MWC12

Bring your own Device - aber sicher

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Blackberry war gestern, der User von heute bevorzugt im Business-Alltag sein eigenes Device. Für die IT-Abteilungen bedeutet dies den Verlust der Kontrolle. Um den BYOD-Flohzirkus zu bändigen gibt es verschiedene Ansätze.
Foto: Nokia, RIM, Motorola, Apple, HTC, Sony Ericcson

Ständig wechselnde neue Devices - egal ob Tablet oder Smartphone - und diese befinden sich zudem noch in privater Hand. Die für Security verantwortlichen Mitarbeiter der IT-Abteilungen sind dieser Tage wirklich nicht zu beneiden. Zumal ein restriktives Nein wenig nützt, wenn das oberste Management den zivilen Ungehorsam vorlebt und iPhone und iPad ins Unternehmensnetz wider alle Sicherheitsrichtlinien einbringt.

Um diesen Wildwuchs dennoch unter Kontrolle zu bringen und gleichzeitig dem Wunsch der Anwender nach einem persönlichen und flexiblen Endgerät entgegen zu kommen, gibt es verschiedene technologische Ansätze. Die klassische Methode wäre das Application Streaming, also Verfahren wie sie etwa Citrix realisiert: Anwendungen und Daten bleiben auf den Servern im Unternehmen und nur die Benutzeroberfläche wird gestreamt. Klingt einfach und funktioniert zumindest im Festnetz.

Im Mobilfunknetz sei allerdings, so Hoofar Razavi, Director Mobile Solutions bei VMware, eine gesunde Skepsis angebracht: "Die Funknetze sind in Sachen QoS, Bandbreite und Latency noch nicht so leistungsfähig, um das Online-Arbeiten garantieren zu können". Angesichts des Leistungssprungs der aktuellen Endgeräte-Generation mit Quadcore-CPU und RAM im GB-Bereich sieht er die Zukunft darin, dass die Anwendungen lokal auf dem Smartphone laufen und nur die Daten vom Enterprise-Server geladen werden.

Arbeiten - aber sicher!

Divide von Enterproid
Divide von Enterproid
Foto: Enterproid

Um hier das leidige Thema Security in den Griff zu bekommen, propagiert man bei VMware eine Virtualisierung der Devices in einen Workspace und einen privaten Bereich. VMware verwendet hierzu einen Hypervisor vom Typ 2, sodass auf einem Gerät auch zwei unterschiedliche Betriebssysteme installiert werden können. Allerdings hat der Ansatz einen entscheidenden Nachteil: Ohne Unterstützung der Hersteller, die ihre Firmware modifizieren müssen, funktioniert das Ganze nicht. Als offizielle Partner konnte VMware bislang Samsung und LG gewinnen.

Diese Hürde umschifft am beim Newcomer Enterproid elegant. Das Unternehmen offeriert zwar mit "Divide" ebenfalls eine Virtualisierungslösung, setzt aber erst auf der Applikationsebene an. "Damit können die Anwender jedes Endgerät zur Virtualisierung benutzen, denn ein Eingriff in die Firmware ist nicht erforderlich", erklärt Alexander Trewby, Vice President und Mitgründer von Enterproid.

Divide von Enterproid auf dem Smartphone.
Divide von Enterproid auf dem Smartphone.
Foto: Enterproid

Zudem bietet man bei Enterproid im Gegensatz zu VMware keinen dedizierten Server zum Device-Management mehr an. Vielmehr hat man dies als Cloud-Service realisiert, den die Unternehmen entweder direkt von Enterproid beziehen oder über Partner wie in den USA beispielsweise AT&T. Dabei gibt es von der Management-Console zwei Versionen: Eine für den Enduser und eine für die IT-Abteilung. Letztere kann allerdings erst dann den Enterprise-Teil des Devices konfigurieren, wenn der User die entsprechenden Zugriffsrechte eingeräumt hat.

Hier offenbart sich ein weiterer Unterschied zu VMware: Während dort etwa die Abteilung das gesamte Endgerät löschen kann, hat bei Enterproid die IT-Abteilung nur Zugriff auf den virtualisierten Workspace-Bereich. Dort kann sie dann Enterprise-Apps, E-Mail etc. bereitstellen.

Good Technology, Symantec und Co.

Einen dritten Weg verfolgen Anbieter wie Good Technology oder Symantec. Sie bauen keine komplett abgeschottete Umgebung auf, sondern sichern nur bestimmte Bereiche der mobilen Endgeräte für den mobilen Einsatz. Good bezeichnet dies als Container, während Symantec auf eine Agent-Technologie setzt, die quasi als Isolator fungiert. Zudem führt er einen Konsistenz-Check des Devices durch und ermöglicht den Zugriff auf einen Enterprise AppStore.

Eine ähnliche Aufgabe übernehmen bei Good die Container, die Business-Daten von privaten Informationen trennen. Bei Symantec sticht zudem die Integration der Mobile-Lösung in die restlichen Security-Produkte (etwa Data Loss and Leak Prevention) der Company ins Auge.
Letztlich gibt es, wie Frank Bunn, Senior Manager bei Symantec einräumt, nicht die Lösung, die für alle Unternehmen passt. Vielmehr müssten die IT-Entscheider genau abwägen, welche Herangehensweise am besten zu ihrer Unternehmenskultur und Infrastruktur passt. (hi)