Die Verwendung von mobilen Geräten zur Steuerung und Durchführung von Geschäftsprozessen bedarf einer genauen Planung. Geräte, Apps und Zugriffsberechtigungen sind zu managen. Auch das Thema Datenschutz ist zwingend zu beachten.

Im ersten Teil der Artikelserie haben wir uns mit den Zielen, der Notwendigkeit und den sich daraus ergebenden Chancen der Digitalisierung durch Mobile Computing beschäftigt. Im vorliegenden zweiten Teil geht es nun um die Schaffung der technischen und organisatorischen Voraussetzungen. In Theorie und Praxis werden die sich daraus ergebenden Fragen unter dem Stichwort Enterprise Mobility Management zusammengefasst. Dieser Begriff ist gewissermaßen eine große Klammer um eine Reihe von Einzelthemen. Beginnen wir mit einem Überblick.

EMM – Enterprise Mobility Management

Das mobile Arbeiten in Unternehmen (Enterprise Mobility) erfordert es, dass man die damit einhergehenden Aufgaben professionell bearbeitet. Diese werden unter dem Begriff Enterprise Mobility Management (EMM) zusammengefasst und umfassen die folgenden Aspekte: Mobile Application Management (MAM), Mobile Device Management (MD), Mobile Content Management (MCM) und Mobile Expense Management (MEM) (Abb. 1).

Das Hauptthema des EMM ist der Schutz der Unternehmensdaten vor einem unberechtigten Zugriff. Durch die mobile Arbeitsweise werden Unternehmensprozesse durch die Mitarbeiter mit Hilfe von Smartphones und Tablets von außen gesteuert. Dabei befinden sich die Mitarbeiter also außerhalb der Gebäude und damit des „Schutzbereichs“ des Unternehmens. Durch ein Verschmelzen von privaten Aktivitäten und der Arbeitswelt entstehen im Bereich des Datenschutzes neue Herausforderungen. Neben dem Schutz der Unternehmensdaten muss auch die Privatsphäre der Mitarbeiter jederzeit gewährleistet werden. Mit anderen Worten: Man kann als Unternehmen aus diesem Grund auch nicht ohne Weiteres auf die Geräte der Mitarbeiter zugreifen, ohne sicherzustellen, dass private Daten wie zum Beispiel E-Mails, Fotos, Inhalte der sozialen Netzwerke usw. geschützt sind. Eine zentrale Rolle des EMM betrifft die Administration der mobilen Geräte.

MDM – Mobile Device Management

Das Mobile Device Management (MDM) beschäftigt sich mit der zentralisierten Verwaltung mobiler Endgeräte wie Tablets, Smartphones, Laptops oder Notebooks (Abb. 2).

Dabei wird auf unterschiedliche Hard- und Softwarelösungen gesetzt. Eine umfassende MDM-Lösung muss eine Reihe von Anforderungen erfüllen:

• Inventarisierung der Geräte: Mit welchen Geräten arbeiten die Mitarbeiter? Nicht mit jedem beliebigen Gerät darf man von außen auf die Unternehmens-IT zugreifen. Geräte sind aktiv zu registrieren und für die Verwendung zuzulassen. Richtlinien, Profile und Zertifikate sollten zentral in einer Konsole konfiguriert werden können. Dazu müssen registrierte Geräte auch den jeweiligen Nutzern zugeordnet werden.

• Datenschutz: Sicherstellung einer Trennung von beruflichen und privaten Daten. Dabei sind die Vorschriften der Datenschutzgrundverordnung (DSGVO) einzuhalten. Umsetzung von spezifischen BYOD-Konzepten (siehe unten).

• Zugriffsberechtigungen über Netzwerke: Mobile Geräte werden üblicherweise über WLAN oder Mobilfunk in das Unternehmensnetzwerk eingebunden. Die Verbindungen sind auf technischer Ebene (Verschlüsselung, VPN usw.) bestmöglich abzusichern.

• Onboarding: Die Integration neuer Geräte muss möglichst unkompliziert erfolgen können. Mitarbeiter müssen das möglichst eigenständig durchführen können.

