Praxistest

Samsung Galaxy S6 Edge im Business-Einsatz

19.06.2015 von Peter Meuser
Das neue Samsung S6 Edge weckt mit seinem edlen Finish, dem hochauflösenden und kontrastreichen Display, wie auch der neuen Fingerabdruckerkennung Begehrlichkeiten unter den Android-Fans im Business-Bereich. Können neben diesen "Äußerlichkeiten" auch die inneren Werte für eine sichere Integration in Firmeninfrastrukturen überzeugen?

Ein positives "Unboxing"-Erlebnis ist bei dem ersten vollständig in Metall und beidseitig abgerundeten Gorilla Glass 4 von Corning funkelnden Samsung-Smartphone bei Kollegen der Managementebene garantiert. Größere Anstrengungen bedarf es dagegen Sicherheitsbedenken gegenüber einem Android-Gerät bei Vertretern der IT zu zerstreuen, wenn es um die mobile Anbindung von Unternehmensressourcen wie Exchange, Intranet und Fileserver geht.

Dabei gibt sich Samsung bereits seit geraumer Zeit Mühe, Zweiflern mit seiner KNOX-Initiative zu begegnen. Wir schauten uns konkrete Optionen jenseits der reinen Theorie anhand eines Testgeräts von Samsung im Zusammenspiel mit EMM-Lösungen von MobileIron, Good Technology und Samsung im Integrationslabor "mdmlab.net" an.

Abgesicherter Work-Container mit Samsung KNOX

Auch für den geschäftlichen Bereich ist der Einsatz moderner Smartphones im Post-BlackBerry-Zeitalter letztlich getrieben durch ein Füllhorn nützlicher Apps aus Google Play Store & Co. wie WhatsApp, DB Navigator, Xing, LinkedIn, Google Maps und Hunderten mehr. Obwohl sich diese Apps nicht immer direkt mit einer dienstlichen Aufgabenbeschreibung in Deckung bringen lassen und sich auch sicher jedem Versuch einer zentralen IT-Kontrolle entziehen, steht und fällt der Erfolg von Smartphone-Einführungsprojekten im Unternehmen oftmals mit der Einbindung eher "persönlich" ausgerichteter Apps im Betriebskonzept.

In einem COPE-Betriebsmodell (Company Owned, Private Enabled) gilt es daher aus technischer Sicht vor allem eine klare Trennung zwischen geschäftlichen ("managed") und persönlichem ("unmanaged") Bereich und damit einer "Dual Persona" auf dem Mobilgerät zu schaffen.

Hier hat Samsung mit "Samsung KNOX" in den letzten beiden Jahren vorbildliche Entwicklungsarbeit geleistet. Nachdem der Vorläufer Samsung SAFE ("Samsung for Enterprise") zunächst nur die magere, allgemeinen Android-Administrations-API um fehlende Funktionen zur Geräteverwaltung ergänzte (z.B. Verwaltung von Exchange-Konteneinstellungen), stellte Samsung unter der Bezeichnung "KNOX" einen sicheren Container für Geschäftsdaten vor.

Samsung Galaxy S6 und Galaxy S6 edge - Offizielle Produktbilder
Samsung Galaxy S6
Samsung Galaxy S6 edge
Samsung Galaxy S6 edge
Samsung Galaxy S6 edge
Samsung Galaxy S6 edge
Samsung Galaxy S6 edge
Samsung Galaxy S6
Samsung Galaxy S6
Samsung Galaxy S6
Samsung Galaxy S6

Als eines der Haupt-Features führte KNOX 2.0 im Frühjahr 2014 ein, dass sich nahezu jede App aus dem Google Play Store auch im abgesicherten KNOX-Container betreiben lässt. Ein umständliches und in der Geschäftspraxis nur schwer realisierbares "Wrapping" von Apps für den Container-Einsatz entfällt damit.

Komplexe KNOX-Nomenklatur

Die neue Galaxy S6-Generation wird von Android Lollipop befeuert und mit Samsung KNOX 2.4 ausgeliefert. Mittlerweile hat Samsung eine begriffliche Konsolidierung abgeschlossen: "SAFE" heißt nun "KNOX Standard" und der sichere Container "KNOX Workspace". In der einfachsten und kostenlosen Form lassen sich geschäftliche Werte im KNOX-Container mit Hilfe von "My KNOX" schützen. "My KNOX" erlaubt die Verwaltung von KNOX Workspace durch den Benutzer selbst am Gerät und aus der Ferne über eine Cloud-basierte Web-Oberfläche. "KNOX Express" ist eine kostenlose, Cloud-basierte Geräteverwaltung auf Basis von "KNOX Standard" für bis zu 10 Geräte.

