Im Rahmen einer Kundenumfrage zum Thema «Smart Workplace» bei SmartIT Services AG in Bern wurden IT-Anwender und Verantwortliche im Mai 2019 gefragt, wie genau ein «smarter Workplace» auszusehen habe. Die Resultate in Stichworten:

• Devices: BYOD, freie Auswahl, Standard-Geräte sind out
• Personifiziert: Mein Arbeitsplatz, private Nutzung
• Security: Ist «per se» gewährleistet, alles möglich bei vollem Schutz, Plug & Play vorhanden
• Apps: Der User entscheidet, was er benötigt
• Support: Chat, 7*24

Diese Wünsche und Vorstellungen spiegeln eine neue IT-Nutzungskultur, die in heftigem Gegensatz zu einem traditionellen Client Management mit straffen Regeln, vorgegebenen Geräten und fix installierten Programmen steht.

BYOD – Kundenbedürfnisse, Wünsche, Vorstellungen, Vorteile und Trends sind vorhanden und erzeugen entsprechenden Handlungsdruck auf IT-Organisationen sowie Dienstleistungsfirmen, diese Technologie ihren Mitarbeitenden bereit zu stellen. Versucht sich eine interne IT vor diesem Trend vollständig abzuschotten, werden die Anwender kreative «Work Arounds» finden, um trotz vorhandener Einschränkungen zu ihren Wunsch-Arbeitsplätzen zu kommen. Unkontrollierbare Konstellationen mit entsprechenden Risiken werden die Folge davon sein. Es ist deshalb angezeigt, sich dieser Entwicklung zu stellen und passende Lösungen bereit zu stellen.

Zusammengefasst lassen sich folgende Motivatoren für die Nutzung von BYOD erkennen:

• «Consumerization», Bedienkomfort, Personifizierung
• Nutzerdruck, weil zu Hause «alles besser und einfacher läuft» – Steigerung der Nutzerzufriedenheit
• Geringere Schulungskosten, weil Anwender sein Gerät bereits von zu Hause «im Griff» hat
• Geschäftsleitung oder Marketing will eigenes «fancy» Gerät, nicht «Einheitsbrei» – Statussymbol
• Nur noch ein einziges Gerät pro Person, Reduktion von Gerätemenge und Lizenzen
• Kostenreduktion bezüglich Beschaffung, Setup und Wartung durch Wegfall firmeneigener Geräte
• Verzicht auf kostenintensive, wenig genutzte allgemeine Geräte wie z.B. in IT-Schulzimmern
• Vereinfachte Zusammenarbeit beispielsweise in temporären Teams auch mit externen Mitarbeitenden

Damit BYOD auch tatsächlich die genannten Vorteile ausspielen kann, sind verschiedene Rahmenbedingungen zu beachten und einzuhalten. Wird BYOD «chaotisch» zugelassen, bleiben die aufgeführten Pluspunkte aus. Für IT-Verantwortliche und Fachpersonen ist es deshalb unerlässlich, sich zu Beginn mit den Herausforderungen von BYOD auseinanderzusetzen, um anschliessend die für den eigenen Betrieb zugeschnittenen Begleitmassnahmen festzulegen, um BYOD passend und erfolgreich ein- und umzusetzen.

Mit BYOD stellen sich einer IT-Verwaltung die folgenden Anforderungen:

• Grenze Privat/Firma «verwischt»: Entsprechende Herausforderungen bezüglich Zuständigkeiten und Ausführung von Wartung, Verwaltung und Störungsbehebung der Geräte.
• Wildwuchs: Es sind unterschiedlichste Gerätetypen und Betriebssysteme im Einsatz mit entsprechenden Konsequenzen bezüglich Anwendungen und Zugriffsmöglichkeiten.
• Private Nutzung: Leistung und Speicherplatz wird auch für private Verwendung genutzt. Als Folge davon haben Business-Anwendungen und Firmendaten zu wenig Platz.
• Sicherheitslücken: BYOD-Geräte genügen oft den Business-Anforderungen bezüglich Security nicht! Einfallstor für Malware.
• Individuelle Pflege: Der Anwender ist selbst für Updates verantwortlich.
• Verlust des Gerätes: Firmenkritische oder sensitive Daten sind auf dem Gerät vorhanden. Es stellt sich die Frage, «wie abdichten?».
• Onboarding: Sichere und einfache Integration in Firmenumgebung sowie kontrollierte Bestückung mit Firmensoftware der privaten Geräte erforderlich.
• Sichere Anmeldung: Sichere und zweifelsfreie Authentifizierung der Anwender auf unterschiedlichen Devices verlangt.
• Rechtliche Aspekte: Firmendaten und private Informationen sind auf demselben Gerät vorhanden – Datenschutz, Haftung bei Beschädigung bzw. Verlust etc. müssen geregelt sein.

