Bring Your Own Device ist für viele Unternehmen Realität geworden. Die Zugriff auf Anwendungen und Daten über verschiedenste Geräte lässt sich kaum noch verhindern. Die Kunst ist es, die Risiken zu minimieren – aber das ist leichter gesagt als getan.
Betrachtet man die aktuellen Zahlen für den weltweiten Smartphone-Markt, dann wird einmal mehr deutlich, dass dieser Markt vor allem durch eines gekennzeichnet ist: Durch einen stetigen Wandel, der sich in den vergangenen Jahren und Monaten noch beschleunigt hat.
Apple, für längere Zeit mit seinem iPhone der Marktführer, hat nur ungefähr halb so viele Geräte verkauft wie Samsung. Für diejenigen, die für das Thema Bring Your Own Device (BYOD) verantwortlich sind, reicht diese Information aber noch nicht aus. Denn Samsung verkauft zwar überwiegend Geräte mit Android-Betriebssystem, aber auch solche mit Windows Phone.
Innerhalb des Android-Marktes gibt es wiederum eine Reihe von durchaus unterschiedlichen Versionen. RIM hat nach den dort genannten Zahlen gerade einmal noch 7,4 Millionen Blackberry-Geräte weltweit absetzen können – und liegt damit nur noch auf Platz 5 der Hersteller-Rangliste.
BYOD beschränkt sich nicht aufs Smartphone
Mit dem Smartphone-Markt wird außerdem nur ein kleiner Ausschnitt der BYOD-relevanten Geräte betrachtet. Denn BYOD betrifft alle Systeme, die nicht dem Unternehmen gehören: Vom privaten PC im Home Office über das von externen Mitarbeitern oder auch Prüfern im Firmennetz genutzte Notebook bis hin zu Tablets und eben Smartphones.
Vergessen darf man auch nicht die Gerätetypen, die es in Zukunft noch geben mag. Und wenn man die ganzen Ankündigungen rund um Tablets mit Windows 8 anschaut, dann kann man ziemlich sicher davon ausgehen, dass es auch hier noch in diesem Jahr erhebliche Veränderungen geben wird.
Viele Lösungsansätze für BYOD sind einerseits auf bestimmte Gerätetypen wie Smartphones sowie verschiedene Tablet-Varianten ausgerichtet, andererseits auf das Management der Geräte selbst. Das gilt vor allem für das Mobile Device Management (MDM).
Ein Ansatzpunkt allein reicht nicht aus
Im MDM-Geschäft beschränken sich viele Anbieter auf die Unterstützung von iOS und Android. Die Probleme eines solchen Ansatzes – neben der Frage, in welchem Maß überhaupt auf „own devices“ des Benutzers zugegriffen und in diese eingegriffen werden darf – sind offensichtlich:
Wenn die nächste Version eines Systems herauskommt, sich ein anderes Betriebssystem etabliert, vorhandene ältere Geräte mit anderen Betriebssystemen wie Symbian genutzt werden sollen oder ganz neue Gerätetypen auf den Markt kommen, funktioniert das Management darüber entweder überhaupt nicht oder mit Zeitverzögerung.
Solche Ansätze können damit allenfalls eine Ergänzung zu anderen Konzepten im Bereich BYOD sein, aber nicht die einzige Lösung. Das gilt auch für die Alternativen dazu. Diese sind einerseits die Kontrolle auf Netzwerkebene, wie sie von Anbietern wie Cisco, Aruba oder Enterasys propagiert wird, und andererseits der Schutz der Informationen.
Schutzkonzepte auf der Ebene des Netzwerks setzen ganz einfach voraus, dass der Datenverkehr die „Kontrollpunkte“, also die für den Schutz zuständigen Systeme, passiert. Das ist spätestens dann, wenn ein Benutzer von seinem mobilen Endgerät auf einen in der Cloud positionierten Dienst des Unternehmens zugreift, nicht mehr der Fall.
Natürlich kann man auch hier Wege finden, diese Zugriffe zu kontrollieren. Klar ist aber: Es gibt Szenarien, in denen solche Konzepte besser funktionieren und andere, in denen sie deutliche Schwächen haben. Ideal wäre es eigentlich, die Informationen selbst zu schützen
Konzepte wie das Enterprise/Information Rights Management (ERM/IRM) sind allerdings nur begrenzt in der Lage, diesen Schutz zu gewährleisten – insbesondere im Zusammenspiel mit mobilen Endgeräten und den dort verwendeten Standard-Apps für den Zugriff auf E-Mails und Dokumente. Eine Lösung kann aber beispielsweise die Nutzung von virtuellen Desktop-Umgebungen sein.
BYOD-Konzept muss mehrere Maßnahmen umfassen
Damit bleibt nur eine Kombination verschiedener Maßnahmen, sowohl organisatorischer als auch technischer Art (und hier sowohl auf Geräte-, Netzwerk- und Informations-/Anwendungsebene). Dazu sollte man sich zunächst der Risiken für Informationen und Anwendungen bewusst werden, um die größten Risiken gezielt adressieren zu können.
Das Ergebnis sind letztlich immer abgestufte Konzepte, bei denen bestimmte Zugriffe gegebenenfalls auch unterbunden oder nur über spezielle Apps oder virtuelle Desktops erlaubt werden. Solche Maßnahmen müssen aber geplant und risikobasierend umgesetzt werden. Irgendein Tool einzuführen, das BYOD vermeintlich sicher macht, reicht nicht aus.