproblemen konfrontiert und werden absehbar neue Herausforderungen im Network-Management erleben. Beträchtliche Chancen Andererseits birgt Bring Your Own Device auch Chancen für jene Unternehmen, die sich den vorhandenen Herausforderungen von BYOD stellen. So ermöglicht Bring Your Own Device beispielsweise den mobilen Zugriff auf unternehmensinterne Informationen und Anwendungen, unabhängig von Ort, Zeit und Gerätetyp. Arbeitsprozesse werden flexibler und effizienter und reflektieren gleichzeitig den Wunsch vieler Mitarbeiter nach Mobilität. Die Verwendung eigener Geräte fördert die Motivation und steigert die Kreativität der Nutzer. BYOD wirkt positiv auf die Bindung der Angestellten an das Unternehmen und kann sogar als Recruiting-Instrument eingesetzt werden. Mit intelligent umgesetzten BYOD-Tools, Lösungen und Prozessen können Unternehmen gleichzeitig ihre interne Technologielandschaft weiterentwickeln sowie effektivere und effizientere IT-Services umsetzen. Möglich sind hier: Verbesserung des End-User-Service durch Selbsthilfelösungen oder Real Time- oder On-Demand Support Einführung geräteunabhängiger Sicherheitspolicies und -prozesse, mit einfacheren, zentral steuerbaren Security-Kompetenzen Aufbau dynamischer IT-Prozesse, die sich schnell den ständig wandelnden Geschäftsbedürfnissen anpassen (beispielsweise das effiziente Hinzufügen neuer User nach einem Merger oder einer Akquisition) Entwicklung einer End-User-Produktivitätsplattform, die umfassende Mobilität und ubiquitären Zugriff ermöglicht Einiges spricht derzeit dafür, dass sich BYOD zu einem dauerhaften Phänomen entwickelt. Der Consumerization-Trend und der Wunsch der Mitarbeiter nach individuellen Geräten sind nachhaltige Treiber. Unternehmen müssen daher entscheiden, wie sie grundsätzlich mit BYOD umgehen, wie sie Risiken minimieren und wie sie einen echten Mehrwert für das gesamte Unternehmen schaffen können. 4 Quelle: Avanade-Studie Dispelling Six Myths of Consumerization of IT. 4

6 Herausforderung BYOD-Management Obwohl scheinbar in erster Linie ein Thema für IT-Abteilungen, so hat BYOD Auswirkungen auch auf andere Unternehmensbereiche: Diese reichen von HR-Themen über rechtliche und steuerliche Gesichtspunkte bis hin zu Aspekten wie Compliance oder Security. Übergreifend lassen sich die Herausforderungen, mit denen Organisationen im Zusammenhang mit BYOD konfrontiert werden, in vier wesentliche Bereiche untergliedern: Governance BYOD ruft regelmäßig Bedenken hinsichtlich Datenschutz und Informationssicherheit hervor. Unternehmen müssen daher die richtigen Richtlinien und Prozesse implementieren, um sich und ihre Angestellten vor potenziellen Rechts- und Haftungsrisiken zu schützen. Bei der Umsetzung von BYOD-Governance-Prozessen müssen Unternehmen: Klar definierte BYOD-Policies entwickeln eine Aufgabe, die von den BYOD- Early Adopters häufig vernachlässigt wurde Richtlinien so ausgestalten, dass eine Balance zwischen Anwenderflexibilität und Sicherheit gewährleistet ist Umgesetzte Richtlinien permanent überwachen und nachdrücklich durchsetzen; künftig ist hier durch weiterentwickelte Tools, beispielsweise im Bereich Mobile Device Management, eine Vereinfachung zu erwarten Rechtliche Aspekte bei der Implementierung berücksichtigen, da diese die Gestaltung von BYOD-Richtlinien stark bestimmen Die Auswirkungen von BYOD auf bereits existierende Policies im Auge behalten, um potenziellen Widersprüchen und Unklarheiten vorzubeugen, beispielsweise im Umgang mit verlorenen oder gestohlenen Geräten, angemessener Nutzung oder Service Level Agreements im Bereich Support Organisation BYOD bewirkt Veränderungen innerhalb der Unternehmenskultur. Treibende Kraft dabei sind zunächst die Mitarbeiter. Unternehmen müssen auf die Wünsche ihrer Angestellten eingehen, damit diese die neue BYOD- Strategie tatsächlich annehmen und mit Leben füllen. Gleichzeitig müssen klare Regeln definiert und umgesetzt werden. Dazu ist es notwendig, dass Unternehmen: Eine Balance zwischen dem Wunsch der Mitarbeiter nach Flexibilität und den Sicherheitsanforderungen der Organisation schaffen Sich mit den Auswirkungen von BYOD auf die Unternehmenskultur befassen, einschließlich HR- und Überstundenregelungen, Anforderungen des Managements an Präsenzzeiten vs. Wunsch der Mitarbeiter nach Home-Office-Arbeit, Regelungen zu differenzierten Hardware-Wahlmöglichkeiten nach Hierarchieebene Anreize setzen, um BYOD unter den Mitarbeitern zu fördern Das BYOD-Programm durch angemessene Trainingsund Kommunikationsmaßnahmen vorantreiben Viele Unternehmen finden keine optimale Balance aus Flexibilität und Sicherheit. 5