Damit sich die Vorteile von BYOD trotzt der aufgeführten Herausforderungen nutzen lassen, sind entsprechende Lösungsansätze gefordert. Dabei gilt wie auch in anderen Bereichen der IT, dass sich die Problematik nicht mit nur einem Tool und einigen technischen Vorkehrungen umfassend lösen lässt. Es sind Konzepte sowie technische und organisatorische Massnahmen (TOMs) notwendig, um die verlangte Stabilität und Sicherheit zu erreichen.

1. Strategie und Nutzungskonzept erarbeiten

Bevor irgendwelche Umsetzungsvarianten und technische Lösungen entworfen werden, muss für den Einsatz von BYOD eine klare Strategie mit zugehörigem Nutzungskonzept vorhanden sein:

• Wer soll und darf BYOD verwenden?
• Wozu soll und darf BYOD verwendet werden?
• BYOD-Nutzungsszenarien und Use Cases festlegen
• Abgrenzung, wo der Einsatz von BYOD nicht geeignet und erwünscht ist

Im Zusammenhang mit den genannten vier Punkten ist besondere Aufmerksamkeit darauf zu richten, welche Daten von welchen Geräten und Personen mit welchen Sicherheitsmechanismen zugreifbar gemacht werden sollen. Dazu sind eine Bestandesaufnahme der Firmendaten sowie eine zugehörige Klassifizierung dieser Inhalte zwingende Voraussetzung. Die Datenbestände sind also bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu beurteilen und einer vorher definierten Schutzkategorie zuzuordnen.

Aufgrund dieser Zuordnung lassen sich anschliessend die nötigen Anforderungen zum Beispiel an die sichere Authentifizierung der Anwender sowie Verschlüsselung und Sicherung der Daten festlegen. Diese Anforderungen müssen in geeigneter Weise durch technische und organisatorische Massnahmen rund um BYOD umgesetzt werden.

2. Wahl des technischen Lösungsansatzes

Sind Strategie, Nutzungsszenarien sowie Datenklassifizierung vorhanden, kann mit der Erarbeitung von technischen und organisatorischen Massnahmen bezüglich BYOD begonnen werden. Grundlegend ist auch bei dieser Technologie eine klare Trennung und «Abkapselung» von Zugriffen auf das Firmennetz und den darin vorhandenen Daten. Eine Vermischung von privaten und Firmendaten darf nicht erfolgen. Auch sind unkontrolliert vorhandene Zugriffsmöglichkeiten sowie Sicherheitslücken bezüglich Malware zu verhindern.

Bei einem traditionellen Client Management werden diese Anforderungen durch die Bereitstellung eines standardisierten, zentral verwalteten firmeneigenen Geräts mit restriktiv eingeschränkten Konfigurations- und Zugriffsmöglichkeiten erfüllt. Bei BYOD muss die erforderliche Trennung von Privat und Firma durch passende Massnahmen auf dem Gerät selbst erreicht werden. Eine «Abkapselung» ist also innerhalb des privaten Devices einzurichten.