Wer auch den KNOX-Container auf Firmengeräten zentralisiert von der IT-Abteilung verwalten möchte, benötigt neben der kostenpflichtigen Lizenz "KNOX Workspace" eine dafür geeignete EMM-Lösung. Samsung sieht dafür unter eigenem Label das Cloud-Angebot "KNOX Premium" und Samsung SDS vor. Die technische Basis von KNOX Express und Premium stellt eine von Centrify entwickelte Cloud-basierte EMM-Lösung, der auch Mobilgeräte unter iOS und Windows Phone nicht fremd sind.

EMM-Drittanbieter unterstützen KNOX in unterschiedlicher Ausprägung

Eine grundsätzliche Fernverwaltung von KNOX Workspace erlauben mittlerweile nahezu alle führenden EMM-Lösungen wie z.B. AirWatch, Citrix XenMobile und MobileIron. Welche der von Samsung unterschiedenen 142 KNOX-Features aber tatsächlich adressiert werden können, schwankt sehr stark zwischen den einzelnen EMM-Produkten.

Samsung bemüht sich zwar um Überblick für den Kunden mit einer Online-Vergleichstabelle, die von 41 unterstützten Features durch "NQmobile" bis zu 123 Feature mit "Samsung SDS CellWe EMM" reicht. Es ist jedoch weder ersichtlich, auf welche Variante beziehungsweise Version der EMM-Produkte sich die Aussagen beziehen, noch lässt sich daraus wirklich ableiten, ob die IT mit dem gegebenen Instrumentarium jeden Nutzungswunsch insbesondere von S6-Benutzern abbilden kann.

Der stolze S6-Träger möchte z.B. gerne auch den nun im Vergleich zum Vorgänger S5 zuverlässig und schnell arbeitenden Fingerabdruck-Scanner in der Home-Taste nutzen, um den Zugang zu Geschäfts-Apps im KNOX-Container komfortabel zu öffnen. Dies ist beispielsweise unter "Samsung My KNOX", das als kostenlose App aus Google Play geladen werden kann, kein Problem und funktioniert - vom Benutzer konfiguriert - wie erwartet.

Wird der KNOX-Container aber durch die IT, z.B. über MobileIron EMM 7.5.1 (On-Premises) aktiviert, steht dem Administrator die Entsperrmethode "Fingerabdruck" nicht zur Konfiguration und der Benutzer darf sich stattdessen trotz potenter Hardware weiterhin regelmäßig an einer PIN oder einem komplexen Kennwort üben.

Vorbildliche Trennung von Geschäft und Persönlichem

Welches Potential der KNOX-Container grundsätzlich für die Trennung zwischen "Personal" und "Work" bietet, lässt sich bereits mit "Samsung My KNOX" auch ohne zusätzliche EMM-Lösung erschließen. Hat der Benutzer sie aus dem Google Play Store installiert, sich mit seiner Mail-Adresse registriert und einen Wald von Datenschutzeinwilligungen bestätigt, eröffnet sich auf dem Gerät ein neuer, sicherer "Workspace" für seine geschäftlichen Apps.

E-Mails, Kontakte und Termine über "S Planner", die über ein geschäftliches Exchange-Konto mit dem sicheren Arbeitsbereich im Knox-Modus synchronisiert werden, bleiben für Apps im persönlichen Bereich unsichtbar. Damit steht Kontaktsammlern wie WhatsApp allenfalls der persönliche Bereich zum Netzwerkeln offen.

Um trotz der sauberen Knox-Trennung zwischen Arbeit und Privatem nicht den Überblick über die effektiv verbleibende freie Zeit zu verlieren, lassen sich praktischer Weise private Termine auch im geschützten Geschäftskalender einblenden. Auch der umgekehrte Weg wird angeboten, ist aber wenig empfehlenswert. Sinnvoller ist dagegen gezielt auch Namen geschäftlicher Kontakte bei eingehenden Anrufen anzeigen zu lassen.

Trotz dieser gezielten Teilöffnung des geschäftlichen Arbeitsbereichs besteht keine Gefahr für einen Kontaktdatenabfluss ins Internet. Fotos von Meeting-Ergebnissen und anderen schützenswerten Arbeitssituationen, die über die Kamera-App im Knox-Container geschossen werden, verbleiben in dessen geschützter Fotogalerie. Damit kann leicht kontrollierbar die Gefahr von ungewollten Veröffentlichungen in Cloud-Diensten abgewendet werden.

Samsung erlaubt seit Knox 2.0, jede neuere Android App aus Google Play auch im geschützten Knox-Container zu betreiben und ermöglicht somit einen kontrollierten Datenaustausch zwischen den Apps im sicheren Arbeitsbereich . Der Anwender muss dazu lediglich über My Knox bereits installierte Apps aus dem persönlichen Bereich der Work-Zone hinzufügen. Mit dem Knox-Modell der Datentrennung nimmt sich Samsung einer Aufgabenstellung für den geschäftlichen Einsatz an, die bisher mit Apple-Geräten (bis iOS 8.3) mit Bordmitteln in dieser sauberen Form nicht zu lösen sind.