• Plattformübergreifender Ansatz: Die MDM-Lösung soll die Integration aller gängigen Betriebssysteme wie iOS, Android, Windows, Linux usw. ermöglichen. Je breiter das Spektrum der zu unterstützenden Gerätekategorien (Smartphone, Tablet, Notebook) ist, desto mehr Betriebssysteme sind auch zu unterstützen.

• Anforderungen an die Administration: Die Benutzeroberfläche des Systems zur Administration muss intuitiv sein und die Arbeit der Administratoren erleichtern. Das MDM-System muss eine effiziente mobile Arbeitsweise fördern und keine zusätzlichen Hürden aufbauen.

• Sicherheit: MDM-Lösungen müssen sicherstellen, dass die Endgeräte mit aktuellen und den Unternehmensrichtlinien entsprechenden Betriebssystemen ausgestattet sind. Sicherheitsrisiken durch Schwachstellen in veralteten Betriebssystemen oder durch das Rooten und Jailbreaken der Software sollten zuverlässig ausgeschlossen werden. Zudem lassen sich per MDM Policies auf den Mobilgeräten durchsetzen, die es erfordern, dass die Geräte vor jeder Nutzung durch den Anwender per PIN oder andere Mechanismen zu entsperren sind.

• Datensicherung: Es muss eine Strategie für die Sicherung der Daten erarbeitet werden. Daten auf den Endgeräten sind regelmäßig zu sichern. Datenverluste durch defekte oder verloren gegangene Mobilgeräte lassen sich durch solche Back-ups verhindern. Kommt ein Gerät tatsächlich abhanden (Diebstahl, Verlust), sorgt das MDM durch verschiedene Optionen für die Sicherheit der Unternehmensdaten. Diese Optionen können das Sperren des Zugangs zu unternehmensinternen Daten, das komplette Sperren des Endgeräts für jegliche Nutzung oder das Löschen aller Daten auf dem Endgerät sein.

• Kostenkontrolle: MDM-Lösungen sollten in der Lage sein, Verbindungen zu überwachen. Mit Hilfe von automatischen Benachrichtigungen kann das Überschreiten von vereinbarten Kostenschwellen und Datenvolumina angezeigt werden. Gerade wenn mit den mobilen Geräten über Mobilnetze gearbeitet wird, kann es sich um eine wichtige Funktion handeln. Die Übertragung von umfassenden Unternehmensdaten kann große Mengen an Datentransfer verursachen. Im Bereich der Mobilfunknetzte gibt es bei den meisten Providern auch für die unternehmerische Nutzung Obergrenzen für einen Datentransfer.

Zusammengefasst: Die MDM-Lösung ist für alle Aufgaben zuständig, die sich mit der Administration der Geräte beschäftigen. Es geht also um die Hardware, mit der die Mitarbeiter mobil arbeiten möchten.

Im nächsten Schritt geht es um die Administration der Software, die auf den mobilen Geräten läuft.

MAM – Mobile Application Management

Mobile Application Management (MAM) ist für die Bereitstellung und Verwaltung der Unternehmenssoftware auf den mobilen Geräten zuständig (Abb. 3). Es geht also um die Administration der Apps. Nach der Zulassung eines Geräts zur mobilen Verwendung in Unternehmen (MDM), muss entschieden werden, mit welchen Apps auf ihm gearbeitet wird. Dabei geht es um die Bereitstellung der Software, die Lizenzierung der Applikationen und die Konfiguration. Unternehmen sehen i. d. R. eine begrenzte Auswahl von Applikationen vor, die eingesetzt werden. Diese Applikationen müssen vorschriftsmäßig lizenziert werden. Es ist nicht zielführend, dass den Mitarbeitern die Auswahl der Software vollständig selbst überlassen wird. Das kann zu unterschiedlichen Problemen führen. Beispielsweise stehen viele Apps und Software-Suits für eine nicht kommerzielle Nutzung, d. h. für den privaten Einsatz, kostenfrei zur Verfügung. Ebenso können Mitarbeiter nur über privat nutzbare Lizenzen von Software verfügen. Mit der betrieblichen Nutzung würde man gegen diese Lizenzbestimmungen verstoßen. Das Problem tritt gerade dann auf, wenn im privaten und betrieblichen Umfeld die gleiche Art von Software und Apps eingesetzt wird, zum Beispiel Office-Apps für die mobile Bearbeitung von E-Mails, Texten und Tabellen.