Diese geforderte «Abkapselung» der Firmenumgebung auf den privaten Devices lässt sich grundsätzlich mit zwei unterschiedlichen Ansätzen erreichen:

• Auf dem eigenen Gerät wird durch eine Software ein streng getrennter und abgekapselter Bereich eingerichtet. Die dazu vorhandenen Produkte aus dem Bereich MDM (Mobile Device Management) sorgen dafür, dass der Austausch von Informationen zwischen geschäftlichen und privaten Daten innerhalb des Devices unterbunden wird. Auch sind mit MDM Lösungen die Firmendaten auf dem Gerät verschlüsselt. Bei Verlust des Devices lassen sich diese Daten remote löschen, sobald das Gerät irgendwie wieder online gebracht wird. Im gekapselten Bereich sind nur Apps vorhanden, welche durch die Firmen-IT bereitgestellt und eingerichtet werden. Eine solche per MDM verfügbare Kapselung ist vergleichbar mit einer Virtualisierung, die auf einer einzigen Hardware mehrere unabhängige, abgeschottete virtuelle PCs bereitstellt. Für den geschilderten Lösungsansatz wird auch der Begriff «Sandbox» verwendet.
• Die zweite Variante sieht vor, Firmendaten gar nicht erst auf dem privaten Device zu speichern. Stattdessen wird in einem Rechenzentrum oder in der Public Cloud ein «virtueller Desktop» bereitgestellt, über den auf Firmendaten und Anwendungen zugegriffen werden kann. Auf dem BYOD muss folglich «nur» eine gesicherte App installiert sein, die eine verlässliche Authentifizierung sowie eine isolierte Verbindung auf den Remote Desktop im RZ oder der Cloud bereitstellt. Dieser Lösungsansatz bringt es mit sich, dass nur mit einem online befindlichen BYOD gearbeitet werden kann. Im Gegenzug sind wie erwähnt keine Firmendaten auf dem Gerät des Anwenders vorhanden. Die Geschäftsdaten stehen bei diesem Lösungsansatz sogar unabhängig von Gerät und Ort zur Verfügung und können zuverlässig geschützt und gesichert werden. Der Zugang zum virtuellen Desktop lässt sich mit starken Authentisierungsmechanismen sowie verschlüsselter Übertragung der Remote Session passend absichern.

Ausgehend von diesen zwei grundsätzlichen technischen Ansätzen sind auch Mischformen oder Varianten mit Datenhaltung ausschliesslich in der Cloud möglich.

Hat man sich entweder für «Sandbox» oder «virtual Desktop» entschieden, geht’s an die detaillierte technische Konzeption und Umsetzung. Die Auswirkungen von BYOD auf die vorhandene IT Landschaft werden nun konkret sichtbar.

• Aus Erfahrung ist trotz Wahlfreiheit für die Anwender in der Mehrzahl der Fälle ein möglichst breiter Katalog an Geräten auszuarbeiten, welche für eine Nutzung in einem spezifizierten BYOD-Szenario geeignet sind, um MDM, Applikationsnutzung und Datenzugriffe gewährleisten zu können.
• Die passenden MDM (Mobile Device Management) Werkzeuge sind zu bestimmen. Wird bereits die Microsoft Cloud z.B. für Office 365 genutzt, ist die Verwendung von Microsoft Intune prüfenswert. Weitere bekannte Lösungsanbieter sind VMware mit Workspace ONE (vormals AirWatch), MobileIron UEM, Sophos Mobile «Secure Unified Endpoint Management» oder «Good for Enterprise». Diese Werkzeuge stellen unter anderem die verlangte «Kapselung» sowie Remote Verwaltung der Firmendaten bereit.
• Im Zusammenhang mit MDM ist der Ausrüstung der BYOD-Geräte mit Antimalware Software sowie der Kontrolle des Update Levels spezielle Aufmerksamkeit zu schenken.
• Für die vorgängig definierten Datenklassen sind die technischen Anforderungen wie Stärke der Benutzerauthentisierung, Verschlüsselung und zugriffsberechtigte Benutzergruppen festzulegen. Auch sind die rechtlichen Bedingungen pro Datenklasse zu bestimmen und daraus ergänzende technische Anforderungen abzuleiten. Sind beispielsweise Personendaten vorhanden hat das zur Folge, dass gemäss Datenschutzgesetz zusätzliche Schutzmassnahmen erforderlich werden.
• Sowohl für «Sandbox» wie auch «virtual Desktop» ist ein technischer Onboarding Mechanismus zu entwerfen, mit welchem der «Firmenteil» sowie allenfalls Grundkonfiguration, Virenschutz und Standardsoftware auf die BYOD-Geräte automatisiert aufgespielt und gepflegt werden kann. Auch die notwendige User Authentisierung ist in diesen Prozess einzubauen. Im Windows Umfeld ist der «Microsoft Autopilot» zur initialen Gerätekonfiguration ein prüfenswertes Werkzeug.
• Empfehlenswert ist auch die Schaffung von speziell abgesicherten Netzwerkzonen innerhalb des Firmennetzwerks, in welche die Nutzer mit BYOD-Geräten automatisch hinein verbunden werden.

