WhatsApp, Dropbox, iPad und Co.

Strategien für den Spagat zwischen Unternehmenskontrolle und Nutzerautonomie

  • 19.12.2017
  • Stefan Klötzer

Kontrollverlust über die Daten, Entwicklung einer Schatten-IT? Wie können Unternehmen auf das Phänomen IT-Konsumerisierung, der Nutzung privater Endgeräte und Anwendungen im Arbeitskontext, reagieren?

Die zunehmende Nutzung von Informationstechnologien aus dem privaten Anwendungsbereich im Arbeitskontext wird als IT-Konsumerisierung bezeichnet [Entreß-Fürsteneck et al. 2016]. Zu dieser zählen beispielsweise der Einsatz von Anwendungen wie dem Messenger WhatsApp, dem Online-Speicherdienst Dropbox oder der über einen privaten Account laufende Skype-Web-Konferenz. Gemeint ist jedoch auch der Gebrauch der privaten mobilen Endgeräte der Mitarbeiter und Mitarbeiterinnen wie Smartphones, Tablets oder Laptops. Im Unterschied zu einer Bring Your Own Device Strategie (BYOD) bleibt bei der IT-Konsumerisierung die Vereinbarung von Regelungen jedoch aus, die für die Integration der privaten Hardware in die Unternehmens-IT erforderlich wären.

Mit der steigenden Bedeutung von IT in allen Lebensbereichen wachsen auch die Bedürfnisse und Anforderungen der Nutzer/innen im Arbeitskontext (Köffer und Urbach 2016). Private Soft- und Hardware finden deshalb insbesondere dann ihren (Schleich-)Weg in die IT-Landschaft von Unternehmen, wenn die zur Verfügung gestellt IT-Infrastruktur als nicht ausreichend bewertet wird oder ihre Nutzbarkeit stark eingeschränkt ist, z. B. durch ein fehlendes Regelwerk oder die Missachtung von Nutzungsregeln. Bei der Bewertung der IT spielen besonders die intuitive Bedienbarkeit, die Möglichkeit der verteilten Zusammenarbeit oder die örtliche und zeitliche Flexibilität eine Rolle. Sind jedoch die Erwartungen an IT-Konsumprodukte uneingeschränkt in den Arbeitskontext übertragbar? Es kann angenommen werden, dass in einigen Fällen unrealistische Erwartungen auf eine vermeintlich unflexible Unternehmens-IT treffen, die, neben den Erwartungen und Bedürfnissen der Nutzer, allerdings auch mit Sicherheitsanforderungen und Datenschutzgesetzen konfrontiert ist. Gestaltungszwänge, die den Handlungsspielraum der IT-Abteilungen einschränkten, sind hierbei also stets mit zu berücksichtigen.

Erfüllt die unternehmensseitig zur Verfügung gestellte IT-Ausstattung die Bedürfnisse der Mitarbeiter für die Kommunikation und Zusammenarbeit nicht, führt dies häufig dazu, dass Mitarbeiter und Mitarbeiterinnen sich, an der Unternehmens-IT vorbei, selbst helfen. Das private Smartphone oder die in wenigen Minuten eingerichtete Cloud zum Speichern und Teilen von Dateien können dann zwar schnell Abhilfe schaffen, stellen jedoch IT-Abteilungen und Verantwortliche in Unternehmen vor Herausforderungen die etwa den Schutz firmeninterner Daten oder Kosten für die Wartung und den Support der privaten Endgeräte bzw. der Software betreffen [Entreß-Fürsteneck et al., 2016; Ulbricht, 2016]. Auf der anderen Seite, so die Autoren, bringen die privaten Softwareanwendungen und Endgeräte auch Vorteile mit sich. Mitarbeiter sind bei ihrer Arbeit weniger orts- bzw. zeitabhängig und können auf Software zurückgreifen, die sie bereits durch die private Nutzung kennen und beherrschen. Denkbar ist es somit, dass sich diese Faktoren positiv auf die Produktivität von Mitarbeiter/innen auswirken können. Zudem kann die IT-Konsumerisierung, sofern die organisationsseitig hinreichend geregelt ist, das Unternehmen für Bewerber interessant machen, die die Flexibilität durch die Nutzung der eigenen Hard- und Software schätzen [Entreß-Fürsteneck et al. 2016].

Wie können Unternehmen auf das Phänomen IT-Konsumerisierung reagieren?

Unabhängig davon, welche der Vor- und Nachteile tatsächlich überwiegen, sind die Unternehmen gefordert, auf das Phänomen IT-Konsumerisierung zu reagieren. Geschieht dies nicht, wird die Entwicklung einer Schatten-IT gefördert, die sich einer unternehmensseitigen Gestaltung und Kontrolle entzieht, und über kein Konzept für den Schutz wichtiger Daten verfügt. Entreß-Fürsteneck et al. (2016) schlagen drei sogenannte proaktive IT-Konsumerisierungsstrategien vor.  Diese liegen im Spannungsfeld zwischen den beiden Extremen vollständige Unternehmenskontrolle durch starke Restriktionen bei der IT-Nutzung und vollständige Nutzerfreiheit (Abbildung 1).

