Mit mobileren Mitarbeitern wollen Unternehmen ihre Erreichbarkeit erhöhen. Kunden- und Partneranfragen sollen schneller und gezielter beantwortet, die Produktivität insgesamt gesteigert werden. Das Wunschbild: Die Mitarbeiter können unterwegs auf das gleiche Verfügbarkeits- und Sicherheitsniveau bauen wie am PC im Büro. Bis dahin ist es aber noch ein weiter Weg.

Eine aktuelle IDC-Studie bringt es auf den Punkt: Je ausgedehnter die Unternehmen ihre PCs, Notebooks und sonstigen mobilen Geräte einsetzen, desto schwerer fällt es ihnen, diese richtig zu verwalten. "Obwohl 90 Prozent der Unternehmen aktiv ein Client-Management betreiben, klagen die Verantwortlichen hier über zu hohe Kosten und eine unzureichende Effektivität", rekapituliert Matthew McCormack, Berater bei der European Systems Group von IDC, die aktuelle Situation. Er verweist dazu unter anderem auf die Management-Disziplinen Inventarisierung, Software- und Patch-Verteilung sowie Asset-Management. Der Status quo treffe die Unternehmen umso härter, zumal sie mit hohen Sicherheits- und Compliance-Anforderungen sowie einer steigenden IT-Komplexität konfrontiert seien.

Vielfalt statt wWindows-

Vor allem die mobile Seite bereitet den Unternehmen zunehmend Kopfzerbrechen. Für die PCs in den Büros gilt mehr oder weniger ein innerbetrieblicher Standard: Microsoft Windows. Dementsprechend hat sich über die Jahre ein reichhaltiges Angebot an Management- und Sicherheitssoftware für PC-Clients herausgebildet. Die Entwickler mussten sich nur auf dieses Betriebssystem konzentrieren.

Mobil treffen die Anwender neben den klassischen Notebooks mit Windows - zumindest theoretisch - auf zahlreiche Smartphone-Modelle mit verschiedenen Betriebssystemen. "Zu Windows Mobile, Symbian, Linux und Blackberry-OS gesellen sich über Apples iPhone eine mobile Version von Mac OS X und - ab Ende des Jahres - Googles mobile Betriebssystem-Plattform Android", beschreibt Andreas Essing, Experte im Bereich Systems Integration für Kollaborationslösungen bei Siemens IT Solutions and Services (SIS), die derzeitige Situation. "Jedes dieser Betriebssysteme erfordert seine eigenen speziellen Management- und Sicherheits-Tools, die auf den spezifischen Stack abgestimmt sind, oder alternativ eine aufwändige Eigenprogrammierung." Diese seien notwendig, um die Programme (idealerweise remote) auf die Smartphones aufzuspielen und zu installieren sowie anschließend die Endgeräte zu überwachen, zu administrieren und zu aktualisieren. Um den Verwaltungs- und Programmieraufwand auf ein Mindestmaß zu beschränken, schrieben daher viele Unternehmen organisationsweit ein mobiles Betriebssystem vor, erklärt Essing.

Lieber keine iPhones im Unternehmen!

Ken Dulaney, Analyst bei Gartner, zielt mit seiner Kritik insbesondere auf das Smartphone von Apple: "Er ist im Grund ein iPod mit Telefonfunktion und sollte - als reines Spielzeug gebrandmarkt - keinesfalls im Unternehmen Einzug halten." So fehlten neben dem Support für Enterprise-, Verwaltungs- und Fernwartungsfunktionen aktuell grundlegende Security-Features sowie Mechanismen für einen ausreichenden Schutz vor Datenverlust - von den kurzen Akkulaufzeiten ganz zu schweigen. Immerhin will Apple im Verlauf dieses Jahres über eine neue Firmware die bestehenden Support- und Sicherheitslücken reduzieren. Dazu sollen ein Personal Information Manager (PIM), Activesync sowie IPSec-VPN-Client und Wireless Application Protocol (WAP) 2 zur Sicherung kabelloser Verbindungen gehören. Über ein SDK können lizenzierte Drittanbieter die Business-Tauglichkeit des Geräts mit Zusatzanwendungen steigern.