7 Kostenaspekte Nicht wenige Unternehmen betrachten BYOD in erster Linie als eine Möglichkeit zur Kostenreduktion. Erste Erfahrungen sprechen jedoch eine andere Sprache. So werden Anschaffungskosten für Endgeräte oft als wesentliches Einsparpotenzial betrachtet, machen aber tatsächlich nur etwa 20% der Gesamtbetriebskosten über die Lebensdauer der Hardware aus. Den potenziellen Einsparungen stehen Kosten gegenüber, die verursacht werden durch: Verbesserte Lösungen im Bereich IT-Security Mitarbeiterschulungen zum Umgang mit Multi-Device- Plattformen Veränderte Spesenregelungen, steuerliche und regulatorische Neuregelungen Steigende Kosten für (mobile) Datenübertragung durch fehlende Kontrolle der Datennutzung Oft langwierige und teure Projekte zur Umsetzung neuer Richtlinien und Prozesse Neue Plattformen zur Virtualisierung von Anwendungen, zur Öffnung von Firmennetzwerken und zur Implementierung neuer Management-Tools. Falsche Erwartungen an Einsparpotenziale durch BYOD sind verbreitet. Abbildung 2 zeigt typische Kosten und Einsparpotenziale im Zusammenhang mit Bring Your Own Device und verdeutlicht, dass BYOD in der Praxis in der Regel kostenneutral umgesetzt werden kann. Abb. 2 Typische BYOD-Kosten und -Einsparpotenziale Hardware Software Infrastruktur und Upgrade von Anwendungen IT Support Sonstiges Alternativkosten Gerätezuschüsse, Abschluss zusätzlicher Geräteversicherungen Betriebssystem, Lizenzkosten für Antivirus-Programme Security-Tools, Mobile Device Management, Upgrade auf Cloud-basierte/Browser-basierte/plattformunabhängige Applikationen Veränderte Prozesse zur Unterstützung multipler Geräte und Plattformen, Durchführung von Mitarbeiter-Trainings Kosten für Datennutzung, steuerliche Neuregelungen und veränderte Spesenordnung, Verlust von Mengenrabatten bei Gerätekäufen, Software- Lizenzen und Access-Kosten Einsparpotenziale Kauf von Hardware Kostenbeteiligung der Mitarbeiter an Datennutzung Reduktion der Kosten für Gerätesupport, Förderung von Self-Support vs. traditioneller Service-Deskbasierter Support Sinkende Kosten für Hardware-Austausch und -Aktualisierung 6

8 Technologie Jeder einzelne Mitarbeiter kann mit seiner privaten Hardware erhebliche Schäden an IT-Infrastrukturen seines Arbeitgebers verursachen. Unternehmen, die dieser Entwicklung zu sorglos begegnen, müssen mit weitreichenden Konsequenzen rechnen. Um die positiven Effekte von BYOD dennoch ausschöpfen zu können, müssen IT-Verantwortliche Flexibilität und Risiken intelligent gewichten. Die Anforderungen an IT-Teams im Zusammenhang mit Bring Your Own Device sind erheblich (s. Abb. 3). Diese müssen: Mehrere Endgeräte-Plattformen managen und in die IT-Infrastruktur integrieren Eine Multi-Device-Umgebung bereitstellen, aktivieren und unterstützen Die Sicherheit von Datennetzwerken gewährleisten, indem sie in die richtigen Werkzeuge investieren und, falls notwendig, bestehende Netzwerkarchitekturen anpassen Gezielt in solche Anwendungen und Infrastrukturen investieren, welche die Geschäftsziele ergänzen und die Möglichkeiten von BYOD unterstützen (z.b. Virtualisierung von Netzwerken, Cloud-Dienste) Bestimmen, wie der Zugriff auf Unternehmensressourcen, Daten und Anwendungen ermöglicht werden soll (z.b. durch Virtualisierung und mobile Apps) Übergreifende Enterprise-Mobility-Programme gestalten, die nicht nur technologische Gesichtspunkte berücksichtigen, sondern auch operative Aspekte unterstützen. Abb. 3 Wesentliche Anforderungen an das Management privater Endgeräte Security Data Device Management Anwendungen Privates Endgerät Support Netzwerk (öffentlich/ privat) Versioning (OS & Apps) Virtualisierung 7

