Energieversorger habe traditionsgemäß viele technische Einrichtungen im Feld beispielsweise Verteilerkästen in den Stadtvierteln und Zähler für die einzelnen Verbraucher. Hier sind Smartphones und Tablets gut geeignet, um Zählerstände, Steuerungsinformationen und Vertragsdetails zu erfassen, zu verwalten und zu kommunizieren. Direkt vor Ort, mit hohem Durchsatz und mandantensicher. Allerdings war bei der Stadtwerke Unna GmbH im Laufe der Jahre ein mobiler Geräte-Dschungel entstanden, zu dem auch Exemplare aus früheren Zeiten wie etwa ältere Blackberrys oder Nokia-Symbian-Geräte zählten.

Enterprise-Mobility-Management-Lösung unverzichtbar

Im Rahmen der Einführung eines zentralen Enterprise-Mobility-Management-Systems (EMM) sollte nun eine Konsolidierung stattfinden und die betagten Geräte zügig erst einmal durch neue Apple-Geräte unter iOS 7 ersetzt werden. Um sich für die Zukunft andere Betriebssystem-Optionen offen zu halten, suchte der nordrhein-westfälische Energieversorger jedoch eine Lösung, die beispielsweise auch Android-Geräte unterstützt.

"Die Innovationszyklen in der Mobile IT sind so kurz, dass man hier niemals nie sagen kann und für technologische Neuerungen von der Infrastruktur her bereit sein muss", erklärt Thomas Hönig-Heinemann, Abteilungsleiter IuK Netzwerk bei der Stadtwerke Unna GmbH. Die gewünschte Lösung sollte also die verschiedenen mobilen Betriebssysteme am Markt unter einer einheitlichen Oberfläche verwalten können und die gleichzeitig absolut business-tauglich sein. Nach Sondierung des Marktes und einigen Teststellungen fiel die Entscheidung auf das EMM-System von MobileIron, das mit Hilfe des Netzwerkspezialisten und Systemintegrators K&K Networks implementiert wurde.

Mit Bordmittel kaum machbar

Überlegungen hinsichtlich einer Verwaltung mit Bordmitteln, wie sie Apple und Microsoft in ihren Produkten zur Verfügung stellen, waren dabei für die IT-Verantwortlichen kein Thema. So ermögliche etwa der Apple Configurator nach Darstellung von Mark Goßmann, IT-Spezialist bei der Stadtwerke Unna GmbH, lediglich ein vereinfachtes Ausrollen und Management von Apple-Geräten in kleineren Unternehmen, die zudem keine großen Ansprüche bezüglich der Leistungsmerkmale haben.

Auch die Verwaltungsmöglichkeiten, die der Microsoft Exchange Server per ActiveSync mitbringt, bewertet Goßmann in ihrem Funktionsumfang als nicht ausreichend und allenfalls nur für wenige Endgeräte geeignet. Die Stadtwerke Unna GmbH benötigte aber eine größere und vor allem auch skalierbare EMM-Lösung, die folgende Funktionen unterstützt:

• Zentrale Verwaltung und Steuerung der Geräte z.B. "Update over the Air" oder Rechteverwaltung;

• Übersicht über Geräte, User, Seriennummern, Sicherheits-Policys, Apps, usw.;

• gesicherter und verschlüsselter Zugriff auf interne Ressourcen z.B. Intranet, Dokumente oder sonstige Daten; sowie

• Absichern der Geräte gemäß den hohen Sicherheitsanforderungen der Stadtwerke Unna GmbH

Und auch trotz der Weiterentwicklung von Apple iOS in Richtung Business-Tauglichkeit werde ein Enterprise Mobility Management-System keineswegs überflüssig, fügt Goßmann hinzu. Dazu muss man wissen, dass die in iOS7 hinzugekommenen Features wie Open-In-Management, Per-App-VPN und Managed App Configuration keine ausprogrammierten Module sind. Es handelt sich vielmehr im Wesentlichen um APIs, an die ein Entwickler andocken kann. Wer also auf ein EMM-System verzichten will, muss erst einmal einige Programmierarbeit leisten. Das wäre aber sowohl technologisch als auch ökonomisch wenig sinnvoll.

