Eine wirksame BYOD-Policy braucht vor allem offene Kommunikation und klare Ansagen, meint unser Autor Christoph Lixenfeld.
Nicht alle Apps, die Spaß bringen, eignen sich für die Nutzung im Büro. Foto: Darren Baker/Fotolia
Bring your own Device (BYOD) hat schon immer mindestens so viel Verdruss wie Freude gestiftet, und die meisten Firmen haben sich dem Trend nicht aus Überzeugung angeschlossen. Vielmehr wurden der Druck durch die Mitarbeiter und der unübersehbare Wildwuchs irgendwann so groß, dass das Motto nur noch lauten konnte: Wenn du dich schon nicht dagegen wehren kannst, dann versuche wenigstens, die Dinge im eigenen Sinne zu steuern.
Die 5 größten BYOD-Fallen Bring your own Device ohne Stress gibt es nicht, dazu existieren zu viele Sollbruchstellen. Möglich ist aber - und zwar für Arbeitgeber und Arbeitnehmer - die gängigsten Fallen in diesem Zusammenhang zu entschärfen beziehungsweise ihnen auszuweichen.
Falle 1: Offene Türen für jede Art von App Wer immer Angry Bird auf seinem iPhone gespielt hat, will nicht plötzlich damit aufhören, nur weil er das Gerät jetzt auch im Job einsetzt. Nun stiehlt der wütende Vogel lediglich Zeit, andere Apps sind dagegen gefährlich, Dropbox zum Beispiel. Wer sein iPhone beruflich nutzen will, muss Einschränkungen hinnehmen. Um dessen Akzeptanz zu erhöhen, sollte die Policy nicht rigider sein als nötig, aber ohne Blacklists und Whitelists für Apps geht es nicht.
Falle 2: Big Brother is watching you Das sogenannte Geofencing, also die Möglichkeit, einem iPad bestimmte Zugriffe in Abhängigkeit von seinem Standort zu erlauben oder zu verbieten, ist praktisch, aber unbeliebt. Weil der Chef dadurch auch weiß, wo sich der Besitzer des Geräts gerade aufhält. Allerdings gibt es die Möglichkeit, das Monitoring nur während der Arbeitszeit einzuschalten.
Falle 3: Hohe Kosten durch mangelnde Kontrolle Mitarbeiter, die auf irgendwelche Download-Fallen hereinfallen oder oder ohne betriebliche Erfordernis kostenpflichtige Nummern anrufen, müssen diese Kosten auch dann selbst tragen, wenn das ganze unabsichtlich geschah. Generell gibt es in den meisten Unternehmen kaum sinnvolle Anlässe, um mit mobilen Endgeräten große Datenmengen woher auch immer downzuloaden.
Falle 4: Jeden Mist ins Netzwerk einbinden Natürlich liegt der Charme von BOYD in der Wahlmöglichkeit; jeder kann sich aussuchen, welches Gerät (zu) ihm am besten passt. Und der Chef erreicht den Abteilungsleiter vielleicht auch mal am Wochenende. In jedem Fall muss der CIO die Möglichkeit haben, sämtliche Geräte, die im Unternehmensnetzwerk angemeldet werden sollen, vorher zu checken.
Falle 5: Schlechte oder gar keine Kommunikation Angestellte müssen wissen, was genau überwacht wird und was nicht, welche Apps potenziell gefährlich sind für ein Firmennetzwerk und welche unbedenktlich, welche Geräte und Betriebssysteme akzeptiert werden und welche nicht. Was passiert bei Verlust? Wie sie die Regeln beim Ausscheiden aus der Firma und welche Sanktionen drohen dem, der sich nicht an die Regeln hält.
Diese Steuerung funktioniert mittelprächtig, und ein gepflegtes Maß an Verdrängung ist in der Regel unausgesprochener Teil jeder BYOD-Policy.
Bring your own Device ohne Stress gibt es nicht, dazu existieren zu viele Sollbruchstellen. Möglich ist aber - und zwar für Arbeitgeber und Arbeitnehmer - die gängigsten Fallen in diesem Zusammenhang zu entschärfen beziehungsweise ihnen auszuweichen.
Falle 1: Offene Türen für jede Art von App
Wer immer Angry Bird auf seinem iPhone gespielt hat, will nicht plötzlich damit aufhören, nur weil er das Gerät jetzt auch im Job einsetzt. Nun stiehlt der wütende Vogel lediglich Zeit, andere Apps sind dagegen gefährlich, Dropbox zum Beispiel. Wer sein iPhone beruflich nutzen will, muss Einschränkungen hinnehmen. Um dessen Akzeptanz zu erhöhen, sollte die Policy nicht rigider sein als nötig, aber ohne Blacklists und Whitelists für Apps geht es nicht.
Falle 2: Big Brother is watching you
Das sogenannte Geofencing, also die Möglichkeit, einem iPad bestimmte Zugriffe in Abhängigkeit von seinem Standort zu erlauben oder zu verbieten, ist praktisch, aber unbeliebt. Weil der Chef dadurch auch weiß, wo sich der Besitzer des Geräts gerade aufhält.
