Was dabei aber oft übersehen wird: Mit den Geräten kommen auch Apps unkontrolliert ins Unternehmen. Und dies gilt nicht nur für private Geräte, sondern auch für unternehmenseigene. Allerdings sind Apps nicht schon deshalb harmlos, weil sie klein sind und lustige Icons haben. Apps wie Facebook mögen vor allem Zeit-Killer sein, aber andere Anwendungen können sich sehr schnell als Compliance-Killer erweisen, wenn sie die Sicherheit und Integrität der Unternehmensdaten gefährden. Das gilt schon für vermeintlich simple Apps: Nicht nur das auf jedem Smartphone vorhandene Kontaktverzeichnis, auch ein Terminkalender oder ein Routen-Tracker erlauben, wenn sie von unbefugten Dritten ausgelesen werden, zum Beispiel Rückschlüsse auf Kundenkontakte und Vertriebsaktivitäten. Außerdem können Apps aus unsicheren Quellen jederzeit Schadsoftware ins Unternehmen bringen.
Um diese Risiken beurteilen zu können, müssen Unternehmen zuerst einmal wissen, welche Apps auf den beruflich genutzten Geräten der Mitarbeiter arbeiten. Ein umfassendes Assessment von Geräten und Apps ist deshalb die Voraussetzung, um zu entscheiden, welche Apps harmlos, welche riskant und welche gefährlich sind, und um ein konsistentes Device-Management durchzuführen. Tatsächlich aber – hat eine Untersuchung von Absolute Software ergeben – wissen die meisten Unternehmen nicht, welche Apps überhaupt in Gebrauch sind.
Auf Basis des Assessments muss eine Black-List erarbeitet werden, die den Anwendern verbindlich mitteilt, welche Apps sie auf keinen Fall benutzen dürfen. Korrespondierend sollte aber auch eine White-List erstellt werden, die den Mitarbeitern positiv mitteilt, welchen Kalender, welchen Messenger oder welches Hotelbuchungssystem sie gefahrlos benutzen können.
Das eigentliche Risiko bei BYOD sind immer die unkontrollierten Apps, und deren Einsatz ist nicht auf private Systeme beschränkt, sondern betrifft alle mobilen Systeme. Die Unternehmen sollten die Risiken eines App-Wildwuchses frühzeitig und offen ihren Mitarbeitern kommunizieren, Vorkehrungen treffen und diese dann auch in den entsprechenden Richtlinien und Betriebsvereinbarungen berücksichtigen.