Gleichwohl sind die rund 40 neuen Business-APIs in Apple iOS7 ein Riesenfortschritt, der nicht nur den Kunden, sondern auch EMM-Herstellern und deren Implementierungspartnern das Leben erleichtert. Markus Pradella, EMM-Spezialist bei K&K Networks, der das EMM-System bei der Stadtwerke Unna GmbH nicht nur implementiert hat, sondern auch kontinuierlich betreut, beschreibt das Zusammenspiel von iOS7-Business-APIs und einem EMM-System folgendermaßen: "Ein Feature wie das Open-In-Management in iOS7 beispielsweise erweitert das MDM-Protokoll von Apple durch neue Parameter. Auf deren Basis kann der EMM-Hersteller dann eine Funktion implementieren, die festlegt, dass Dokumente immer nur mit spezifischen von der IT festgelegten Apps auf dem iPhone geöffnet werden können." Oder anders ausgedrückt: Die Unternehmens-Dokumente lassen sich nur von autorisierten Unternehmens-Apps aufrufen, die privaten Dokumente nur von privaten Apps.

App-Container als sichere Unternehmens-Dropbox

Die Stadtwerke Unna nutzt das von MobileIron im Docs@Work umgesetzte Feature derzeit für die sichere Verwaltung der E-Mail-Anhänge: Daten und Dokumente werden in einem gesicherten App-Container aufgerufen und können nicht mit anderen Apps außerhalb des Containers kommunizieren. So wird verhindert, dass Daten ungewollt kopiert oder weiterverschickt werden. Die Stadtwerke Unna GmbH habe damit sozusagen eine sichere Unternehmens-Dropbox installiert, erklärt Thomas Hönig-Heinemann.

Zudem verwendet Docs@Work Richtlinien, Benutzer, Rollen, Gruppen und Berechtigungen, die bereits in der erweiterten Mobilverwaltung von MobileIron festgelegt wurden. "Auf diese Weise konnten wir zentral definieren, welcher Mitarbeiter Dokumente in den vorgegebenen Apps auf seinem Gerät öffnen und ablegen darf", sagt Goßmann. "Sollte ein Mitarbeiter oder Gerät gegen die Firmenrichtlinien verstoßen, können wir unternehmenseigene Dokumente löschen und die Öffnen-In-Funktion sowie die Zwischenablage-Funktion (Ausschneiden/Kopieren/Einfügen) für Unternehmensinhalte auf dem betreffenden Gerät sperren", fügt Pradella vom Implementierungspartner K&K Networks hinzu.

Ebenfalls in einem App-Container gesichert ist der sichere mobile Browser Web@Work, der exklusives, browserbasiertes Tunneln ermöglicht. Im Gegensatz zu einem normalen VPN ist der Tunnel exklusiv nur für die App Web@Work. Mit dieser App kann die IT-Abteilung den Zugriff auf diejenigen internen webbasierten Ressourcen beschränken, für die der jeweilige Benutzer auf Grundlage seiner Gruppenzugehörigkeit im Unternehmensverzeichnis oder anderer Nutzer- und Gerätemerkmale berechtigt ist. Da die Stadtwerke Unna GmbH berechtigten Nutzern auch einen webbasierten Zugriff auf die Online Planauskunft für die einzelnen Stadtregionen erlaubt, ist ein leistungsfähiger mobiler Browser wie Web@Work doppelt wichtig.

Neben Docs@Work und Web@Work sind derzeit noch drei andere Module bei der Stadtwerke Unna GmbH im Einsatz:

• Das Modul AppConnect, mit dem Business-Apps in einen geschützten Container gepackt werden;

• das Modul AppTunnel, das eine sichere, verschlüsselte Übertragung von geschäftlichen Daten zwischen Unternehmensnetz und einer containergeschützten Business-App ermöglicht; sowie

• die Sentry-Appliance, über die intelligente Tunnelfunktionen für Dienste wie E-Mail und PIM-Daten zur Verfügung gestellt werden.

Alle Module werden über eine zentrale Verwaltungsplattform gesteuert, die darüber hinaus auch als Schnittstelle zwischen Domänencontrollern und als Zertifizierungsstelle fungiert. Diese beantragt die Zertifikate - beispielsweise für die Anmeldung am Exchange Server - automatisch über das Simple Certificate Enrollment Protocol (SCEP). Die Zertifikate werden heruntergeladen, innerhalb des automatischen Workflow auf die mobilen Endgeräte ausgerollt und mit Konfigurationen und den Sicherheitsrichtlinien des Unternehmens verknüpft.

"Trotz der Funktionsvielfalt des EMM-Systems ist dieses leicht und intuitiv zu bedienen. Und für den Fall, dass wir ein weiteres mobiles Betriebssystem innerhalb unseres Mobilgeräte-Inventars zulassen wollen, sind wir mit unserer Lösung bestens vorbereitet", ist sich Hönig-Heinemann sicher. (mb)