BYOD („Bring Your Own Device“) bezieht sich auf die IT-Richtlinien des Unternehmens, die festlegen, wann und wie Mitarbeiter, Auftragnehmer und andere autorisierte Endbenutzer ihre eigenen Laptops, Smartphones und andere persönliche Geräte im Unternehmensnetzwerk verwenden können, um auf Unternehmensdaten zuzugreifen und ihre Aufgaben zu erfüllen.

BYOD kam mit der Einführung von iOS- und Android-Smartphones in den späten 2000er Jahren auf, als immer mehr Arbeitnehmer diese Geräte den damals üblichen, vom Unternehmen ausgegebenen Mobiltelefonen vorzogen. Die Zunahme von Telearbeit und hybriden Arbeitsvereinbarungen sowie die Öffnung von Unternehmensnetzwerken für Anbieter und Auftragnehmer beschleunigten die Notwendigkeit, die BYOD-Richtlinie über Smartphones hinaus zu erweitern. In jüngster Zeit zwangen die COVID-19-Pandemie – und die daraus resultierenden Engpässe bei Chips und Unterbrechungen der Lieferkette – viele weitere Unternehmen dazu, BYOD-Richtlinien einzuführen, damit neue Mitarbeiter arbeiten können, während sie auf ein vom Unternehmen ausgegebenes Gerät warten.

Die BYOD-Richtlinien, die in der Regel vom CIO und anderen hochrangigen IT-Entscheidungsträgern erstellt werden, definieren die Bedingungen, unter denen mitarbeitereigene Geräte am Arbeitsplatz genutzt werden können, sowie die Sicherheitsrichtlinien, die die Endnutzer bei der Nutzung dieser Geräte beachten müssen.

Die Einzelheiten einer BYOD-Richtlinie variieren zwar je nach den Zielen der BYOD-Strategie eines Unternehmens, aber die meisten Geräterichtlinien enthalten eine Variation der folgenden Punkte:

Zulässige Nutzung: BYOD-Richtlinien legen in der Regel fest, wie und wann Mitarbeiter persönliche Geräte für arbeitsbezogene Aufgaben nutzen dürfen. Die Richtlinien zur zulässigen Nutzung können beispielsweise Informationen zur sicheren Verbindung mit Unternehmensressourcen über ein virtuelles privates Netzwerk (VPN) und eine Liste zugelassener arbeitsbezogener Apps enthalten.

In den Richtlinien zur zulässigen Nutzung wird oft festgelegt, wie sensible Unternehmensdaten mit den Geräten der Mitarbeiter behandelt, gespeichert und übertragen werden müssen. Gegebenenfalls können BYOD-Richtlinien auch Datensicherheits- und Aufbewahrungsrichtlinien enthalten, die Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA), dem Sarbanes-Oxley Act und der General Data Protection Regulation (GDPR) entsprechen.

Erlaubte Geräte: In einer BYOD-Richtlinie kann festgelegt werden, welche Arten von privaten Geräten Mitarbeiter für Arbeitszwecke verwenden dürfen, und es können relevante Gerätespezifikationen festgelegt werden, z. B. die Mindestversion des Betriebssystems.

Sicherheitsmaßnahmen: BYOD-Richtlinien legen in der Regel Sicherheitsstandards für die Geräte der Mitarbeiter fest. Diese können Mindestanforderungen für Passwörter und Zwei-Faktor-Authentifizierung, Protokolle für die Sicherung sensibler Daten und Verfahren für den Fall, dass ein Gerät verloren geht oder gestohlen wird, umfassen. Die Sicherheitsmaßnahmen können auch Sicherheitssoftware vorschreiben, die die Mitarbeiter auf ihren Geräten installieren müssen, z. B. Mobile Device Management (MDM) oder Mobile Application Management (MAM). Auf diese BYOD-Sicherheitslösungen wird im Folgenden näher eingegangen.