Damit man als Unternehmen die Möglichkeit hat, die Anwendungen auf den mobilen Geräten zu administrieren, muss man sie aus der Ferne installieren, verwalten, konfigurieren und löschen können. Zentraler Gegenstand des Mobile Application Managements ist die Bereitstellung eines benutzerdefinierten Appstores, der den Benutzern von der IT genehmigte Apps zur Verfügung stellt. Das können sowohl unternehmenseigene als auch Apps von Drittanbietern sein. Administratoren haben dadurch die Möglichkeit, den kompletten Application Lifecycle zu managen.

MCM – Mobile Content Management

Mobile Content Management (MCM) beschäftigt sich mit dem Bereitstellen, Verwalten, Kontrollieren und Sichern der Dokumente auf den mobilen Endgeräten (Abb. 4). Es muss zum Beispiel die Frage beantwortet werden, wo und in welcher Form die Dokumente abgelegt werden, wie man auf sie zugreifen kann und wie eine Synchronisation der mobil bearbeiteten Dokumente erfolgt. Einige Lösungen setzen vollständig auf die Cloud. Andere Systeme verwenden Middlewarelösungen, um das Backend für die mobilen Systeme an die bestehenden IT-Systeme (Daten-Repositories) anzubinden. Systeme für ein Mobile Content Management bringen auch immer häufiger Kollaborationsfunktionen mit sich. Damit können die Anwender zum Beispiel Dateien kommentieren, die sie gemeinsam mit Kollegen bearbeiten.

MEM – Mobile Expense Management

Das Mobile Expense Management (MEM) umfasst diejenigen Prozesse, mit denen eine Organisation die Kosten ihres mobilen Kommunikationsnetzwerks verwaltet. Durch das mobile Arbeiten sollen Unternehmensprozesse flexibler und moderner bearbeitet werden können. Mitarbeiter sollen befähigt werden, auch außerhalb der Räumlichkeiten des Unternehmens mit den Daten und der Software zu arbeiten. Mit anderen Worten: Die Arbeit soll von Zeit und Raum unabhängiger werden. Dadurch verspricht man sich Vorteile auf dem Markt. Diese flexible Arbeitsweise verursacht aber natürlich auch Kosten der unterschiedlichsten Art. Hardware (Smartphone, Tablet, Notebook) muss angeschafft, gewartet und ersetzt werden. Zudem muss Software lizenziert werden. Für die Nutzung von Clouddiensten fallen Gebühren an und die Datenübertragung verursacht ebenfalls einige Kosten, da i. d. R. Mobilfunknetze verwendet werden. Es gilt, alle anfallenden direkten und indirekten Kosten zu erfassen (Abb. 5).

Ab einer gewissen Größenordnung der mobilen Nutzung kann es schwierig werden, hier den Überblick zu behalten und ein aktives Kostenmanagement durchzuführen. Ein solches Kostenmanagement kann dazu führen, dass man für die mobile Nutzung bestimmte Grenzen bei den anfallenden Kosten pro Gerät oder Mitarbeiter definiert (Budget). Ein ideales mobiles Kostenmanagementsystem liefert fortlaufende Informationen zu Nutzung und Kosten für einzelne Netzwerkbenutzer, Abteilungen und das gesamte Personal. Das Programm kann den Führungskräften der Organisation helfen, Trends vorauszusehen und kurzfristige und mittelfristige zukünftige Bedürfnisse vorherzusagen. Ebenso können Abrechnungsfehler durch Kommunikationsdienstleister aufgedeckt werden. Letztendlich dient das mobile Kostenmanagementsystem dazu, die Kommunikationsfähigkeit zwischen den Mitarbeitern und für die gesamte Organisation auf Dauer aufrecht zu halten. Zudem kann missbräuchliche Verwendung des mobilen Systems durch die Mitarbeiter verhindert werden. Das Mobile Expense Management ist Teil des umfassenden Programms des Enterprise Mobility Management. Der Umfang ist individuell an die jeweiligen betrieblichen Anforderungen anzupassen und ggf. im Lauf der Zeit auch wieder neu zu justieren.

BYOD – Bring Your Own Device

Im Zusammenhang mit dem Thema Mobile Device Management muss man i. d. R. auch die Idee des Bring Your Own Device (BYOD) ansprechen. BYOD heißt, dass die Mitarbeiter ihre eigenen Geräte, d. h. Hardware, ggf. inklusive Software, mit ins Unternehmen bringen, um damit zu arbeiten (Abb. 6).