Ähnlich wie im PC-Umfeld hat die Open-Source-Seite auch im mobilen Bereich die Hoffnung noch nicht begraben, dass sich Linux über kurz oder lang als anerkanntes Betriebssystem etabliert. Linux könne seine Stärken, was Verwaltbarkeit und Sicherheit betreffe, über das Desktop-Betriebssystem hinaus auch auf Business-Smartphones ausspielen, meint Red-Hat-Manager Dirk Kissinger. Sein Argument: "Die mobilen Endgeräte müssen von der Zentrale aus gleich den Desktops überwach-, verwalt- und absicherbar sein." Bis sie jedoch ähnlich kontrollierbar seien, werde es noch einige Zeit dauern, schränkt Kissinger zugleich ein. Als eigentliches Problem bei den Smartphones sieht er indes "den proprietären Zuschnitt der Betriebssysteme und der Software, die darauf läuft". Diese machten es den Entwicklern, Unternehmen sowie den Betreibern von Client-Management-Diensten fast unmöglich, alle notwendigen Anpassungen zu treffen. Oberflächen, Funktionen und Ladeprozesse könnten somit nicht exakt auf die speziellen Einsatzanforderungen hin abgestimmt werden. Er empfiehlt daher, durchgängig Smartphones unter Linux einzusetzen: "Die Betriebssoftware hinter dem Stack einzusehen und für alle Client-Management-Aufgaben in den Code einzugreifen - gegebenenfalls den Stack selbst zu verändern -, das lässt nur ein offenes Betriebssystem ohne Lizenzauflagen zu."

Smartphones sind schwierig zu verwalten

Dass Mitarbeiter unterwegs auf eine ähnlich hohe Geräteverfügbarkeit und -sicherheit zurückzugreifen können wie am festen Arbeitsplatz, wird für Unternehmen zunehmend wichtiger. "Die Erwartungshaltung der Unternehmensführung und des Personals wächst, am mobilen Gerät genauso wie am PC zu kommunizieren und zu handeln", unterstreicht Marcus Behrendt, Practice Chairman Germany bei Logica. Applikationen wie Unified Communications mit integrierten Sprach-, Daten- und Videoströmen verstärkten diese Erwartungshaltung. "Die zentralen IT-Ressourcen und die eigene PC-Umgebung müssen dazu immer und jederzeit angriffssicher zugänglich sein." Im direkten Vergleich zwischen PC und Smartphone zieht das Letztere aber eindeutig den Kürzeren. Zum einen seien drahtlose Verbindungen längst nicht so weit verfügbar wie Leitungsverbindungen, zum anderen lasse der Komfort der Smartphones zu wünschen übrig, so Behrendt. Des Weiteren seien ein zentrales Management sowie ein regelmäßiges Aktualisieren und Sichern von Software, Einträgen und Einstellungen auf mobilen Geräten schwierig und kostspielig. Behrendt empfiehlt daher, vorerst weiterhin auf Notebook und Handy zurückzugreifen: Notebooks seien wegen ihres größeren Bildschirms und einer vollwertigen Tastatur um einiges komfortabler und ließen sich weit besser absichern.

Besonders bei der Zugriffskontrolle treten die Unterschiede zwischen PC und Smartphone offen zutage. Mit Blick auf die PCs gehen die Unternehmen daran, über Identity- und Access-Management (IAM) die Abfolge aus Authentisierung und Autorisierung über verschiedene Anwendungen hinweg zentral zu steuern. Greifen die Anwender von den PCs aus auf sensible Geschäftsapplikationen zu, kann der Administrator die Authentisierung über starke Verfahren wie Sicherheits-Token oder Chipkarte mit digitalen Zertifikaten absichern. Anders bei den Smartphones, wo Konnektoren zur Einbindung in die zentralisierte Zugriffskontrolle absolute Mangelware seien, resümiert Lars Weimer, bei Ernst & Young verantwortlich für Informationssicherheit im Bankenbereich. Bestenfalls für Smartphones unter Windows Mobile seien solche Konnektoren zu haben. "Damit bleibt den Unternehmen, die dennoch die Westentaschen-Computer in eine umfassende Zugriffskontrolle einbinden wollen, häufig nichts anderes übrig, als diese Integration zeit- und kostenaufwändig zu programmieren."