9 BYOD in vier Schritten Immer mehr Organisationen sehen sich mit den diversen zuvor dargestellten Herausforderungen konfrontiert, die aus der zunehmenden Verwendung privater Endgeräte in Unternehmensnetzen resultieren. Und auch immer mehr Firmen versuchen, diese Entwicklung mit geeigneten Maßnahmen zu steuern. Ein strukturiertes Vorgehen war dabei bislang selten zu beobachten. Viele Ansätze waren in der Vergangenheit sogar eher kontraproduktiv. Wenn sie die Herausforderung Bring Your Own Device unmittelbar und nachhaltig managen wollen, müssen Unternehmen einen systematischen Weg beschreiten. Ein wirkungsvoller Ansatz zum Management von BYOD, der alle wesentlichen Herausforderungen berücksichtigt, kann in vier Schritten entwickelt werden (s. Abb. 4). Abb. 4 BYOD-Management-Ansatz 1 Zielfestlegung 2 Risikoevaluierung 3 Richtliniendefinition 4 Operationalisierung und Implementierung Evaluierung des Status quo Anpassung der BYOD-Ziele an übergeordnete Unternehmensstrategie (z.b. Mobility- Programm, Schaffung Heimarbeitsplätze) Entscheidung bezüglich Kostenreduzierung vs. Produktivitätssteigerung vs. Risikominimierung Identifizierung interner und externer Risiken, die den Erfolg der BYOD-Initiative beeinflussen Bewertung rechtlicher Rahmenbedingungen Abwägen relevanter Unternehmensrisiken und Potenziale Berücksichtigung der wesentlichen Kriterien: Eignung, Support, Rückerstattungen etc. Formulierung klarer Richtlinien Sicherstellung unternehmensweiter Akzeptanz Identifizierung, Evaluierung und Implementierung von Anbieterlösungen basierend auf definierten Zielen und Richtlinien (z.b. Schutz gegen Datenverlust, Device Management, Sicherheit) Zertifizierung von Geräten als Bedingung für Vergabe von Zugriffsrechten 8

10 Schritt 1: Zielfestlegung Vor allen anderen Aktivitäten müssen Unternehmen zunächst eine fundamentale Frage beantworten: Warum soll BYOD überhaupt implementiert werden? Regelmäßig haben Unternehmen zu hohe Ansprüche an ihre Bring-Your-Own-Device-Initiativen und verfolgen drei oft widersprüchliche Ziele: Kostenreduzierung, Risikominimierung und Produktivitätssteigerung (s. Abb. 5). Während jedes dieser Ziele für sich betrachtet durchaus sinnvoll ist, erfordert eine erfolgreiche BYOD-Initiative jedoch Kompromisse. So ist es kaum möglich, weitreichende Sicherheitsmaßnahmen einzuführen und den Nutzern gleichzeitig umfassende Flexibilität und Wahlmöglichkeiten zuzugestehen. Ebenso werden zu hohe Sicherheitsstandards eine angestrebte Produktivitätssteigerung beeinträchtigen. Wollen Unternehmen alle drei Ziele gleichzeitig verfolgen, so werden sie in der Regel mit ihren Bemühungen scheitern. Um klare BYOD-Ziele zu definieren, müssen Unternehmen zunächst Informationen bezüglich Geschäftsstrategien, -zielen und -planungen sammeln. Sollte beispielsweise eine Vergrößerung des Außendienstes Teil der Geschäftsstrategie sein, so sollte dies zu einer Schwerpunktsetzung auf Produktivität bei der BYOD-Zieldefinition führen. Auch die gegebene Ausgangssituation muss berücksichtigt werden, wobei Mitarbeiter, Prozesse und Technologien Teil der Betrachtung sein sollten (s. Abb. 6). Unternehmen müssen Geschäfts- und Technologieziele definieren und das tatsächliche Interesse der Mitarbeiter an BYOD ermitteln. Darüber hinaus sollten eine Bestandsaufnahme zu betrieblich bereitgestellten Endgeräten erfolgen sowie bestehende Sicherheitsrichtlinien und -prozesse bewertet werden. Abb. 5 Trade-off-Entscheidungen bei BYOD-Zieldefinition Kostenreduzierung Die BYOD-Zieldefinition erfordert einen Kompromiss zwischen an sich im Widerspruch stehenden Intentionen Kostenreduzierung, Risikominimierung und Produktivitätssteigerung BYOD-Initiativen, die auf alle drei Ziele abstellen, werden nicht von Erfolg gekrönt sein. Beispielsweise Policy-Definition, Governance und Prozessverbesserungen werden durch unklar definierte Entscheidungskriterien behindert Produktivitätssteigerung Risikominimierung Abb. 6 Berücksichtigung des Status quo Aspekte Wesentliche Fragestellungen Mitarbeiter Interesse an BYOD Wie viele Mitarbeiter sind an BYOD interessiert? Wie viele Mitarbeiter nutzen bereits private Endgeräte für berufliche Zwecke? Erwartungen Berechtigungen/Ansprüche Was erwarten Mitarbeiter von BYOD? (z.b. Geräteauswahl, Höhe der Kostenerstattung etc.) Wer hat momentan Anspruch auf firmeneigene Geräte und warum? Kann die Anzahl firmeneigener Geräte verringert werden? Wie hoch sind die Kosten? (Hardware, Software, Service etc.) Prozesse Device-Management Welche Prozesse sind zur Geräteverwaltung bereits etabliert? (z.b. Backup & Recovery, App-Management, Software-Management) Wie wird momentan mit verlorenen oder gestohlenen Geräten umgegangen? (z.b. sperren und löschen der Daten des Gerätes per Fernzugriff etc.) Technologie Sicherheit Wie sehen aktuelle Sicherheitsrichtlinien und -prozesse aus? (zentrales Management, Verschlüsselung und Backup von lokalen Daten) In welchem Umfang behindern bestehende Security-Prozesse BYOD? Tools Welche Tools und Lösungen werden bereits für das Device-Management genutzt? Welche Kosten entstehen? (Hardware, Software, Support) 9

