Bring your own Device - verhindern, dulden oder aktiv steuern? - Teil 6

Bring your own Device - verhindern, dulden oder aktiv steuern? - Teil 6

Wie bereits angekündigt, folgen im letzten Teil meiner Blogreihe zu meiner Masterthesis die Phasen Umsetzungsstrategie, Pilotprojekt und Rollout, sowie Anpassung der IT-Strategie.

Umsetzungsstrategie

Wenn sich nach der Analyse herausstellt, dass ein Unternehmen Bring your own Device einsetzen möchte, muss der Umfang eingegrenzt werden. Wie die empirische Umfrage ergeben hat, erlauben viele Unternehmen lediglich die Nutzung von privaten Smartphones. Manche Unternehmen unterstützen sogar nur die eines bestimmten Herstellers, oder mit bestimmtem Betriebssystem. Je weniger Einschränkungen der Arbeitgeber vorgibt, desto zufriedener mögen seine Mitarbeiter sein, desto mehr Sicherheitsvorkehrung sind allerdings auch vorzunehmen. Auch kann der Arbeitgeber die Nutzungsmöglichkeiten einschränken. Entsprechend dem Ergebnis der empirischen Untersuchung wird es am häufigsten erlaubt Kalender, Kontakte und E-Mail Funktionalität zu nutzen. Auch hier gilt, je mehr Anwendungen der Arbeitgeber zulässt umso höher ist das IT Sicherheitsrisiko.

Mögliche Umsetzungsvarianten wären daher folgende:

• Einsatz von E-Mail, Kalender und Kontakten auf dem privaten Smartphone

• Firmendesktops auf privaten Endgeräten, wie Notebooks

• Virtualisierung von Anwendungen zur Ausführung auf privaten Endgeräten

Aufgrund des Sicherheitsrisikos sollte ein Arbeitgeber jedoch niemals eine Arbeitsumgebung zur freien Konfiguration freigeben.

Pilotprojekt und Rollout

Die Umsetzung sollte nicht direkt in der ganzen Firma erfolgen, sondern Schrittweise. Hierbei gibt es verschiedene Möglichkeiten für eine Vorgehensweise.

Bring your own Device sollte schrittweise eingeführt werden, das heißt, zunächst könnte beispielsweise das WLan für private Endgeräte freigeschalten werden. In einem weiteren Schritt wäre es sinnvoll bestimmte Anwendungen, wie Kalender und E-Mail Funktionalität für bestimmte private Endgeräte freizugeben. Dies könnte direkt für alle Mitarbeiter erfolgen, oder aber nur für eine Pilotgruppe. Letzteres würde sich empfehlen, da man einen kleinen Anwenderkreis einfacher „überwachen“ kann, das bedeutet positive Effekte sowie Schwierigkeiten können besser erkannt werden. So können Sicherheitsrisiken entfernt werden, bevor sie Schaden anrichten. Auch können bei einer kleineren Gruppe leichter Umfragen bzgl. der Akzeptanz von IT Consumerization durchgeführt werden. Aufbauend auf den Ergebnissen des Pilotprojektes könnte Bring your own Device weiter ausgebaut werden, beispielsweise auf weitere Endgeräte und/oder Anwendungen oder auf größere Personengruppen. Letzteres birgt weitere Herausforderungen, da der Übergang zum privaten Endgerät reibungslos verlaufen sollte.

Anpassung der IT-Strategie

Bring your own Device bringt der Unternehmens-IT große Veränderungen. Daher sollte das Thema nicht isoliert implementiert werden. Vor der Einführung sollte der Einfluss auf die IT-Strategie, -Architektur und den –Betrieb evaluiert werden. Durch ByoD gibt es in nahezu allen Bereichen neue Anforderungen an die IT, die berücksichtigt werden und mit der Einführung von BoyD geändert sollten.

Die IT-Architektur sollte keinerlei Anforderungen an das Endgerät stellen, sondern standardisierte Benutzerschnittstellen zu Verfügung stellen. So sollten möglichst viele Anwendungen webbasiert sein und die Daten nicht lokal, sondern auf Servern abgelegt werden. Daher bietet sich eine cloudbasierte Architektur bei der Umsetzung von IT Consumerization an. Auch die Sicherheitsstrategie sollte überarbeitet werden. Während vor der Einführung von ByoD Firewalls oder ähnliche Anwendungen an den Unternehmensgrenzen ausgereicht haben, sollte mit der Einführung über eine Absicherung der Daten nachgedacht werden, hierzu bieten sich Zugriffskontrollen und Verschlüsselung an. Auch für den Betrieb gibt es durch die Einführung von ByoD einige Änderungen. Während vorher die meisten Anwender ähnliche Endgeräte hatten und sich der Support so auf diese spezialisieren konnte, gibt es mit Bring your own Device eine Vielzahl von Endgeräten. Je nach Endgerät können sich unterschiedliche Problemstellungen ergeben. Daher sollten die Supportabteilungen dahingehend geschult werden.

Erkennbar an dem Vorgehen für die Einführung von Bring your own Device ist, dass es keine richtige Anleitung gibt nach der man vorgehen kann. Jedes Unternehmen muss für sich selber entscheiden in welchem Rahmen, d.h. welche Endgeräte unterstützt und welche Anwendungen verfügbar gemacht werden, ByoD eingesetzt werden soll. Dabei ist auch auf die Unternehmensstruktur und -Branche zu achten. In Unternehmen im regulierten Umfeld ist es sicherlich schwieriger IT Consumerization umzusetzen, da Daten einem besonderen Schutz und das Unternehmen bestimmten Vorgaben unterliegen. In kleinen Unternehmen ist ByoD schneller umzusetzen, allerdings birgt die Umsetzung auch Gefahren, weshalb kleinere Unternehmen häufig zögerlicher an neue Trends herangehen, als große Unternehmen, bei denen ein Rückschlag nicht zum Konkurs führen kann. Auch wird ByoD eher in Unternehmen mit IT-affineren Mitarbeitern, wie reine IT-Unternehmen, Einzug finden, als in Unternehmen die weniger IT-affin sind.