Viele Unternehmen wissen nicht, welche Apps sich auf den mobilen Geräten befinden, die ihre Mitarbeiter an den Arbeitsplatz mitbringen. Sie können daher den Risiken, die solche unkontrollierten Apps mit sich bringen, nicht wirksam begegnen. Notwendig ist vor allem eine umfassende Bestandsaufnahme als Basis für ein konsistentes Device-Management.
BYOD gehört zu den wichtigen IT-Trends der letzten Zeit: Ob die Unternehmen es wahrhaben wollen oder nicht, die Mitarbeiter bringen immer öfter ihre eigenen Smartphones und Tablets mit an den Arbeitsplatz und verwenden sie dort für berufliche Aufgaben. Viele Unternehmen sind sich daher mittlerweile bewusst, dass ein umfassendes Geräte-Management unerlässlich ist.
Was dabei aber oft übersehen wird: Mit den Geräten kommen auch Apps unkontrolliert ins Unternehmen. Und dies gilt nicht nur für private Geräte, sondern auch für unternehmenseigene. Allerdings sind Apps nicht schon deshalb harmlos, weil sie klein sind und lustige Icons haben. Apps wie Facebook mögen vor allem Zeit-Killer sein, aber andere Anwendungen können sich sehr schnell als Compliance-Killer erweisen, wenn sie die Sicherheit und Integrität der Unternehmensdaten gefährden. Das gilt schon für vermeintlich simple Apps: Nicht nur das auf jedem Smartphone vorhandene Kontaktverzeichnis, auch ein Terminkalender oder ein Routen-Tracker erlauben, wenn sie von unbefugten Dritten ausgelesen werden, zum Beispiel Rückschlüsse auf Kundenkontakte und Vertriebsaktivitäten. Außerdem können Apps aus unsicheren Quellen jederzeit Schadsoftware ins Unternehmen bringen.
Um diese Risiken beurteilen zu können, müssen Unternehmen zuerst einmal wissen, welche Apps auf den beruflich genutzten Geräten der Mitarbeiter arbeiten. Ein umfassendes Assessment von Geräten und Apps ist deshalb die Voraussetzung, um zu entscheiden, welche Apps harmlos, welche riskant und welche gefährlich sind, und um ein konsistentes Device-Management durchzuführen. Tatsächlich aber – hat eine Untersuchung von Absolute Software ergeben – wissen die meisten Unternehmen nicht, welche Apps überhaupt in Gebrauch sind.
Auf Basis des Assessments muss eine Black-List erarbeitet werden, die den Anwendern verbindlich mitteilt, welche Apps sie auf keinen Fall benutzen dürfen. Korrespondierend sollte aber auch eine White-List erstellt werden, die den Mitarbeitern positiv mitteilt, welchen Kalender, welchen Messenger oder welches Hotelbuchungssystem sie gefahrlos benutzen können.
„Das eigentliche Risiko bei BYOD sind immer die unkontrollierten Apps, und deren Einsatz ist nicht auf private Systeme beschränkt, sondern betrifft alle mobilen Systeme“, sagt Margreet Fortuné, Regional Manager DACH, Benelux & Eastern Europe bei Absolute Software. „Die Unternehmen sollten die Risiken eines App-Wildwuchses frühzeitig und offen ihren Mitarbeitern kommunizieren, Vorkehrungen treffen und diese dann auch in den entsprechenden Richtlinien und Betriebsvereinbarungen berücksichtigen.“