Die Diskussion um BYOD lässt bei manchem den Wunsch nach einem kleinen, autonomen Privathandy aufkommen. Foto: Gordon Bussiek - Fotolia.com
Allerdings gibt es die Möglichkeit, das Monitoring nur während der Arbeitszeit einzuschalten. Angestellte müssen sich dabei darauf verlassen können, dass sich ihre Firma an diese Einschränkungen hält.
Falle 3: Hohe Kosten durch mangelnde Kontrolle
David Schofield, Partner beim Beratungsunternehmen Network Sourcing Advisors, berichtete im Vergangenen Jahr in einem Artikel über ein Technologieunternehmen, dass 300.000 Dollar zusätzlich für Kommunikation auf der Rechnung hatte, nachdem es 600 Mitarbeiter in ein BOYD-Programm integriert hatte.
Mitarbeiter, die auf irgendwelche Download-Fallen hereinfallen oder oder ohne betriebliche Erfordernis kostenpflichtige Nummern anrufen, müssen diese Kosten auch dann selbst tragen, wenn das ganze unabsichtlich geschah. Generell gibt es in den meisten Unternehmen kaum sinnvolle Anlässe, um mit mobilen Endgeräten große Datenmengen woher auch immer downzuloaden.
Falle 4: Jeden Mist ins Netzwerk einbinden
Natürlich liegt der Charme von BOYD in der Wahlmöglichkeit; jeder kann sich aussuchen, welches Gerät (zu) ihm am besten passt. Und der Chef erreicht den Abteilungsleiter vielleicht auch mal am Wochenende.
Trotzdem braucht jede BYOD-Strategie Einschränkungen bezüglich der Wahl der Geräte. In Asien zum Beispiel kursieren Kopien fast aller gängigen Smartphone-Typen, die zum Teil auch nicht schlechter funktionieren als das Original. Nur sind sie eben unter Sicherheitsgesichtspunkten mehr als bedenklich. Gleiches gilt unter Umständen für No-Name-Smartphones.
Abgesehen von den Sicherheitsbedenken wäre es auch technisch und organisatorisch viel zu aufwändig, 47 verschiedene Smartphone-Typen einzubinden. Hier die richtigen Grenzen zu ziehen, ist allerdings nicht einfach. Simpelster Weg ist, die Geräte der großen Hersteller wie Apple, Samsung, LG, HTC und ein paar anderer zu supporten und sich den Rest bei Bedarf genau anzusehen.
In jedem Fall muss der CIO die Möglichkeit haben, sämtliche Geräte, die im Unternehmensnetzwerk angemeldet werden sollen, vorher zu checken.
Falle 5: Schlechte oder gar keine Kommunikation
Dieser fünfte Punkt beschreibt das wohl größte Problem von allen, nämlich dass die IT-Abteilung und die Mitarbeiter viel zu wenig sprechen über die Anforderungen und die notwendigen Einschränkungen im Zusammenhang mit BYOD.
1. Produktiv und Glücklich? Von wegen! BYOD hatte versprochen, Angestellte glücklicher und produktiver zu machen. Schließlich suchen sie sich ja jetzt selbst aus, mit welchen Gadgets sie arbeiten wollen. Außerdem haben sie das Gerät ihrer Wahl immer dabei, können so auch abends und am Wochenende arbeiten. Das ist die eine Seite. Die andere: Viele nutzen ihr Smartphone auch im Büro allzu oft, um Facebook zu checken oder Tetris zu spielen.
2. Datendiebstahl via SMS Wer zu Konkurrenz wechseln will, hat leider gar nicht so selten den Wunsch, ein paar Infos aus der alten Firma als Willkommensgeschenk mitzubringen. So auffällig wie auf dem Bild muss der Klau dabei nicht vonstatten gehen. Bei modernen Smartphones mit Swype oder Spracherkennung lässt sich Datentransfer per Textmessage realisieren. Auf die Schliche kommt man diesem Klau kaum, weil Textnachrichten in aller Regel nur auf dem Phone und nirgendwo sonst im Unternehmensnetzwerk gespeichert werden.
3. Nicht jeder Verlust wird gemeldet Heute hat die zentrale IT fast immer einen Ferndelete-Knopf, um wenigstens die Daten auf verlorenen Smartphones zu vernichten – wenn schon das Gerät selbst nicht wieder auftaucht. Das Problem: Der Admin kann nur dann am Panikhebel ziehen, wenn er von dem Verlust weiss. Viele Mitarbeiter aber verlegen sowieso chronisch ihr Gadget – und wundern sich nicht darüber, wenn sie das Ding ein paar Tage nicht sehen. Dann wird es gesucht, die Familie befragt, etc. So vergehen manchmal Wochen, bis der Diebstahl gemeldet wird. Bis dahin sind die Daten längst von Dritten ausgelesen.
