Dass sie ohne Wissen der IT-Abteilung mit eigenen Geräten arbeiten, ist laut der Millennials-Studie von Accenture ein typisches Verhaltensmuster von Angehörigen dieser Generation - viele haben noch dazu nur ein geringes Bewusstsein für Sicherheitsprobleme, die dadurch entstehen. Die Folge: Es bildet sich eine "Schatten-ITSchatten-IT", wie die Verfasser der Accenture-Studie schreiben. Besonders drastisch veranschaulicht eine Umfrage von IDC im Auftrag des Dienstleisters Unisys dieses Phänomen. Von fast 1000 befragten Angestellten in Deutschland, Großbritannien, Belgien und den Niederlanden sagten 95 Prozent, dass sie zum Arbeiten mindestens ein Endgerät nutzen, das sie privat angeschafft haben. Von den deutschen Umfrageteilnehmern nutzen 31 Prozent geschäftlich ein Smartphone. Sie tun das häufig ohne Wissen des IT-Chefs. Denn von den parallel befragten CIOs gaben nur 14 Prozent an, Mitarbeiter in ihrem Unternehmen nutzten ein Smartphone. Alles zu Schatten-IT auf CIO.de

Mix aus Privat- und Geschäftsdaten

Jesper Doub weiß um diesen Schattenbereich und will ihn ausleuchten. Für den Einsatz privater Geräte hat er bei Bauer Media die Regel aufgestellt: Wer ein privates Gerät wie beispielsweise ein Android-Smartphone über den Microsoft-Exchange-Server und Active-Sync mit Daten seines Arbeitsplatzes synchronisieren will, kann das nur nach vorheriger Anmeldung des Geräts. "Dazu reicht eine kurzer Mail-Workflow - wichtig ist, dass wir Bescheid wissen", sagt CIO Doub.

Das freilich ändert nichts daran, dass auf Geräten, die Mitarbeitern gehören, Privates mit Geschäftsdaten vermischt wird - "ein großes Problem", wie Thomas Hansen von Accenture sagt. Jesper Doub räumt ein, dass er auf diese Frage noch keine endgültige Antwort habe. Derzeit jedenfalls sei es bei Bauer nicht erlaubt, dass ein Mitarbeiter auf seinem privaten Endgerät Kundendaten oder eine Präsentation über die finanzielle Situation des Verlagshauses mit sich herumträgt. Doub weiß aber, dass er eine solche Richtlinie nicht auf Dauer aufrechterhalten kann. Sobald sie fällt, ist das Unternehmen gezwungen, sich anders abzusichern. Wer auf dem eigenen mobilen Gerät sensible Firmendaten transportiert, müsste dann beispielsweise unterschreiben, dass er bei Diebstahl oder Verlust der Löschung aller Daten zustimmt.

Blackberry-Smartphones lassen sich von fern löschen, sofern ein Unternehmen den Blackberry-Enterprise-Server nutzt. Auch Daten auf einem iPhone lassen sich per "Remote Wipe" aus der Ferne ausradieren, wenn das Gerät mit einem Microsoft-Exchange-Konto konfiguriert ist. Weg sind bei Privatgeräten dann neben den Geschäfts-Mails unter Umständen aber auch Urlaubsfotos und die Lieblingsmusik. Bei der Bauer Media Group wird über die Vorgehensweise bei einem solchen Fall noch diskutiert. "Zurzeit habe ich dafür noch keine Lösung", sagt Jesper Doub.

Erst in der Planung sind auch neue Support-Modelle. Denn mit der Gerätevielfalt wächst die Zahl möglicher Fehlerquellen. "Je mehr unterschiedliche Geräte im Einsatz sind, umso mehr Unbekannte gibt es, die Probleme verursachen können", sagt Rüdiger Spies von IDC. Unvermeidbar sei, dass die Support-Kosten steigen, wenn Mitarbeiter neben standardisierter Firmenhardware ihre privat angeschafften Geräte einsetzen. "Das muss jeder CIO der Unternehmensleitung ehrlich sagen", mahnt Spies - und ergänzt: "Ich kann völlige Freiheit bei der Auswahl mobiler Geräte nicht empfehlen." Auch Thomas Hansen von Accenture warnt vor zu viel Offenheit. Im Sinne niedriger Wartungskosten müsse ein Unternehmen "die Zahl der Arbeitsplatztypen begrenzen".