App-Verwaltung immer wichtiger

Die Trends im Mobile Device Management

14.10.2014 von Klaus Hauptfleisch
Die stark wachsende Zahl von Geräten, die ins Firmennetz eingebunden werden wollen, stellen das Mobile-Device- oder Enterprise-Mobility-Management (MDM bzw. EMM) vor immer neue Herausforderungen. Wir tragen die neuesten Trends zusammen.

Ob als Bring your own Device (ByoD) oder als reines Arbeitsmittel überlassen, entfalten mobile Geräte im Dienste der Firma oft eine ungemeine Produktivität und Kreativität. Wearables und das Internet der Dinge (IoT) werden sicherlich noch mehr Dynamik ins Geschehen bringen, schaffen aber auch mehr Herausforderungen für die IT-Abteilungen.

Vor dem Hintergrund scheint es fast unvorstellbar, dass bis Ende der 1990er Jahre selbst in milliardenschweren IT-Unternehmen die meisten Arbeitsplätze noch offline waren. Zugang zu Internet und E-Mail hatten nur wenige, oft mehrere Büros weiter. Viele mussten sich überhaupt erst an PC-Arbeit gewöhnen. Es galt auch Ängste zu überwinden, die von Unternehmensseite nicht ganz unbegründet waren. Denn schon damals gab es sich häufende Viren- und Hacker-Angriffe, die bald auch Handys erfassten.

Wie die Grafik beweist, wird Enterprise Mobility Management zunehmend komplexer.
Foto: MobileIron

Allerdings verfügten bis vor zehn oder zwölf Jahren meist nur Top-Manager oder Vertriebsmitarbeiter über ein geschäftlich genutztes mobiles Endgerät, erinnert sich Margreet Fortuné, DACH-Chefin von Absolute Software. Der Aufwand der oft manuell vorgenommenen Verwaltung der Geräte hielt sich in Grenzen, folglich war das Mobile Device Management "maximal ein Nischenthema". Der E-Mail-Push-Dienst von Blackberry habe die Situation nachhaltig geändert. "Die E-Mail-Bearbeitung von unterwegs war plötzlich en vogue. Die steigende Anzahl der Geräte machte ein manuelles Management schnell unmöglich", so Fortuné.

Gartner erweitert den magischen Quadraten

Tatsächlich haftet aus dieser Historie dem geschäftlichen Einsatz von mobilen Geräten immer noch der Nimbus eines Statussymbols an. Neben dem Spieltrieb und dem einfachen Umgang mit Smartphones und Tablets erklärt das möglicherweise auch, warum so viele Mitarbeiter selbst lange nach Feierabend nicht loslassen können und die Fälle von Burnout sich häufen. Dabei wäre es technisch kein Problem, einzelnen Kollegen oder gar der ganzen Belegschaft nur zeitlich begrenzten Zugang zum Firmennetz zu gewähren.

Um die Historie abzuschließen: Mit dem überwiegend auf den E-Mail-Verkehr und auf Unternehmensanwendungen gerichteten Blackberry Enterprise Server von Research in Motion (RIM) hatten und haben die IT-Administratoren auch noch ein vergleichsweise einfaches Spiel. Aber bald reichte das den Nutzern nicht mehr, mit iPhone und Co. kamen attraktivere Geräte auf den Markt, die zunächst auf Verlangen der Chefs angebunden werden sollten, womit der heutige Wildwuchs an Betriebssystemen, Geräten und Apps seinen Lauf nahm.

Da man mit Privatgeräten von Mitarbeitern nicht so rigoros verfahren kann, wie mit Firmengeräten, greift inzwischen der Begriff Mobile Device Management (MDM) nicht mehr so ganz, der Fokus weitete sich auf die Verwaltung von geschäftskritischen Apps oder Informationen aus. Dies haben auch die Marktforscher von Gartner erkannt und in diesem Jahr erstmals den Fokus ihres "Magic Quadrant" von Mobile Device Management auf Enterprise Mobility Management (EMM) erweitert.

Auch Gartner hat erkannt, dass die Verwaltung der Geräte nicht mehr im Zentrum steht.
Foto: Gartner

"Obwohl die Bedeutung von Smartphones und Tablets in den letzten Jahren enorm zugenommen hat, stellen wir in unseren Projekten fest, dass diese Geräte im Gegensatz zu PCs und Notebooks oftmals nicht ausreichend in die vorhandene IT-Infrastruktur integriert sind", beschreibt Heiko Jassmann, Senior Consultant bei Softline Solutions, die Ausgangssituation. Da mobile Geräte vorrangig dazu eingesetzt würden, um geschäftliche Mails zu empfangen und zu senden, überließen Unternehmen das Management und die Konfiguration der Geräte häufig dem Benutzer, der diese Standard-Funktionalitäten mit wenigen Klicks einrichten könne.