Strategie 1: IT-Auswahl durch eingeschränktes Angebot

Im Fokus dieser Strategie stehen Auswahlmöglichkeiten für die Mitarbeiter/innen. Diese beschränken sich allerdings auf die Hardware und Software, die unternehmensseitig vorselektiert wurde. Eine Herausforderung besteht darin, das IT-Angebot stets auf einem aktuellen Stand zu halten, um den Beschäftigten ein attraktives und bedarfsorientiertes Technikrepertoire zur Verfügung stellen zu können. Auf diese Weise sollen der Einsatz privater IT und die damit verbundenen Kosten und Gefahren verhindert werden. Denkbar ist bei dieser Strategie ebenfalls, den Mitarbeitern die Auswahl von Hard- und Software zu überlassen, die gewisse Kriterien im Hinblick auf Sicherheitsaspekte, das Betriebssystem und Schnittstellen zu anderen Systemen erfüllen. Weiterhin können von Vornherein bestimmte Software und Endgeräte ausgeschlossen werden. Unabhängig vom Grad der Entscheidungsfreiheit müssen Nutzungsrichtlinien vereinbart und Zugriffsrechte geregelt werden.

Strategie 2: Beschränkung der IT-Auswahl anhand von Rollen

Die Anforderungen der Beschäftigten an die IT-Infrastruktur können je nach Aufgabe, Arbeitsbereich oder der Anforderung mobil zu arbeiten unterschiedlich sein. Ein strategischer Ansatz, der diese Unterschiede berücksichtigen soll, basiert auf einer Einteilung der Mitarbeiter in Gruppen, die ähnliche Ansprüche an die IT haben. So haben beispielsweise Außendienstmitarbeiter einen höheren Bedarf an IT für mobiles Arbeiten als Mitarbeiter/innen, deren Wirkungskreis sich auf einen Unternehmensstandort beschränkt. Als Einordnungskriterium werden hierfür die Aufgabe und die Rolle der Mitarbeitenden herangezogen. Für die definierten Gruppen werden dann IT-Richtlinien bedürfnisorientiert angepasst. Dies ist allerdings mit einem großen Aufwand für die Planung und Festlegung der Richtlinien verbunden.

Strategie 3: IT-Auswahl im Rahmen eines Budgets

Die dritte Strategie für den Umgang mit dem Phänomen IT-Konsumerisierung gibt im Unterschied zu den ersten beiden Strategien die Verantwortung stärker an die Mitarbeiter ab. Diese können im Rahmen eines zur Verfügung gestellten Budgets über die einzusetzende Hard- und Software entscheiden. Jedoch sind die Mitarbeiter angehalten, sich eigenständig um den Support für die IT zu kümmern. Die IT-Abteilung wird in diesem Ansatz aus der Verantwortung genommen, wodurch sich Supportkosten vermeiden lassen und der IT mehr Zeit für innovative Arbeit bleibt. Die Autoren um Entreß-Fürsteneck weisen jedoch auch bei dieser Strategie darauf hin, dass die Auswahlmöglichkeiten, die im Rahmen des Budgets getroffen werden können, gewissen Rahmenvorgaben unterliegen. Die Entscheidungsfreiheit ist, analog zur ersten Strategie, auch bei diesem Ansatz eingeschränkt.

Umsetzung der Strategien

Auch Mischformen der drei vorgestellten Strategien (z. B. bestimmte Mitarbeitergruppen erhalten ein Budget für ihre IT-Ausstattung) sind nach Ansicht der Autoren denkbar. Unabhängig davon, welche IT-Konsumerisierungsstrategie in einer Organisation umgesetzt werden soll, ergeben sich jedoch Anforderungen, die das IT-Management und die Infrastruktur sowie regulatorische Aspekte betreffen.

Die IT-Abteilungen sind für die operative Umsetzung der Strategie verantwortlich. Gemäß der gewählten Strategie sind nach Entreß-Fürsteneck et al. (2016) vor allem drei zentrale Entscheidungen zu treffen. Welche Hard- bzw. Software wird zugelassen und eingesetzt? Wie ist die Rechtevergabe verschiedener Mitarbeiter(-Gruppen) gestaltet? Und wie sieht der Supportprozess für die Soft- und Hardware aus? Die Anforderungen an die IT-Infrastruktur bestehen unter anderem darin, für ausreichende WLAN- und Speicherkapazitäten zu sorgen und die Breitbandanforderungen der verwendeten Endgeräte zu unterstützen. Weiterhin ist der Aspekt der Sicherheit und Kontrolle der Geräte durch Passwörter, Installationssperren oder spezieller Software (Sandbox-Lösungen oder Mobile Device Management Systeme) zu berücksichtigen. Auch Firewalls und Virenprogramme sind im Sinne der Sicherheit der IT-Landschaft einzurichten. Neben der Regelung, welche Art von Unternehmensdaten auf mobilen Endgeräten gespeichert und verarbeitet werden darf sollte zusätzlich ein Risikomanagement eingeführt werden, welches Maßnahmen im Falle eines Sicherheitsproblems vorsieht [Entreß-Fürsteneck et al. 2016].

