Trend mit Risiken: „Bring your own device“ (BYOD)

Arbeiten wird mobiler, das steht spätestens seit der Corona-Pandemie fest. Um flexible Arbeitsmodelle zu ermöglichen, haben KMU verschiede Möglichkeiten. Eine der vielversprechendsten ist das „Bring your own device“-Konzept, kurz BYOD.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Verschiedene Laptops und Tablets aufeinander gestapelt
© Anastasia Collection - Canva Pro

Das eigene Laptop im Netzwerk eines Unternehmens nutzen? Für viele Angestellte ist dies zur Selbstverständlichkeit geworden. Corona und Home-Office haben dafür gesorgt, dass in manchen Firmen pragmatische Lösungen gefunden wurden. Mobiles Arbeiten liegt im Trend. „Bring your own device (BYOD)“ bedeutet übersetzt „Bringe dein Endgerät mit“ – und es liegt schon seit Jahren im Trend.

Durch die Pandemie hat diese Entwicklung neue Fahrt aufgenommen. Auf den ersten Blick sieht es wie eine Win-Win-Situation für alle Beteiligten aus: Arbeitgeber sparen die Anschaffungskosten für das digitale Equipment und die Mitarbeiter arbeiten hochmotiviert mit den Geräten, die sie immer nutzen und bestens kennen. Das kann auch bei KMU sehr gut funktionieren und für smarte Prozesse sorgen. Wird das Thema aber falsch angepackt, kann es in einem Desaster enden.

Vorteile BYOD

Ein „Bring your own device“-Konzept birgt für kleine und mittlere Unternehmen lukrative Vorteile. Insbesondere sind zu nennen:

  • Mehr Flexibilität: Egal ob Homeoffice-Regelung oder Arbeitsauftrag während einer Geschäftsreise: Mit BYOD kann Remote Work schnell und flexibel umgesetzt werden

  • Spürbare Kostensenkung: Nicht nur bei der Anschaffung der Hardware, Support und Reparaturen wird gespart, auch der Schulungsaufwand für neue Geräte entfällt

  • Produktivität wird gesteigert: Produktivität kann steigen, da Mitarbeiter mit gewohntem Equipment arbeiten

Nachteile BYOD

Abgesehen von den Vorteilen existieren jedoch auch viele, oft komplexe Risiken, die es zu eliminieren gilt. Insbesondere sind folgende zu nennen:

  • BYOD birgt zahlreiche Risiken für die Datensicherheit und den Datenschutz: zum Beispiel Gefahr einer Infiltration des Firmennetzwerkes durch Schadsoftware
  • Es können Komplikationen mit Lizenz- und Urheberrechten drohen: Beispielsweise dürfen manch private Anwendungen nicht für gewerbliche Zwecke genutzt werden, was vielen Nutzern aber gar nicht bewusst ist
  • Berufliche und privaten Sachverhalte müssen auf den Endgeräten der Mitarbeiter klar getrennt werden: Dies kann in der Regel über Datencontainer gelöst werden, aber die klare Trennung wirklich aller Inhalte ist schwer überprüfbar
  • Administrativer Aufwand: Elektronische Dokumente müssen verschlüsselt abgelegt werden und der Zugriff auf Unternehmensdaten darf nur mit Authentifizierung erfolgen, für offene potenziell unsicher WLAN-Netze müssen Sicherheitsmechanismen etabliert werden
  • Anforderungen der GoBD: Gemäß den gemäß den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) müssen unter Umständen Dokumentations- und Aufbewahrungspflichten eingehalten werden
  • Es muss sichergestellt werden, dass geschäftliche Inhalte auf dem Gerät des Mitarbeiters gelöscht werden, wenn dieser das Unternehmen verlässt: Dies kann schriftlich vereinbart werden, ist jedoch nur schwer nachprüfbar
  • Fernlöschung muss sichergestellt werden: Bei Verlust oder Diebstahl muss Arbeitgeber eine Fernlöschung der geschäftlichen Daten vornehmen können, auch dafür sind in der Regel zusätzliche Software-Lösungen Lösungen nötig (z.B. Mobile Device Management (MDM))
  • Zusätzlicher Aufklärungs- und Schulungsbedarf: Die Angestellten müssen über ihre Rechte und Pflichten ebenso aufgeklärt werden wie in Bezug auf die Sicherheit ihrer Geräte und Anwendungen sowie auf die einzuhaltenden BYOD-Vereinbarungen und Richtlinien