EMM-Lösungen übernehmen als Geräteadministrator das Ruder

Obwohl der Benutzer bereits mit den Cloud-Diensten von "My KNOX" selbst Fernverwaltungsfunktionen wie das Löschen oder Orten verlorener/gestohlener Geräte vornehmen kann, ist dies natürlich keine Lösung für eine Geräteverwaltung im Unternehmen. Diese übernimmt die IT mit einer der kompatiblen EMM-Lösungen.

Anforderung ist hier unter anderem, die Auswahl der als "firmenkonform" eingestuften Apps per "Whitelist" im KNOX Workspace zu definieren, um die Kontrolle über den potentiellen Datenabfluss aus dem Unternehmen zu behalten. Es nutzt wenig, einen in sich abgeschlossenen Arbeitscontainer zu haben, in den der Anwender dann Apps für Cloud-Speicherdienste wie Dropbox oder Box.Net selbst installiert, um z.B. als Mail-Anhang empfangene sensible interne Dokumente außerhalb des Unternehmens abzulegen.

Dies funktionierte in unserem Test mit MobileIron tadellos. Ebenso ließ sich ohne erforderliche Benutzermitwirkung ein Client-Zertifikat zur Exchange-Authentifizierung im KNOX-Container installieren, um sowohl den Exchange ActiveSync-Zugang auf ein empfehlenswertes Niveau abzusichern, wie auch den Benutzer von der weiteren Kennwortpflege zu befreien.

Die Verwaltung von KNOX Workspace erfordert grundsätzlich eine App wie "Samsung My KNOX" oder "MobileIron Mobile@Work", die mit den Rechten als "Geräteadministrator" die Herrschaft über das Gesamtgerät übernimmt. Samsung erlaubt, ein Gerät mit bis zu zwei unterschiedlichen EMM-Systemen zu koppeln, um damit zwei voneinander getrennte Workspaces anzulegen. Dies gelang in unserem Test in der Kombination von MobileIron und Samsung KNOX EMM prinzipiell. Die Idee dahinter ist ein Einsatz der KNOX-Technologie in BYOD-Szenarien, in denen sich insbesondere auch Selbstständige mit mehreren Auftragsgebern bewegen.

Wie auch Goldonis Bühnenstück für den "Diener zweier Herren" zahlreiche Schwierigkeiten vorsieht, garantieren zwei gleichberechtigte Geräteadministratoren nebeneinander allerdings kein "Happy-End" für ein privates S6. Generell dürfte sich jeder S6-Besitzer fragen, ob er überhaupt einen "fremden" Geräteadministrator mit uneingeschränkten Rechten auf seinem Privatgerät zulassen möchte. Die KNOX-Technologie empfiehlt sich daher eigentlich nur für COPE-Szenarien und damit für den Einsatz auf einem Firmengerät.

Gesicherte Firmenanbindung erfordert noch Kompromisse

Um neben Exchange ActiveSync mit Client-Zertifikaten auch weitere Unternehmensressourcen sicher mobil anbinden zu können, ist generell eine Per-App-VPN-Technologie gefragt. Samsung unterstützt zum Aufbau eines verschlüsselten Kanals von Apps im Knox-Container sowohl einen Container-weiten, wie auch bis zu fünf App-spezifische VPN-Verbindungen zu Lösungen wie Cisco AnyConnect, Juniper SSL und F5 BigIP Edge. Der Trend geht jedoch zu Per-App-VPN Technologien, die Bestandteil der EMM-Lösung sind und somit keine zusätzliche Integration eines Drittanbieters erfordern.

MobileIron hat hierzu z.B. seine proprietäre AppTunnel-Technologie im Repertoire. Mit Hilfe von AppTunnel ermöglicht z.B. die App "Web@Work" den sicheren Zugriff auf Intranet-Websites und "Docs@Work" das mobile Abrufen von Dokumenten von internen Fileservern und SharePoint-Sites. Dies funktioniert grundsätzlich - wie mit jedem Android-Gerät - auch wunderbar auf einem Galaxy S6, jedoch arbeiten diese Apps nur außerhalb des KNOX-Containers. MobileIron empfiehlt sogar, "AppConnect"-Apps wie Web@Work und Docs@Work nicht gleichzeitig mit einem KNOX-Container auf einem Gerät zu betreiben.

Ohne Geräteadministrationsrechte auf Android-Geräten kommen grundsätzlich die Good-Dynamics-Apps von Good Technology aus. Somit bieten sich unter Verzicht auf Samsung KNOX die PIM-App "Good Work", der Secure Browser "Good Access", sowie "Good Share" für die mobile Nutzung interner File-Shares und SharePoint-Sites auch für BYOD-Szenarien an. Good-Apps bilden im Verbund einen eigenen Container auf Applikationsebene.

