Darf man, oder darf man nicht? Diese Frage bewegt zurzeit die Gemüter in IT-Abteilungen rund um den Globus, und der Stachel sitzt tief. Da denken sich die Fachleute ausgeklügelte Sicherheitsstrategien aus, um die Firmendaten vor fremdem Zugriff zu schützen und böse Hacker am Eindringen in empfindliche Rechnersysteme zu schützen. Laptops werden mit teurer Sicherheits-Software ausgerüstet, alle kriegen einheitliche Firmen-Handys mit Fernwartungsfunktion, damit ja nichts schief gehen kann. Und dann kommt der Chef mit einem nagelneuen iPad von Apple ins Büro und freut sich darüber wie ein kleines Kind. Versuchen Sie mal, dem sein Spielzeug wegzunehmen: Eher schmeißt er Sie raus, als das er loslässt.
In der IT-Sicherheit gelten leider zweierlei Maß. Selbst wenn sich ein Unternehmen verbindliche Sicherheitsrichtlinien gegeben hat (was selten genug vorkommt!), so nehmen sich die Führungskräfte regelmäßig das Recht heraus, sie in ihrem speziellen Fall für unwirksam zu erklären. Schöne Vorbilder sind das…
Und es wird immer schlimmer: Inzwischen bringt ja jeder sein eigenes Gerät zur Arbeit mit. Wer will denn schon den klobigen Hobel haben, den die Firma über den Zentraleinkauf besorgt und an die Mitarbeiter verteilt hat. Da benützt man schon viel lieber sein schickes neues Smartphone, zumal man damit ja dank Flatrate mehr oder weniger umsonst telefonieren oder im Internet surfen kann. Wer will schon auf Opas Dampf-Computer arbeiten, wenn man doch daheim einen eleganten Laptop oder Notebook-Computer sein Eigen nennt?
„BYOD“ heißt dieser Trend in Amerika. Das ist die Abkürzung für „Bring Your Own Device“ – bring die eigene Kiste mit ins Geschäft. Anfangs haben sich die Netzwerkschützer noch gegen die Welle zu stemmen versucht, aber inzwischen haben sie mehr oder weniger aufgegeben – sie ist einfach nicht zu stoppen. Zumal der Anstoß dazu ja oft von ganz oben kommt, wie gesagt.
Das Problem ist aber, dass Privatgeräte wie Smartphones oder iPads ein ziemliches Sicherheitsrisiko sind, weil der Mitarbeiter erstens damit vertrauliche Daten an der Firewall vorbei nach außen senden können und sie zweitens in aller Regel schlechter geschützt sind als ein Firmenrechner, der meistens von den Kollegen aus der IT-Abteilung mit Sicherheits- und System-Updates auf dem neuesten Stand gehalten werden.
Nicht, dass es keine technischen Lösungen für das Problem geben würde. Neulich führte mir einer von SAP „Afaria“ vor, das von der SAP-Tochter Sybase angeboten wird, die sich als „Marktführer im Bereich Management und Sicherheit mobiler Geräte“ bezeichnen. Angeblich ist es ganz egal, was für ein Gerät der Mitarbeiter verwenden will: Afaria gibt der IT-Abteilung die Möglichkeit, Anwendungen und Inhalte aufzuspielen oder zu entfernen, , ohne dass Benutzer irgendetwas tun muss.
Aber darf sie das auch? Immerhin gehört das Gerät ja mir und nicht der Firma, auch wenn der Arbeitsgeber unter Umständen einen Zuschuss für die Anschaffung beigesteuert hat, wie das in Amerika inzwischen üblich ist. Aber was ist, wenn ich nicht erlauben will, dass einer sich im meinem privaten, aber dienstlich genutzten Smartphone zu schaffen macht? Kann mein Arbeitgeber mich dazu zwingen? Und was sagt der Betriebsrat dazu? Das sind alles Fragen, die im Zeitalter von BYOD noch keineswegs ausdiskutiert sind. Es kann also noch ganz schön spannend werden.