Info

BYOD-Richtlinie zwingend nötig

Die vielfältigen Risiken legen nahe, eine BYOD-Richtlinie im Unternehmen zu etablieren – und zwar bevor die Geräte der Mitarbeiter im Netzwerk des Unternehmens eingebunden werden. Damit ein BYOD-Konzept sicher umgesetzt werden kann, sollte darin genau festgeschrieben werden, welche Geräte im Unternehmen erlaubt sind. Dabei sollte insbesondere darauf geachtet werden, Inkompatibilitäten zu vermeiden; unsicheren Geräten sollte der Zugang verwehrt werden.

Auch ist es ratsam, in den BYOD-Richtlinien festzulegen, welche Apps und Anwendungen für den geschäftlichen Einsatz genutzt werden dürfen. Ebenso muss definiert werden, wie die Authentifizierung erfolgt, welche Sicherheitsstandards einzuhalten sind und auf welche Unternehmensressourcen die Mitarbeiter mit ihren privaten, mobilen Geräten zugreifen dürfen.

Auch die Kosten für Datentarife oder das Aufladen von Akkus können in solche Richtlinien einfließen. Nichtzuletzt müssen sich die gesetzlichen Regelungen – zum Beispiel die DSGVO – in den Richtlinien niederschlagen, die für das jeweilige Unternehmen in seiner Branche und für die Art des jeweiligen Datenzugriffs relevant sind.

Alternativen zu BYOD

Wem die Risiken eines BYOD-Konzepts zu komplex sind, kann auf clevere Mischformen setzen. Sie können im Einzelfall eine gute Alternative zu „Bring your own device“ sein – mit zwar abgeschwächten Vorteilen, aber auch deutlich geringeren Risiken. Drei Konzepte haben sich etabliert:

COPE – Geräte werden vom Unternehmen gestellt und zugewiesen

COPE steht für „corporate owned, personally enabled“. Die Endgeräte gehören in diesem Fall dem Unternehmen und werden den Angestellten lediglich zur Verfügung gestellt. Das unternehmenseigene Gerät darf privat genutzt werden. Der Vorteil: Sowohl Gerät als auch das Betriebssystem können vom Unternehmen so ausgewählt werden, dass sie mit dem Mobile Device Management (MDM)- oder Enterprise Mobility Management (EMM)-Lösung des Unternehmens absolut kompatibel sind.

CYOD – Beschäftigte können sich Endgeräte aussuchen

Choose Your Own Device (CYOD) kombiniert BYOD und COPE. Das Unternehmen stellt seinen Mitarbeitern eine Auswahl von Geräten und Betriebssystemen zusammen, aus denen sich die Mitarbeiter ein Gerät aussuchen dürfen – für die geschäftliche Nutzung. Als zusätzliche Mitarbeitermotivation darf das Gerät auch privat genutzt werden. Diese Strategie ist beispielsweise sinnvoll, wenn Mitarbeiter keine privaten Geräte besitzen und eine BYOD-Strategie gar nicht umsetzbar ist.

COBO – Geräte für die ausschließlich berufliche Nutzung

Wie der Name schon sagt, ist bei „corporate owned, business only“ COBO die private Nutzung ausgeschlossen. Das Unternehmen besitzt das Gerät und stellt es seinen Mitarbeitern für die geschäftliche Nutzung zur Verfügung. Um die Akzeptanz zu erhöhen, kann das Konzept in ein CYOD erweitert werden.

Darauf sollten Sie bei der Umsetzung eines BYOD-Konzeptes achten

  1. Klären Sie Mitarbeiter über Rechte und Pflichten und die BYOD-Richtlinien auf
  2. Stellen Sie regelmäßige Aktualisierung von Betriebssystemen und Anwendungen sicher
  3. Regeln Sie unbedingt, welche Anwendungen für den Unternehmenseinsatz verwendet werden dürfen, um Lizenzrechtsverstöße auszuschließen
  4. Um BYOD zu administrieren, ist der Einsatz eines Mobile Device Managements oder Enterprise Mobility Managements hilfreich
  5. Schärfen Sie kontinuierlich das Bewusstsein Ihrer Mitarbeiter für die Bedeutung der IT-Sicherheit