Sonderweg: Good for Samsung KNOX

Zusammen mit Samsungs Vorstellung der Galaxy Modelle S6/S6 Edge auf dem diesjährigen Mobile World Congress in Barcelona stellte Good Technology auch "Good for Samsung KNOX" vor. Anders, als der Produktname auf den ersten Blick nahelegen könnte, integriert die Lösung Good Apps nicht mit Apps im KNOX Workspace. Apps wie Good Work und Good Accesss betrieben unter Good for Samsung KNOX bilden auf dem S6 vielmehr einen eigenen, abgeschlossenen Container neben KNOX Workspace, der sich des KNOX-Unterbaus wie Secure Boot/Trusted Boot, "TIMA" (TrustZone Integrity Measurement Architecture) und "SELinux" bedient.

"SE for Android Management Service" (SEAMS) steht Drittanbietern wie Good Technology für deren Container-Implementierung auf Samsung-Geräten zu Verfügung, um u.a. den gleichen Hardware-gestützten Schutz gegen Rooting-Angriffe, den auch KNOX Workspace genießt, bereitzustellen. Apps innerhalb einer solchen sicheren Domäne unterliegen natürlich auch der IT-Kontrolle über den Datenaustausch mit privaten ("unmanaged") Apps.

Die App "Good Agent" hebt bei der Aktivierung Good-Dynamics- Apps (dazu zählt nicht Good for Enterprise!) in eine eigene KNOX-Sicherheitszone und benötigt dazu die Rechte eines Geräteadministrators. Das höhere Sicherheits-Level von Good for Samsung KNOX bietet sich damit eigentlich nur für Firmengeräte im COPE-Betrieb an. Good Work als PIM-App, die über das integrierte Per-App VPN mittels ActiveSync mit Microsoft Exchange ab Version 2010 synchronisiert, verfügt im Vergleich zu den nativen PIM Apps im KNOX Workspace auch nicht über deren nahtlose und dennoch sauber getrennte Integration mit den Funktionen in der persönlichen Zone (Termine, Kontakte und Anrufer-Erkennung).

Fazit: Kompromissbereitschaft erforderlich

Samsung verschafft dem Galaxy S6/S6 Edge mit seinen äußeren Reizen nicht nur einen glänzenden Bühnenauftritt, sondern sorgt mit Samsung KNOX auch für die notwendigen inneren Werte im Business-Einsatz. Die Architektur auf Basis eines Geräteadministrators eignet sich dabei primär für Firmengeräte ("COPE") und weniger für BYOD-Szenarien. Vor einer großflächigen Einführung im Unternehmen sollten genau die beabsichtigten Use Cases definiert werden, um darauf aufbauend die passende EMM-Lösung zu ermitteln.

Nur weil eine EMM-Lösung grundsätzlich Samsung KNOX unterstützt, heißt dies noch lange nicht, dass auch alle Features von KNOX Workspace zu verwalten sind. Hier gibt es derzeit noch große Unterschiede zwischen den Produkten. Alternative Container-Lösungen wie z.B. MobileIron AppConnect oder Good Dynamics, die sich sogar teilweise am KNOX Security Framework bedienen, vereinfachen die Absicherung der Unternehmensanbindung. Damit gehen aber auch die Vorteile der nahtlosen, aber kontrollierten Integration der Zonen "Personal" und "Work" von KNOX Workspace verloren. Derzeit ist daher noch der ein oder andere Kompromiss gefragt.

Nachtrag: Galaxy S6 im Präsentationseinsatz

Die Quad HD Auflösung (1440 x 2560 Pixel) des 5,1 Zoll Super AMOLED Displays mit der rekordverdächtigen Pixeldichte von 557 ppi legt schnell auch die Einsatzmöglichkeit als potentes Präsentationsgerät nahe. Dazu bleibt natürlich für ein größeres Publikum auch weiterhin eine Beamer/TV-Ausgabe unumgänglich. Leider hat Samsung den MHL-Anschluss im S6/S6 Edge für die direkte HDMI-Ausgabe gestrichen. Es bleibt damit nur eine WiFi-Übertragung mittels "AllShare Cast Dongle", reduziert auf die Auflösung Full HD (1920 x 1080 Pixel).

Die gute Nachricht aus unserem Test ist: Obwohl Screenshots aus Apps im KNOX-Container standardmäßig unterbunden werden und sich allenfalls über ausgewählte EMM-Lösungen wie KNOX EMM aktivieren lassen, gilt diese Einschränkung nicht für eine WiFi-Ausgabe mittels AllShare Cast. Der perfekten Business-Präsentation steht damit allenfalls ein (noch) fehlendes Microsoft PowerPoint für Android Smartphone im Wege.