Datenschutz und Berechtigungen: In BYOD-Richtlinien wird in der Regel dargelegt, welche Maßnahmen die IT-Abteilung ergreift, um die Privatsphäre der Mitarbeiter auf ihren Geräten zu schützen, einschließlich der Frage, wie das Unternehmen die Trennung zwischen persönlichen Daten der Mitarbeiter und Unternehmensdaten aufrechterhält. In der Richtlinie können auch die spezifischen Berechtigungen aufgeführt sein, die die IT-Abteilung für das Gerät des Mitarbeiters benötigt, einschließlich bestimmter Software, die installiert werden muss, und Apps, die kontrolliert werden müssen.

Rückerstattung: Wenn das Unternehmen den Mitarbeitern die Nutzung ihrer persönlichen Geräte erstattet, z. B. durch einen Zuschuss für den Kauf von Geräten oder die Subventionierung von Internet- oder mobilen Datentarifen, wird in der BYOD-Richtlinie festgelegt, wie die Erstattung gehandhabt wird und welche Beträge die Mitarbeiter erhalten können.

IT-Unterstützung: In der BYOD-Richtlinie kann festgelegt werden, inwieweit die IT-Abteilung eines Unternehmens den Mitarbeitern bei der Behebung von Problemen mit defekten oder nicht ordnungsgemäß funktionierenden persönlichen Geräten zur Verfügung steht (oder nicht).

Ausgliederung: Schließlich legen BYOD-Richtlinien in der Regel die Schritte fest, die zu befolgen sind, wenn ein Mitarbeiter das Unternehmen verlässt oder sein Gerät aus dem BYOD-Programm abmeldet. Diese Ausstiegsverfahren umfassen häufig Pläne für die Entfernung sensibler Unternehmensdaten vom Gerät, den Entzug des Gerätezugriffs auf Netzwerkressourcen und die Stilllegung des Benutzer- oder Gerätekontos. 

BYOD-Programme werfen Fragen zur Gerätesicherheit auf, die IT-Abteilungen bei firmeneigenen Geräten oft nicht oder nur in geringerem Maße begegnen. Hardware- oder Systemschwachstellen in den Geräten der Mitarbeiter könnten die Angriffsfläche des Unternehmens vergrößern und Hackern neue Möglichkeiten bieten, in das Unternehmensnetzwerk einzudringen und auf sensible Daten zuzugreifen. Mitarbeiter können auf privaten Geräten ein riskanteres Surf-, E-Mail- oder Messaging-Verhalten an den Tag legen, als sie es mit einem vom Unternehmen zur Verfügung gestellten Gerät wagen würden. Malware, die den Computer eines Mitarbeiters aufgrund seiner privaten Nutzung infiziert, kann sich leicht auf das Unternehmensnetzwerk ausbreiten.

Bei vom Unternehmen ausgegebenen Geräten kann die IT-Abteilung diese und ähnliche Probleme vermeiden, indem sie die Geräteeinstellungen, Konfigurationen, Anwendungssoftware und Berechtigungen direkt überwacht und verwaltet. Es ist jedoch unwahrscheinlich, dass IT-Sicherheitsteams die gleiche Kontrolle über die persönlichen Geräte der Mitarbeiter haben. Abgesehen davon wären die Mitarbeiter wahrscheinlich nicht begeistert von dieser Art der Kontrolle. Im Laufe der Zeit haben sich die Unternehmen einer Reihe anderer Technologien zugewandt, um die Sicherheitsrisiken von BYOD zu mindern.

Virtuelle Desktops

Virtuelle Desktops – auch bekannt als virtuelle Desktop-Infrastruktur (VDI) oder Desktop as a Service (DaaS) – sind vollständig bereitgestellte Desktop-Computing-Instanzen, die auf virtuellen Maschinen laufen, die auf Remote-Servern gehostet werden. Die Mitarbeiter greifen auf diese Desktops zu und führen sie im Wesentlichen aus der Ferne über ihre persönlichen Geräte aus, in der Regel über eine verschlüsselte Verbindung oder ein VPN.