11 Durch die frühzeitige Bewertung der Risiken können Unternehmen Problembereiche identifizieren und vorab geeignete Gegenmaßnahmen treffen. Schritt 2: Risikoevaluierung Bring Your Own Device bietet häufig einen neuen Blickwinkel auf Risiken, denen sich Unternehmen ohnehin bereits ausgesetzt sehen beispielsweise den möglichen Verlust sensibler Daten auf mobilen Endgeräten. BYOD birgt zudem neue Risiken wie Haftungsfragen oder die Gefahr einer Verletzung der Privatsphäre von Angestellten. Werden diese Risiken vorab evaluiert, so können Problembereiche frühzeitig identifiziert und geeignete Strategien zur Risikominderung erarbeitet werden (s. Abb. 7). Die Bewertung von Risiken verlangt die Einbeziehung von Stakeholdern sowohl aus dem operativen wie auch aus dem IT-Bereich. Risiken sollten nach Wahrscheinlichkeit ihres Eintritts und möglichen Folgen bewertet werden. So können geeignete Antwortstrategien in Übereinstimmung mit operativen und technologischen Interessen entwickelt werden. Die vorab festgelegten BYOD-Ziele in Verbindung mit der Status-quo-Analyse sind dabei wesentliche Beiträge zur Risikobewertung. Effektives Risikomanagement erfolgskritisch Die Bewertung der BYOD-Risiken erlaubt ein frühzeitiges Festlegen adäquater Response-Strategien. In Kombination mit den bereits definierten Zielen können so an dieser Stelle die wesentlichen Parameter für künftige BYOD-Diskussionen bestimmt werden. So erfordert beispielsweise eine effektive Governance eine klare Richtliniendefinition, die mit den Interessen des Gesamtunternehmens in Einklang steht. Die Risikobewertung gewährleistet, dass diese Unternehmensinteressen vorab definiert werden unter Beteiligung aller Stakeholder, was die Festlegung von Policies und deren Umsetzung deutlich erleichtert. Abb. 7 BYOD Implementierungsrisiken Intern Extern Risiko Mitarbeiter von beschränkter Auswahl unterstützter Geräte enttäuscht Haftungsrisiken aus Gerätenutzung für Unternehmen Ineffiziente Supportprozesse und zusätzliche Kosten durch Gerätevielfalt Sicherheitsrisiken durch sorglose Gerätenutzung durch Mitarbeiter Wettbewerbsnachteile durch unangemessene BYOD-Initiative Rechtliche Risiken durch Datenschutzverletzungen etc. Reputationsverluste durch falsche Handhabung persönlicher Daten Mitarbeiterrechte durch BYOD-Regelungen verletzt Komplexes Device-Management durch Gerätevielfalt Beschreibung Mitarbeiter bevorzugen Flexibilität und minimale Beschränkungen bei der Gerätenutzung. Bei Beschädigung oder Verlust von Hardware kann Mitarbeitern ein vollständiger Ersatz durch den Arbeitgeber zustehen. Endgeräte sind für Endkunden konzipiert und mit beschränkten Out of the box -Sicherheitsfeatures und verschiedenen Betriebssystemen ausgestattet. Daher steigt die Komplexität des Device Managements für IT-Abteilungen. Nutzung z.b. von App-Stores und Cloud-Angeboten durch Mitarbeiter unterlaufen Sicherheitsanforderungen. Zu restriktive Regelungen bzgl. Nutzung von Geräten, Plattformen und Anwendungen führen zu Produktivitätsverlusten. Nachlässiger Umgang mit sensiblen Daten kann zu rechtlichen Konsequenzen führen. Verletzung der Privatsphäre von Mitarbeitern kann öffentlich werden und ggf. die Reputation oder Marke angreifen. Durch BYOD können Mitarbeiter ggf. außerhalb der Arbeitszeit kontaktiert werden, mit Folgen für bestehende Arbeitszeitregelungen. Die Vielzahl von Geräten und Plattformen verhindert einfaches Device-Management. Mögliche Folgen sind unvorhergesehene Kosten und offensichtliche Sicherheitsrisiken. 10

