Obwohl immer mehr Unternehmen sich anderen Smartphones als dem Blackberry öffnen, glauben immer noch viele Leute, dass die Sicherheits-Funktionen des iPhones für die meisten Unternehmen unzureichend wären. Das stimmt jedoch schon lange nicht mehr. iOS 4 für das iPhone und den iPod Touch unterstützen sogar beinahe genauso viele Sicherheit- und Verwaltungsfunktionen wie Blackberry und ähnliche wie Windows Mobile. „Unternehmen sind mit Blackberry und Windows Mobile bisher eigentlich ganz glücklich gewesen. Mit der Zeit wird ihnen aber iOS immer sympathischer. Vor allem das neue iOS 4", sagt Andrew Jaquith, Analyst bei Forrester Research.
Warum sind diese Smartphone-Betriebssysteme so beliebt? Die Antwort lautet, dass diese drei mobilen OS‘ den IT-Administratoren über die zentrale Server-Verwaltung Steuerrichtlinien für einzelne Smartphones ermöglichen. So können einzelne Mitarbeiter Privilegien erhalten beziehungsweise entzogen werden. Apple hat iOS 4 im Sommer ebenfalls mit diesen Verwaltungsmöglichkeiten ausgestattet. Beinahe jede Verwaltungssoftware, mit Ausnahme des Blackberry Enterprise Server (BES) für RIM-Smartphones, unterstützen mehrere Gerätetypen.
Wie sieht es mit anderen mobilen Geräten aus? Googles Android gewinnt an Fahrt und wird immer beliebter. Momentan werden mehr Android-Smartphones als Apple iPhones oder RIM-Geräte verkauft. Dann ist da noch das neue Windows Phone 7 von Microsoft und das neue WebOS 2.0 von Hewlett-Packard. Sind Android- oder Phone 7-Geräte für Unternehmer interessant oder fehlt es ihnen an grundlegenden Sicherheits- und Verwaltungsfunktionen?
Wir werden Ihnen sieben aktuelle Versionen der großen mobilen Plattformen und Variationen davon vorstellen. Dabei haben wir getestet, ob die Geräte einfach und sicher verwaltet werden können und wie es sich mit der Sicherheit nach Außen verhält. Die Tabelle am Ende des Beitrags hebt die Funktionen jeder mobilen Plattform hervor, die für die meisten Unternehmen wichtig sind.
Bevor wir jedoch zu den verschiedenen Modellen kommen noch eines vorweg. Die Exchange ActiveSync (EAS)-Richtlinien von Microsoft setzten sich in letzter Zeit als Protokoll für mobile Sicherheit und Geräte-Verwaltung durch. Das Protokoll wird auch größtenteils von Apple bei iOS und Mac OS X, Google ab Android OS 2.x und Google Mail für Unternehmen, Hewlett-Packard/Palm ab WebOS 1.1, IBM ab der neusten Lotus Notes Version, Nokia bei einigen Symbian-Smartphones, Novell als Server-Erweiterung für GroupWise und natürlich von Microsoft bei Windows, Windows Mobile und Windows Phone 7 unterstützt. Nur RIM sträubt sich gegen EAS und bleibt lieber beim selbst entwickelten BES. Es ist außerdem wichtig festzuhalten, dass es 29 verschiedene mögliche EAS-Richtlinien gibt. Allerdings treffen einige nur auf sehr wenige mobile Geräte zu, beispielsweise das Ein- und Ausschalten einer Infrarot-Schnittstelle oder das Verbot unsignierter CAB-Dateien. CAB-Dateien sind windowseigene App-Dateien.
Als zweites möchten wir noch die Speicherung der Unternehmens-E-Mails, -Kalender und Kontaktdaten ansprechen. Microsoft Exchange, IBM Lotus Notes oder Novell GroupWise unterstützende Geräte löschen alle E-Mails und Kontakte, wenn der Zugriff auf den Server widerrufen oder, wie bei iOS, einfach nur deaktiviert wird. Für diese sicherheitsrelevante Funktion müssen Sie ein Protokoll wie LDAP nutzen. In anderen Worten nutzen diese Verwaltungs-Server für mobile Geräte ähnliche Mechanismen unternehmenswichtige Daten von ausgeschiedenen Geräten zurückzuholen wie für PCs.
Auf den nächsten Seiten folgt der versprochene Vergleich der verschiedenen mobilen Betriebssysteme.