Bei einem virtuellen Desktop findet alles am anderen Ende der Verbindung statt – es werden keine Anwendungen auf dem persönlichen Gerät installiert und es werden keine Unternehmensdaten auf dem persönlichen Gerät verarbeitet oder gespeichert, wodurch die meisten Sicherheitsbedenken im Zusammenhang mit persönlichen Geräten ausgeräumt werden. Virtuelle Desktops können jedoch teuer in der Bereitstellung und Verwaltung sein. Da sie von einer Internetverbindung abhängig sind, gibt es für die Mitarbeiter keine Möglichkeit, offline zu arbeiten.

Cloud-basierte Software-as-a-Service (SaaS) kann einen ähnlichen Sicherheitsvorteil mit weniger Verwaltungsaufwand, aber auch etwas weniger Kontrolle über das Verhalten der Endbenutzer bieten.

Lösungen für das Gerätemanagement

Bevor BYOD eingeführt wurde, verwalteten Unternehmen die vom Unternehmen ausgegebenen mobilen Geräte mit Hilfe von MDM-Software (Mobile Device Management). MDM-Tools geben Administratoren die volle Kontrolle über die Geräte: Sie können Anmelde- und Datenverschlüsselungsrichtlinien durchsetzen, Unternehmensanwendungen installieren, App-Updates bereitstellen, den Standort des Geräts verfolgen und ein Gerät sperren und/oder löschen, wenn es verloren geht, gestohlen wird oder anderweitig gefährdet ist.

MDM war eine akzeptable Lösung für die Verwaltung mobiler Geräte, bis die Mitarbeiter begannen, ihre eigenen Smartphones am Arbeitsplatz zu verwenden, und sich schnell dagegen sträubten, den IT-Teams dieses Maß an Kontrolle über ihre persönlichen Geräte, Apps und Daten zu gewähren. Seitdem sind neue Lösungen für das Gerätemanagement aufgetaucht, da sich die Benutzer persönlicher Geräte und die Arbeitsweise der Mitarbeiter verändert haben:

Mobiles Anwendungsmanagement (Mobile Application Management, MAM): Anstatt das Gerät selbst zu kontrollieren, konzentriert sich MAM auf die Verwaltung von Anwendungen und gibt IT-Administratoren nur die Kontrolle über Unternehmensanwendungen und -daten. MAM erreicht dies häufig durch Containerisierung, also die Schaffung sicherer Enklaven für Unternehmensdaten und -anwendungen auf persönlichen Geräten. Durch die Containerisierung hat die IT-Abteilung die vollständige Kontrolle über die Anwendungen, Daten und Gerätefunktionen innerhalb des Containers, kann aber die persönlichen Daten oder Geräteaktivitäten des Mitarbeiters außerhalb des Containers nicht berühren oder gar sehen.

Mobilitätsmanagement für Unternehmen (Enterprise Mobility Management, EMM): Als die BYOD-Beteiligung zunahm und sich über Smartphones auf Tablets und über Blackberry OS und Apple iOS auf Android ausdehnte, hatte EMM Schwierigkeiten, mit all den neuen, im Besitz der Mitarbeiter befindlichen Geräten Schritt zu halten, die in Unternehmensnetzwerken eingeführt wurden. Um dieses Problem zu lösen, kamen bald Tools für das Enterprise Mobility Management (EMM) auf. EMM-Tools vereinen die Funktionen von MDM, MAM und Identitäts- und Zugriffsmanagement (IAM) und bieten IT-Abteilungen eine einzige Plattform und einen einzigen Überblick über alle persönlichen und unternehmenseigenen mobilen Geräte im Netzwerk.