12 Schritt 3: Definition von Richtlinien Sobald Ziele klar definiert und Risiken bewertet sind, können Unternehmen eine Policy zur Steuerung eines BYOD-Initiative formulieren. Typische Bestandteile sind Regelungen zu Device-Management, IT-Support, Kostenerstattung und Gerätezuschüssen. Abbildung 8 zeigt die wichtigsten Elemente einer BYOD-Policy und damit verbundene wesentliche Fragestellungen. Bei der Gestaltung von BYOD-Richtlinien müssen alle Unternehmensbereiche zusammenarbeiten. Ein effektives Gestalten einer BYOD-Policy erfordert die umfassende Einbeziehung der unterschiedlichen Funktionen, wie IT, Personal, Finanzen und Recht. Die Zusammenarbeit wird dann besonders wichtig, wenn eine Organisation die Auswirkungen der BYOD-Policy-Entscheidungen mit bestehenden Regelungen abgleicht. Dies kann dazu führen, dass möglicherweise sogar vorhandene Risikomanagement-Strategien überarbeitet werden. Besonders entscheidend ist die Abstimmung zwischen den verschiedenen Technologie-Bereichen. Eine fehlende Kooperation von IT-Betrieb, Security und Applikationsmanagement führt potenziell zu verwirrenden und widersprüchlichen Regelungen, die zu Frustration auf Seiten der Nutzer und schlussendlich unzulässiger Nutzung führen können. Eine umfassende Policy-Diskussion sollte daher das Resultat des Zusammenwirkens von Ansprechpartnern aus allen relevanten Unternehmensbereichen sein. Abb. 8 Typische Elemente einer BYOD-Policy Element Aktivierung Device-Management Verlorene/gestohlene Geräte Support Zulässige Nutzung Kostenerstattung Schutz der Privatsphäre Policy-Verletzungen Berechtigungen Wesentliche Fragestellungen Wie wird der Prozess zur Freigabe von neuen Endgeräten für Mitarbeiter gestaltet? Wie wird Hardware fernverwaltet? In welchem Umfang ist eine zentralisierte Kontrolle gewünscht? Werden Endgeräte angepasst (z.b. Containerization, siehe nächste Seite)? Wie werden Geräte gesperrt, gelöscht oder wiederhergestellt? Was passiert im Fall von Geräteverlust, Diebstahl oder Beschädigung? Ist ein Prozess definiert? Sollen Mitarbeiter in diesem Fall Support erhalten? Wird das Gerät ferngelöscht? In welcher Art und in welchem Umfang können Mitarbeiter Support vom Unternehmen in Anspruch nehmen? Welche Geräte, Plattformen, Anwendungen, Dienste und Zubehör sind unter der BYOD-Initiative erlaubt? Wer übernimmt Gerätekosten? In welchem Umfang sind Zuschüsse möglich? Werden diese einheitlich allen berechtigten Nutzer gewährt? Werden Zuschüsse regelmäßig gezahlt (z.b. alle zwei Jahre)? Was wird erstattet (Geräte, Kommunikationsdienste etc.)? Wie wird die Privatsphäre des Mitarbeiters geschützt? Hat der IT-Support Zugang zu persönlichen Daten? Wie wird mit Policy-Verstößen umgegangen? Stehen BYOD-Policies im Widerspruch oder Konflikt zu anderen Regelungen (HR-Policies, Überstundenregelungen)? Wer ist berechtigt zur Teilnahme an der BYOD-Initiative? Welche Funktionen, Job-Level etc. dürfen teilnehmen und in welcher Art und Weise (z.b. abgestufte BYOD-Ansätze)? 11

13 Schritt 4: Operationalisierung und Implementierung Sobald Ziele definiert, Risiken bewertet und Richtlinien formuliert sind, kann die Bring-Your-Own-Device-Initiative unmittelbar implementiert werden. Die Operationalisierung und Implementierung von BYOD umfasst dabei die Einführung neuer technologischer Ressourcen, wie etwa Backup- und Recovery-Lösungen, Fernsperrung und -löschung von Endgeräten sowie Applikationssupport und -management. Egal ob entsprechende Prozesse bereits existieren oder neue notwendig sind: Immer ist die IT-Abteilung der Dreh- und Angelpunkt, wenn es darum geht, BYOD-Entscheidungen in klar definierte Programme umzusetzen. Unterschiedliche Werkzeuge können dabei die unternehmensspezifischen Mobility-Anforderungen unterstützen: Neben eigens angepassten, individuellen Lösungen sind bereits Produkt-Suiten auf dem Markt, die Unternehmen ein mobiles End-to-End-Gerätemanagement ermöglichen. Um in dem umfangreichen Angebot den Überblick zu behalten und die richtige Auswahlentscheidung zu treffen, müssen IT-Verantwortliche ihre BYOD-Ziele, die Strategien zur Risikosteuerung sowie ihre Policy-Definitionen als Orientierungspunkte nutzen. Unterschiedliche Auswahloptionen stehen zur Verfügung: 1. Intelligenter Netzwerkzugang Netzwerkzugangskontrollen (Network Access Controls, NAC) sind zu einer häufig genutzten und effektiven Lösung geworden, um die Risiken des Einsatzes privater Hardware in Unternehmensinfrastrukturen zu managen. Damit können Unternehmen steuern, welche Geräte auf welche Bereiche des internen Netzwerkes zugreifen können. Beispielsweise können Mitarbeiter nach einem einfachen Login zwar das Netzwerk nutzen, Konfigurationen und Wartungsarbeiten dagegen erfordern zusätzliche Authentifizierungsmethoden. Weitere Eigenschaften von Netzwerkzugangskontrollen umfassen die Verschlüsselung von s, mobile VPN und verschlüsselte Datenverbindungen für spezifische Anwendungen. 