RIM Blackberry OS
Der Schlüssel für sicheren mobilen Datenverkehr ist BES 5.0. Das neue Betriebssystem bietet über 400 Sicherheits- und Verwaltungsrichtlinien, die über einen Fernzugriff auf alle Geräte aktiviert und deaktiviert werden können. Die Funktions-Palette reicht von erzwungener Passworteingabe bis zur Formatierung. RIM bietet auch eine kostenlose BES-Version an, die allerdings auf Microsoft Exchange-Umgebungen beschränkt ist und beispielsweise IBM Lotus Notes oder Novell GroupWise nicht unterstützt. Die Vollversion tut dies hingegen schon. Neu an BES 5.0 ist die Möglichkeit gezielt Geschäftsdaten und Applikationen von Blackberrys, die mit Blackberry OS 6.0 ausgestattet sind, zu löschen. Dadurch müssen in brenzligen Situationen nicht mehr alle Daten formatiert werden. Mitarbeiter werden Ihnen das vor allem dann danken, wenn sie das Blackberry auch teilweise privat nutzen. Einige Blackberry-Modelle unterstützen auch das RSA SecurID Hardware Authentifizierungs-Tool, das vor allem im Militärbereich notwendig ist.
RIM Blackberry Tablet OS
RIM wird das bald erhältliche RIM PlayBook mit der Blackberry Tablet OS ausstatten. Die Sicherungs-Strategien sind die Gleichen wie bei BES. RIM verspricht außerdem, dass beide Betriebssysteme den gleichen hohen Sicherheitsstandard halten werden.
Apple iOS
Apple iOS führt in der vierten Versionsvariante nun auch wichtige mobile Verwaltungs-Werkzeuge ein. Dazu gehören Applikationen für EAS-Richtlinien und einige exklusive iOS-Richtlinien, die allesamt über Fernzugriffe ausführbar sind. Sie können außerdem gezielt Geschäftsdaten und Applikationen auf Smartphones löschen. Komplexe Passwörter, geräteinterne Verschlüsselung und Fern-Formatierung gehören ebenfalls ins Repertoire.
Die Vorgängerversionen iOS 3.x haben 14 EAS-Richtlinien über einen Exchange-Server unterstützt. Außerdem mussten Konfigurations-Dateien per E-Mail an Nutzer gesendet oder über einen Download-Link zur Verfügung gestellt werden, um weitere Richtlinien zu installieren. Es gab jedoch kein Verfahren die Nutzung dieser Richtlinien auch zu kontrollieren. Die Anzahl der unterstützten EAS-Richtlinien hat sich bei iOS 4 nicht verändert, aber sie können jetzt über mobile Verwaltungs-Programme, wie AirWatch, Boxtone, Good Technology, MobileIron, Symantec, Sybase Afaria unit, Tangoe, Zenprise und viele weitere verwaltet und kontrolliert werden. Das iPad wird in diesem Monat mit iOS 4 ausgestattet, sodass Unternehmen darauf die gleichen Verwaltungs-Optionen besitzen, wie zurzeit auf dem iPhone oder dem iPod Touch.
Microsoft Windows Mobile
Obwohl das mobile Betriebssystem vor einem Jahr nicht mehr fortgesetzt wurde, so ist es in vielen Unternehmen mit entsprechenden Applikationen noch aktiv. Windows Mobile 6.x unterstützt alle 29 EAS-Richtlinien, wenn Sie über die Unternehmenslizenz für den Microsoft System Center Mobile Device Manager verfügen. Diese Lizenz ist ein Teil von Exchange. Ohne diese Lizenz sind es immerhin noch 14 EAS-Richtlinien. Eine ganze Reihe verschiedener mobiler Verwaltungs-Tools unterstützen Windows Mobile Geräte. Auf einigen wenigen Windows Mobile Smartphones wird auch die SecurID Authentifizierung unterstützt.
Microsoft Windows Phone 7
Das neue mobile Microsoft Betriebssystem hat weniger Verwaltungs- und Sicherheits-Funktionen als Windows Mobile, obwohl Windows Phone 7 die gleichen Exchange- und EAS-kompatiblen Funktionen für den Verwaltungsbereich nutzt. Am meisten vermissen wir die Verschlüsselung auf dem Smartphone und erzwungene komplexe Passwörter. Ohne diese beiden Funktionen, wird Windows Phone 7 schon für viele Unternehmen mit ActiveSync-Richtlinien nicht mehr in Betracht kommen. Microsoft verspricht allerdings die erforderliche Unterstützung nachzuliefern.
