computerwoche.de

Mobile & Apps

3CX Mobile Device Manager im Test

Was taugt ein MDM-System für lau?

28.05.2014
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Alle Posts des Autors Email: Connect:

Zu Risiken und Nebenwirkungen…

Bevor man die Geräte im 3CX-System angelegt und verwaltet, ja eventuell sogar bevor man die Lösung evaluiert, sollte man auf jeden Fall den Mitarbeitern (dem Betriebsrat) die damit verbundenen Möglichkeiten darlegen und eine damit verbundene User Policy/Betriebsvereinbarung erstellen. So mag die Lösung zwar klein und günstig sein, manche Funktionen sind jedoch nicht ganz unproblematisch. Unter anderem kann der Administrator mobile Endgeräte nicht nur aus der Ferne sperren oder sämtliche Inhalte löschen, er hat zumindest bei Android-Smartphones und -Tablets über die "Fernsteuerung" auch Zugriff auf den Dateimanager und kann so sensible Bereiche wie das Adressbuch einsehen.

Alles auf einem Blick: Das Dashboard von 3CX MDM
Alles auf einem Blick: Das Dashboard von 3CX MDM

Auch die Möglichkeit, den Standort von Geräten zu ermitteln, hat ihre Licht- und Schattenseiten: Auf diese Weise lassen sich zwar verlorene Devices orten und zusammen mit dem Versenden von Push-Mitteilungen eine einfache Form von Workforce-Management umsetzen. Gleichzeitig ist dieses Feature (rechtlich) nicht ganz unbedenklich, da der Arbeitgeber damit potenziell auch in der Lage ist, seine Mitarbeiter ständig zu tracken - und dies auch nach Dienstschluss. Ein weiterer kritischer Punkt ist die Option, die Gesprächshistorie eines verwalteten (Android-)Geräts einzusehen. Der Zugriff auf so sensiblen Daten wie Standort, Standort-Historie und vergangene Anrufe lässt sich zwar ausschalten. Wirklich sicherstellen kann der Mitarbeiter aber nicht, dass ihm nicht hinterherspioniert wird.

Zahlreiche Standardfunktionen

Was generell die möglichen Verwaltungs-Features betrifft, kocht natürlich auch 3CX nur mit Wasser und verwendet die von den Herstellern Apple, Google und Microsoft bereitgestellten Management-APIs. Zusätzliche Schnittstellen, wie sie etwa Samsung für seine Galaxy-Reihe (u.a. Safe und Knox) anbietet, werden nicht genutzt.

Die damit durchsetzbaren Policies unterscheiden sich bei iOS und dem einfachen Android entsprechend deutlich: Bei iOS kann man (inzwischen) relativ filigrane Sicherheitsvorgaben bezüglich Passwort (Länge, Komplexität) und Einschränkungen (AppStore, Kamera, Screenshot…) machen, dafür aber nicht so stark auf das System selbst zugreifen. Bei Android ist es genau umgekehrt: Hier kann man nur grobe Richtlinien vorgeben, dafür aber im Zweifelsfall remote auf das Dateisystem des Geräts zugreifen.

Was für beide Betriebssysteme fehlt, ist die Möglichkeit, durch Root (Android) beziehungsweise Jailbreak (iOS) veränderte Geräte zu erkennen. Auch wenn es für MDM-Hersteller nicht einfach ist, hier immer auf dem Laufenden zu bleiben und die Erkennung nicht hundertprozentig zuverlässig ist, ist die Funktion dennoch essentiell: Nur durch die Unversehrtheit der Betriebssysteme kann gewährleistet werden, dass die integrierten Schutzmechanismen und Kontrollinstanzen intakt sind und sich Policies durchsetzen lassen.

Auch dem Thema Anwendungsverwaltung hat sich 3CX bei der Lösung gewidmet: So kann man im entsprechenden Reiter App Management eine Liste aller auf den verwalteten Geräten installierten Apps einsehen. Außerdem gibt es ein Repository für Apps, die man bei Bedarf auf die Endgeräte pushen kann. Last but not least kann man im 3CX Mobile Device Manager eine Whitelist beziehungsweise Blacklist mit zugelassenen oder aber verbotenen Apps führen. Richtig wirkungsvoll erwies sich die schwarze Liste dabei im Test aber nicht. So konnten wir trotz Verbotes problemlos auf einem der Android-Smartphones Whatsapp neu installieren und stellten auch keinen Alarm auf der Management-Konsole fest. Im Bereich "Installed App" wurde die App dagegen aufgeführt.

3CX MDM bietet zahlreiche Alarmmöglichkeiten, im Test funktionierten leider nicht alle.
3CX MDM bietet zahlreiche Alarmmöglichkeiten, im Test funktionierten leider nicht alle.

Apropos Alarm: Immerhin meldete das System im Test erfolgreich, wenn über längere Zeit keine Verbindung zu dem 3CX MDM Agent hergestellt werden konnte. Außerdem informierte es, wenn ein Client-Gerät erfolgreich gesperrt oder gelöscht wurde.

Eingeschränkte Sanktionsmöglichkeiten

Wird ein Verstoß (tatsächlich) festgestellt, kann der Admin den Anwender per Push-Mitteilung darauf hinweisen. Reagiert der Nutzer dann immer noch nicht, gibt es zudem die Möglichkeit, die App remote zu löschen. Dies funktioniert allerdings nicht immer: Bei Android ist dies nur möglich, wenn der Nutzer zustimmt, bei iOS klappt es nur bei Apps, die erst nach der Installation des 3CX-MDM-Clients neu auf das Gerät gespielt wurden.

Standardfunktion: Fernlöschung oder Remote Wipe
Standardfunktion: Fernlöschung oder Remote Wipe

Ansonsten beschränken sich die Sanktionen bei iPads und iPhones auf das Sperren und Löschen des kompletten Geräts. Bei Android-Devices gibt es noch die äußerst effektive Funktion Remote Control - eine Art Fernzugriff, bei der man auf den Client zugreifen und dort etwa den Dateimanager oder das Adressbuch durchforsten kann.