Die Möglichkeit, Firmendaten auf den Geräten zu empfangen und abzuspeichern, berge aber Sicherheitslücken, räumte Jassmann ein. Neben MDM würden künftig angesichts der wachsenden Zahl von ByoD-Geräten Mobile Information und Mobile Application Management (MIM und MAM) eine zunehmende Rolle spielen.

Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management?
Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden.
ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung.
Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle.
Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich.
Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen.
Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen.
User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.

Die Kosten in den Griff bekommen

Auch wenn die Ausgabe von Firmen-Handys, sprich der Corporate-Weg, sicherheitstechnisch der bessere sein mag, ist der ByoD-Strom kaum aufzuhalten. Die Kontrolle über die eingesetzten Apps und Inhalte gewinnt daher immer größere Bedeutung, weshalb EMM sicherlich umfassender ist als MDM. Vielen Unternehmen geht es aber auch um die Kontrolle über die Mobility-Kosten - allgemein, sowie zur möglichen Aufteilung bei gleichzeitiger privater und beruflicher Nutzung der Geräte.

Um letztes zu ermöglichen, hat Blackberry mit Movirtu vor kurzem den Anbieter einer Lösung übernommen, die es ermöglicht, ohne zweite physische SIM-Karte getrennte Mobilfunkrechnungen für die private und berufliche Nutzung zu erhalten. Das Produkt der neuen britischen Tochter versteht sich auf alle gängigen Betriebssysteme, Administratoren sind im Zusammenhang mit Blackberry BES aber auch in der Lage, IT-Richtlinien für die Verwendung der Dienstnummer zu definieren, ohne dass die private Nutzung eingeschränkt wird.

Mehr um das Große und Ganze geht es EMM-Anbieter Good Technology mit seinem unlängst vorgestellten MCO Analyzer (Mobile Cost of Ownership). Das kostenlose Benchmark-Tool soll es Unternehmen erlauben, unter Einbeziehung der Geräte, Betreiber und Infrastruktur genau zu analysieren, wo die größten Kostentreiber sind. Die Kunden können dann einen maßgeschneiderten Plan herunterladen, der ihnen Einsparpotenziale aufzeigt und bei der Senkung der Kosten helfen soll.

Markus Schepp, DACH-Chef von Good Technology.
Foto: Good Technology

Wie Goods DACH-Chef Markus Schepp dazu erklärt, hätten viele Unternehmen erkennen müssen, dass das ByoD doch nicht die erhofften Einsparungen gebracht habe. Ein nicht unerheblicher Teil der Mobility-Kosten sei nämlich auf Support und Betrieb zurückzuführen. Für ihn ist auch klar: "ByoD-und MDM-Ansätze sind zusammen wie Öl und Wasser - nämlich nicht zu kombinieren. Für MDM braucht es einen 'Alles oder nichts'-Ansatz, was absolut nicht zu einem ByoD-Modell passt." Unabhängig vom Ansatz sollte "für den sicheren, aber kontrollierten Zugang zu den Unternehmensdaten" als Basis zunächst ein Container-Modell eingeführt werden, so Schepp.

Container als die einzige Lösung?

Auch Dominic Schmidt-Rieche, Sprecher vom Wettbewerber Airwatch, sieht in Containern "eine sehr wertvolle Lösung für ByoD-Einsätze, da sie hohe Flexibilität bietet". Der Vertriebschef für die DACH-Region bei der VMware-Tochter weist jedoch im gleichen Atemzug darauf hin, dass sie jedoch nicht die einzige Option sei. Er rät dazu, dass die gewählte Mobilitätslösung sowohl Containerisierung als auch MDM ermöglicht. Dass einige Geräte über die "Managed-Open-in"-Funktion etwa bereits Komponenten für die Data Loss Prevention (DLP) eingebaut haben, sieht der Airwatch-Manager bereits als eine Art von Containerisierung. Aber in solchen Fällen könne eine reine MDM-Lösung für manche Unternehmen passender sein.

Blackberrys Security Advisor Marcus Klische wiederum betont zwar, dass die Kunden mit Blackberry keine Container-Lösungen bräuchten. Dennoch hält er diese in vielen Fällen für "nahezu zwingend". Andere Optionen wären proprietäre Betriebssysteme mit einem Minimum an Funktionalität, oder der Einsatz von Hypervisoren oder die Desktop-Virtualisierung, wobei diese keine wirkliche Alternative darstellten. Auch wenn die Smartphone-Hersteller nicht wirklich auf Schmusekurs sind, nimmt Klische sogar Apple in Schutz und der Kritik an der fehlenden Jailbreak Detection in iOS 8 den Wind aus den Segeln. Denn zum Zeitpunkt der Entwicklung gebe es keine Jailbreaks (Entsperrungsversuche). Dies zu erkennen, könnten wiederum nur die MDM-Hersteller.