Security-Token für Smartphones, so unter Windows Mobile und Symbian, seien nur vereinzelt im Markt verfügbar und zudem teuer. An Chipkarten als Zertifikatsträger für solche Geräte werde noch gearbeitet. Weimer spricht deshalb von einer "zweitklassigen Authentisierung" und einer weniger sicheren Einwahl verglichen mit dem PC. "Und auch die Sicherheitsmittel, um die Smartphones sowie davon ausgehend die zentralen und die IT-Ressourcen des eigenen PCs im Büro vor Malware in jeglicher Form zu schützen, sind bisher schwach ausgeprägt", ergänzt er. Weimer rät den Entscheidern, im Rahmen ihrer Sicherheitsstrategie von den Smartphones keinesfalls zu viel zu erwarten, zumal dort unsichere Passwörter noch an der Tagesordnung seien. "Den Mitarbeitern an den Smartphones kann kaum zugemutet werden, auf der kleinen Tastatur jeweils acht Zeichen einschließlich Sonderzeichen einzugeben", so Weimer.

Nicht nur das. Wenngleich allmählich entsprechende Lösungen auf den Markt kommen, können viele mobile Anwender an ihren Smartphones von IAM-Diensten wie zentralisierten Single-Sign-on (SSO) und Directory-Services nur träumen. "Je mehr die Mitarbeiter an ihren PCs davon profitieren, umso schmerzlicher registrieren sie die Abwesenheit solcher Services an den mobilen Geräten", beobachtet Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland. "Der SSO erspart den Mitarbeitern die Eingabe zahlreicher Autorisierungsprivilegien - für jede Applikation ein anderes Privileg."

Kaum Anbindung an Directory-Services

Directory-Services wiederum machten es den Administratoren einfacher, Benutzer und ihre Rechte und Rollen einzugeben sowie alle Einträge stets auf dem aktuellen Stand zu halten. "Solange PCs darin involviert sind, erspart das den Unternehmen erhebliche Administrationskosten, bei gleichzeitig mehr Sicherheit vor Angriffen von innen und außen", sagt Schöndlinger. Auf der mobilen Seite kämen solche Vorteile, sofern das eine oder andere mobile Betriebssystem vom IAM-System überhaupt unterstützt werde, nur bedingt zum Tragen. Mobile Geräte, die nicht in den Zugriffskontrollschirm integriert seien, blieben beim zentralen Auditing und Reporting hingegen außen vor. Das sei laut Schöndliger die "Achillesferse der Compliance".

Besserung ist noch in weiter Ferne

Ob Security oder Betriebsbereitschaft der mobilen Geräte: Geht es nach Jörg Fischer, dem Leiter für Strategische Geschäftsentwicklung bei der Enterprise Business Group von Alcatel-Lucent in Deutschland, wird sich die Ausgangssituation beim Management und bei der Absicherung von Smartphones nur langsam verbessern. Als Entwicklungsbremse macht er einen hoch volatilen Mobilgerätemarkt aus. "Er hat seine Konsolidierungsphase noch vor sich", so Fischers Einschätzung. "Erst wenn sich in diesem Segment klare Gewinner abzeichnen, werden sich die Softwareentwickler und Dienstleister auf diese wenigen Betriebssysteme konzentrieren." Und erst dann würden sie für diese Geräte in größerem Umfang Management- und Sicherheits-Tools programmieren beziehungsweise vorhalten, sieht Fischer voraus.

(mb/Simon Hülsbömer)