Oft verfügen die Mitarbeiter über moderne, leistungsfähige Notebooks, Tablets, Smartphones oder eine Flatrate für den mobilen Zugriff auf das Internet. Diese Voraussetzungen erscheinen perfekt für eine Nutzung zur Erledigung der Arbeitsaufgaben. Der Trend geht dabei immer mehr in Richtung leistungsfähiger Smartphones. Nicht alle Unternehmen sind jedoch von diesem Konzept überzeugt. Die Gründe für dieses Misstrauen sind vielfältig.

Die Vorteile dieses Ansatzes liegen auf der Hand: BYOD bedeutet zum einen eine große Wahlfreiheit hinsichtlich der nutzbaren Endgeräte, zum anderen aber auch die Übernahme der Verantwortung für die genutzten Geräte. Der Mitarbeiter muss, im Unterschied zu den Firmengeräten, ihre Funktionstüchtigkeit und damit seine eigene Arbeitsfähigkeit sicherstellen. Die bevorzugte Technik und die medial bekannten Marken können somit auch am Arbeitsplatz genutzt werden. Man weiß, dass eine gewohnte Arbeitsumgebung die Effektivität steigert und die Mitarbeiterzufriedenheit erhöht. Sehr positiv wirkt es sich aus, wenn das Unternehmen den Kauf der Geräte finanziell bezuschusst.

Die Unternehmen profitieren davon, dass sich die Mitarbeiter mit ihren eigenen Geräten sehr gut auskennen, dadurch reduzieren sich die Einarbeitungszeiten mit der neuen Hard- bzw. Software. Ein weiteres Argument für BYOD ist die hohe Transparenz und vereinfachte Kontrolle über die Zuordnung von Mitarbeitern und Geräten. Zusätzlich werden Einsparungen beim Einkauf von Geräten, ihrer Evaluierung, bei der Geltendmachung von Gewährleistungsansprüchen und der Beseitigung von Gerätefehlern erreicht. Doch die Vorzüge des BYOD-Ansatzes haben ihren Preis. Eine inhomogene IT-Infrastruktur führt zu zahlreichen Risiken, insbesondere zum Beispiel zu einem Sicherheitsrisiko durch unerwünschten Datenabfluss (Data Leakage). Es ist zu klären, inwieweit die Geräte der Mitarbeiter in das Mobile Device Management des Unternehmens eingebunden werden können. Zusätzlich ergeben sich organisatorische und rechtliche Fragen, zum Beispiel:

• Wer haftet Verlust/Beschädigung der Geräte?

• Was passiert, wenn Mitarbeiter durch ein nicht funktionierendes Gerät nicht arbeitsfähig sind?

• Wie werden die Kosten für Neuanschaffung und Wartung geteilt?

• Welche Kosten der laufenden Nutzung (Mobilfunkvertrag) trägt der Mitarbeiter, welche das Unternehmen?

• Sind steuerliche Aspekte zu berücksichtigen, d. h., hat der Mitarbeiter Vorteile durch die Nutzung von betrieblichen Geräten?

• Wie werden die lizenzrechtlichen Fragen bezüglich der eingesetzten Software geklärt?

Beachten wir also hierbei: BYOD ist oftmals ein Aspekt des Enterprise Mobility Managements. Hier wird bewusst der Umstand aufgegriffen, das Mitarbeiter für private und dienstliche Nutzung dieselben Geräte verwenden. Das ist kein gedankliches Szenario, sondern entspricht zunehmend der Wirklichkeit moderner Arbeitswelten. Private und berufliche Nutzung der Gerätetechnik verschmelzen miteinander. Mitarbeiter switchen fast nahtlos zwischen privaten Messages und dienstlichen E-Mails. Fast immer passiert das auf einem Gerät und sehr oft sogar innerhalb einer Software, zum Beispiel einem E-Mail-Programm.