2. Containerization Bei der Verwaltung der Hardware von Mitarbeitern konzentrieren sich die meisten Unternehmen vornehmlich auf die lokal auf Mobilgeräten abgelegten Daten. Zu deren Management werden Geräte- sowie File-, Folderund Laufwerksverschlüsselungen genutzt. Darüber hinaus verwenden immer mehr Unternehmen ein Verfahren, bei dem private Files auf den Endgeräten isoliert werden und so Firmenanwendungen und -daten nicht in Mitleidenschaft ziehen können. Diese als Containerization bezeichneten Lösungen verwenden Technologien wie VPN und virtuelle Desktop-Umgebungen auf mobilen Plattformen und sind kostengünstig zu implementieren und zu betreiben. Ein wesentlicher Vorteil liegt darin, dass Unternehmen ihren IT-Support auf die Businessrelevanten Container beschränken können. Dies reduziert spürbar die Supportkosten und beschränkt gleichzeitig die Höhe der Haftung. Containerization ist ein kostengünstiger Ansatz, die Endgeräte der Mitarbeiter mit überschaubarem Aufwand zu managen. 3. Mobile Device-Management Noch über Containerization hinaus geht das Mobile Device-Management (MDM). Solche Lösungen ermöglichen es, alle persönlichen Endgeräte innerhalb eines Unternehmens zu kontrollieren: Hardware kann per Fernzugriff lokalisiert und gelöscht, Anti-Virus-Software installiert und Firmen-Policies zu Passwörtern und anderen Sicherheitsmaßnahmen umgesetzt werden. Im Prinzip ermöglicht MDM, die Endgeräte der Mitarbeiter in der gleichen Art und Weise zu verwalten wie die firmeneigene Hardware. 12

14 BYOD à la carte Durch die Umsetzung eines systematischen Prozesses sowie die Einbeziehung aller beteiligten Stakeholder kann eine Bring-Your-Own-Device-Initiative strukturiert eingeführt werden. Wichtig dabei ist die Berücksichtigung der spezifischen Anforderungen des jeweiligen Unternehmens: Das BYOD-Programm muss in Einklang stehen mit Strategie, Kultur, Richtlinien, Zielen und Marktumfeld. Daraus ergibt sich zwar eine gewisse Komplexität bei der Gestaltung und Umsetzung von Bring Your Own Device, doch bei effektiver Durchführung können Unternehmen: BYOD der Unternehmensstrategie anpassen Durch die Einbeziehung unterschiedlicher Stakeholder und die Berücksichtigung des allgemeinen Geschäftsumfelds kann eine BYOD-Initiative umgesetzt werden, die mit den übergreifenden Leitlinien des Unternehmens im Einklang steht. Bring Your Own Device kann sogar weitergehende Unternehmensziele unterstützen beispielsweise den Wunsch nach einer mobileren Belegschaft oder die Ausweitung einer bestehenden Mobility-Strategie. Ergebnisse realisieren Durch die Orientierung an vorab klar definierten Zielen schafft ein Unternehmen eine solide Grundlage für Bring Your Own Device. Werden ergänzend passende Best- Practice-Beispiele, aktuelle Trends und relevante Benchmarks bewertet, so können daraus zusätzliche Rückschlüsse auf spezifische Chancen und Risiken von BYOD gezogen werden. BYOD-Fragestellungen bekommen damit eine solide Entscheidungsgrundlage. Risiken vorausschauend managen Durch die intensive Evaluierung von Risiken bei der Gestaltung der BYOD-Initiative werden riskorelevante Entscheidungen zur richtigen Zeit und von den richtigen Verantwortlichen getroffen. Frühzeitig durchgespielte Szenarien helfen bei der Ausarbeitung vorab definierter Gegenmaßnahmen. Bei BYOD unterschiedliche Anforderungen berücksichtigen Durch die frühzeitige Einbindung der wesentlichen funktionalen Unternehmensbereiche (IT, Personal, Recht, Finanzen etc.) wird die Grundlage geschaffen für eine offene Diskussion und Adressierung der jeweiligen Erwartungen. Dies ermöglicht eine Gestaltung einer BYOD-Initiative, die Compliance-Verpflichtungen, HR- Policies und finanzielle Überlegungen gleichermaßen berücksichtigt. 13