4. Kommunikation wird teurer statt billiger Ein zentrales Versprechen im Zusammenhang mit BYOD ist, dass Unternehmen viel Geld sparen können, weil sie weniger eigene Mobilfunkverträge bezahlen müssen. Tatsächlich tritt der gegenteilige Effekt ein. Wie die Aberdeen Group in einer Studie festgestellt hat, kostet BYOD 33 Prozent mehr im Vergleich zu ausschließlich Firmeneigenen Geräten. Grund: Der Aufwand für Management, Abrechnung und Kostenkontrolle externer Geräte kostet deutlich mehr als ausschließlich eigene Verträge kosten würden.
5. Alte Handys verschwinden - und kosten weiter Unternehmen, die eine BYOD-Strategie aufsetzen, binden in der Regel zuerst die mitgebrachten Privat-Smartphones ein und kündigen dann die Verträge für die zuvor genutzten, vorhandenen Firmen-Handys. Die landen anschließend unbeachtet in irgendeiner Schublade. Ob die Kündigungen alle ankommen und wirksam werden, überprüft in der Regel niemand. Deshalb belastet ein Teil der 'Zombie-Phones' oft weiterhin das Budget.
6. Mehr Misstrauen auf beiden Seiten Eigentlich sollte BOYD Angestellte und Chefs näher zusammenbringen, Neinsager und Nörgler besänftigen, indem man ihnen mehr Freiräume und Wahlmöglichkeiten einräumt. Zum Beispiel die, welches Handy sie benutzen wollen. Tatsächlich hat aber die Verbreitung des One-Fits-All-Mobiltelefons eher zu mehr Misstrauen geführt und nicht zu weniger: Angestellte müssen rigide Vereinbarungen unterschreiben und fürchten, dass der Chef ihre Privatsphäre kontrolliert. Und Unternehmen trauen den Mitarbeitern bezüglich des sorgsamen Umgangs mit Firmendaten genauso wenig.
8. Immer im Einsatz? BYOD lässt die Grenzen zwischen Arbeits- und Freizeit endgültig verschwimmen. Was aber nicht heißt, dass Arbeitgeber ständige Verfügbarkeit von ihren Leuten erwarten sollten: Ein Gericht in Chicago verurteilte die Stadt zur Nachzahlung von mehreren Millionen Dollar Überstundenvergütung an 200 Polizisten, weil diese dazu verpflichtet worden waren, ohne zusätzliche Bezahlung in der Freizeit mit ihren Blackberrys E-Mails zu beantworten und Anrufe anzunehmen.
9. Meistgehasst: Private Cloud-Services Mal eben ein Foto vom Flipchart gemacht, in die Dropbox geschoben, fertig. Sowas muss nicht in böser Absicht geschehen, sondern zum Beispiel in der Absicht, zu Hause noch an wenig an betreffendem Thema weiterzuarbeiten. Die meisten CIOs hassen Dropbox, und das mit gutem Grund. Denn ganz verhindern können sie den Datentrasfer in die unbekannt Cloud nicht.
7. Was heißt schon privat? Wenn ein BOYD-Regelwerk aufgestellt und von allen unterschrieben ist, sind nicht immer alle Probleme gelöst. Die kalifornische Stadt Ontario zum Beispiel feuerte den Polizisten Jeff Quon, weil die Verantwortlichen auf seinem Pager private Messages gefunden hatte, die sie an seiner Loyalität zweifeln ließen. Quon klagte, unter anderem mit dem Argument, dass ein Vorgesetzer ihm versichert hatte, die Nachrichten auf dem Pager würden nicht überwacht. Die Richter gaben der Stadt trotzdem Recht.
10. Super-Gau: Anruf von der Presse Stellen Sie sich vor, der Leiter Ihrer Rechtsabteilung lässt sein Smartphone nach dem fünften Hellen in seiner Stammkneipe liegen, und am nächsten Morgen haben Sie einen nicht ganz unbekannten Journalisten in der Leitung, der sagt, er habe was läuten hören von geplanten Entlassungen und was denn da dran sei....Natürlich kann auch das Firmenhandy verloren gehen, aber das nehmen viele Angestellte aus gutem Grund nicht mit in die Kneipe.
Angestellte müssen wissen, was genau überwacht wird und was nicht, welche Apps potenziell gefährlich sind für ein Firmennetzwerk und welche unbedenktlich, welche Geräte und Betriebssysteme akzeptiert werden und welche nicht. Was passiert bei Verlust? Wie sie die Regeln beim Ausscheiden aus der Firma und welche Sanktionen drohen dem, der sich nicht an die Regeln hält.
Gerade in den Anfängen von BYOD waren viele Policys wenig detailliert. Am schlimmsten sind im Grunde einseitige Merkblätter nach dem Motto: "Was zu beachten ist", die im Grunde nichts enthalten, an dem sich die Parteien im Zweifelsfall orientieren können.
Die gute Nachricht ist: Man kann neue Regeln aufstellen oder die vorhandenen verändern. Schließlich ist in der Mobiltechnologie generell nicht in Stein gemeißelt, alles im Fluss. (CW/rw)