Aus Sicht des Unternehmens muss man in einem ersten Schritt die grundsätzliche Vorgehensweise zum Thema BYOD definieren. Eine klare Positionierung ist in jedem Fall notwendig. Zum einen brauchen die Mitarbeiter einen klaren, rechtssicheren Rahmen, in dem sie sich bewegen, und zum anderen benötigen die IT-Verantwortlichen Anhaltspunkte, wie sie mit den auftretenden Fragen umgehen sollen. Folgende Handlungsszenarien sind auszumachen:

• Szenario „Nichts“: Das bedeutet, dass man innerhalb des Unternehmens bzw. innerhalb der Unternehmensnetze keinerlei privaten Geräte zulässt. In bestimmten sicherheitsrelevanten Bereichen kann diese Festlegung durchaus ihre Daseinsberechtigung haben. Öffentliche Verwaltungen werden sich beispielsweise auch in der nahen Zukunft noch sehr schwertun, Zugriff auf die äußerst sensiblen Sozialdaten ihrer Klienten außerhalb der offiziellen Büroräume zuzulassen. Die Vorteile liegen klar auf der Hand: Eine bestmögliche Sicherheit kann nur im eigenen Netz gewährleistet werden. Die Administration hat eine nahezu vollständige Kontrolle über die Server und Systeme. Insgesamt können somit die Anforderungen des Datenschutzes und der Datensicherheit am besten realisiert werden. Diese Sicherheit hat jedoch auch Nachteile, die insbesondere mit der Verhinderung flexibler Arbeit zu beschreiben sind. Ein mobiles Arbeiten der Anwender ist nicht möglich. Das Unternehmen kann den Mitarbeitern nicht die Möglichkeit bieten, mit vertrauter Hard- und Software arbeiten zu können; ggf. werden Potenziale bezüglich Motivation und guten „Arbeitsgefühls“ verschenkt. Insgesamt kann man mit dieser Strategie die allseits gestiegenen Anforderungen an Flexibilität und Variabilität in zeitlicher und inhaltlicher Sichtweise kaum noch erfüllen. Das Szenario „Nichts“ dürfte also nur noch in Ausnahmefällen zu begründen sein. Dabei muss man auch berücksichtigen, dass die Notwendigkeit einer solchen Stringenz auch für alle nachvollziehbar sein muss, ansonsten ist damit zu rechnen, dass sie früher oder später unterlaufen wird.

• Szenario „Alles“: Hier gibt es keine einschränkenden Richtlinien hinsichtlich der Benutzung privater Hard- und Software im Unternehmen. Der Anwender (Mitarbeiter) kann die Wahl des Endgeräts, die eingesetzten Applikationen und die Art und Weise des Datenzugriffs weitgehend frei bestimmen. Den Vorteil der hohen Flexibilität kauft man sich zu Lasten eines drastisch verminderten Sicherheitsstandards ein. Massiv sind dabei die Netzsicherheit, der Datenschutz und die Datensicherheit gefährdet. Diese Strategie kann selbst für kleinste Unternehmen nicht empfohlen werden.

• Szenario „BYOD“: Da die ersten beiden Szenarien nicht wirklich in der Praxis umsetzbar sind bzw. eine gewisse Flexibilität bei Gewährleistung eines Mindestmaßes an Sicherheit zu realisieren ist, gilt es, einen Mittelweg zu finden.

In den meisten Fällen dürfte es als darum gehen, wie ein solcher Mittelweg aussehen kann. Es gilt, eine gute organisatorische Regelung zu finden, um Mitarbeitern das Arbeiten mit eigenen Geräten zu ermöglichen und die damit verbundenen Vorteile abzugreifen. Gleichwohl müssen die Interessen des Unternehmens – an aller erster Stelle der Datenschutz – gewahrt bleiben.

Technisch kann eine BYOD-Strategie durch ein Enterprise Mobility Management umgesetzt werden. Wichtig ist es, festzustellen, dass man eine BYOD-Regelung aktiv angehen muss. Ignoriert man das Thema (keine Regelung), werden die Mitarbeiter gewissermaßen machen, was sie für richtig halten. Es entsteht ein „Wildwuchs“ in der IT. Der Datenschutz und andere Sicherheitsregeln sind dann kaum noch einzuhalten.

Zu BYOD gibt es jedoch Alternativen, sodass nicht gleich alle Ziele der Mitauswahl und Verwendung der Geräte durch die Mitarbeiter aufgeben werden müssen. In diesem Zusammenhang sind unbedingt die Strategien Choose Your Own Device (CYOD) und Corporate-owned, Personally Enabled (COPE) zu erwähnen. Einige Hinweise finden Sie in Tabelle 1.