15 Bottom Line und Ausblick: Chancen nutzen, Risiken managen Auch künftig wollen immer mehr Mitarbeiter ihre privaten Endgeräte im beruflichen Alltag verwenden. Bestehende Reglementierungen werden dabei häufig umgangen. Statt über die Risiken eines unkontrollierten Einsatzes privater Hardware zu diskutieren, müssen Unternehmen hinterfragen, wie sie mit einer BYOD-Initiative Gefahren managen und positive Begleiterscheinungen von Bring Your Own Device gezielt nutzen können. BYOD systematisch managen Vorhandene, häufig schon jahrealte IT-Policies werden der dynamischen Hardware-Landschaft mit immer neuen Plattformen und Gerätekategorien häufig nicht mehr gerecht. Wollen Unternehmen sich nicht neuen Sicherheitsrisiken aussetzen, müssen sie ihre bestehenden Richtlinien überdenken und den neuen Realitäten anpassen. Das Fehlen von standardisierten Lösungen für Bring Your Own Device sowie die Notwendigkeit individueller Regelungen erhöhen dabei die Komplexität bei der Gestaltung und Umsetzung geeigneter Policies. Eine Bring-Your-Own-Device-Initiative kann in vier Prozessschritten umgesetzt werden. Erst nach Festlegung der BYOD-Ziele und einer individuellen Risikoevaluierung dürfen Unternehmen damit beginnen, konkrete Richtlinien für Bring Your Own Device zu formulieren. Diese müssen anschließend durch ebenso konsequente wie durchdachte Implementierungsschritte umgesetzt werden. Wichtig ist dabei die Einbeziehung aller relevanter Stakeholder und Fachabteilungen in die Entscheidungsprozesse. Schließlich soll die BYOD-Initiative den veränderten Anforderungen gerecht werden und mit den übergeordneten Unternehmenszielen in Einklang stehen. Abb. 9 BYOD Checkliste Sind klare Ziele für BYOD definiert? Ist die Ausgangssituation umfassend berücksichtigt? Wurden alle relevanten Risiken identifiziert und bewertet? Sind alle wichtigen Fragestellungen bei der Gestaltung der BYOD-Richtlinien berücksichtigt? Bestehen keine Widersprüche zwischen BYOD-Policy und anderen Unternehmensrichtlinien? Wurden alle relevanten Stakeholder bzw. Fachabteilungen involviert? Ist unternehmensweite Akzeptanz für das BYOD-Programm gesichert? Wurden alle technischen Lösungsangebote zur Implementierung von BYOD berücksichtigt und bewertet? Existieren geeignete Governance-Mechanismen zur Um- und Durchsetzung von BYOD? 14

16 Motivation im Mittelpunkt Erste Unternehmen in Deutschland haben Bring Your Own Device bereits mittels entsprechender Initiativen systematisch implementiert. Beim Zielkonflikt zwischen Kostenreduzierung, Produktivitätssteigerung und Risikominimierung mussten sie dazu einen intelligenten Kompromiss finden. Dabei zeigt sich, dass signifikante Kosteneinsparungen mit BYOD nicht zu erzielen sind, wenn gleichzeitig angemessene Sicherheitsanforderungen und der Wunsch nach flexiblem Hardware-Einsatz umgesetzt werden sollen. Bring Your Own Device trägt zur Steigerung der Produktivität bei verschiedenen Arbeitsprozessen bei: Durch die Möglichkeit eines flexiblen Hardwareeinsatzes haben Mitarbeiter Zugriff auf das jeweils geeignete bzw. präferierte Endgerät. Der universelle Zugriff auf Unternehmensdaten wird mit BYOD häufig so erst ermöglicht. Bring Your Own Device kann damit sogar zu einem wichtigen Standbein einer übergreifenden, firmenweiten Mobility-Strategie werden. Der Mehrwert von Bring Your Own Device liegt darüber hinaus in einer zusätzlichen Motivation der Mitarbeiter. Der Verwendung attraktiver und innovativer Endgeräte ist für viele Angestellte so wichtig geworden, dass man BYOD inzwischen sogar als Recruiting- und Retention- Instrument einsetzen kann. Primärer Anspruch von BYOD-Initiativen sollte die Steigerung von Produktivität und Mitarbeitermotivation sein. Neue Möglichkeiten für TK-Unternehmen Aus dem Bring Your Own Device-Trend und der steigenden Popularität von B2B Mobility-Angeboten ergeben sich fast folgerichtig auch neue Optionen für Telekommunikationsunternehmen. Bereits die Umsetzung von BYOD-Programmen ihrer Geschäftskunden können Netzbetreiber aktiv in ihrem Sinne mitgestalten. Hier ist beispielsweise Unterstützung bei der Auswahl eines geeigneten, zertifizierten Geräteportfolios denkbar. Auch spezielle Service-Angebote für BYOD sollten TK-Anbieter entwickeln und bereithalten: Als Dienstleister für mobiles Gerätemanagement und Help-Desk-Angebote ist es Telekommunikationsunternehmen möglich, ihre Kunden bei der individuellen Umsetzung einer BYOD-Strategie zu unterstützen und neue Umsatzpotenziale zu erschließen Auch vertriebsseitig können Netzbetreiber von Bring Your Own Device profitieren. Über individuelle BYOD- Rahmenverträge können TK-Unternehmen ihre Vermarktungsaktivitäten gezielt den neuen Anforderungen ihrer B2B-Kunden anpassen. Denkbar ist dabei die Gestaltung und Umsetzung von Mitarbeiter-Rabattprogrammen für Unternehmen aus dem eigenen Geschäftskundenbestand. Dabei werden den Angestellten Access-Verträge und zuvor für den Unternehmenseinsatz zertifizierte Endgeräte vergünstigt angeboten. 15