Peter Goldbrunner, Director Partner Sales Germany bei Citrix Systems
Foto: Citrix

Neben Jailbreak (iOS) und Rooten (Android) sieht Citrix-Manager Peter Goldbrunner auch bei der Nutzung von Anwendungen aus den öffentlichen App Stores immer wieder Probleme bei der Sicherheit: Häufig fehlten hier grundsätzliche Security-Optionen und die Möglichkeit differenzierte Richtlinien festzulegen - etwa für Data Loss Prevention oder den Datenschutz, so der Channel-Chef von Citrix Central Europe. Mobile Application Management (MAM) könne Unternehmen dabei helfen, sichere Alternativen zu entwickeln und Mitarbeitern über einen unternehmenseigenen App Store bereitzustellen.

Betriebsmodell: Public Cloud, Private Cloud oder On Premise?

Nicht zuletzt vor dem Hintergrund des US Patriot Act spielt auch das Betriebsmodell bei EMM-Lösungen eine wichtige Rolle. Nicht ohne Grund erwartet etwa Ojas Rege, Vice President Strategy bei MobileIron, aus datenschutzrechtlichen Gründen mit Einbrüchen bei der Public Cloud und sieht die Private Cloud im Hosting durch eine dritte Partei vor Ort als gute Alternative in Europa. Denn der CIO könne so immer noch Rechenzentrumskosten sparen, gewinne aber die volle Kontrolle über die Bereitstellung der Daten. Die meisten Anbieter fahren aus den genannten Gründen mehrgleisig und unterstützen sowohl die Cloud- sowie die On-Premise-Nutzung.

Was bringt die Zukunft?

Eine der spannendsten Entwicklungen ist für Citrix-Mann Goldbrunner das Internet der Dinge (IoT), das Marktforscher wie Gartner und IDC schon vor einem explosiven Wachstum sehen. Hier werde die Cloud sicherlich hilfreich sein, "die schier unüberschaubare Menge an Daten zu bewältigen". Eine der größeren Herausforderungen durch IoT und M2M sieht er aber in der Belastung der Infrastruktur, sprich der Mobilfunknetze. MobileIron-Vize Rege rät daher zu einer Big-Data-Strategie für IoT. Sein Ausblick für die Zukunft ist, dass die Daten fließend sein werden, fließend zwischen multiplen Geräten für die Erledigung eines Arbeitsablaufes (Work Task). Waren die Geräte bisher im Zentrum der EMM-Richtlinien, wird das Augenmerk künftig mehr auf die Apps und die Daten selbst gelenkt werden.

Blackberry-Manager Klische denkt zwar nicht, dass von einem Kühlschrank oder eine Kaffemaschine gleich die Gefahr eines Sicherheitsrisikos ausgehe. Wenn die weiße Ware aber das gleiche Netz wie das Smartphone oder der PC nutze, könne passieren, dass darüber möglicherweise auf kritische Daten zugegriffen werden. Bei IoT-Produkten, die systemkritische Prozesse bearbeiten, im Automotive-Bereich zum Beispiel, müsse wie beim ByoD der unkritische vom kritischen Teil strikt getrennt werden. Denn sonst würde am Ende vielleicht jemand "Gewalt über ABS, Airbags, Motorsteuerung" und dergleichen erhalten.

Eine Vorhersage auf die Zukunft des MDM abzugeben, vergleicht Klische mit dem berühmten Blick in die Glaskugel. Grundsätzlich lasse sich festhalten, so der Security-Spezialist, dass die Hersteller von MDM-Lösungen immer am Tropf der Geräte- und OS-Hersteller hängen: "Liefern diese keine adäquaten Schnittstellen für Funktionen oder sind diese Schnittstellen nicht sicher gegen Angriffe geschützt, werden sich die MDM-Funktionen nicht erweitern können."

Fazit: Es wird dank IoT nicht einfacher

Es gibt heute schon genug Herausforderungen für die Geräte- und App-Verwaltung. Daran zu sparen, wäre fatal. Die Aufgaben und Sicherheitsrisiken werden sich mit den zig- oder gar hundert Milliarden von erwarteten IoT Devices massiv mehren. Auf die Hersteller der mobilen Geräte ist dabei nur bedingt Verlass. Wer der richtige MDM- oder EMM-Partner ist und welches Betriebsmodell (Cloud, On-Premise) das geeignetste darstellt, muss jedes Unternehmen für sich entscheiden.