Zur Auswahl des richtigen Systems

Eine Vielzahl von Anbietern und Lösungen macht die Auswahl der richtigen Lösung nicht einfach. Dennoch können einige Hinweise den Einstieg erleichtern:

• On-Premises- oder Cloudlösung: Cloud-Services haben i. d. R. günstigere Betriebskosten und binden wenig Kapital, da keine eigene Infrastruktur nötig ist. Auch um Support und Wartung müssen sich Kunden nicht selbst kümmern. Gleichzeitig setzt dieser Ansatz ein großes Vertrauen in die Zuverlässigkeit des Anbieters voraus. Auch hier ist der Datenschutz wieder Thema: Bei Cloudlösungen ist nach dem Speicherort der Daten zu fragen (Deutschland, EU, außerhalb der EU).

• Unterstützte Plattformen: Werden BYOD-Szenarien unterstützt, dann ist ein einheitlicher Gerätepark nicht denkbar. Hier sollte man darauf achten, dass alle zugelassenen Plattformen auch unterstützt werden.

• Referenzkunden/Fallstudien: Kann der Hersteller der EMM-Lösung auf erfolgreiche Kundenprojekte verweisen? Dabei sollten Größe (Anzahl der Geräte) und Komplexität der Lösung (Unterschiedlichkeit der Anforderungen) weitgehend übereinstimmen.

• Preise und Preismodelle: Wie setzen sich die Kosten der EMM-Lösung zusammen?

• Funktionsumfang: Werden die gewünschten Funktionen durch die Lösung unterstützt?

Anhand dieser Daten ist dann eine Vorauswahl möglicher EMM-Lösungen durchzuführen. Danach kann zum Beispiel über Testversionen ein geeigneter Kandidat für eine Pilotphase ausgewählt werden. Die Entscheidung für die passende EMM-Lösung ist auch eine Frage des Nutzungsumfangs. Die Branche, die Arbeitsweise und die Bereitschaft der Mitarbeiter haben einen Einfluss. Nicht sofort werden alle Mitarbeiter auf eine „mobile Welt“ umsteigen. Andererseits muss das System auch genügend Potenzial bieten, dass bei einer Ausweitung der mobilen Arbeit keine Engpässe entstehen. Ernst Tiemeyer sagt zum Beispiel, dass man die Mitarbeiter anhand ihrer Position und Funktion im Unternehmen mit Blick auf die mobile Nutzung einteilen kann [6]. So werden folgende Personengruppen unterschieden:

• Management: stetiger Bedarf an aktuellen Unternehmensinformationen verschiedener Art

• Beschäftigte mit hohem Unterstützungsbedarf durch mobile Systeme: zum Beispiel aus den Bereichen Marketing, Beschaffung und Logistik

• Projektpersonal: Zugriff auf aktuelle Projektdaten und Dokumente

• Mitarbeiter mit gelegentlichen mobilen Zugängen: arbeiten primär im Office (stationär) und haben im Moment nur sekundär einen Bedarf an mobiler Arbeitsweise

Anhand dieser Aufstellung lässt sich der Umfang einer EMM-Lösung besser einschätzen.

Fazit und Ausblick

Enterprise Mobile Computing beschäftigt sich mit den Fragen der Einbindung der mobilen Geräte, ihrer Verwaltung und der Nutzung im unternehmerischen Kontext. Das Ziel ist es, die Mitarbeiter zu einem mobilen Arbeiten zu befähigen und gleichzeitig den Anforderungen des Unternehmens bezüglich Fragen des Datenschutzes und der Datensicherheit sowie einer Kostenkontrolle zu genügen. Gelingt das, können auch Unternehmen vom Trend „Mobile First“ profitieren.

Im dritten Teil dieser Artikelserie werden wir uns mit dem Deployment von Software im mobilen Bereich für Unternehmen beschäftigen und der Frage nachgehen, welche Möglichkeiten es gibt, Apps für die Nutzung durch die Mitarbeiter auf den Endgeräten bereitzustellen.

Weitere Informationen zu diesen und anderen Themen der IT finden Sie unter http://larinet.com.