Unified Endpoint Management (UEM). Der einzige Nachteil von EMM bestand darin, dass es keine Microsoft Windows-, Apple MacOS- und Google Chromebook-Computer verwalten konnte – ein Problem, das mit der Ausweitung von BYOD auf Mitarbeiter und Dritte, die remote mit ihren eigenen PCs arbeiten, entstand. UEM-Plattformen sind entstanden, um diese Lücke zu schließen, indem sie die Verwaltung von Mobil-, Laptop- und Desktop-Geräten in einer einzigen Plattform zusammenführen. Mit UEM können IT-Abteilungen IT-Sicherheitstools, Richtlinien und Workflows für alle Arten von Geräten mit beliebigen Betriebssystemen verwalten, unabhängig davon, von wo aus die Verbindung hergestellt wird.

Die am häufigsten genannten Vorteile von BYOD für die Organisation sind:

• Kosteneinsparungen und geringerer IT-Verwaltungsaufwand: Der Arbeitgeber ist nicht mehr für den Kauf und die Bereitstellung von Geräten für alle Mitarbeiter verantwortlich. Für Unternehmen, die in der Lage sind, BYOD für die meisten oder alle Mitarbeiter einzuführen und erfolgreich zu verwalten, können diese Einsparungen erheblich sein.
  
  
• Schnelleres Onboarding von neuen Mitarbeitern: Mitarbeiter müssen nicht mehr auf ein vom Unternehmen zur Verfügung gestelltes Gerät warten, um mit der Arbeit an arbeitsbezogenen Aufgaben beginnen zu können. Dies war besonders wichtig bei den jüngsten Engpässen bei Chips und anderen Unterbrechungen der Lieferkette, die ein Unternehmen daran hindern können, den Mitarbeitern rechtzeitig zum Arbeitsbeginn Computer zur Verfügung zu stellen.
  
  
• Höhere Mitarbeiterzufriedenheit und Produktivität: Einige Mitarbeiter ziehen es vor, mit ihren eigenen Geräten zu arbeiten, die sie vertrauter oder leistungsfähiger finden als die vom Unternehmen zur Verfügung gestellten Geräte.

Diese und andere Vorteile von BYOD können durch Herausforderungen und Kompromisse für Arbeitnehmer und Arbeitgeber ausgeglichen werden:

• Bedenken der Mitarbeiter hinsichtlich des Datenschutzes: Mitarbeiter machen sich möglicherweise Sorgen über die Einsicht in ihre persönlichen Daten und Aktivitäten und fühlen sich unwohl, wenn sie von der IT-Abteilung vorgeschriebene Software auf ihren persönlichen Geräten installieren.
  
  
• Begrenzte Bewerberpools, Bedenken hinsichtlich der Eingliederung: Wenn BYOD verpflichtend ist, können Personen, die sich keine angemessenen persönlichen Geräte leisten können oder diese nicht besitzen, von der Auswahl ausgeschlossen werden. Außerdem ziehen es manche Menschen vielleicht vor, nicht für ein Unternehmen zu arbeiten, das von ihnen verlangt, ihren privaten Computer zu benutzen, unabhängig davon, ob der Arbeitgeber ihnen die Kosten erstattet oder nicht.
  
  
• Verbleibende Sicherheitsrisiken: Selbst wenn BYOD-Sicherheits- und Gerätemanagementlösungen vorhanden sind, halten sich Mitarbeiter nicht immer an die bewährten Verfahren zur Cybersicherheit (z. B. gute Passworthygiene, physische Gerätesicherheit) auf ihren persönlichen Geräten, was Hackern, Malware und Datenschutzverletzungen Tür und Tor öffnet.
  
  
• Probleme mit der Einhaltung gesetzlicher Vorschriften: Arbeitgeber im Gesundheitswesen, im Finanzwesen, in der Regierung und in anderen stark regulierten Branchen können aufgrund strenger Vorschriften und kostspieliger Strafen im Zusammenhang mit dem Umgang mit sensiblen Informationen BYOD möglicherweise nicht für einige oder alle Mitarbeiter einführen.