Parallel zur technischen Ausrüstung sind auch die organisatorischen Massnahmen umzusetzen. Diese umfassen hauptsächlich Anliegen rund um Sicherheit und Governance (IT Führung und Prozesse):

• Die Anwender sind trotz BYOD technisch zu schulen und in die professionelle Nutzung ihrer Geräte einzuführen. Wichtig ist eine dauernde Sensibilisierung der Mitarbeitenden auf IT-Sicherheitsaspekte, speziell auch auf die sich mit der Nutzung von BYOD ergebenden Risiken und Abwehrmassnahmen.
• Für Beschaffung, Nutzung und Ausserbetriebnahme von BYOD-Geräten sind Arbeitsprozesse und Weisungen festzulegen. Ebenfalls geregelt werden muss das Vorgehen bei Verlust des Gerätes oder bei vermutetem Malwarebefall des Devices. Eine entsprechende Meldestelle innerhalb der Firma muss den Anwendern bekannt sein.
• Für die Mitarbeitenden muss eine verständliche BYOD-Weisung erstellt werden, worin ersichtlich ist, wie und in welchem Rahmen private Geräte für geschäftliche Zwecke genutzt werden dürfen. Dieses Dokument ist von jedem BYOD-Nutzer zu unterschreiben.

Ergänzend zu den erwähnten grundlegenden Technologien (MDM) und organisatorischen Massnahmen bieten sich im BYOD-Umfeld weitere technologische Möglichkeiten an, um den Einsatz dieser Geräte weiter zu optimieren:

• Informationssicherheit: Mit Produkten wie Microsoft Azure Information Protection (AIP) lässt sich die beschriebene Datenklassifizierung technisch unterstützen. Zugriffsrechte, erlaubtes Bearbeiten wie Drucken oder Modifizieren oder ein Ablaufdatum der Nutzung sind mit einzelnen Dateien zu verbinden. Pro Datenklasse lässt sich ein «Nutzungstemplate» mit den entsprechenden Möglichkeiten und Rechten erstellen. Diese Templates werden dem Anwender in Applikationen wie Word oder Outlook als Reiter bereitgestellt, so dass er darüber mit einem Mausklick die passenden Rechte zuordnen kann. Diese Rechte greifen anschliessend jederzeit und unabhängig vom Speicherort, das heisst also auch bei Versand einer Datei per Email oder Publikation auf einer Webseite bleiben die klassenspezifischen Eigenschaften erhalten und wirksam.
• Gerätebeschaffung und Wartung: Um dem Anwender Kauf, Service und Verwaltung seines BYOD-Geräts «Abzunehmen», bietet SmartIT Services AG das Produkt «Managed Modern Desktop» an. Damit kann beispielsweise eine KMU ihren Mitarbeitenden «persönliche Devices im Abo» anbieten: Beschaffung, MDM, Service und Support des persönlichen Geräts werden dabei durch den Dienstleister übernommen und sichergestellt.

BYOD bringt wie beschrieben wesentliche Veränderungen in eine IT-Landschaft hinein. Auch andere Technologien wie die Cloud oder neue Funktionalitäten durch Updates von Betrieb stellen neue Anforderungen an die zuständigen IT-Abteilungen. Entsprechend müssen Wissen und Fähigkeiten der IT-Mitarbeitenden Schritt halten. Mit den aktuellen Ausbildungen am IBAW in den Studiengängen ICT-System- und Netzwerktechniker/in mit eidg. Fachausweis erhalten IT Fachleute das nötige Rüstzeug, um für die genannten Herausforderungen sowohl technisch wie organisatorisch gewappnet zu sein. Informieren sie sich dazu online und nutzen sie die Möglichkeit eines persönlichen Beratunggesprächs.