Bei Windows Phone 7 werden weniger EAS-Richtlinien unterstützt als bei Windows Mobile und iOS. Teilweise wird dies damit begründet, dass bestimmte Richtlinien einfach nicht zu einer Windows Phone 7 Umgebung passen. Beispielsweise wird die Speicherkarten-Verschlüsselung nicht unterstützt, da Windows Phone 7 überhaupt keine portablen Speicherkarten unterstützt. Weitere Beispiele irrelevanter EAS-Richtlinien wären das PC-Tethering, Nutzen der Infrarot-Schnittstelle und die Installation von Windows CAB-Dateien. Allerdings bietet Windows Phone 7 für einige unternehmensrelevante Richtlinien ebenfalls keine Unterstützung. Beispielsweise können die Kamera und Applikationen-Downloads nicht verboten und deaktiviert werden.
Microsoft 7 Compact Embedded
Noch ist nicht ganz sicher, ob das in Kürze erscheinende Windows 7 Compact Embedded Betriebssystem für Tablet-PCs die gleichen EAS-Richtlinien unterstützt wie Phone 7. Oder ob auch Richtlinien für geräteinterne Verschlüsselung und komplexe Passwörter wie bei Windows Mobile vorhanden sein werden.
Google Android OS
Obwohl Android inzwischen das beliebteste Smartphone-Betriebssystem ist, so hat es doch große Schwächen bei der Sicherheit. Geräteinterne Verschlüsselung wird genauso wenig unterstützt wie komplexe Passwörter. Außerdem sind nur wenige EAS-Richtlinien auswählbar. Unternehmen fühlen sich mit Android nicht wirklich wohl. Zum einen können die meisten Sicherheits-Vorschriften der Unternehmen nicht erfüllt werden und zum anderen gibt es so viele verschiedene Android-Geräte, dass man nie ganz sicher sein kann, ob eine bestimmte App auf allen Geräten funktioniert, sagt Jaquith, von Forrester Research. Am häufigsten wird das nicht vorhandene Dateien-Verschlüsselungssystem als Kritik angeführt.
Wie vor einigen Jahren iPhone-begeisterte Administratoren vielen Unternehmen iPhones aufgezwungen haben, obwohl Apples Sicherheitsstandards damals noch nicht den Erfordernissen entsprachen, versuchen nun auch Android-Enthusiasten das Android-Betriebssystem in Unternehmen zu integrieren.Einige Kunden sind bereit das Risiko einzugehen und mit Hilfe von Sicherheitssoftware, wie Good Technology Programmen, eine sichere Umgebung auf Android-Geräten aufzubauen, um diese im Unternehmen nutzen zu können, bemerkt Jaquith. IBMs Lotus Notes Traveler App bietet solch eine sichere Umgebung für Notes-Nutzer. Ähnliches bietet Nitrodesks Touchdown App für Exchange-Nutzer.
Android sollte beim heutigen Erfolg über kurz oder lang auch sicherer werden. Allerdings wird nicht Google selbst die Initiative ergreifen, meint ABI Research-Analyst Dan Shey. Momentan tauchen neue Sicherheits-Funktionen eher über die Geräte-Hersteller und weniger über Google auf. Beispielsweise unterstützt Android 2.2 nun grundlegende VPN-Optionen, aber Motorolas kürzlich veröffentlichtes Droid Pro wird mit einem zuverlässigeren und funktionaleren AuthenTec IPSec Mehrkanal-VPN ausgestattet.
Hewlett-Packard WebOS
Obwohl WebOS vor 18 Monaten bei der Veröffentlichung für viel Furore gesorgt hatte, konnte das Betriebssystem keinen großen Kundenkreis für sich gewinnen. In diesem Sommer wurde das Betriebssystem von HP weiterentwickelt und vor kurzem als WebOS 2.0 angekündigt. Seit November ist das erste große Update über das Pre 2 erhältlich. WebOS bleibt jedoch weiterhin das unsicherste große mobile Betriebssystem. Es gibt keine geräteinterne Verschlüsselung, aber immerhin werden komplexe Passwörter unterstützt. WebOS kommt mit fünf EAS-Richtlinien klar. Vier davon sind für die Passwort-Verwaltung und eines ermöglicht die Formatierung des Smartphones über einen Fernzugriff. Anders als bei Android, gibt es bei WebOS keine Zusatz-Apps, die für eine sichere Umgebung sorgen und damit Sicherheitslücken schließen. Das neue WebOS 2.0 unterstützt laut HP nun auch VPN, aber keine zusätzlichen Sicherheits- oder Verwaltungs-Funktionen.