17 Bei BYOD werden weiterhin Tablets und Smartphones im Mittelpunkt stehen. Ausblick Erste Marktbeobachter sehen BYOD bereits als einen wieder rückläufigen Trend 5. Andere Experten bewerten Bring Your Own Device als Auslöser eines nachhaltigen Wandels im Client Computing 6. Die Wahrheit dürfte wie häufig in der Mitte liegen: Der Hype um BYOD wird sich zweifellos in den kommenden Monaten legen, doch die Auswirkungen von Bring Your Own Device werden auch in Deutschland nachhaltig sein. Bislang stehen Smartphones und Tablets bei BYOD im Zentrum des Interesses. Und gerade bei diesen innovativen Gerätekategorien mit ihren schnellen Replacement- Zyklen wird sich BYOD weiter etablieren. Mehrwert und Kosten für entsprechende Sicherheitslösungen und Support-Angebote stehen hier in einem gesunden Verhältnis. Die Aussichten für Bring Your Own Computer dagegen sind deutlich kritischer zu bewerten. Der PC nämlich ist und bleibt im betrieblichen Einsatz das primäre Arbeitsgerät. Die Anforderungen an Security und Support sind entsprechend höher. Die Herausforderungen für IT-Abteilungen durch eine fragmentierte Hardwareund Softwarelandschaft wären immens. Zudem ist den Mitarbeitern die Verwendung des eigenen Computers weniger wichtig als die Nutzung des privaten Tablets und Smartphones 7. Daran wird absehbar auch die zunehmende Popularität von Ultrabooks nichts ändern. Bei aller Widersprüchlichkeit der Prognosen ist sicher, dass insbesondere der Megatrend Consumerization massiv auf die Präferenzen und das Nutzungsverhalten von Mitarbeitern beeinflusst. Unternehmen müssen auf diese Entwicklung reagieren und sich Policies den neuen Anforderungen anpassen, und dies unabhängig davon, ob ein BYOD-Programm eingeführt werden soll oder nicht. 5 Quelle: CIO.de, unter: 6 Quelle: CIO.de, unter: 7 Quelle: Avanade-Studie Dispelling Six Myths of Consumerization of IT. 16

18 Ihre Ansprechpartner Für mehr Informationen Dieter Schlereth Partner Tel: +49 (0) Redaktionelle Leitung Ralf Esser Dr. Andreas Gentner Partner Tel: +49 (0) Peter Wirnsperger Partner Tel: +49 (0) Mitarbeit an dieser Studie Klaus Böhm, Adrian Kronauer, Erick Vandeweghe, Peter Wirnsperger Für weitere Informationen besuchen Sie unsere Website auf Diese Veröffentlichung enthält ausschließlich allgemeine Informationen und weder die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited ( DTTL ), noch eines der Mitgliedsunternehmen von DTTL oder eines der Tochterunternehmen der vorgenannten Gesellschaften (insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen in den Bereichen Wirtschaftsprüfung, Unternehmensberatung, Finanzen, Investitionen, Recht, Steuern oder in sonstigen Gebieten. Diese Veröffentlichung stellt keinen Ersatz für entsprechende professionelle Beratungs- oder Dienstleistungen dar und sollte auch nicht als Grundlage für Entscheidungen oder Handlung dienen, die Ihre Finanzen oder Ihre geschäftlichen Aktivitäten beeinflussen könnten. Bevor Sie eine Entscheidung treffen oder Handlung vornehmen, die Auswirkungen auf Ihre Finanzen oder Ihre geschäftlichen Aktivitäten haben könnte, sollten Sie einen qualifizierten Berater aufsuchen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat. Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und steht Kunden so bei der Bewältigung ihrer komplexen unternehmerischen Herausforderungen zur Seite. To be the Standard of Excellence für rund Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited, eine private company limited by guarantee (Gesellschaft mit beschränkter Haftung nach britischem Recht), und/oder ihr Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu Limited und ihrer Mitgliedsunternehmen finden Sie auf Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft Stand 02/2013