Von der technischen Perspektive zur Soziotechnischen Gestaltung

Die Autoren um Entreß-Fürsteneck vertreten eine primär technische Perspektive für den Umgang mit dem Phänomen IT-Konsumerisierung. Die vorgeschlagenen Strategien fokussieren dabei auf die Auswahl der technischen Infrastruktur und räumen entweder den Nutzern (Strategie 1 und 2) oder dem Unternehmen (Strategie 3) etwas mehr Kontrolle bzw. Entscheidungsfreiheit ein. Neben relevanten technischen Anforderungen (z. B. Sicherheitssysteme oder eine ausreichende Bandbreite) werden im Hinblick auf den regulatorischen Anforderungen ausschließlich rechtliche bzw. sicherheitsrelevante Aspekte benannt, an denen sich die aufzustellenden Nutzungsrichtlinien jeweils orientieren sollen (Arbeitsrecht, Urheberrecht, Lizenzrecht). Somit werden zwar die Rechte und Pflichten der Beteiligten geregelt, nicht jedoch die Art und Weise, wie mittels der IT-Infrastruktur überhaupt zusammengearbeitet werden soll. Dabei liegt in einem mangelhaften gemeinsamen Verständnis darüber, wie die zur Verfügung stehende Technik zu nutzen ist (Kollaborationsstrategie) ein weiterer Treiber für IT-Konsumerisierung. Denn Regeln z.B. für die Nutzung eines WIKI-Systems, die einer Überfrachtung und „Vermüllung“ entgegenwirken, können den Bedarf einer neuen Anwendung möglicherweise verhindern.

Auch bleibt die Berücksichtigung der Nutzerbedürfnisse bei den Strategien vage. So entsteht der Eindruck, dass bei den strategischen Überlegungen gegen eine IT-Konsumerisierung vielmehr über als mit den Beschäftigten gesprochen werden muss. Eine Partizipation der Betroffenen an der Entwicklung und Umsetzung der Strategien wird zumindest nicht eingefordert. Zwar räumt die dritte vorgestellte Strategie dem Nutzer einen hohen Entscheidungsspielraum ein, berücksichtigt jedoch nicht, dass hierfür ein technisches Verständnis erforderlich ist und die Möglichkeit der Zusammenarbeit (Softwareschnittstellen) überblickt werden müssen.

Fazit

Die von Entreß-Fürsteneck et al. (2016) vorgeschlagenen Strategien schränken den Entscheidungsfreiraum der Mitarbeiter/innen über ihre IT-Ausstattung mehr oder weniger ein. Die Autoren schlagen unabhängig vom gewählten Strategieansatz Maßnahmen für das IT-Management vor und benennen regulatorische Anforderungen. Besonders aus einer technischen Perspektive werden strategische Ansätze für den Umgang mit dem Phänomen IT-Konsumerisierung präsentiert. Fraglich bleibt jedoch, ob ein primär technikorientierter Ansatz dem Trend zur Nutzung privater IT gerecht wird. Die Frage, wie Beschäftigte mit der (dann) vorhandenen Technik optimal zusammenarbeiten können und welcher Regelungen es hierfür bedarf wird nicht vertieft behandelt. Nutzungsrichtlinien werden hier zwar erwähnt, jedoch nicht weiter ausgeführt. Es zeigt sich jedoch, dass nicht nur die Frage „Womit?“ (Technik), sondern insbesondere auch das „Wie?“ (Form der Zusammenarbeit) über die Zufriedenheit der Beschäftigten im Hinblick auf die Kommunikation und Teamarbeit entscheidend sind.

Literaturverzeichnis

Entreß-Fürsteneck, Matthias von; Urbach, Nils; Buck, Christoph; Eymann, Torsten (2016): IT-Konsumerisierung. Strategien und Maßnahmen in mittelständischen Unternehmen. In: HMD 53 (2), S. 254–264. DOI: 10.1365/s40702-016-0211-3.

Köffer, Sebastian; Urbach, Nils (2016): Die Digitalisierung der Wissensarbeit – Handlungsempfehlungen aus der Wirtschaftsinformatik-Forschung. In: HMD 53 (1), S. 5–15. DOI: 10.1365/s40702-015-0201-x.

Ulbricht, Carsten (2016): Rechtliche Implikationen und Handlungsempfehlungen für Enterprise Social Networks. In: Alexander Rossmann, Gerald Stei und Markus Besch (Hg.): Enterprise Social Networks. Erfolgsfaktoren für die Einführung und Nutzung - Grundlagen, Praxislösungen, Fallbeispiele. Wiesbaden: Springer Gabler, 143-153.