Nokia Symbian
Symbian rühmt sich damit das beliebteste Smartphone-Betriebssystem der Welt zu sein. Jedoch ist Symbian beinahe unsichtbar. Die StatCounter Web-Traffic Analysen besagen, dass Symbians Anteil am globalen Internet-Datenverkehr stetig abnimmt und nun mit dem iPhone etwa gleichauf ist. Das Symbian-Betriebssystem kommt in vielen Variationen daher, erfüllt aber meistens nicht die Sicherheits- und Verwaltungsanforderungen von Unternehmen. Lediglich die Nokia E- und N-Serien Geräte unterstützen die grundlegenden Funktionen, wie geräteinterne Verschlüsselung, komplexe Passwörter oder Formatierung über einen Fernzugriff. Kurioserweise ist unbekannt wie viele EAS-Richtlinien unterstützt werden, da Nokia dies nicht bekannt geben möchte. Es scheinen allerdings weniger als für iOS zu sein. Eine eingebaute Kamera auszuschalten oder den Zugriff zu einem Wi-Fi-Netzwerk zu verbieten, sind zwei Beispiele, die von iOS, Windows Mobile und BES unterstützt werden, während Symbian diese Optionen nicht bietet. Viele Verwaltungs-Tools unterstützen Nokia-Geräte.
Die Smartphone-Systeme im Überblick
Nun folgt eine kleine Auflistung der verfügbaren Funktionen der jeweiligen mobilen Betriebssysteme. EAS wurde über Microsoft Exchange ActiveSync, BES über Blackberry Enterprise Server 5.x und 3PS über einen Drittanbieter-Server getestet. KA steht für nicht verfügbare Informationen.
Funktion |
Apple iOS 3.x, 4.x |
Google Android 2.x |
Hewlett-Packard WebOS 1.x, 2.0 |
Microsoft Windows Mobile 6.x |
Microsoft Windows Phone 7 |
Nokia Symbian 2.x, 3.x [1] |
RIM Blackberry 5.x, 6.x |
Geräteinterne Verschlüsselung |
ja |
nein |
nein |
ja |
nein |
ja [2] |
ja |
Daten-Verschlüsselung über einen Fernzugriff |
ja |
ja |
ja |
ja |
ja |
ja |
ja |
Komplexe Passwörter |
ja |
nein |
ja |
ja |
nein |
ja |
ja |
Passwort-Richtlinien |
ja [3] |
EAS [4] (nur AOS 2.2) |
EAS |
EAS, 3PS |
EAS |
EAS, 3PS |
BES |
VPN-Unterstützung |
ja |
ja |
ja (nur WebOS 2.0) |
nein |
nein |
ja |
ja |
Kamera-Deaktivierung |
ja [3] |
nein |
nein |
EAS, 3PS |
nein |
nein |
BES |
App-Store-Zugriff blockieren oder einschränken |
ja [3] |
nein |
nein |
EAS, 3PS |
nein |
nein |
BES |
W-LAN beschränken oder blockieren |
ja [3] |
nein |
nein |
EAS, 3PS |
nein |
nein |
BES |
Entsperren über Fernzugriff |
ja [3] |
EAS (nur AOS 2.2) |
EAS |
EAS, 3PS |
EAS |
nein |
BES |
Formatieren über Fernzugriff |
ja [3] |
EAS (nur AOS 2.2), 3PS (nur AOS 2.2) |
EAS |
EAS, 3PS |
EAS |
EAS, 3PS |
BES |
Selektives Löschen von Apps und Daten |
3PS (nur iOS4) |
nein |
nein |
nein |
nein |
nein |
BES (nur BB OS6) |
Richtlinien verwalten und erzwingen |
EAS, 3PS (nur iOS4) |
EAS (nur AOS 2.2) |
EAS |
EAS, 3PS |
EAS |
EAS, 3PS |
BES |
Unterstützte EAS-Richtlinien |
14 |
9 (nur AOS 2.2) [5] |
5 |
29 [6] |
7 |
KA |
keine [7] |
Fern-Verwaltung |
EAS, 3PS (nur iOS4) |
EAS (nur AOS 2.2), 3PS |
EAS |
EAS, 3PS |
EAS |
EAS, 3PS |
BES |
weitere Authentifizierung (RSA SecurID) |
nein |
nein |
nein |
ja [8] |
nein |
nein |
ja [8] |
Anmerkungen: [1] Nur bei einigen Nokia E- und N-Serien Geräten; [2] Speicherkarten nicht verschlüsselt; [3] Über eine Auswahl im Apple iPhone Konfigurations-Werkzeug, EAS und 3PS; [4] nur die PIN wird verlangt; [5] Einige Drittanbieter E-Mail-Client-Applikationen unterstützen zusätzliche EAS-Richtlinien nur innerhalb der Applikation; [6] Eine Exchange Server Enterprise Lizenz wird für die Unterstützung aller 29 EAS-Richtlinien benötigt, sonst werden 15 EAS-Richtlinien unterstützt; [7] BES unterstützt mehr als 400 eigene Richtlinien; [8] nur ein paar Geräte-Modelle.
Quelle: PC-Welt