BYOD – Privat oder nicht privat

byod - privat oder nichtDie Frage, wie man mit durch den Anwender mitgebrachten Geräten im Unternehmen umgehen soll, bleibt spannend.

Gerade bin ich wieder auf einen Artikel gestoßen und muss meine Einschätzung dazu noch einmal deutlich kundtun.

Der Artikel dreht sich nämlich darum, welche Maßnahmen der Systemadministrator in einer Firma ergreifen muss, damit man Android 4-Mobilgeräte im Unternehmen einsetzen kann.

Leider setzt der Artikel aus meiner Sicht am völlig falschen Punkt an und geht auf die wichtigsten Aspekte gar nicht ein. (Stichwort BYOD)


Nehmen wir uns einmal ein paar Stellen des Artikels heraus und betrachten sie genauer.

Der Aufmacher

„Seit zunehmend private Geräte in die Unternehmens-IT eingebunden werden (müssen), müssen Admins auch Android entsprechend integrieren.“

rückt einen wichtigen Aspekt nach vorne. Und das ist weder der Admin, noch die Sicherheit oder das Betriebssystem Android. Es geht im Grunde um den Sachverhalt PRIVATER Geräte.

Eigentlich müsste an diesem Punkt der gefundene Artikel schon zu Ende sein.

Denn was hat ein Firmen-Administrator an einem privaten Gerät eines Beschäftigten zu schaffen? Aus meiner Sicht nichts. Sobald ein privates Gerät durch die Unternehmens-IT gepflegt wird, ergeben sich weitgehende Pflichten zur Beachtung der Persönlichkeitssphäre des Anwenders.

Aber nehmen wir einmal an, dem wäre nicht so und der Administrator des Unternehmens sorgt für Zusatzsoftware, die den Betrieb eines Android 4-Geräts im internen Netzwerk absichert.

Der Artikel geht im ersten Teil kurz auf die unterschiedliche Systemausstattung bei Android-Geräten ein. Aber warum erfolgt dann keine klare Warnung, das hier die nächste Falle lauert?

Neben den noch immer breit gestreuten Systemversionen muss klar auch deutlich verschiedene Hardware erwähnt werden. Wir reden zum Beispiel über völlig unterschiedliche Speicherausstattung der Geräte. Schon da schafft man es locker, so manches Gerät bis zur Unbedienbarkeit zu verändern, da die ganze Zusatzsoftware den knappen Speicher frisst.

Von Dingen wie den verschiedenen Konzepten externe Speicherkarten einzubinden und das Verschieben von Apps aus dem internen Speicher auf die Speicherkarte, möchte ich hier gar nicht eingehen.

Sehen wir uns einmal die weiteren Empfehlungen des Artikels an.

Im zweiten Teil geht es los mit dem eigentlich richtigen Ansatz. Nämlich der Anbindung per VPN ans Firmennetz. Hier wird eine Drittsoftware empfohlen, obwohl Android ab Werk eine eingebaute VPN-Lösung mitbringt. Auch das damit mögliche Synchronisieren mit Exchange ist zumindest auf den mir bekannten Geräten mit an Bord.

Weiter geht es dann mit einem Teil, der das überarbeitete Design der Benutzeroberfläche lobt und mit Tipps wie man das Datenvolumen kontrolliert.

Aha. Und damit setzen wir als problembewusster Administrator jetzt das BOY-Device professionell ein?

Meine Meinung: Gut das die Veröffentlichung des Artikels keinen Baum gekostet hat.

Da fehlen aus meiner Sicht ein paar wichtige Aspekte.

Was ist mit einem aktuellen Virenscanner auf dem Gerät? Gerade für Android gibt es da so einiges. Ein sicherheitsbewusster Admin lässt doch kein Mobilgerät ins interne LAN, das über keinerlei Virenschutz verfügt. Selbst wenn es nicht selbst aktiv die Schadsoftware verteilt, kann es doch dazu dienen als „Wirtstier“ den Schadcode nach innen zu transportieren. Die per Bluetooth übertragene „PowerPoint“-Datei kann da ganz gewaltig etwas auslösen.

Es wird kurz auf „ActiveSync“-Richtlinien eingegangen. Was ist mit einem Hinweis auf die Verknüpfung mit Google? Wo ist der Hinweis auf Systeme wie OwnCloud oder gar ganz normale IMAP-Mailserver? Wo ist der Hinweis zu APG, was eine PGP/GPG-kompatible Verschlüsselung unter Android möglich macht?

Warum fehlt im Artikel der Hinweis, mitgebrachte Geräte in eine separate WLAN Zone zu sperren und diese dann per VPN und Firewall sauber abzugrenzen vom internen LAN?

Ich habe eigentlich einen sachlichen Artikel erwartet, der nicht fundamentale Aspekte einer Sicherheitsarchitektur im Unternehmen einfach weg lässt. Denn dies gehört an erster Stelle zu einem professionellen Einsatz im Unternehmen!

Virenscanner und demilitarisierte Zonen sind doch genau für derartige, meist unkalkulierbare Risikogeräte ersonnen worden. Und damit sind wir wieder an dem Punkt, den der Artikel schon anfangs schnell fallen lässt.

BYOD funktioniert nur mit klarer Definition der Grenzen von Privat und Firma.

Das beginnt bei einer klaren organisatorischen Trennung zwischen beiden Bereichen. Ich kann und darf als Firma nicht so ohne weiteres über das private Eigentum des Mitarbeiters verfügen. Natürlich geht das auf freiwilliger Basis. Ohne eine saubere Definition einer Security- oder Acceptable-Use-Policy wird das aber kaum gelingen. Und selbst dann bleiben noch genug arbeitsrechtliche Fallen.

Aus technischer Sicht gibt es durchaus gangbare Ansätze BYOD vernünftig aufzusetzen. Es kann und darf bei der Überschrift „Android 4 im Unternehmen einsetzen“ aber nicht primär darum gehen, eine verbesserte Benutzeroberfläche und die Überwachung von Datenvolumina derart in den Vordergrund zu schieben. Das hat nicht wirklich mit dem Thema „Android 4 im Unternehmen einsetzen“ zu tun. Das nennt sich „Usability“.


Mein Autorenprofil bei Google
IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen